Etyczny haker: „Kopernik i Skłodowska-Curie też byli hakerami”

Jakub w wywiadzie pokazuje, że haker to nie tylko „gość w czarnej bluzie z kapturem, który hakuje NASA”. Etyczni hakerzy zajmują się zwiększaniem poziomu bezpieczeństwa, mimo podejmowania bardzo podobnych działań do cyberprzestępców.

Różnica polega na tym, że etyczni hakerzy działają w ramach prawa i ich działanie jest pożądane przez organizacje, a cyberprzestępcy mają na celu zazwyczaj wyłudzenie pieniędzy lub danych. Etyczny haker buduje, a cyberprzestępcy chcą niszczyć – o czym mówi Jakub Domaradzki w wywiadzie dla CyberDefence24.

Oskar Klimczuk, CyberDefence24: Mógłbyś wyjaśnić jaka jest różnica między etycznym, a nieetycznym hackerem?

Jakub Domaradzki: Tak, jasne. Przede wszystkim to nie lubię tego określenia, że haker to jest ktoś, kto włamuje się do systemów i tak dalej…

To jest jedna z definicji. Natomiast ja jestem w tej części społeczności, która uważa, że ilu hakerów, tyle definicji samego słowa haker. Bliższe mojemu sercu jest określenie, że haker to jest ktoś, kto rozwiązuje problemy w nieoczywisty sposób. Dlatego dla mnie hakerem był tak samo Kopernik, jak i Skłodowska-Curie. Podeszli do problemu, który przed nimi stanął i stwierdzili: „No dobra, może to się nie spodoba innym, ale takie jest moje rozwiązanie tego problemu i tyle”. Dla mnie to też byli hakerzy.

Czyli haker to jest ktoś, kto po prostu myśli samodzielnie i rozwiązuje problemy w sposób, w jaki ktoś wcześniej na to nie patrzył?

Tak. I to też kryje się w samej definicji słowa „hacker – (…) to secretly find a way (…)”, zgodnie z Oxford Dictionary.

Akurat my w większości dzisiejszego świata łączymy hakera z komputerem – takie mamy czasy. Ale oni też, zgodnie z definicją hakowali problemy. Dla mnie haker to jest ktoś, kto myśli poza schematem i rozwiązuje problem, który został mu przedstawiony. Natomiast można to robić w sposób etyczny lub nieetyczny. Nieetyczny to taki, który w dzisiejszych czasach i też w czasach przed komputerami polegał na tym, że robimy coś, co może przynieść pieniądze, władzę lub przewagę, ale robimy to zdecydowanie niezgodnie z prawem, czy też robimy to w sposób w który druga strona jest postawiona przed dużym problemem, bo sama musi zrobić coś, co niekoniecznie nadaje się na pierwsze strony gazet.

Mówisz teraz o ransomware?

Na przykład. II wojna światowa też miała swoich hakerów, chodzi mi o Enigmę i te sprawy. Ktoś to wymyślił, a ktoś to złamał. Z dzisiejszego punktu widzenia to wydaje się „prehistorią”.

Jedną stronę konfliktu nazwałbym etyczną, drugą niekoniecznie, chociaż to zależy od punktu widzenia. Natomiast w dzisiejszych czasach, już przeskakując do XXI wieku i do dzisiejszych hakerów: nieetyczni hakerzy to grupy typu APT lub ktoś kto „trolluje” np. wchodzi gdzieś i deface’uje strony internetowe.

Mógłbyś wyjaśnić, co znaczy deface’uje?

To jest pojęcie, które wiąże się z tym, że ktoś może włamać się na stronę internetową i zmienić totalnie jej wygląd. Takim bardzo, bardzo prostym przykładem jest to, że jakaś grupa hakerska gdzieś wejdzie i zostawi tam swoje logo i „hacked by…”. A potem się tym chwali, że o proszę, zhakowaliśmy. NASA hacked.*

Bodajże w ataku na Sony było coś takiego.

Dokładnie tak. To najpopularniejszy przykład. Wracając do pierwotnego pytania, nieetyczni robią takie rzeczy. Etyczni jeżeli znajdą coś, to zazwyczaj informują właściciela tej strony, właściciela systemu. Są też programy bug bounty, czyli programy pozwalające komuś, kto znalazł podatność zgłosić ją w bardzo usystematyzowany sposób - na przykład poprzez platformy, które się tym zajmują, jak HackerOne czy Integrity. Nawet mogą za to dostać jakieś wynagrodzenie.

I to nawet nie małe.

Tak, absolutnie. Niektórzy żyją z bug bounty. Ja akurat nigdy nie zajmowałem się profesjonalnie bug bounty. Swoje kilka naklejek dostałem, nawet obiad mogłem sobie zafundować, aczkolwiek nigdy nie zajmowałem się tym profesjonalnie - bug bounty wymaga sporego nakładu sił i przede wszystkim czasu.

Natomiast etyczny haker robi właśnie takie rzeczy - stara się, żeby z jego hackingu przyszło więcej dobrego niż złego.

Etyczne hakowanie a nauka

Mógłbyś powiedzieć na czym polega szkolenie ludzi z twojej perspektywy?

To zależy, o czym mówimy, bo ja akurat zajmuję się szkoleniami zarówno osób technicznych, jak i nietechnicznych. Może rzucę przykładem łączącym szkolenie dla obu takich grup.

Przyszła do nas firma, oczywiście nie będę wymieniał żadnych nazw. Stwierdzili, że skoro współpracujemy przy kilku tematach fajnie by było, gdybyśmy zrobili im szkolenia z zakresu security. Okazało się, że po wymianie maili pomiędzy project managerami, są bardzo zainteresowani API security (API – sposoby komunikacji aplikacji między sobą – przyp. red.). Z jednej strony mieliśmy mieć trochę osób, które są nietechniczne, z drugiej strony osoby techniczne, więc nie można było za bardzo ani w jedną, ani w drugą stronę opowiadać takich wysokopoziomowych rzeczy na zasadzie: „Szanowni państwo, jest coś takiego jak OWASP TOP 10 i będziemy sobie o tym dzisiaj rozmawiać.”

Z drugiej strony nie mogłem za bardzo wchodzić w techniczne rzeczy, na zasadzie „wysyłamy POST Requesty na endpoint taki i taki.”, no bo ani jednej, ani drugiej strony publiczności nie mogłem zanudzić, więc postawiliśmy na live demo hackingu, w oparciu o jedną z aplikacji OWASP, jeżeli dobrze pamiętam ona się nazywa crAPI – jak ktoś chce, zachęcam do testowania. Bardzo fajna aplikacja oparta o API, która jest oczywiście celowo podatna i można potestować różne podatności z OWASP TOP 10 API. Dzięki temu, że obie grupy dostały hakowanie na żywo, wywiązała się dyskusja. Obie grupy stwierdziły, że to była - cytuję - „petarda”. Praktyka, jak zazwyczaj bywa w ofensywnym cyberbezpieczeństwie, okazała się dużo ciekawsza od teorii.

Mógłbyś jeszcze dodać kilka takich właśnie podatnych miejsc, gdzie można w etyczny sposób nauczyć się, jak hakować?

Zdecydowanie portale takie jak TryHackMe. Dla ludzi, którzy czują się bardziej juniorami, albo którzy w ogóle jeszcze nie mieli styczności z ofensywnym security bardzo polecam THM, ponieważ to jest platforma, która bardziej prowadzi za rękę. I absolutnie niech nikt nie ma kompleksów, że na początku potrzebuje podpowiedzi, one tam po coś są! Szczerze powiedziawszy, gdybym nigdy nie miał doświadczenia z technologiami webowymi, a byłem przez 15 lat deweloperem PHP, to uderzałbym w TryHackMe - myślę że ten portal najszybciej pokaże wam, że można osiągnąć spory progres, będąc systematycznym.

Drugą platformą jest HackTheBox. Świetna platforma, ale wymaga już pewnego doświadczenia i obycia z narzędziami, dla początkujących może być lekko frustrująca. Innym miejscem, gdzie można się pouczyć o samym bezpieczeństwie i skorzystać z kilku podatnych aplikacji jest OWASP i ich projekt Vulnerable Web Applications Directory.

To jest organizacja, która stawia na to, aby aplikacje, zwłaszcza webowe, były zabezpieczone. OWASP zaczynał od webówek, ale już kilka lat temu się rozbił na kilka podgrup. Dzięki nim możemy zatem szybko douczyć się z zakresu zabezpieczeń aplikacji mobilnych, API i tak dalej… Można tam znaleźć świetne materiały i celowo podatne aplikacje. Te wszystkie materiały prowadzą niemalże jak po sznurku i na tej podstawie można wiele się nauczyć.

Natomiast wracając do uczenia ludzi. Na osoby nietechniczne i techniczne zawsze najlepiej działa jakieś live demo - to jest zawsze świetna sprawa. Przynajmniej zawsze stosuję - trochę teorii, tak żeby zrozumieć co się dzieje, a potem praktyka. Ofensywne security bez praktyki nie istnieje. Nie można się nauczyć ofensywnego security, studiując tylko książki, to znaczy… Pewnie w jakimś zakresie można, ale jest to mało efektywne, kiedy się w końcu usiądzie do komputera.

Myślę, że to bardzo ważne zdanie.

Pod poniższym zdaniem mogę podpisać się obiema rękami i nogami i całym moim doświadczeniem, które posiadam. Nie jesteś w stanie nauczyć się ofensywnego security, nie hackując.

Przykładowo gdybym miał zatrudniać dwie osoby i przyszedłby ktoś, kto ma 10 różnych certyfikatów, ale wszystkie są z kategorii „ABCD”, a z drugiej strony przyjdzie ktoś, kto ma jeden certyfikat, może nie najbardziej znany, ale taki, gdzie egzamin stawia na praktykę, to zdecydowanie bardziej wolałbym wybrać drugą osobę. Trochę parafrazując, bo często powtarzam to na moich szkoleniach: Jeżeli miałbym mieć operację i chirurga, który przeczytał 1000 książek, albo chirurga, który 10 razy kogoś operował, to za każdym razem wybiorę tego, który 10 razy operował.

Mówiłeś właśnie dużo o nauce w praktyce. Powiedz mi proszę, czy zjawisko tzw. Script Kiddy to jest coś, co już przechodzi do lamusa, czy to już zanika, czy dalej coś takiego istnieje, bo kiedyś to był dość gruby temat?

Zależy, gdzie poszukasz (śmiech). Jeżeli mówimy o szeroko rozumianym internecie, to kojarzysz pewnie portal Reddit. Tam jest absolutnie cała sekcja, która się nazywa r/masterhacker i dziennie wrzucają tam po kilka różnych wątków o Script Kiddies, natomiast na bardziej profesjonalnym polu już dawno nie spotkałem się z czymś takim. Mam to szczęście, że mam do czynienia z ludźmi na różnym poziomie.

Moja praca polega nie tylko na pentestach, ale również na szkoleniach ludzi, audytach i czymś co się nazywa red teaming, czyli wchodzeniu do sieci korporacyjnych tak, jak robiłaby to na przykład grupa APT, więc mam przekrój ludzi takich, którzy dopiero zaczynają i takich, którzy już mają certyfikaty takie, że mam nadzieję dobić kiedyś do ich poziomu. Nigdzie nie spotkałem się z kimś, kto byłby Script Kiddy - jakkolwiek nie chcemy tego pojęcia definiować.

To, że korzystamy z pomocy gotowych skryptów - to jest okej. Nie miałem sytuacji, żeby ktoś odpalił skrypt, którego nie rozumie, a to jest dla mnie definicja Script Kiddy. Wiesz, wchodzi taki „dzieciak”, znajduje skrypt, w którym jest napisane, że „Hacking tool for…” albo odpala Metasploita na chybił trafił i liczy, że może coś się uda wstrzelić. W profesjonalnym życiu nie spotkałem się z czymś takim, natomiast absolutnie tacy ludzie istnieją, nie mogę jednak powiedzieć, żebym miał z kimś takim bezpośrednio do czynienia. Polecam jednak r/masterhacker na Reddit - czasami można popluć kawą ekran.

Bezpieczeństwo fizyczne a etyczny hacking

Masz może jakieś doświadczenia związane z bezpieczeństwem fizycznym? Nie mówię o wchodzeniu do firmy w formie pentestu, tylko o wejściu w formule: „człowiek z drabiną wchodzi i zobaczy, gdzie może wejść”.

Sam prywatnie nie mam takich doświadczeń, albo nie mogę o nich mówić (śmiech). Wiem jednak, że takie rzeczy się dzieją na naszym lokalnym podwórku. Bardzo polecam poszukanie sobie w prosty sposób, czy to na YouTubie, czy to na LinkedInie. Jest kilka takich nazwisk, które można obserwować, między innymi, John Hammond - gość omawia wiele aspektów ofensywy i fajnie je opisuje w postaci filmów na YT.

Mógłbyś teraz przytoczyć jakąś historię?

Jedną ze słynnych historii dot. takiego fizycznego hackowania jest historia, którą opowiedział Jayson E. Street. W skrócie, miał testować jeden z banków w Bejrucie. Wszystko szło w miarę dobrze, aż do momentu w którym jeden z pracowników banku zakwestionował jego działania. W takim momencie jedyne co etyczny haker może zrobić, to przedstawić dokumentacje pomiędzy nim a klientem, która potwierdza, że jego działania są legalne, a odpowiednie osoby w firmie o tym wiedzą i wyraziły na to zgodę. Jednak w tej historii mamy pewien zwrot akcji. Otóż Jayson… pomylił banki! Cała akcja zakończyła się szczęśliwie, jednak jeśli chcecie poznać całą historię to zachęcam do odsłuchania odcinka 6 serii DarkNetDiaries.

Mogło się to źle skończyć.

Mogło się to skończyć źle, bo de facto był to jego błąd.

Prawo i procesy a etyczne hackowanie

W kwestii okumentów. Wszystko co robicie, jeśli chodzi o Red Team, musi być opisane. Chodzi mi oczywiście o umowę, dokładny scope…

Moja perspektywa jest taka, że pracuję w dość dużej korporacji i mamy od tego całe działy, które zajmują się ustaleniami - tym samym, mogę skupić się tylko na teście. Natomiast nasz Project Manager, zanim rozpoczniemy cały test, ustala tak zwany scope, czyli zakres, który możemy atakować.

W przypadku web aplikacji to jest jakiś URL, który możemy atakować. W przypadku infrastruktury są to całe zakresy IP. Dodatkowo jestem specjalistą w testowaniu systemów SAP, więc też dostajemy konkretne zakresy, bardzo konkretne maszyny w sieci i możemy z nimi robić, co chcemy.

W przypadku red teamingu to jest oczywiście dokument, który bardzo mocno określa, co  możemy zaatakować, i co jest uznawane za zdobycie flagi. Mianem flagi określamy zawsze konkretne akcje, którymi udowadniamy zdobycie odpowiednich uprawnień lub dostępu do zasobów. Bardzo często jest tak, że mamy wejść na system XYZ, zostawić jakiś plik w katalogu administratora, zrobić screenshoty. Na tej podstawie owner (zlecający pentest - red.) uznaje, że zdobyliśmy flagę i możemy się skupić na kolejnym zadaniu.

Wszystko jest bardzo, bardzo mocno ustalone. Nie mamy tak naprawdę prawa wyjścia poza scope, a jeżeli to się zdarzy, bo wiadomo - czasem zdarzy się, że ktoś gdzieś tam odpali jakiś skrypt, albo wejdzie w miejsce w które nie powinien i nie zauważy, że jest już poza scope’em, czyli poza wyznaczonym obszarem. Wtedy należy przerwać taki atak, zgłosić akurat w naszym przypadku PM-owi, a on to dalej zgłasza już osobom po stronie klienta.

Wiem, że w innych teamach czasami pentesterzy sami muszą się kontaktować z klientem. Wtedy klient ustala z osobą testującą, kiedy i gdzie ta wykroczyła poza scope i na przykład mówi: „Ok, dobra, wyłapaliśmy to, po naszej stronie jest to oznaczone jako atak od ciebie, a nie od jakiegoś hakera.” Swoją drogą bardzo lubię określenie cyberprzestępcy - to mocno rozgranicza kwestie etyczne hakerów.

Używam go w artykułach, żeby pokazać różnicę.

Tak, hacking is not a crime. Cyberprzestępcy różnią się od nas, od pentesterów, red teamerów czy ogólnie pojętego cybersec.

Mimo tego, że w pewnym sensie robicie podobne rzeczy.

Można powiedzieć, że prawie takie same, tylko cel jest zupełnie inny. Naszym celem jest zabezpieczyć, ich celem jest rozwalić. To jest główna różnica. Faktem jest, że wykorzystujemy te same metody i stosujemy te same techniki. Tylko, że nigdy nie jestem od tego, żeby na samym końcu pokazać: „Źle zrobiliście, więc mogę to wykorzystać haha, ale jestem super”, albo kogokolwiek wytknąć palcem.

Niestety bardzo często po drugiej stronie (tzn. developerów czy sysadminów) jest przeświadczenie, że jesteśmy po to, żeby komuś wytknąć to, że coś źle zrobił. To nie jest wytknięcie komuś czegokolwiek. To jest wskazanie, że ten błąd się tam znalazł i należy go poprawić.

Rozumiem to bardziej jako pokazanie wadliwego procesu albo czyjeś przeoczenie, ale…

Ale to nie jest czyjaś wina, to nie jest kwestia winy. To też nie jest kwestia pokazywania tego, że trzeci raz z rzędu znaleźliśmy tę samą podatność i zastanawiamy się „Czy ktoś tam myśli?” To nie o to chodzi.

(Cyber)Bezpiecznik - przyjaciel czy wróg?

Myślę, że to jest problem cyberbezpieczeństwa. Bezpiecznicy to nie są ludzie, którzy po prostu starają się do kogoś doczepić i pokazać mu, a Ty źle robisz, tylko że właśnie możesz to robić lepiej.

Bardzo często, kiedy jacyś deweloperzy czy ktokolwiek, kto stoi za tym systemem czy tym, co akurat w tej chwili testujemy, a dla nas nie ma znaczenia, kto to robi. Czy ktoś spędził nad tym X lat, X miesięcy, X dni, czy po prostu kliknął jeden guzik i w Dockerze wszystko poszło i tak już zostało od początku do końca. To nie jest moja rola, żeby powiedzieć, czy to jest ok, patrząc od strony tej osoby. Osoba mnie zupełnie nie interesuje. Mnie interesuje proces, mnie interesuje system, mnie interesuje podatność, którą znalazłem, ale to nie jest moja rola, żeby oceniać ludzi - mogę ich później szkolić i uświadamiać, ale nie oceniać.

Raport na końcu świadczy o systemie czy o software, który jest podatny, a nie o osobie, która ten system postawiła. Myślę, że to powinno wybrzmieć, że nie jestem tam po to, żeby powiedzieć: „Zrobiłeś/aś coś źle”, tylko pokazać - „hej, jest źle, można to naprawić w ten sposób”. Wydaje mi się, że to kwestia, która fajnie by było, aby wybrzmiała, bo wiemy doskonale, zarówno ja, jak i ty - bezpieczeństwo jest elementem, który jest czasami postrzegany jako przeszkoda, nie? „Czepiacie się, a tam przecież wszystko działa. Dajcie spokój. Przecież, kto to znajdzie!?” „Przecież mamy WAF-a, WAF-a się nie da obejść.” Po czym dwa tygodnie później: „cyk, ransomware, dziękuję”. No niestety, znam takie przypadki.

Jest taka powtarzana mantra, że kwestia przełamania pewnych zabezpieczeń, to nie jest pytanie „czy?” tylko „kiedy?”. Jeden problem, naprzeciwko którego bardzo często stajemy, to fakt, że nie możesz przeprowadzać pentestu w nieskończoność. Nam ktoś za to płaci, ktoś to wycenia. Te kontrakty są zazwyczaj na bardzo określony czas. Im bardziej skomplikowana aplikacja, czyli im bardziej skomplikowany pentest, tym ten czas na test jest dłuższy.

Natomiast cyberprzestępcy wirtualnie mają tego czasu tyle, ile chcą mieć. Oni tam mogą siedzieć 3 lata, a potem nagle po tym czasie odpalą kampanię, która miała ukraść grube miliony, a przez jedną literówkę nie wyjdzie, jak to w pewnym banku (chodzi o Bangladesz). Jakbym mógł spędzić 3 lata nad jednym testem, to podejrzewam, że w większości systemów też bym znalazł jakieś mocne podatności.

Wtedy wiesz, że możesz się nad tym skupić.

Może właśnie to jest ważne, żeby pokazać, że w pewnym sensie to jest kwestia czasu, a nie tego „czy”. To nigdy nie jest kwestia „czy”. Dlatego też to jest bardzo ważne dla naszych organizacji, muszą zrozumieć, że czas jest tu krytyczny.

Tylko mówię, musimy na przykład zmieścić się w dwóch tygodniach. Porównując dwa tygodnie do dwóch lat, czy nawet do dwóch miesięcy, to jest czas, który jest diametralnie różny. Musimy w tych dwóch tygodniach postarać się dowieźć maksymalne efekty.

Cyberprzestępcy bardzo często skupiają się na jednej konkretnej rzeczy, bo wiedzą, że ona gdzieś może się znajdować. I też da im maksymalny efekt. Tylko, że oni oczekują tego, że wyniosą stamtąd na przykład jakieś pieniądze. My chcemy dowieźć klientowi to, żeby maksymalnie zwiększyć jego obronę. Mimo, że  tak naprawdę atakujemy.

A nie samo przełamanie zabezpieczeń dla przełamania zabezpieczeń.

Myślę, że to jest bardzo ważne. Ten model tak zwanego grey boxa, który w większości jest jednak stosowany, zrobił się taki popularny ze względu na ograniczenia czasowe. Trzeba sobie powiedzieć, że te black boxy, które są takie najbardziej zbliżone do rzeczywistego ataku - też są super, tylko problem polega na tym, że przy takich ograniczeniach czasowych, które klient jest w stanie zaakceptować i za które jest w stanie zapłacić, ten black box nie zawsze zdaje egzamin.

Zrozumiałem to tak, że w podejściu blackboxowym macie znacznie mniej informacji na przestrzeni tego czasu w stosunku do cyberprzestępców.

Oni sobie mogą pół roku najpierw sprawdzać rzeczy i później stwierdzić: „Okej, dobra, to teraz będziemy przez miesiąc atakować tą jedną rzecz”. Natomiast mamy dwa tygodnie na wszystko i co z tym masz zrobić?

Przypomina mi się właśnie Stuxnet, gdzie próby dotarcia do tego systemu trwały chyba kilka lat, aż w końcu efekt był piorunujący.

I poszło, nie? Dokładnie tak. Nagle się okazało, że w naszym świecie, w świecie cyber, już nawet nie musisz tłumaczyć, czym jest Stuxnet. Po prostu rzucasz Stuxnet i każdy wie, co to jest, bo tak duży był efekt tego wszystkiego. Natomiast, czy oni by osiągnęli to samo w dwa tygodnie? Nie sądzę. Organizacje muszą to zrozumieć, że cyberbezpieczeństwo, zarówno to ofensywne i defensywne, to nie jest przeszkoda.

Wszyscy dążymy do tego samego. Wszyscy chcemy, żeby organizacje były jak najbardziej zabezpieczone, żeby procesy były ok, a ludzie, żeby w miarę wiedzieli, jak reagować i żeby czuli się w swoich organizacjach bezpiecznie. Nie można też przesadzić w drugą stronę i wprowadzić nagle „rządów terroru”, gdzie nie klikamy w żaden link z maila, bo może być podejrzany. Co to jest podejrzany link? Każdy link może być w pewien sposób podejrzany…

Bezpieczeństwo, ale rozsądne

Myślę, że to jest jeden z większych problemów bezpieczeństwa. Znalezienie w pewnym sensie równowagi między rozsądkiem, a zabezpieczeniem wszystkiego.

Dokładnie tak. No i super by było, gdyby każda z organizacji zrozumiała, że musimy poświęcić na to czas i trochę osobistej wygody. Natomiast z drugiej strony my, jako specjaliści od bezpieczeństwa też staramy się w ciągu tych ostatnich lat dopracować naszą robotę, nasze procesy i to, jak przedstawiamy to bezpieczeństwo w drugą stronę. Staramy się też nie skupiać tylko na bardzo stricte technicznej stronie.

Musimy zrozumieć, że po drugiej stronie siedzi np. CEO albo ktoś, kto roboty ma po sufit i tworzy kontrakty za grube miliony. Nie ma czasu na to, żeby teraz przebijać się przez pół godziny raportu z którego i tak nic nie zrozumie. Zauważyłem, że w ostatnich latach sporo specjalistów od bezpieczeństwa, nie tylko ofensywnego, ale też defensywnego, musi zacząć inwestować w umiejętności miękkie.

Myślę, że to jest bardzo ważne. Mógłbyś trochę to rozwinąć?

Można sobie bardzo łatwo wyobrazić scenę z dowolnego hollywoodzkiego filmu, gdzie mamy nerda, który siedzi w jakiejś piwnicy i hakuje NASA. To jest scenariusz, który chyba większość ludzi ma w głowie jak słyszy „haker”.

Problem polega tylko na tym, że w prawdziwym świecie, nawet jeżeli taka osoba znajdzie jakiś duży błąd, to mogłaby oczywiście to znalezisko przekuć w super prezentację na jakiejkolwiek konferencji, a często nie posiada takich umiejętności - mowa o wystąpieniach publicznych, czy choćby prezentowaniu wąskiemu gronu osób.

Przypomniał mi się od razu Newag.

Proszę bardzo. Tylko tam byli ludzie, którzy potrafili to przedstawić. Zwłaszcza jeden z nich. Bardzo serdecznie pozdrawiam q3k’a za wszystkie memiczne wstawki w czasie tej prezentacji. Po prostu cudo.

Natomiast gdyby tam była tylko grupa ludzi, którzy za przeproszeniem… Oczywiście nie piję tutaj absolutnie do nikogo, ale można sobie wyobrazić, że gdyby była tam za przeproszeniem grupa „piwniczaków”, którzy nie są w stanie sklecić trzech zdań, to super, że znaleźli wszystko, tylko co z tym dalej zrobić? Zrobimy tylko i wyłącznie raport techniczny, który przeczytają trzy osoby i może zrozumieją, a może nie? Nie, jest potrzebny ktoś, kto usiądzie, zrobi prezentację i przedstawi to ludziom w taki sposób, żeby po pierwsze chcieli go słuchać, a po drugie, żeby po pół godziny nie spali, tylko pamiętali na czym ta afera w skrócie polegała, i co nasi chłopcy odwalili.

To samo dotyczy przedstawiania raportów organizacjom, bo to być nawet i CISO, a może ktoś, kto zna jakieś podstawy tematu o którym raportujemy, ale to nie musi być specjalista od ofensywy, to nie musi być specjalista od defensywy, to może być po prostu zapracowany członek wyższej kadry kierowniczej. Umiejętności miękkie nie muszą być na świetnym poziomie, to nie musi być nowy Steve Jobs, który wyjdzie i zahipnotyzuje ludzi na półtorej godziny, ale zainwestujmy w siebie chociaż na tyle, aby móc dość swobodnie mówić o tym, w czym jesteśmy specjalistami do ludzi, którzy tymi specjalistami nie są.

Bezpieczeństwo musi mówić po ludzku.

Tak jest. Świetne zdanie, absolutnie. Absolutnie tak.

Co z tego, że musimy powiedzieć komuś, że jest krytyczna podatność, jeśli on nie wie, co to znaczy.

Dokładnie. Wiesz, wielu ludzi w ogóle nie wie, co to jest podatność sama w sobie. Okej, podatność, no dobra, kojarzy nam się, że to coś niebezpiecznego.

Z drugiej strony ludzie nie muszą tego wiedzieć.

Nie muszą, absolutnie. To ty jesteś specjalistą od tego, żeby to wszystko ogarniać i musisz w jakiś sposób być w stanie zakomunikować to na zewnątrz ludziom, którzy tymi specjalistami nie są. Możemy między sobą wymieniać tysiące podatności. Mamy tysiące raportów i wszystko rozumiemy. Fantastycznie. Ale stawiam kawę, że wśród 1000 osób znajdzie się raport, w którym ktoś dotyka systemu, którego w życiu nie widziałem na oczy. Mogę poświęcić 2-3 dni na czytanie dokumentacji i stwierdzenie: „Okej, moja wcześniejsza wiedza, moje wcześniejsze doświadczenie pozwoliły mi na to, żeby w 3 dni ogarnąć.”

Podchodzę do tego z punktu widzenia specjalisty od cyberbezpieczeństwa. A tak jak mówiłem, CISO firmy czy CEO firmy nie ma czasu na to, by spędzić nad dokumentem 3 dni. On chce dostać esencję, która powie mu, co straci, jeżeli tego nie poprawi, albo co może zyskać, jeżeli wprowadzi moje rekomendacje.That’s it.

Tak słyszałem, że jeśli chodzi o rozmowy z zarządem, to nie można im mówić tylko np. numeru podatności CVE.

W sensie, można go zawrzeć, ale to nie o to chodzi. „Panie, co to jest CVE? Co pan do mnie mówisz? To choroba przenoszona drogą kropelkową, czy jak?”.

Ofensywa stoi wszystkimi skrótowcami. Czasami, kiedy ktoś rzuca do mnie tekstem, że [„wstaw tu dowolny skrótowiec”], to najpierw się muszę trzy razy zastanowić, czy w ogóle kojarzę, co ten skrótowiec znaczy.

Każdy certyfikat ma jakiś skrót.

Certyfikaty i skrótowce

Czteroliterowy z reguły.

Tak, tak. I zazwyczaj zawiera nazwę firmy w sobie.

I literę C.

Dokładnie tak śmiech). Wewnętrznie to jest fajne, że my to wszyscy rozumiemy, ale na zewnątrz nie możemy mówić w ten sposób. Na zewnątrz musimy być jak najbardziej zrozumiani, żeby podwyższać poziom bezpieczeństwa. To nie ma znaczenia, czy rozmawiamy o firmie wielkości np. Coca-Coli czy mówimy o małym biznesie. Nie ma żadnego znaczenia. Każdy powinien mieć możliwość takiego zabezpieczenia swojego biznesu czy procesów, żebyśmy żyli w świecie utopijnym, w którym bezpieczeństwo jest by design. A ono dzisiaj bardzo w wielu miejscach nie jest by design.

Rekomendacje dla biznesu i nie tylko

Mógłbyś podzielić się rekomendacją głównie dla osób, które jakkolwiek biznesem zarządzają, ale i ci, którzy dopiero stawiają pierwsze kroki. Co tak naprawdę mogą zmienić? Twoje rady na podstawie doświadczenia?

Jeżeli mógłbym dać jakąś jedną rekomendację…

Możesz dać więcej.

Jakbym mógł dać więcej, to byśmy tutaj chwilę posiedzieli. Natomiast rzeczy, które są nisko kosztowe, a które dają całkiem duży efekt. Jest w tej chwili mnóstwo różnych narzędzi, typu skanery podatności, jakieś bardzo proste skrypty, które ktoś napisał właśnie w tym celu, można je wpiąć w swoje procesy. Bardzo szybko pokazują nam tzw. *low hanging fruits.

Większość pentestów, które my gdzieś robimy, zazwyczaj zaczyna się od tego, że i tak puszczamy jakieś skanery, które lecą w tle i nagle się okazuje, że coś jest nie tak z konfiguracją, a to ktoś używa bibliotek, które są przestarzałe i które są podatne. Naprawdę, to nie jest duży koszt. Jest mnóstwo narzędzi typu open source, które to realizuje.

Darmowych narzędzi.

Darmowych narzędzi open source. To rozumiem przez open source. Dla mnie open source musi być darmowy. Inaczej nie jest open source’em.

Chciałem po prostu, żeby to wybrzmiało.

Jasne, jasne, oczywiście. Chciałbym to podkreślić. Mimo, że są narzędzia open source, gdzie niby jesteśmy open source, ale większość naszych feature«ów jest schowana za paywallem. To nie jest open source. Nie mówmy, że to jest open source. Tak, więc jest sporo takich narzędzi, które możemy gdzieś wpiąć w swoje pipeliny itd. Wystarczy je odpalić raz na jakiś czas albo przy każdej iteracji wypuszczenia oprogramowania i zapalą nam odpowiednie kontrolki, dzięki którym naprawdę niskim kosztem możemy poprawić bezpieczeństwo. Jeżeli zupełnie nie rozumiemy tych kontrolek, to wtedy zgłośmy się do kogoś, kto jest specjalistą, kto może nam wytłumaczyć i pomóc to zrozumieć.

Rzeczy które są źle skonfigurowane, w internecie jest mnóstwo. Wystarczy wejść na Shodana. Kolejną ważną rekomendacją jest inwestowanie w ludzi - tak technicznych jak i nietechnicznych. Każdy w organizacji jest odpowiedzialny za bezpieczeństwo, bez wyjątku.

"Trudność" ataku

Jak łatwo jest znaleźć rzeczy, które naprawdę nie jest trudno wykorzystać, exploitować?

W jaki sposób?

Jaka to jest trudność dla kogoś, kto nawet w tym nie siedzi, ale ma jakąkolwiek wiedzę, co to jest Shodan?

Jak to jest trudne? To nie jest w ogóle trudne. Jeżeli mówimy o serwisach typu Shodan, to ten serwis sam z siebie ma podpowiedzi, co należy wpisać w ich wyszukiwarce, żeby zobaczyć, co to narzędzie może ci pokazać. Wystarczy w Shodanie wpisać „webcam”. Niestety, to jest taki oczywisty przykład, który każdy zawsze na każdej prezentacji „awareness” pokazuje. Jasne, wiele z tych kamer to są kamery, które pokazują kawałek ulicy czy śmietniki. Ale są kamery, które pokazują czyjeś prywatne mieszkania.

Kiedyś znalazłem kamerę z sypialni.

No więc właśnie. Jakieś nianki, które pokazują dzieciaki. I to na Shodanie, na darmowym koncie, to jest chwila moment. Shodan co roku na Black Friday robi promocje. I można sobie dożywotnio kupić konto za 5 dolarów.

Też podpowiem: jak masz maila z .edu, można mieć Shodana za darmo

Wtedy już w ogóle masz dostęp do wszystkich możliwych filtrów, które oferuje to narzędzie. Możesz nawet to wpiąć w swój własny program. Napisać krótki skrypt w Pythonie.

Shodan jest wykorzystywany przez red teamy na świecie do wyszukiwania różnych rzeczy jeszcze przed tym, zanim wejdą do firm. Bardzo często po przeszukaniu tego portalu okazuje się, że firma nawet nie wie, że coś wystawia do internetu. Wychodzi na to, że wpięli jakiś nowy program, czy włączyli nowy serwer, który domyślnie coś wystawia w internet, ale nikt tego nie sprawdził. Bo nie mają skanerów, o których mówiliśmy chwilę wcześniej. Wystarczy wpiąć sobie Shodana w swoje API, żeby szukało po naszej domenie raz na jakiś czas. Albo jakąś adresację, która należy do nas. To nie jest trudne, a zwiększa bezpieczeństwo naszej organizacji n-krotnie.

Bardzo często coś, co jest wystawione do internetu, pozwoli nam na tak zwane RCE, czyli wykonanie kodu po stronie serwera. A wtedygame over. Możemy pakować zabawki.

Kolejna część wywiadu z etycznym hakerem ukaże się na naszych łamach w najbliższych dniach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].