Kibernetiniai nusikaltėliai važinėdami po miestą gali atakuoti jūsų bevieles klaviatūras
Vilnius Legal Hackers pradėjo “Digital Lunch” (skaitmeninių pietų) renginių rubriką, kurioje kalbins įdomius žmones. Pirmiausia, kviečiami praėjusį penktadienį vykusio renginio “CityBee incidentas: išmoktos pamokos ir iššūkiai ateityje” pašnekovai. Pirmasis jų – tai Miroslav Lučinskij, UAB Critical Security vadovas, BCCS Cluster atstovas.
Parašė pirmąjį kibernetinio saugumo pradžiamokslį lietuvių kalba
Miroslavas pamena, jog prieš 15 metų buvo kitoks “vibe’as” (aut.p. – atmosfera), kuomet kibernetinio saugumo specialistai imdavosi įvairių projektėlių. Vienas iš tokių – su kolegomis 2007 m. parašė Duomenų saugos pradmenis, kuriuose ne tik atskleidė tykančius kibernetinius pavojus, bet ir kūrė lietuviškus terminus. Taip pat turėjo su bendraminčiais ir nekomercinį interneto portalą, kuriame su bendraminčiais kėlė kibernetinio saugumo naujienas.
Nulaužė “Skype”
Ekspertas hackerį apibūdina ne kaip įsilaužėlį, o kaip žmogų, kuris “mėgsta pasikrapštyti ir pažiūrėti kaip ką galima padaryti geriau”. Vedamas to pažinimo intereso buvo aptikęs “Skype” programos pažeidžiamumą, apie kurį pranešė kibernetinio saugumo bendruomenei. Dažnai atrastus pažeidimus bendruomenė dalindavosi neišnagrinėjusi kiekvieno pažeidimo giliai, iš esmės. Panašiai buvo Miroslav ir su “Skype”, kur nustatė pažeidžiamumą, pranešė ir pamiršo. Vėliau sužinojo, jog nepastebėjo visko ką tas “Skype” pažeidžiamumas gali padaryti, ir jį atidžiau išnagrinėję kiti ekspertai atrado, jog tai labai rimta spraga, ir jį “monetizavo” bei važiavo apie šią spragą pasakoti į konferencijas.
Pamena, jog anksčiau kibernetinio saugumo bendruomenė dirbo daugiau iš idėjos ir ieškodavo spragų, lenktyviaudavo tarpusavyje, kas didesnį pažeidžiamumą atras, tačiau žmonės dalindavosi tarpusavyje tomis žiniomis ir atradimais. Dabar viskas yra pasikeitę, mat yra ir sunkiau surasti pažeidžiamumų ir išsivystė būdas kaip “monetizuoti” aptiktas spragas, t.y. ar parduoti kažkam, ar gamintojui pranešti ir pan. Miroslav nuomone, komercija užtemdė tą saugumo romantiką, kuri egzistavo anksčiau, 10-15 metų atgal.
Prieš 11 metų atskleidė didelę saugumo spragą leidusią prisijungti prie Sodros duomenų
Su komanda prieš 11 metų atrado didelį saugumo pažeidžiamumą elektroninių valdžios vartų svetainėje, kuris leido žinant kito asmens kodą lengvai prieiti prie kito žmogaus asmens duomenų ir visų el. valdžios paslaugų. Šį pažeidžiamumą atrado vedini smalsumo, apie tai nusprendė pranešti viešai, kadangi tuo metu sauga mažai kam rūpėjo. Viešumas suveikė ir pažeidimas buvo ištaisytas. Nors kaip pastebi pašnekovas, jog iš visuomenė nesulaukė tokio susidomėjimo kaip po pastarųjų įvykių (aut.p. Citybee, Omnibet, Darni pora duomenų nutekėjimų ir pan.), ir tik iš specialistų, kurie tinkamai įvertino, išjungė portalą, kol buvo ištaisytos saugumo spragos. Pažeidžiamumas buvo tuo nemalonus, jog asmens kodus gana lengva sugeneruoti, nebūtina jų žinoti, ir taip buvo galima nesunkiai surinkti visų asmenų informaciją teikiamą per el. valdžios portalą.
Ekspertas apgailestauja, jog ir dabar dar dalis valstybės valdomų sistemų yra “nebrandaus” saugumo lygio.
Startuoliams pataria nekurti “toksinės” programinės įrangos
Pašnekovas pastebi, jog startuoliai, ar komandos atsiradusios hakatonų metu, išsivysčiusios prototipą ir toliau vystydamos produktą, naudoja taip vadinamus “corner cutting” (aut.p. taupymus). Saugumą geriausia integruoti nuo pat pradžių produktą, o nepalikti pabaigai. Priešingu atveju rizikuojama sukurti taip vadinamą “toksinę” programinę įrangą, kuri yra netikrinta, nežinia kaip yra su saugumu ir t.t.
Pirminėje produkto kūrimo stadijoje pataria naudoti bent jau rizikos analizę. Tai nėra sudėtinga pasidaryti, užtenka surašyti į lentelę ant popieriaus ir visiems kūrėjams tas rizikas bus nesudėtinga suprasti. Vėliau jau turint tokį rizikų valdymo sąrašiuką galima pasikonsultuoti su žmonėm dirbančiais saugumo valdymo srityje. Saugumo specialistai gali pastebėti tas problemas, kurių nepastebėjo, ar nežinojo, jog jau taikomi kiti techniniai sprendimai.
Žmonės užkimba ant kabliuko nes nori padėti organizacijai
Ekspertas kalbėjo, jog žmogus nėra lengvai programuojamas kaip kompiuteris, todėl yra imlus socialinei inžinerijai. Pavyzdžiui, jei jūsų kolega yra išvykęs kur nors į Aziją ir bando prisijungti prie paskyros, ir jam nesiseka, jūs iš noro padėti kolegai, ar ypač viršininkui, galite užkibti ant piktavalių kabliuko. Dėl šios priežasties būtina šviesti darbuotojus ir supažindinti juos su grėsmėm. Būtina taip pat vartotojui nepalikti didelės rizikos valdymo, valdyti jas techninėmis priemonėmis.
Suklydęs darbuotojas, pašnekovo nuomone, neturėtų būti baudžiamas, o požiūris turėtų būti, jog “visi klystame”.
Nepatenkintas darbuotojas gali užsirašyti duomenis ranka
Ar yra “sidabrinė kulka”, kuri apsaugotų nuo vidinių darbuotojų piktavališkų veiksmų? Miroslav atsakė, jog tokio sprendimo nėra, ir darbuotojas gali rasti būdų kaip duomenis užsirašyti, nusifotografuoti ar kaip kitaip nutekinti. Vien techninėmis priemonėmis to nepavyks uždrausti. Dažnai pasitaiko, jog nepatenkiti darbuotojai nutekina egzstuojančias vidines problemas, kurių organizacija nenori viešinti.
Kaip vieną iš pavyzdžių, pašnekovas pamena, jog vienoje organizacijoje kažkas vis kopijuodavo duomenų bazę, ir nelabai galėjo atrasti kas tai daro. Buvo surastas būdas kaip tai suvaldyti, tiesiog darbuotojams buvo uždrausta naudotis visa duomenų baze, o leista tik jos dalimi. Norėdami pasinaudoti visa baze, darbuotojai buvo priversti kreiptis į vadovą. Taip duomenų bazės nutekinimai baigėsi.
Išmaniosios spynos, signalizacijos yra mažiau patikimos, nei mes galvojame
Pasak Miroslav, jų pažeidžiamumo laboratorija, tirdama išmaniąsias spynas, signalizacijas, nustatė, jog egzistuoja nemaža rizika, kad kažkas atėjęs gali deaktyvuoti saugos mechanizmus. Dažnu atveju, išmaniąsias spynas galima pasiekti ne tik per internetą, bluetooth bet ir egzistuoja mechaniniai pažeidžiamumai. Kadangi šios spynos veikia su magnetu, jas galima atrakinti tiesiog naudojant kitą magnetą ar padavus stiprų elektromagnetinį impulsą. Kas liečia mažiau patikimus gamintojus, egzistuoja didelė rizika, pasiekti spynos valdymą ir ją atrakinti per gamintojo cloud’ą. Pašnekovas pataria tiems, kurie jau naudoja išmaniąsias spynas šalia naudoti ir tradicines, kurios mažintų kibernetines rizikas. Taip pat neaišku, kaip, įvykus įvykiui, į tai, jog buvo naudojamos mažai patikimos išmaniosios spynos, pažiūrės draudimo kompanija, – kalbėjo specialistas.
Internetiniu balsavimu abejoja
Labai norint, internetinį balsavimą suorganizuoti galima, bet ta sistema nebus 100% saugi, ją reikės nuolat tobulinti. Tokia sistema turėtų būti atviro kodo, kad visi norintys galėtų patikrinti šią sistemą. Tačiau, saugumo ekspertas pastebi, jog lieka neišspręsti svarbūs klausimai. Pavyzdžiui, užtektų sistemai trumpam užstrigti, ir net didžiausias būrys ekspertų jau būtų nepajėgus visuomenei išsklaidyti abejonių dėl sistemos saugumo. Antra, nėra gerų būdų užtikrinti kad būtent publikuojama kodo versija iš tiesų ir veikia rinkimų informacinėse sistemose jiems vykstant. Bet kuriuo atveju, apie šį klausimą reikėtų diskutuoti su plačiu ekspertų būriu nuo konstitucinės teisės specialistų iki duomenų saugos.
Internetinių paslaugų tiekėjai dalina vartotojams nepatikimus modemus
Ekspertas susirūpinęs, jog internetinių paslaugų tiekėjai, vartotojams dalina nemažai tinklo įrangos (modemų, WIFI routerių), tačiau neatlieka šių renginių patikros. “Skirkite laiko pasidarykite tos dalinamos įrangos bent minimalius saugumo patikros testus, tam kad Jūs žinotumėte, kad klientams dalinate saugią įrangą, ar bent jau neduodate potencialiai nesaugią įrangą. Vartotojas neturi techninių priemonių įsivertinti gaunamos įrangos saugumo. Tai turėtų atlikti kompanija, kuri už mėnesinį mokestį tą įrangą vartotojui duoda,” – pasakojo ekspertas.
Įsigytas kietasis diskas, klaviatūra gali taip pat kelti riziką
Dažnai net nepagalvojame, jog pavojai gali slypėti mums neįprastose vietose. Pavyzdžiui, įsigytame kietajame diske, esanti programinė įranga (firmware), gali būti modifikuota taip, kad padėtų nulaužti jūsų kompiuterį, – kalbėjo Miroslav.
Kita didelė rizika – bevielės klaviatūros. Kadangi dabar daug kas mėgsta su jomis dirbti, ištyrę jas nustatėme, jog kai kurie gamintojai leidžia jei neperimti rašomo teksto, tai bent jau įterpti ir kompiuteriui pasiųsti hakerio užduotas komandas. Ši sritis dar nėra gerai ištirta, tačiau vis atsiranda naujų idėjų kaip įsilaužėlis galėtų pasinaudoti tuo. Pastebi, jog didėja ir klaviatūrų gamintojų sąmoningumas, pradedama daugiau skirti dėmesio saugumui, tačiau rinka stokoja saugumo standartų, nėra didelio poreikio iš kliento. Iš kitos pusės, pirkėjai įsigyjantis didelius kiekius produkcijos galėtų gamintojo paklausti dėl saugumo testavimo. Iš gamintojo atsakymo galima spręsti ir apie įdedamą indėlį į saugumą: “Jūs paklauskite tiekėjo kiek jis rado testuodamas produktą saugumo spragų? Nustebsite, nes kažkas nepatinka ne vienos, kažkas aptinka dešimtis, kažkas tūkstantį”, – pasakojo ekspertas.
“Galima gamintojo teirautis kaip dažnai testuojamas įrenginio saugumas, kokius sertifikatus turi įrenginys ir svarbiausia prašyt pateikti testavimų įrodymus. Nustebsite, jog tiekėjas pasakęs, jog dažnai testuoja gali ir negalėti pateikti jokių įrodymų, jog tai atlieka,”.- kalbėjo specialistas.
Kalbintas ekspertas pripažino, jog tirdami šią problemą, atlikinėjo su komanda eksperimentą ir važinėdami po miestą su didesne antena bandė identifikuoti kiek bevielių klaviatūrų signalų galima sugaudyti. Eksperimento metu nustatė, jog net įmanoma iš pravažiuojančio automobilio atakuoti bevielę klaviatūrą.
Taigi, apie tai būtina galvoti ir jas įsigyjant apsvarstyti galimas rizikas.
Renginio organizatoriai
Vilnius Legal Hackers – yra Legal Hackers padalinys Vilniuje, tai visuotinis teisininkų, politikos formuotojų, technologų ir akademikų judėjimas, tyrinėjantis ir kuriantis kūrybiškiausius sprendimus aktualiausiems klausimams, atsirandantiems teisės ir technologijų sankirtoje.