Bezpieczeństwo według etycznego hakera. Te rady powinniście znać

W pierwszej części wywiadu z Jakubem Domaradzkim, etycznym hakerem rozmawiamy o tym, jak pojmuje etyczne hakowanie, jak uczyć się zawodu bezpiecznika w praktyce oraz o tym, jak mówić o cyberbezpieczeństwie w taki sposób, aby dotrzeć z przekazem do jak najszerszej grupy odbiorców i zostać przy tym zrozumianym.

W rozmowie znajdziecie odpowiedzi na wiele intrygujących pytań. Czas na drugą część rozmowy.

Co to znaczy bezpieczeństwo?

Chcę, żebyś to zaznaczył. Jak się już jest w danej sieci, to naprawdę można wiele zrobić.

Oczywiście. Niestety bardzo częstym przeświadczeniem wśród właścicieli systemów jest twierdzenie, że jak coś jest za VPN-em, to jest już bezpieczne. Kto przejdzie przez VPN? Tu pozdrawiam serdecznie mojego menadżera Bartka. Ostatni redteaming, który zrobiliśmy - przy którym było wykorzystanie pewnego rodzaju podatności - pozwolił nam wejść do wewnętrznej sieci firmy.

Nie będę mówił gdzie i jak, ale weszliśmy do wnętrza systemu i nagle się okazało, że w tym systemie już nic nie jest zabezpieczane. My weszliśmy i w zasadzie rozwaliliśmy cały system w ciągu trzech dni. Zatem stawianie na bezpieczeństwo poprzez podejście, że „coś nie jest wystawione do internetu, a wewnętrznie to już nie musimy zabezpieczać”, to nigdy nie jest dobry pomysł.

Zauważyłem, że istnieje podejście: „jesteśmy bezpieczni”. To taki „red flag”. Nie można przecież powiedzieć, że jest się bezpiecznym.

Absolutnie.

A po drugie: Jesteśmy bezpieczni, bo… i tu pada jeden argument. I to mnie strasznie irytuje.

Absolutnie, zgadzam się z Tobą. Nie współpracujcie z firmami, które twierdzą, że „zrobią coś pani/panu i już będzie bezpiecznie”, bo nie wiedzą, o czym mówią. Możemy podnieść poziom bezpieczeństwa - to jak najbardziej. Należy jednak pamiętać, że bezpieczeństwo ma wiele składowych i trzeba na nie patrzeć kompleksowo. Natomiast jeżeli jakaś firma twierdzi, że jest bezpieczna, bo np. wykupili usługę X, to za chwilę może szykować oświadczenie o tym, dlaczego dane klientów wypłynęły do darknetu. Kilka dni temu jeden z większych dostawców VPNa - Palo Alto miał 10/10 w skali CVSS. Tak jak mówiłem - to jest game over. Mnóstwo firm, które znam, pracuje na ich VPNie.

Tak, akurat te podatność opisywałem

Odsyłamy zatem do artykułu.

W przypadku Palo Alto – nie mówię konkretnie o nich, to taki przykład - mamy wykupioną usługę, ale pojawia się podatność i musimy coś z tym zrobić. Niezależnie, co mamy wykupione, co nam ktoś obiecał, zaoferował, musimy się zabezpieczyć.

Oczywiście, że tak.

I to jest, myślę, bardzo ważne, bo nikt za nas tego nie zrobi.

Tu odsyłam do kilku artykułów Gynvaela Coldwinda, który skupił się na podatnościach w jednej firmie, która produkuje urządzenia sieciowe. W wielu miejscach znalazł podatności i podesłał je do producenta. Z timeline’u przy zgłoszonej przez niego podatności widać, że poszedł w stronę responsible disclosure, czyli opublikowaniu informacji o podatnościach w ciągu chyba 60 czy 90 dni…

Informowanie o podatnościach

Chyba to zależy również od programu Bug Bounty, ale…

W przypadku responsbile disclosure pomijamy programy Bug Bounty. Albo BB, dostajesz wynagrodzenie, a producent może zrobić z tym zgłoszeniem co chce, albo responsible disclosure i publikacja następuje po X dniach.

Chyba Google ma 90 dni.

Tak też mi się wydaje, że cybersec pozostał przy 90 dniach dla responsible disclosure. W każdym razie zgłoszenie poszło i końcowa reakcja producenta nastąpiła dość blisko „finalnego terminu” 90 dni. Czy to szczególnie źle? Według mnie bezpieczeństwo powinno być najwyższym priorytetem, ale biznes nie zawsze się z tym zgadza.

Niektóre firmy pozwalają się hackować w ograniczonym zakresie.

Tu wracamy do programów Bug Bounty. Okej, jeżeli czyta to ktoś, kto jest właścicielem nie za dużej firmy od razu powiem szczerze - prowadzenie własnego red teamu jest drogie. Nie przechwalając się, ale nie narzekamy na zarobki.

Jeżeli ktoś jest właścicielem biznesu, który nie może sobie na to pozwolić, ale chciałby, aby ktoś go sprawdzał, bug bounty jest idealnym rozwiązaniem. Nie trzeba tego robić własnym sumptem. Są platformy, o których już wcześniej wspomniałem.

Wystarczy się tam zgłosić, tylko trzeba być przygotowanym, że jeżeli ktoś coś znajdzie, to rzeczywiście trzeba by te pieniądze mu wypłacić, a nie później się zasłaniać: „myślałem, że nikt nic nie znajdzie”. Ustalamy też, jakie nagrody wypłacamy za jakiego rodzaju podatności, wtedy mówimy już o całych typach podatności, a nie o konkretnej podatności. Chyba, że spodziewamy się, że jest w systemie jakaś jedna, konkretna dziura i chcemy się na niej skupić. Wtedy możemy się liczyć z tym, że taki „system” rzeczywiście zostanie bardzo, bardzo mocno sprawdzony, ponieważ ludzie zajmujący się Bug Bounty na co dzień mają gotowe całe scenariusze działania i pracują bardzo systematycznie.

Co ważne - oni pracują. Dla niektórych to jest po prostu praca.

Tak, absolutnie. Znam osobiście ludzi, którzy uzależniają od Bug Bounty to, co zjedzą w przyszłym miesiącu. I sporo grono tych osób jest absolutnie świetna w tym, co robi. Natomiast należy pamiętać, że konkurencja na tym polu jest ogromna. To jest często tak, że przez dwa miesiące można nie znaleźć nic, a potem w ciągu jednego miesiąca trafi się Bug Bounty za 30 tys. Ktoś myśli, że „wygrał życie”, a potem przez kolejne 12 miesięcy nie znajdzie nic.

Czyli to trochę loteria.

Trochę tak. Zależy, jak kto pracuje, jaką kto ma metodologię, co nowego się pojawi na rynku. W przypadku Palo Alto podejrzewam, że wszystkie skanery ruszyły, rozgrzały się jak piece. Natomiast bardzo często w przypadku nowych podatności, które stają się bardzo medialne, to od razu wszystkie programy Bug Bounty je zastrzegają. Jeżeli ktoś chce podnieść bezpieczeństwo swojej firmy, przystąpienie do programu Bug Bounty może rozwiązać bardzo dużo problemów, które mogą się pojawić, jeżeli w ogóle nie zainteresujemy się cyberbezpieczeństwem naszej firmy. A tak - jak już wcześniej powiedzieliśmy - to nie jest kwestia „czy”, to jest kwestia „kiedy”.

Nie "czy?", tylko "kiedy?"

I co też ważne, to jest tym bardziej kwestia kiedy, jeżeli nie aktualizujemy się na czas – można po prostu odpalić stoper.

Wystarczy zrobić prosty eksperyment i przez tydzień zaobserwować, jak szybko numerki w CVE, które oznaczają ID danej podatności rosną. Z roku na rok to jest tak - jeśli dobrze pamiętam i spojrzymy na podatności pewnie z roku 2015-2016 - to zatrzymało się to w okolicach 20-30 tys. Tak podejrzewam. Strzał w ciemno, ale podejrzewam, że tak będzie.

Pamiętam, że pierwsze założenie CVE było takie, że są cztery cyfry na końcu, a teraz może być chyba siedem

W tej chwili w styczniu mieliśmy chyba przebicie progu dwudziestu kilku tysięcy, więc o czym mówimy? To rośnie w takim tempie, że zakładanie, iż to nas nie dotyczy jest - szczerze mówiąc - naiwne. To nam się w końcu - prędzej czy później - przytrafi. To może być w cudzysłowie nieszkodliwy trolling z defacingiem strony - ktoś wejdzie i zamiast naszej wizytówki usług wodno-kanalizacyjnych, zamieści maskę Guya Fawkesa z podpisem:We do not forgive, We do not forget, Expect Us. Anonymous.

I to może być „tylko tyle”, albo - z drugiej strony - może się okazać, że to „tylko”, będzie ransomware i za chwilę dane medyczne tysięcy Polaków trafią w ręce kolejnego przestępcy.

Rola etycznego hakera

Dlatego myślę, że twoja praca jest bardzo ważna, żebyś to ty znalazł podatność przed potencjalnym atakującym.

Zgoda.

I to jest  bardzo ważny element twojej pracy.

Oczywiście. Główne założenie etycznego hackingu jest takie moim zdaniem, że etyczny hacking w swoich założeniach powstał z myślą o tym, że: „Też jestem hakerem, też umiem to, co cyberprzestępcy”. Wszyscy należymy do tego samego podzbioru, wszyscy jesteśmy hackerami. Tylko, że oni wykorzystują swoje umiejętności głównie po to, aby niszczyć, a ja chciałbym coś budować. Mógłbym teraz wykorzystywać swoje umiejętności i pewnie jednym strzałem zarobić kilka milionów, a potem się zaszyć w państwie, które nie ma ekstradycji do Stanów Zjednoczonych, Rosji i Chin. Nie wiem, czemu wymieniłem te kraje… Nie chcę tego robić i przeprowadzać się na odludną wyspę.

Pasuje mi moje życie, pasuje mi to, co zbudowałem i chciałbym robić to, co teraz robię. Chcę dalej to robić wyłącznie w legalny sposób. Wydaje mi się, że ktoś kiedyś w końcu usiadł i stwierdził: „no dobra, to róbmy to dalej, tylko czemu by na tym nie zacząć zarabiać?” W taki sposób powstały firmy, które się w tym specjalizują. Bardzo często są to specjaliści absolutnie światowej klasy.

To jest jak z wejściem do wody, jeżeli ktoś jest nurkiem, to wie, o czym mówię. Jest taka niepisana zasada, że dobrze by było, żebyś wyszedł do wody i zostawił ją odrobinę czystszą, niż kiedy tam wchodziłeś. Weź ze sobą worek i pozbieraj trochę śmieci. Mamy takie samo założenie. Dobrze by było wejść do świata internetu i pozbierać trochę tych śmieci. I pokazać komuś, że ma u siebie nie górkę, a całe wysypisko, które należy posprzątać. Dobrze wiesz, że czasami są ogromne.

Bardzo duże. Najgorsze, że ludzie nie zdają sobie sprawy, że takie wysypisko mają.

Absolutnie. Bardzo często podchodzą do tego na zasadzie, o której wcześniej już mówiliśmy: „Panie, kto to tam wejdzie, kto to dotknie?”

I komu się chce.

Komu się chce, kto coś z tym zrobi. A dwa tygodnie później słyszysz, że urząd w tym czy tamtym mieście… Albo dane medyczne pacjentów latają po internecie. A najgorzej, kiedy dochodzi do sytuacji, w których setki tysięcy kont, haseł wycieka. Przestępcy chcą to monetyzować - chcą to komuś sprzedać, choćby za dolara czy pół - za rekord.

Cena danych i trudność haseł

Ludzie czasami sobie nie zdają sprawy, ile warte są ich dane

Tu wchodzimy w kolejną polemikę, o czym można by mówić godzinami, czy wszystkie aplikacje do różnych sklepów na pewno są darmowe… „O proszę, tylko sobie założy pan u nas konto i będzie pan miał promocję”. Jeśli za coś nie płacisz, to ty jesteś produktem. Nie mam zamiaru umoralniać, ani nikogo oceniać, natomiast zazwyczaj tak jest, że aplikacje głównie chcą twoje dane, wiedzieć co kupujesz, co jeszcze można by ci sprzedać.

Natomiast nasze dane, jak już gdzieś wyciekną, hasła lub ich hashe… Niech każdy, kto teraz przeczyta ten artykuł, zrobi szybki proces myślowy. Czy istnieje w mojej puli haseł z których korzystam w internecie jakiekolwiek hasło, które wykorzystuję w dwóch różnych miejscach? Jeżeli tak, to jest problem. Jeżeli nie, to idźmy o malutki kroczek dalej. Zastanów się, czy istnieje hasło, które wykorzystujesz w kilku miejscach, ale różni się na przykład jedną literą albo jednym znakiem specjalnym, który zazwyczaj znajduje się na końcu. Jest to wykrzyknik, małpa albo hash. Jeżeli tak, to znowu jest problem.

Albo masz hasło Zima2024.

Tak, właśnie chciałem do tego przejść. Wszelkiego rodzaju wzorce to zmora cyberbezpieczeństwa. Niestety wzięło się to stąd, że ktoś stwierdził, że „trzeba zmieniać hasło co jakiś czas”. I wpadliśmy w pułapkę tego, że cybersec chciało dobrze, ale zrobiło jeszcze gorzej. Bardzo często ktoś wcześniej miał hasło Roman123, a teraz ma hasło Roman124. W przypadku dzisiejszej mocy obliczeniowej komputerów to są sekundy, góra minuty, by je odkryć.

Bez problemu można znaleźć w internecie słownik tylko polskich haseł, który ma 26 giga tekstu.

Dokładnie. Cyberprzestępcom bardzo zależy na tym, aby przełamać te hasła, więc wynajmują maszyny w chmurze, które crackują w takim tempie, że to są miliardy haseł na minutę.

Polecam absolutnie menadżery haseł. Jeżeli ktoś jest w stanie przeboleć to, że trzeba zapamiętać jedno główne hasło i ewentualnie podpiąć sobie jeszcze jakiś authenticator w stylu Google’a albo klucz typu YubiKey i dzięki temu zwiększyć bezpieczeństwo swoich haseł, to zróbcie to. Mogę polecić ze swojej strony Bitwardena.

Wtedy pamiętacie tylko jedno hasło, a całą resztę pamięta wasz telefon, wasz komputer, wtyczka do przeglądarki i tak dalej. Nie pamiętam żadnego swojego hasła, a w zasadzie go nie znam. W tej chwili w większości serwisów można też stosować wieloskładnikowe uwierzytelnienie, używam takiego rozwiązania. Tam, gdzie można klucz fizyczny - używam klucza, bo jest to najbezpieczniejsza forma.

Rola 2FA i PESEL

Coraz więcej organizacji pozwala na klucz, to też jest bardzo ważne.

Tak, fantastycznie.

Pamiętam, że w bankach był taki problem, że nie chciały tego klucza dopuścić.

Nadal jest. Nie pozdrawiam pewnego dużego i popularnego banku. Od wielu lat hasło składa się z samych cyfr, co jest absolutnie paranoją. Pisałem do nich już nie raz. Zgodnie z ich wewnętrznymi wytycznymi bezpieczeństwa to jest właściwe, bo jeszcze musisz wpisać PESEL. Na całe szczęście od niedawna logowanie można potwierdzać przez aplikację, więc jest 2FA. Brawo.

Czyli chcesz powiedzieć, że wymagają haseł w formie tylko cyfr?

Tak. Maksymalnie ośmioznakowe.

Maksymalnie?

Maksymalnie.

A nie minimalnie?

Nie. Paranoja.

Przecież dotarcie do PESEL-u, jeśli mamy nieograniczone liczby prób zajmuje chwilę. Jeśli masz jakieś dane typu data urodzenia.

Jeżeli wiesz, kogo atakujesz, to co to za problem? Jeżeli ktoś jest przedsiębiorcą, to w ogóle masz ułatwione zadanie.

Możesz powiedzieć jak to wygląda, w jaki sposób cyberprzestępcy zdobywają te dane? Mówię teraz o cyberprzestępcach, a nie o etycznych hackerach. W jaki sposób mogą wpisać w Google pewną frazę i mieć wszystko jak „na tacy

Oczywiście, że mogę. Jeżeli chodzi o przedsiębiorców, daleko nie trzeba szukać - wystarczy KRS. Jeżeli wiecie kogo szukacie, możecie wyszukiwać po nazwie firmy, po imieniu i nazwisku. W przypadku innych osób musicie dotrzeć do jej daty urodzenia - wtedy znacie już prawie cały PESEL. Wystarczą cztery cyfry - ostatnia jest cyfrą kontrolną, więc nie jest ona przypadkowa - tworzycie ją zgodnie z algorytmem. Przejście przez 10 tysięcy kombinacji to nie jest dużo.

To jest właśnie przerażające - wszędzie podajemy PESEL. Taka baza jak z ALAB wycieka i wszyscy mówią: „Nie, ale co tam, tam były tylko badania. Ktoś będzie wiedział, że mam grzybice tego, czy i owego.” No nie, to nie jest informacja, która interesuje przestępców. To, co ich interesuje, to miejsce waszego zamieszkania, wasz PESEL czy imię i nazwisko związane z pozostałymi danymi. Bardzo często jest tam wasz numer telefonu, więc za chwilę będzie do was dzwoniła jakaś tam Klara Sobieraj.

Klara Sobieraj może dzwonić z reklamą leku na grzybice.

Haha, jasne! Przerażające jest również to, do jak zaawansowanego poziomu doszła sztuczna inteligencja. Mając próbkę głosu, która wcale nie musi być długa, można w prosty sposób podszyć się pod tę osobę. Nagle zadzwoni do was krewny, który mówi, że wykryli u niego raka i potrzebuje pieniędzy na leczenie. To nie będzie dzwonił wasz krewny, a cyberprzestępca, który już wie, w jakie tony uderzać. Nikomu absolutnie nie życzę, ale o takich sprawach mogliśmy czytać już nie raz. Ico, no nie wpłacicie na leczenie wuja Krzyśka czy ciotki Żanety? Wpłacicie…

Jeszcze może użyć fałszywego numeru telefonu

A jeszcze zastosujecie to samo hasło do Facebooka, co do waszego maila, więc cyberprzestępca wejdzie na waszego Facebooka i dodatkowo napisze z Messengera, że dzwonił do ciebie 10 minut temu.

I to jest problem, gdzieś zaczyna się paranoja, a gdzieś - normalne postępowanie.

Dobry pentester to paranoik, dobry specjalista cyberbezpieczeństwa to paranoik. Tak zupełnie serio - musimy wyznaczyć sobie pewne schematy działania. Jedną z takich rzeczy, którą zawsze możemy zrobić, to przerwanie połączenia i oddzwonienie. Jeżeli ktoś do nas dzwoni i mamy podejrzenie, że to nie ta osoba, przerwijmy to połączenie i sami je wykonajmy.

Jeżeli jesteśmy paranoikami, to przed tym połączeniem zresetujmy telefon, wyłączmy i włączmy. Aczkolwiek wtedy musiałyby nas podsłuchiwać pewne służby, a w większości przypadków nie jesteśmy targetem.

Miejmy nadzieję.

Miejmy nadzieję. Absolutnie polecam ostatni wykład Adama Haertle z Zaufanej Trzeciej Strony, świetnie opowiadał o Pegasusie. Upewnijmy się, że to na pewno pisze do nas ta określona osoba, że do nas dzwoni, a nie wierzmy w to, że natychmiast musi mieć BLIK-a na 300 złotych, bo „inaczej to świat się zawali”. Niech zapalą się nam lampki z tyłu głowy. To wymaga od nas poświęcenia chwili uwagi, ale warto.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].