Ko moraš biti malo hekerja, da zagotoviš varnost informacijskega sistema

Pa dajmo rečt še nekaj malega o zlorabah informacijskih sistemov. Tisti, ki delamo v IT, vemo, da 100% varnosti ni. Tega se morajo seveda zavedati vsi zaposleni, da ne skočijo takoj v luft in te pomendrajo, češ, »ti si kriva«, če se zgodi izguba podatkov oziroma kakšna druga zlonamerna aktivnost hekerja 🙂 Naša naloga je ustrezno arhiviranje in pa, da vsaj poizkušamo biti kolikor toliko na tekočem, da vsaj v osnovi poznamo misli in delo hekerjev. Čeprav smo tu bolj kratki. Predvsem zaradi časa, ki ga imamo na razpolago. Heker ima namreč neskončno veliko časa za izvajanje svojih aktivnosti, saj se ukvarja le s tem kako do podatkov, dokumentov, nadzora, ko si izbere svojo tarčo.

Kot je bilo predstavljeno meni posredujem tudi naprej, mogoče le bolj na »moj« način. Kaj pomeni, da v osnovi poznamo misli in delo hekerjev? Pomeni, da se seznanimo z njihovim delom in ga uporabimo v svojo korist, da si zagotovimo varnost. Uporabljajo se enake metode, tehnike in orodja, kot jih v praksi uporabljajo hekerji. Začnemo z zbiranjem informacij in nadaljujemo z iskanjem ranljivosti. Tam kjer smo najbolj ranljivi so možne zlorabe sistema. Če ne izvajamo varnostnih pregledov ne bomo ugotovili kje v sistemu imamo luknje. Rezultat je ocena učinkovitosti vpeljanih varnostnih kontrol s priporočili za preventivno in korektivno izboljšanje stanja varnosti. In za nas je to že dovolj. Heker odkrije našo ranljivost, zlorabi sistem, vendar si vzame čas, tako da ohrani dostop in visi na nas dokler ne pridobi vsega kar potrebuje oziroma dokler ne odkrijemo sami, da smo ostali »goli in bosi«. Pravi heker dobro zakrije sledi, tako da lahko takšni tudi ostanemo.

Kaj je dobro vedeti, ko izvajamo varnostni pregled? Tako kot se izvaja notranja presoja je potrebno vsaj enkrat letno izvesti tudi varnostni pregled (pregled stanja; pregled ranljivosti; revizijski pregled; ocena tveganja; vdorno testiranje), ki pa mora biti točno specificiran v Internem aktu (nabor odgovornih oseb/dostopne pravice/varnostna shema), saj se po zakonu nedovoljeno poseganje v informacijski sistem smatra kot izdelovanje in pridobivanje orožja in je kaznivo dejanje. Varnostni pregled mora biti prestavljen vsem zaposlenim, ki uporabljajo pri svojem delu računalnik in so priključeni v omrežje.

Ko zbiramo informacije moramo seveda biti pozorni predvsem na tiste, ki so javno dostopne (osebni podatki zaposlenih, lokacije, mrežna infrastruktura…). Z uporabo orodij za avtomatsko pridobivanje in analiziranje podatkov, lahko z lahkoto pridobimo natančen profil organizacije. Eno takšnih orodij je Maltego, ki ga zaženemo v Kali Linux. Jasno je, manj ko imamo javno dostopnih podatkov, bolj smo zaprti za potencialne napadalce.

Maltego je izredno močno orodje. Sposoben je iskati tudi po številnih socialnih omrežjih, najti in povezati profile, ki ustrezajo danemu e-naslovu, ki ga lahko napadalec koristi za napade s socialnim inženiringom.

vir splet
Vir: Splet

Za iskanje ranljivosti sta na razpolago orodji nmap in OpenVAS. Rezultati niso vedno popolni in vsebujejo tudi lažne ugotovitve, vendar pa predstavljajo dobro osnovo za nadaljnje napade.

Vir: Splet
Vir: Splet

In še nekaj v razmislek. Razbijanje gesel je šala mala, zato le dajte malo več pozornosti v to kakšnega izberete in kolikokrat ga zamenjate. Tudi prisluškovanje pogovorom v VoIP omrežju je nadvse enostavno. Pazljivosti pri odpiranju dokumentov, ki zahtevajo omogočene makre in jih dobimo po e-pošti, tudi ne bo odveč. En navaden wordov dokument z makri lahko prevzame nadzor nad vašim osebnim računalnikom. In “big brother” vas bo gledal prek vaše spletne kamere in imel na vpogled prav vse vaše dokumente, zapise…ni da ni in vi še vedeli ne boste.

Je pa vse odvisno od tega s kako zaupnimi podatki imate opravka. Torej, če nimate kaj skrivati, who cares 😉