“Porast je krenuo 2021. godine. Tada je broj napada bio šest puta veći u odnosu na 2019. godinu. Broj cyber napada će i dalje rasti s paralelnim rastom digitalizacije. Kako mi to volimo reći – povećava se napadačka površina. Jednostavno postoji sve više aspekata kroz koje se neki sustav može napasti”, priča Danijel Teslić, voditelj Combisovog tima za penetracijsko testiranje.

Što je kompanija više eksponirana, te što se više koriste digitalni alati i aplikacije umjesto razne papirologije, stvara se sve više meta kroz koje netko može upasti u sustav neke kompanije, pojašnjava nam sugovornik. Dovoljno je da se dođe do podataka i pristupnih prava jednog korisnika, da bi se došlo do krađe podataka ili kriptiranja diskova koji se mogu dekriptirati za otkupninu.

Negativac na pozitivnoj strani

Na naše pitanje je li naš sugovornik “negativac na pozitivnoj strani”, kao lik iz nekog kriminalističkog filma, Teslić odgovara potvrdno. “Tako je. Jedina razlika između mene i ‘zločestih dečki’ je ta što ja dobijem odobrenje za to i na kraju dajem izvještaj o tome što je pronađeno”, kaže sa smiješkom.

“Etičko i moralno hakiranje je proces pronalaženja sigurnosnih rupa u korporativnim sustavima, odnosno njihovim informatičkim sustavima koje i pravi napadači, black hat hakeri, traže i iskorištavaju za upad u sustav. Moj je posao, kao i posao mog tima, raditi to što rade i ti zločesti dečki”, objašnjava Teslić.

Teslić nije nikada radio kao black hat haker, odnosno kao kriminalac koji upada u računalne sustave. Da je, jednostavno ne bi mogao raditi svoj sadašnji posao, objašnjava. “Tvrtke, odnosno naši klijenti, jednostavno ne bi htjeli da netko tko je bio s druge strane zakona ima uvide u sustave”, kaže.

Hakiranje mu je oduvijek bilo zanimljivo

Hakiranje je Tesliću oduvijek bilo zanimljivo. “Sjećam se da sam još kao klinac gledao onaj film Hakeri, iz 1995. godine, kada oni ulaze u nekakav trodimenzionalni cyber prostor. To je bilo prvi puta da mi je hakiranje bilo fora. Naravno, u stvarnosti hakiranje nikako ne izgleda tako. Stvarnosti je najsličnija serija Mr. Robot – onako kako je hakiranje tamo prikazano, tako ono otprilike izgleda u stvarnosti”, priča.

Dok je studirao na FER-u, prvi puta se zapravo susreo s područjem hakiranja. Slušao je jedan cybersecurity predmet, koji se zvao Sigurnost na internetu. U to vrijeme došao je u Combis, točnije u security tim, jer mu je to nekako bilo najinteresantnije. Njegov tadašnji mentor Bojan Alikavazović mu je ispričao što radi, na što mu je Teslić oduševljeno rekao “Ma daj me nemoj zezati. Zar stvarno to mogu raditi? Legalno?”.

“Mentor me najviše dobio kad je rekao da ako želiš posao u kojem ćeš svaki dan razmišljati izvan svih okvira, gdje ćeš konstantno morati biti kreativan i tražiti nove načine, bilo da nešto zaobiđeš ili da negdje upadneš, to je onda posao za tebe”, prisjeća se.

Tu i tamo mora zaroniti u dark web

Teslić potom objašnjava da je danas moguće hakirati neke velike korporativne sustave zato što “danas ima toliko toga, a većina je besplatno objavljena”.

“Dakle, mi kao kompanija imamo komercijalne alate koji ubrzavaju naš posao. Međutim, za nekakvo klasično hakiranje ti praktički treba samo Kali Linux. To je napadačka distribucija Linuxa. U sebi sadrži gomilu alata koji su gotovi i spremni, a eventualno ako ti nešto treba, imaš GitHub, gdje ima gomila zgodnih stvari, poput napadačkih kodova ili zero day propusta, osobito ako se neka kompanija ogluši i ne želi platiti nekoga tko ga je pronašao”, kaže Teslić.

Potom objašnjava i kako njegov posao podrazumijeva da se tu i tamo mora spojiti na dark web, kako bi vidio što se ondje događa. No, gledajući legalno, moralni hakeri za svoj posao ne smiju koristiti nikakva sredstva koja su ilegalno objavljena ili do kojih su ilegalno došli. “To je apsolutno protuzakonito, čak i u ove svrhe”, dodaje.

“Poprilično česta pojava na dark webu je postala samo prodaja pristupa. To smo vidjeli sad s pojavom Raspberry Robin malwarea koji se inače širi preko USB-a. Napadači nakon što ostvare pristup nekom sustavu, prodaju ga dalje na dark webu. Dakle, prodaju ulaz u firmu nekome tko može imati korist od toga”, objašnjava Teslić.

Hrvatska postaje sve interesantnija za napade

Kibernetičko ratovanje se po Teslićevom mišljenju intenzivira sve od njegove pojave, a ne samo zbog ruske invazije na Ukrajinu. “Mi tu pričamo o povećanju još od 1990-ih, samo što je rast postao eksponencijalan, čemu nije kumovao toliko rat u Ukrajini, već pandemija”, kaže.

Što se tiče Hrvatske, Teslić kaže da Combis kod svojih korisnika vidi veći porast napada, posebice nakon što su uspostavili svoj Security Operations centar u kojem sada imaju sve više korisnika i sve više podataka s kojima mogu raditi. “Osobito sada kada se približavamo ulasku u euro zonu, te smo kao država sve zanimljiviji potencijalnim napadačima. Što više raste BDP, što naše kompanije imaju više novčanih sredstava, sve se više isplati hakirati”, dodaje Teslić.

Govoreći općenito, gospodarski rast je ključan faktor koji neku sredinu čini interesantnijom za napade. “Navest ću još jedan podatak s dark weba. Najčešće su ukradene kreditne kartice iz SAD-a, pa Kanade i Velike Britanije. Nas iz EU baš i ne diraju previše. Odnosno, možete reći da možete kupiti ukradenu kreditnu karticu iz EU za pet dolara. Zašto? Zbog GDPR-a. EU onemogućuje da se neki veliki iznosi isplaćuju bez da se unese PIN ili na neki drugi način autentificira korisnik. Amerikanci to nemaju. Kod njih je i dalje sve na potpis. Potrebno je unijeti broj kartice i CVC broj i to je to. Platili ste. Zato njihove kartice na dark webu stoje između 25 i 40 dolara”, tumači.

Nisu svi studirali tehničke fakultete

Teslić, koji je voditelj Combisovog šesteročlanog tima moralnih hakera i sam odrađuje poneke projekte. Uz projekte, zadužen je i za komunikaciju s nekim korisnicima, kao i za održavanje pojedinih prezentacija, no i dalje se bavi tehničkom stranom priče.

“Iako nas ima hrpa, ne mogu se izvući od posla”, kaže kroz smijeh. Combisov tim moralnih hakera je poprilično šaren, budući da nisu svi studirali FER ili druge tehničke fakultete. “Jedan od kolega je studirao novinarstvo. Tek se kasnije zainteresirao za kibernetičku sigurnost i stvarno je super u tome. Imamo i jednog kolegu koji nam je došao s ekonomskog fakulteta”, kaže Teslić.

Broj napada se povećao šest puta

Dodaje kako očekuje da će njegov tim ubrzo početi rasti i da će ih uskoro biti desetak. Posla ima sve više, pogotovo stoga što se broj napada povećao šest puta.

“Samim time su se i tvrtke opekle, jer su bile pod napadom. Ljudi su jednostavno shvatili da je dobro ulagati u preventivu, a ne samo biti reaktivan kada se dogodi napad. To je, nažalost, najčešći slučaj. Ljudi se prvo moraju opeći kako bi uopće krenuli razmišljati u smjeru zaštite. Security kao takav je dosta nezgodan jer treba pronaći neku zlatnu sredinu kako bi ljudima omogućio biznis, a da zatvoriš što više propusta kroz koje bi se mogao dogoditi potencijalni napad”, tumači Teslić.

Prosječno vrijeme za otkrivanje proboja je 207 dana

Dodatan problem je što je naprednije napadače gotovo nemoguće primijetiti. Oni će, dodaje, ući u sustavi neprimjetno izvlačiti podatke mjesecima. Radit će dar-mar, a vi nećete imati pojma.

“Prosječno vrijeme otkrivanja proboja je 207 dana. Dakle, napadač ima više od pola godine od inicijalnog proboja, do toga da se uopće shvati da je došlo do proboja. Zato nam služe neki alati kojim se bave drugi kolege unutar Combisa. Međutim, mi s njima usko surađujemo. Tako nam se rodila i ideja o osnivanju Purple teama, suradnje napadačkog i obrambenog tima. Zajedno u našim laboratorijima i u našim sustavima gledamo kako možemo uvesti politike i sustave za detekciju, kako bi se proboj prije uočio”, dodaje Teslić.

Često testiraju za financijski sektor

Najveći problem koji većina kompanija ima je taj gleda li itko njihove dashboardove, odnosno upravljačka sučelja za njihove sustave.

“Kompanije znaju kupiti strojeve koji koštaju milijun kuna, ubace ga u svoju mrežu i kažu ‘To je to, zaštićeni smo’. Možda, ali ne od mene. Možda su sigurni od nekakvih scriptkiddyja ili amatera koji tek počinju. Oni se možda neće znati snaći u takvom sustavu. Međutim, protiv naprednog napadača koji ima iskustva i koji ima svoje alate, kao što mi u Combisu imamo svoje koji su iskodirani od nule i koji koriste napredna rješenja – ne, statička obrana definitivno nije dovoljna”, objašnjava Teslić.

“Nama puno toga što i kako ćemo raditi ovisi o opsegu onoga što se testira. Primjerice, često radimo s financijskim sektorom, posebice s bankama, iz očitih razloga. Kod njih je često opseg testiranje novih web aplikacija. Jednostavno moraju provjeriti kroz neki vid testiranja i hakiranja je li ta aplikacija dobro zatvorena. Meni su zanimljiviji projekti red teama. Oni ne rade klasično penetracijsko testiranje, u kojem pokušavate pronaći sve moguće rupe u sustavu. Njima je krajnji cilj preuzimanje sustava, odnosno dobivanje kompletnih ovlasti nad informacijskim sustavom cijele kompanije”, priča Teslić.

Upali su u tvrtku s 3000 zaposlenih

Prisjeća se jednog interesantnog projekta prije pet godina, kada je prvi puta radio u red teamu. “Dobili smo samo ime tvrtke. To je to. Ništa više. Za projekt su znale tri osobe. Svi alarmi su bili upaljeni, sustav je radio najnormalnije, IT nije imao pojma da se išta radi, a cilj je bio doći do podataka klijenata te tvrtke. Pričamo o tvrtki koja zapošljava 3000 ljudi i koja ima na stotine tisuća klijenata na godišnjoj bazi. Zanimalo ih je što se može dogoditi, pa smo simulirali realni hakerski napad”, priča Teslić.

Ušli su kroz phishing jer je to i najčešći način upadanja u sustav. Dakle, neki vid društvenog inženjeringa, bilo da je riječ o spearphishingu gdje se točno targetira jedna osoba, ili je pak nešto na što će se svi moći uhvatiti.

“Recimo, odličan primjer je da dobijete mail u kojem vam se otkriva koliko će iznositi vaša plaća nakon konverzije na euro, a pošiljatelj se predstavlja kao vaš HR. Tko neće pogledati taj mail? Tko ne bi kliknuo na link? Otvori vam se web stranica s logom vaše tvrtke koja zahtijeva autentifikaciju. Vi unesete korisničko ime i lozinku, jer vam sve izgleda zaista legitimno. Tako napadači to rade. Tako smo mi napravili u tom testiranju prije pet godina, samo što je nama tadašnja ‘udica’ bila uvođenje GDPR-a”, pojašnjava.

Upali su kroz ‘službeni mail tvrtke’

Mail koji su izradili tada predstavljao se kao službeni mail tvrtke, u kojem se pozivalo primatelja da se upozna s dokumentacijom GDPR-a. Adrese primatelja su našli na internetu, odnosno na stranicama kompanije, a na kraju su dobili oko 50 korisničkih računa.

“Prvi koji smo otvorili imao je u svom inboxu korisničke račune od drugih ljudi iz kompanije. Tako smo se lijepo širili po mreži i za oko pet sati smo bili domain admin, odnosno, imali smo pristupna prava na sve u sustavu. Pitali su nas i možemo li izvući podatke kreditnih kartica klijenata. I to smo dobili”, priča Teslić.

Dovoljno je zavarati jednu osobu

Phishing mailovi su u posljednjih nekoliko godina postali sve sofisticiraniji. “Nema više nigerijskog princa, premda se pronađu i takvi mailovi. Google Translate je postao dosta dobar pa ljudi koji su posvuda u svijetu mogu na svom jeziku napisati mail, a Google im ga poprilično dobro prevede. Nije baš savršeno, ali ako niste oprezni, lako vas zavara. S druge strane, zbog lukrativnosti phishinga koji daje puno rezultata, ljudi se potrude napraviti mail kako spada”, kaže Teslić.

Dodaje kako u takav mail nije potrebno ubacivati nikakav maliciozan kod, već da je samo bitno primatelja na neki način zavarati i natjerati ga da pošalje svoje korisničko ime i lozinku.

“S takvog računa možete i drugim ljudima unutar firme slati mailove koji sadrže svašta pa i tako doći do još više podataka ili korisničkih profila. Dovoljno je da zavaramo jednu osobu. Više nam ne treba”, kaže Teslić. Ističe i kako do sada nisu imali neuspjehe s phishingom, budući da je uvijek nasjela barem jedna osoba.

Dobrom hakeru su dovoljni alati ugrađeni u Windows

Teslić objašnjava kako postoje razlike između toga kako se haker ponaša “izvana” i kada dobije pristup sustavu. “Iako je najlakše dobiti pristup društvenim inženjeringom, imali smo slučajeva kada forme za unos dokumentacije nisu bile dovoljno dobro zaštićene. Ja kao haker tada mogu ubaciti nekakav malware koji izgleda kao PDF datoteka, ali ustvari mi može dati pristup vašem sustavu. To je prilično čest način probijanja web aplikacija”, priča.

Kada dobiju pristup sustavu, najčešći i najučinkovitiji način za biti ispod radara je “living off the land”. Haker se tada ponaša kao običan korisnik, gdje možda ima pristup nekim serverima na kojima se nalazi dokumentacija. U tom slučaju se u server može ubaciti dokument koji u sebi ima maliciozan kod.

Za ovakve napade Tesliću su dovoljni sustavi koji su ugrađeni u Windows. “Oni su i više nego dovoljni da uništite ili preuzmete neku domenu. Alati koje koriste pojedini operativni sustavi mogu se koristiti u druge svrhe. Tu treba te kreativnosti i razmišljanja van okvira o kojoj mi je pričao mentor kada sam došao u Combis”, kaže.

Problem zastarjele infrastrukture

Ljudi su, objašnjava Teslić, uvijek najslabija točka bilo kojeg informatičkog sustava. S druge strane, postoji i problem kada klijenti koriste zastarjelu infrastrukturu, za koju zakrpe i nadogradnje ne izlaze godinama. Njihovi propusti su često dobro dokumentirani i javno dostupni, stoga je proboj u takav jedan zastarjeli sustav prilično lak.

“Imali smo slučaj kada smo poslali najobičniji HTTP zahtjev jednoj stranici, samo što smo u jedan parametar ubacili komandu koju želimo izvršiti. Zbog toga što je server loše iskodiran, omogućeno je da se taj naš kod izvrši, a mi tako možemo dobiti pristup. Poprilično trivijalna stvar”, tumači Teslić.

Problem unutar tvrtki

Zaposlenici u tvrtkama često imaju preširok pristup pa se tako djelatnicima dozvoljavaju razne akcije koje im nisu potrebne, što hakerima omogućava lakše napade.

“Ljudima u korporativnim okruženjima se daju administratorska prava na servere, iako im nisu potrebna. To je veliki propust. Neke tvrtke se i dobro štite na van, ali unutarnja zaštita im je preslaba. Nemaju dovoljnu segmentaciju i teško je vidjeti da je došlo do nekog propusta”, kaže Teslić.

Važno je biti uporan

Kao svoj najveći izazov Teslić navodi slučaj kada su se borili sami protiv sebe. “Jedan naš korisnik, koji je uzeo nas i dio naših defenzivnih sustava da ih štitimo, tražio je da pronađemo ima li još kakvih rupa. To je bilo jako komplicirano, jer su svi sustavi detekcije bili upaljeni. Sustav kao takav je bio jako dobro zatvoren. Na kraju je jedna banalna stvar omogućila upad. Naveli smo sustav da smo mi administratori, iako to nismo bili”, priča.

Objašnjava da su Combisovi alati bili instalirani u okolini korisnika, ali njegova okolina je i dalje imala određene slabosti koje nisu bile pokrivene.

“Razlog tome su bile neke inherentne stvari. Stare mašine koje komuniciraju starim protokolima, koje više ne možete zaštititi jer je riječ o legacy softveru. Nema patcheva, nema zakrpa. Mi smo čučeći u sustavu dovoljno dugo nanjušili domenskog admina i preko njega uspjeli zavarati sustav. To bi bilo najjednostavniji opis, ali stvar je, naravno, puno dublja”, kaže Teslić.

S izazovima se susreću uvijek kada je obrana solidno postavljena pa moraju sami napraviti nekakav maliciozni program ili dokument koji će zaobići tu obranu. “Trebate sjesti i probati sto stvari, kako bi vam jedna upalila. U ovom poslu nikada nije dosadno, a posebno bude zanimljivo nadmetanje s obranom”, zaključuje.

---

Sadržaj nastao u suradnji s tvrtkom Combis.