sureSIGHT Business

Moda u hakerskom svijetu nije previše šarolika, ali je vrlo znakovita. U prošlosti se, kaže Leon Juranić, riječ haker upotrebljava za iznimno sposobne programere i osobe sa izvanrednim znanjem o računalnim sustavima. Krekerom (eng. cracker) se nazivala osoba koja je neovlašteno upadala u računalne sustave. U međuvremenu su mediji termin haker počeli koristiti za svakog tko upada u računalne sustave, pa je termin kreker izgubio smisao.

Da bi se razlikovali, hakeri su smislili varijante sa šeširom pa se danas dijele na Bijele, Sive i Crne šešire. – Crni su loši momci, Sivi su ‘niti smrdi niti miriši’, a Bijeli su dobri momci – kaže Juranić. Hacker vs. Cracker, Black Hat vs. White Hat…. sve su to simboli, dodaje Goran Pizent, jedne subkulture u kojoj se pojedinci žele bojomi ili nazivom razlikovati od drugih, biti drugačiji osnovna je motivacija. Pravila su došla iz starih kaubojkih filmova – onaj koji nosi crni šešir je uvijek negativac dok je onaj sa svjetlim šeširom pozitivac, npr. John Wayne.

Generalno po definiciji haker je onaj koji uspješno izvodi inovativne i dotad nevidene akcije u postojećem sustavu. Haker može biti i netko u medicini tko usprkos nekim uvriježenim pravilima uspije zaobilaznim putem izliječiti neku bolest ili hakerskim kirurškim zahvatom spasiti nečiji život. Slikar Van Gogh je jedan od najvećih hakera u slikarstvu… – kaže Pizent.

Jednostavno, haker je osoba koja razmišlja izvan okvira koje mu zadaju društvo ili stručna i poslovna okolina. Krekeri su možda malo manje inovativni, ali zato višestruko opasniji. Oni koriste gotove alate i metode, razvijaju svoje alate jer imaju resurse potrebne za to, fokusirani su na svoj cilj i uvijek im je motivacija novac. Po mom osjećaju oni spadaju u dio kriminalnog miljea – smatra Pizent.

Sličnu distinkciju koristi i Bojan Ždrnja koji ističe da je haker osoba koja nema zlih namjera već netko koga zanima kako funkcioniraju stvari (uključujući i sigurnosne kontrole informacijskih sustava) te ulaže puno vremena i truda u svoje znanje dok je kreker haker s lošim namjerama. Prvotni hakeri su, kaže Tomislav Androš, bili inženjeri, profesori na fakultetima i entuzijasti, a kasnije se taj naziv proširio i na ljude koji su zloupotrebljavali propuste u računalnim sustavima pa su oni prozvani krekerima. Danas se termin haker više ne upotrebljava za ljude sveobuhvatnog računalnog znanja već se koristi kao općeniti naziv za pojedince koje iskorištavaju ranjivosti u računalnim i programskim sustavima.

Proizvođači hardvera obično zatvaraju oči na sigurnost što potvrđuje prošlogodišnja havarija u industrijskim postrojenjima za obogaćivanje urana u Iranu.

Iako se pojam hakera u novije vrijeme najčešće koristi za računalne znalce i entuzijaste te obično ima negativan predznak budući da su novinski naslovi puni hakera koji provaleju u informatičke sustave od NATO-a i banaka do globalnih kompanija, kradi podatke i stvaraju materijalnu štetu, stvari nisu crno-bijele. Ima i sivih.

Naime, i hakeri se dijele na one koji nose bijele (pozitivci), crne (negativci) i sive (malo dobri, malo zlo-česti) šešire. U općoj neimaštini cyber kriminal postao je iznimno unosan posao.

<p-Danas imate velik broj računalnih stručnjaka koji su u jeku recesije ostali bez posla. Sami procijenite koliko njih je prešlo na ‘tamnu stranu’. Potražnja za našim uslugama i proizvodima iznimno se povećala u zadnje vrijeme, iako su uzroci različiti i kreću se od zakonske regulative, preko više razine svijesti o informacijskoj sigurnosti do straha od financijskih gubitaka uzrokovanih upadima u sustav – kaže Juranić, inače vlasnik tvrtke DefenseCode koja se bavi zaštitom računalnih sustava od upada, razvojem sigurnosnih softvera i penetracijskim testovima.

Ekonomski problemi neizbježivo dovode do socijalnih problema, a njihova kombinacija do rapidne eskalacije kriminala na svim područjima, pogotovo na informatičkom polju. U takvim uvjetima potražnja za sigurnosnim uslugama je značajno porasla. Porast očekujem i u idućim godinama.

jer se pribojavam da je ekonomska kriza tek u svojoj početnoj fazi mada većini ljudi to nije draga čuti. Pokreti kao što je Anonymous zasigurno će budućnost učiniti puno zanimljivijom i neizvjesnijom sa sigurnosnog aspekta pogotovo ako uzmemo u obzir koje su im primarne mete – kaže stručnjak za IT sigurnost Ivica Ostojić koji se računalnom sigurnošću bavi već 16 godina, a nakon karirere u Ciscu od početka ove godine radi u tvrtki Diverto koja se bavi isključivo sigurnošću, trenutačno na području Hrvatske i regije, a u tijeku su im i projekti u SAD-u.

Posao koji radim mi je i hobi, a ne smatram se nijednim šeširom, već isključivo konzultantom – kaže Ostojić. – Ja bih sebe okarakterizirao kao haker i to onakvog kakvi se danas najčešće naziva hakerom u bijelom šeširu – kaže Bojan Ždrnja, viši konzultant za informacijsku sigurnost u tvrtki INFIGO IS koji drži i tri kolegija o informacijskoj sigurnosti na Viškoj školi za primijenjeno računarstvo u Zagrebu. Trenutačno uglavnom radi na projektima provjere sigurnosti (penetracijska testiranja) te konzalting projektima na području informacijske sigurnosti. Računalnom sigurnošću bavi se još od 1997. godine, kada je on bio na FER-u, a IT sigurnost u Hrvatskoj u povojima.

S druge strane, Goran Pizent stručnjak za IT sigurnost iz tvrtke minus5, kaže da se, u pogledu potražnje, na tržištu događaju i suprotne stvari. – Tvrtke prvo odbacuju trošak, a to je tamo nekakva sigurnosna analiza sustava koja ne donosi izravno novac već nudi obećanje uštede u nekoj nedefiniranoj budućnosti. Nažalost, to je kao da u autoindustriji štede na pojasevima pa ih odlučno ne stavljaju u automobile jer će to smanjiti ‘trošak’. U nekoj ‘nedefiniranoj’ budućnosti taj pojas spašava život, koliko god kratkoročno gledano on bio trošak – kaže Pizent koji se bavi sigurnosnom analizom izvornog koda kojeg minus5 proizvodi za klijente, vrši black box i white box testiranja aplikacija, procjenu rizika za tehnička rješenja, analizira mreže sa sigurnosnog aspekta, definira pravila firewalla, kontrolira i nadzire aplikacijske firewalllove itd.

U posljednje vrijeme je fokusiran na sigurnost i dostupnost servisa u “cloudu”, a povremeno odradi i penetracijske testove za najveće klijente. Na pitanje koji šešir nosi, kaže da se smatra entuzijastom kojem je igra s tehnologijom vrlo zabavna. A kako to onda rade hakeri u bijelom šeširu? – Uglavnom dobijem zadatak provesti u računalnu mrežu ili aplikaciju koristeći tehnike koje svakodnevno koriste zlonamjerni hakeri. Nakon toga dokumentiram načine na koje je moguće upasti u sustav, te predlažem metode zaštite. Traži se i računalna forenzika, analiza računalnog sustava nakon što mu je sigurnost kompromitirana, odnosno nakon što je netko u njega već upao – opisuje Juranić.

A gdje sve leže prijetnje sigurnosti? Pitanje bi, doduše, bilo suvislije da se pita – a gdje ne leže? – Definitivno najizraženija prijetnja računalnoj sigurnosti je neinformiranost odnosno ljudski faktor. Ljudi su uvijek najslabija karika. Bili to programeri s deadlineom koji su nenamjerno ostavili sigurnosni propust u softveru koji koristite, sistem administratori koji zbog prezaposlenosti ne vode brigu o sigurnosti sustava ili tajnica koja će vam zbog malo slatkorje- čivosti preko telefona drage volje izdiktirati svoju lozinku. Veliki problem računalne sigurnosti današnje je kompleksnost i slojevitost tehnologije. Prije 20-25 godina pametni računalni inženjer mogao je bez problema izjaviti da zna sve o računalima. Danas je to apsolutno nemoguće – kaže Juranić.

Iako bi mogli reći da je informacijska sigurnost vječna igra mačke i miša, postoje određene aktivnosti koje se mogu (i trebaju) provesti kako bi razina sigurnosti bila zadovoljavajuća. – Danas se susrećemo s tri glavne prijetnje: prva su vječni DoS napadi (napadi uskraćivanjem računalnih resursa) gdje napadači pokušavaju onesposobiti nečije poslužitelje ili web-stranice te, u ovisnosti o pojedinom slučaju, pokušavaju ucijenom doći do novca. Druga prijetnja, s kojom se u zadnje vrijeme iščekuje susrećemo, su usmjereni napadi na tvrtke (tzv. APT – Advanced Persistent Threat). Riječ je o napadima sponzoriranim od drugih kompanija, a nerijetko i vlada. Ovakvih je napada sve više i predstavljaju ozbiljan problem za korporacije zato što cilj može biti na primjer i krađa kritičnih/ključnih informacija iz tvrtke što se desilo poznatoj RSA sigurnosnoj tvrtki. Ovakvi incidenti mogu značajno utjecati na poslovanje tvrtke. Treća prijetnja je ona na kućne korisnike gdje napadači nastoje inficirati računala, ukrasti sve osobne podatke s njih – upozorava Ždrnja.

Za fizičke osobe najveća opasnost dolazi od zlonamjernog softvera koji se skriva u raznim igrama, generatorma ključeva za softver koji je prihvaćen ilegalnim putem te na zlonamjernim stranicama koje posjećuju korisnici. Velika se opasnost krije u velikom broju nezakrpanih operacijskih sustava i programskih paketa jer se nekorisnjem najnovijih zakrpi korisnici izravno izlažu potencijalnom napadu. Za pravne osobe, uvjerljivo najveći vektor napada su nezadovoljni zaposlenici. To posebno dolazi do izražaja u vremenu krize kada dolazi do restrukturiranja tvrtki te povećanog broja otkaza – kaže Tomislav Androš iz Diverta.

Nažalost, kao što znaju svi hakeri, stopototna zaštita ne postoji, ali se uz određene predrađnje može postići zadovoljavajuća razina sigurnosti koja uz stalnu aktivnost i održavanje sustava može spriječiti ili otežati ovakve napade. Uz maksimalan trud, biti će 99 posto sigurni.

Još nisam vidio sustav koji je potpuno siguran. Priroda sigurnosnih propusta koje otkrivam je iznimno različita. To mogu biti slabe lozinke, loša konfiguracija ili zastarjelost sustava, do najrazličitijih ranjivosti u web-aplikacijama koje su danas najčešći uzrok sigurnosnih incidenta. Prema nekim procjenama, više od 60 posto računalnih incidenta prošle godine dogodilo se zbog sigurnosnih propusta u web-aplikacijama – kaže Juranić.

Hakeri za provođenje danas koriste mnoštvo tehnika i metoda. Od primitivnih brute-force napada kojima pokušavaju pogoditi vašu lozinku, preko socijalnog inženjeringa gdje vas pokušavaju nagovoriti da im kažete svoju lozinku ili da pokrenete neki program koji će im omogućiti pristup vašem računalu, pa do iznimno sofisticiranih vrsta buffer overflow napada gdje se hakeri poigravaju s memorijom vašeg računala kako bi dobili pristup u njega. Novi trikovi i načini provođenja u računalne sustave razvijaju se u principu na dnevnoj bazi – kaže Juranić.

Kako tehnologija napreduje, tako napreduju i metode i trikovi onih koji provođu u sustave. Ono što se promijenilo je razina vremena potrebna da bi se razvila neka nova metoda ili neki novi trik. Svjetska hakerska scena danas je iznimno velika i stalno se razvijaju nove metode napada te pronalaze nove sigurnosne ranjivosti.

Danas se sigurnosni propusti najčešće nalaze u web-aplikacijama. Od svih penetracijskih testova koje smo radili ni jednom se nije dogodilo da nismo našli neku sigurnosnu ranjivost – kaže Ždrnja.

Web-aplikacije vrlo su često jedini tvrtkin prozor u svijet i često predstavljaju jedini način na koji se može doći do internih resursa tvrtke. Na taj način je, primjerice, Anonymous došao do velikog broja povjerljivih podataka, kaže Androš, dodajući da je nalaženje ranjivosti u računalnom sustavu isključivo pitanje vremena. Što je sustav kompleksniji, u njemu postoji veći broj ranjivosti, a svaka tvrtka posjeduje specifične ranjivosti u ovisnosti koje se tehnologije koriste.

S obzirom na činjenicu da su hakeri uporni ljudi, mi također pokušavamo biti temeljiti i uporni te pronaći svaku moguću rupu koju bi pronašao haker s ciljem – kaže Androš.

Kakav god cilj imali, za hakere kažu da su poput supermodela kojima je hobi rješavanje matematičkih zadataka. Kao i supermodeli, često su u crnom, uvjereni su da su poznatiji nego što doista jesu, a karijera im mahom zalazi nakon što navrše 30. U Hrvatskoj je broj napada hakera u crnim šeširima još uvijek relativno malen, kada se uspoređujemo s globalnom razinom. Do sad su to najčešće bili DoS napadi s ucjenama te krate podataka iz tvrtki.

Što se više novca okreće na nekom web-siteu, to je broj napada veći i sofisticiraniji. Jedan od naših klijenata u Hrvatskoj ima moćnu web-aplikaciju preko koje se vrše uplate novca. Sustav je vrlo dinamičan i kontinuirano se vrši velik broj transakcija u sekundi. Čim su se korisnici upoznali s aplikacijom vrlo brzo nakon toga počeli su razni napadi. Ispočetka naišli, ali kako vrijeme ide dalje to su napadi sve opasniji i kritičniji za sustav – kaže Pizent.

Hakerska zajednica je vrlo živopisna. – Pravilo je da pravila nema. Nema ustroja, nema hijerarhije, a od autoriteta se zazire. Uglavnom, što si sposobniji i pametniji, više si ‘rangiran”. Dosta toga se bazira na povjerenju. Da razbijem stereotip – hakeri nisu čudni asocijalni pojedinci s debelim naočalama koji nemaju života osim računala – kaže Juranić.

Kod bijelih šešira etika postoji, dok crni, očekivano, zaziru od same te riječi jer cilj opravdava sredstvo. Zatvorene grupe imaju svoja nepisana pravila i, nazovimo to, kodeks časti. Pokreti kao Anonymous su malo drugačiji koncepta. Otvoreni su za sve koji dijele istu ideju. Komunikacija ide IRC-om, Twitterom, Facebookom i raznim forumima. To je globalni pokret iako polako dobiva svoju strukturu, a vrijeme će pokazati kako će se stvari dalje odvijati – kaže Ostojić.

Bijeli šeširi – često nazivani i etički hakeri, skupina koja traži ranjivosti kako bi zakrpljala sigurnosne propuste i ojačala računalne resurse. U većini slučajeva riječ je o stručnjacima koji tvrtke plaćaju da provode provjeru ranjivosti sustava.

Sivi šeširi – hakeri koji se nalaze u sivoj zoni. Iako su namjere hakera iz ove skupine najčešće pozitivne, vrlo često koriste metode koje su protuzakonite kako bi postigli svoj cilj. U tu skupinu spadaju hakerski aktivisti, samoprovzani etički hakeri i osobe koje uvježbavaju svoje hakerske vještine.

Crni šeširi – popularno prozvani krekeri su hakeri koji imaju zle namjere. Cilj krekerova je onesposobljavanje računala, krađa podataka s računala, ovladavanje računalom kako bi se koristilo u daljnjim zlonamjernim aktivnostima te korištenje računala kako bi se ostvarila financijska korist.