Kada je u pitanju računalna, odnosno kibernetička sigurnost, ljudi najčešće nisu ni svjesni koliko korisnih informacija serviraju potpuno javno i potpuno besplatno. Combisov voditelj grupe za defenzivnu sigurnost, Goran Živković, objašnjava nam da je u današnje vrijeme najveći problem upravo dostupnost informacija.

“Ljudi od pojave društvenih mreža, što je meni kao nekome tko se bavi računalnom sigurnošću potpuno nejasno, svojevoljno, bez ikakvih benefita za sebe, javno dijele informacije, praktički sa svima. Problem je toliki da su i vlasnici društvenih mreža počeli sa ‘zatvaranjem’ takvih informacija, ali unatoč tome ne bih rekao da postoji neki veliki pomak. Sat ili dva ‘Googlanja’ napadaču je dovoljno za profiliranje svoje žrtve i za početak napada”, kaže Živković.

Živković potom kaže da su glavni izvor informacije gotovo uvijek društvene mreže, a da taj problem nije samo izražen kod pojedinaca, već i kod tvrtki i kompanija. “Danas se tvrtke praktički moraju fokusirati na objave na društvenim mrežama, a vlastite web stranice padaju u drugi plan. Skupljanje likeova postao je imperativ, pa se informacije serviraju na pladnju”, kaže Combisov sigurnosni stručnjak.

Trebamo si postaviti jedno ključno pitanje

Sasvim konkretno, Živković nam kaže kako je najranjiviji tip podataka koji ljudi dijele onaj koji se tiče njihovog lifestylea. “Ako malo proučavate postove na, primjerice, LinkedInu, moći ćete procijeniti što ih motivira, što su im ‘driveri’, kakva su im ponašanja i slično. Nakon dobre procjene, napadi će lakše proći, jer se s njima cilja na slabe točke žrtve. Napadač žrtvi lako može postati ‘frend’ ako vole iste marke auta, pa mu pošalje invite na neki sajam ili slično. Uglavnom se cilja na stvari koje ljudi vole raditi u slobodno vrijeme. Priroda ljudi je takva. Ranjiviji smo kada počnemo biti povjerljivi prema osobi s kojom dijelimo zajedničke interese”, objašnjava Živković.

Budući da hakeri najčešće iskorištavaju takve podle metode, nametnulo se pitanje jesu li hakeri zapravo postali ‘amaterski psiholozi’, s čime se Živković ipak nije složio. “Ne, nisu amateri. Rekao bih da polako postaju pravi psiholozi. Davno su shvatili da je lakše ‘hakirati čovjeka’ nego tehnologiju. Samo primjenjuju ono što im se na ‘pladnju servira'”.

Kao i naše druge sugovornike iz Combisa, stručnjake za sigurnost, pitali smo i Živkovića ima li kakav savjet kako se zaštititi od ovakvih napada. Savjeti se, tumači nam, nisu mijenjali praktički od početka interneta. “Pitao bih ljude ‘zašto to čine?’. Zašto baš cijelom svijetu moraju objaviti da su promijenili nešto u kući poput brave na prozorima ili vratima. Što žele postići dijeljenjem te informacije? Kada si postavimo to pitanje, onda smo već napravili prvi korak i postali svjesni da možda postoji problem”, kaže Živković.

Sigurnosni stručnjaci su ponekad paranoici, ali s razlogom

Za sebe i kolege, Živković kaže da su možda i paranoici. “Možda je malo ružno za reći da smo paranoici, ali ljudi bi trebali stati na sekundu i promisliti: ‘Što je najgore što mi se može dogoditi ako ovu informaciju ima moj najgori neprijatelj – bio on realan ili imaginaran?’ Tim pitanjem bi ljudi trebali procijeniti treba li nešto objaviti ili ne. Jasno mi je da imamo potrebu komunicirati na društvenim mrežama. Pandemija je dodala taj element jer nas je udaljila od fizičkog kontakta. Ali biste li došli na Trg bana Jelačića i derali se informacije koje dijelite na svom profilu?”, tumači Živković.

Zbog svih ovih problema pitali smo Živkovića i koliko je sam aktivan na društvenim mrežama, na što nam je uz smiješak rekao: “Minimum minimuma!”. Svoj Facebook profil otvorio je davno, kada je imao istraživački rad, a od tada ga praktički nije koristio. Povremeno objavi ponešto na svom LinkedIn profilu, no priznaje, to je na nagovor kolega i kolegica iz marketing odjela Combisa.

“Privatne stvari i informacije o obitelji pokušavam minimizirati. Obitelj pokušavam podučiti da stvari koje objavljuju budu samo na nekakvim zatvorenim grupama. Nije bitno gdje, bitno je samo da je zatvoreno. Pokušavam im ukazati da je netko tko se na internetu predstavlja kao poznanik iz mlađih dana ili rodnog grada, potencijalni napadač. Kažem im da sumnjaju u sve”, tumači Živković.

Zastarjeli hardver je golemi problem

Uz društvene mreže, drugi čest, i poprilično velik problem, korištenje je zastarjelog hardvera. Najčešće su u pitanju mobiteli koji nakon par godina više ne dobivaju sigurnosne zakrpe. Jedan od najistaknutijih primjera toga je bivši američki predsjednik Donald Trump, čiji je zastarjeli Samsung Galaxy S3 iz 2012. godine, početkom 2017. godine kada je došao na vlast, predstavljao golem sigurnosni problem za američke službe.

Živković nam tumači da su mobilne platforme iOS i Android poprilično novi operativni sustavi, a što su starije verzije, to je broj potencijalnih sigurnosnih propusta veći. “Ako haker dozna da imate mobitel star tri ili četiri godine, otvorena su mu sva vrata. Za starije operativne sustave se zna gdje su točno nesigurni i gdje se nalazi taj veliki broj propusta. Isto će se vjerojatno ustanoviti i za sadašnje verzije kroz par godina.”

“Ono što korisnik sa svoje strane može napraviti je updateati mobitel čim mu dođe zakrpa, što danas nije nikakav problem jer je instalacija brza. Kada mobitel jednom prestane dobivati zakrpe, vrijeme je za kupnju novog. Razumijem da ljudi ne žele brzo mijenjati nešto što su platili više od tisuću eura, ali to je tako. Ako to usporedimo s autima, biste li nastavili voziti auto čiji proizvođač kaže da će prestati podržavati sustav kočenja?”, pita Živković.

Jedna platforma je sigurnija od druge

Budući da se Combis bavi i zaštitom mobilnih uređaja, pitali smo koja je platforma od dvije danas dostupne sigurnija. “S platformom Android definitivno ima više posla. Kod iOS-a je stvar što postoji jedan sustav, koji je instaliran na nekoliko generacija iPhonea. Kod Androida postoji golemi broj proizvođača koji na inicijalni Android OS dodaju svoj middleware i dodatne funkcionalnosti. Uvode i mikropodešavanja u kernel, odnosno, samu jezgru operativnog sustava. Svaka ta promjena potencijalna je sigurnosna rupa”, kaže Živković.

Combis ima interno implementiran sustav za nadzor i zaštitu mobitela, a ima i timove koji su zaduženi za implementaciju takvih rješenja i kod korisnika. “U security odjelu se između ostalog, bave i probijanjem mobitela i mobilnih aplikacija. S druge strane, moja ekipa u odjelu defenzivne sigurnosti, prati te sustave kao i bilo koji drugi dio IT-a. Činjenica je da je razina sigurnosti znatno manja. Svijest korisnika o prijetnjama koji dolaze preko mobilnih uređaja je znatno manja, a istovremeno su opasnosti znatno veće. Jedan uređaj je najčešće i poslovni i privatni mobitel. Tu se nalaze i sigurnosni ključevi za bankarske aplikacije, kao i VPN za službene potrebe. Puno je nezgodnije izgubiti kontrolu nad mobitelom nego što je nad nekim poslovnim laptopom”, dodaje Živković.

Zaposlenici nehotice mogu olakšati hakerima posao

Ljudi nehotice mogu hakere informirati o tome kakva se oprema koristi u nekoj tvrtki, te ih time uputiti da možda negdje postoji neki zastarjeli uređaj pun sigurnosnih rupa. Stvar može biti i potpuno banalna, poput fotografije iz ureda, gdje se u nekom kutu nalazi neki zastarjeli komad opreme.

Combisov stručnjak nam tumači kako napadi prolaze kroz određene faze, od kojih je inicijalna faza identificirati tko je žrtva i koje su njene slabosti – bilo kao osobe ili tehnologije. “Ako smo mi napadaču servirali tu informaciju sami, on može odmah ići na sljedeći korak. Na najbanalnijoj razini, uštedjeli smo mu vrijeme. U najgoroj, dali smo mu ključnu informaciju do koje možda nikada ne bi mogao doći. Stoga, i taj dio, da se recimo na privatnim profilima objavljuju stvari iz poslovnog okuženja, nikako nije dobar”, objašnjava Živković.

Ponekad je ljudima teško objasniti što ne smiju objavljivati

Od kolega iz nekih sektora gdje je sigurnost imperativ, poput bankarskog iz kojeg je i sam prije tri godine prešao u Combis, Živković čuje kako je prilično teško zaposlenicima objasniti da ne bi trebali neke stvari objavljivati na društvenim mrežama.

“Ljudima teško na jednostavan način mogu objasniti da to ne rade. Ne mogu im ni pronaći motiv zašto objavljuju takav sadržaj. Nemaju ni tehničkih ni organizacijskih mjera kojima bi kaznili takvo objavljivanje, a ljudi jednostavno nemaju percepciju koji je to potencijalno golemi sigurnosni rizik za kompaniju”, navodi Živković.

“Ako ja na nekom svom profilu objavim što točno radim za kojeg klijenta, napadač može planirati svoj napad u trenutku kada mi radimo neke druge stvari, pa nismo u potpunosti fokusirani samo na detekciju napada. Time im i kažem s čime radimo i kakav način zaštite imaju. Haker se tako može koncentrirati samo na svoj napad, pa se sakriti, odnosno svoj napad zakamuflirati kao dio nekog našeg procesa. Vrlo ozbiljne stvari mogu se napraviti samo temeljem toga što ja radim, kod koga i u kojoj sam fazi”, nastavlja Živković.

Primarni zadatak mu je bio uspostaviti SOC

Kada je prije te tri godine došao u Combis iz jedne od pet najvećih banaka u Hrvatskoj, Živkovićev primarni zadatak bio je uspostava Sigurnosnog operativnog centra (SOC), što zbog organizacije i kadra, kaže, nije mogao napraviti u banci. “Dogodio se prijelomni trenutak kad su mi trenutni poslodavci predložili da idemo podignuti to, da pomognemo ljudima koji nemaju svoje sigurnosne stručnjake, kroz nekakvu managed varijantu usluge, kako bi dobili proaktivnu zaštitu nad svojim sustavom. Dakle, imali smo alate, ali su nam nedostajali ljudi. Ideja je bila složiti cjelokupne procese, kako bi se tehnika koju ljudi koriste mogla zaštititi”, kaže Živković.

Combisov Goran Živković nam objašnjava da je SOC zapravo spoj ljudi i procesa, a da je u pozadini svakog takvog centra jedna središnja točka gdje se skupljaju svi relevantni zapisi iz cijele mreže. “‘Sveti gral’ svakog SOC-a, njegov krucijalni dio, korelacija je događaja kroz cijeli IT sustav, kako bi se mogla podići uzbuna u slučaju da se prepozna neko sumnjivo ponašanje. To je tehnička strana priče. S druge strane imamo ljude koji razumiju što piše u svim tim silnim logovima i zapisima. Na kraju imamo procesni dio, koji sve elemente povezuje u jednu smislenu cjelinu – da se zna tko, kada i na koji način obrađuje tu prijavu”, tumači Živković.

Na kraju, o svemu obavještavaju korisnike, odnosno, klijente. “Ideja je da mi našim korisnicima unutar par minuta damo informaciju koju su analizirali naši stručnjaci, na temelju čega i dajemo naše preporuke koje akcije treba poduzeti i kako se štititi od nekog napada ako je u tijeku te kako ga zaustaviti i oporaviti sustav”, dodaje Živković. U nekom smislu, riječ je dakle o svojevrsnom ‘kriznom stožeru’ za računalnu sigurnost. No, u njemu ne sudjeluje samo Combis i njegovi stručnjaci, već i vlasnik sustava ili korisnik koji na kraju mora odobriti sve akcije za obranu od proboja.

Gradnja SOC-a je timski posao

U Combisu su i prije Živkovićevog dolaska imali želju pokrenuti Sigurnosni operativni centar, no tek je njegovim dolaskom oformljen interni virtualni tim sastavljen od ljudi koji su do tada odrađivali neke sistemske stvari vezane za sigurnosne proizvode. Tada su zajedno počeli graditi pravi tim, praktički od nule.

“Temeljem naših znanja i iskustva, ali i temeljem iskustva drugih operativnih centara na razini Deutsche Telekom grupe, krenuli smo. Unutar naše grupe ima desetak ovakvih centara, stoga smo mi svesrdno prihvatili njihovo iskustvo i koristili ga. Bilo je tu hrpa istraživanja i nekih naših ideja. Sve što imamo nastalo je zajedničkim radom. Nikako ne mislim da je SOC djelo moje pameti i ruku. Iza svega stoji jedan tim i ja sam na to ponosan. Najmlađi i najnoviji sudjeluju jednako u kreiranju i unaprjeđenju tima kao oni najstariji i najiskusniji. Svatko je slobodan dati neku svoju ideju, argumentirati za i protiv, kako bismo potom definirali smjer. Po mom mišljenju to je najveća snaga Combisovog SOC-a – ljudi koji su entuzijastični oko projekta”, kaže Živković.

Jedan od dokaza kako rade dobru stvar za Živkovića je činjenica da se korisnici i klijenti sami javljaju Combisu. Klijenti sami na neki način drugim tvrtkama isprezentiraju što im Combis nudi. “Taj neki oblik marketinga nam puno znači, ali veliki posao odradio je i naš marketinški tim. Naša priča poklopila se i s 30 godina postojanja Combisa i njegovog fokusa na sigurnost. Nikako ne bih zanemario taj dio, ali kada korisnik kaže da je naš SOC točno ono što je on tražio, onda smo pogodili priču”, dodao je Živković.

Posebno su ponosni na svoj know-how

Jedna od komponentni SOC-a je tehnički dio, točnije, sonde koje prikupljaju logove, odnosno, dnevničke zapise sa sustava klijenta. Ti podaci se potom šalju u Combisov centralni sustav.

“Tamo se događa naša ‘magija’ – korelacija događaja temeljem informacija koje nam pruža sami alat – kao i analize koje rade naši analitičari. Ako primijetimo da neki napad ima određene faze, na temelju njih kreiramo pravila detekcije, koja će nam upaliti alarm. Nakon što se primijeti incident, slijedi naša procedura i intervencija ljudi. Naši SOC analitičari su konstantno za konzolom i gledaju što se događa, kako bi bili spremni krenuti u dubinsku analizu. Tu do izražaja dolazi njihovo znanje i iskustvo, kao i naši ‘play books'”, kaže Combisovac.

Bitno je da je klijent upoznat sa situacijom

“Rezultat je izvještaj, bilo u obliku PDF-a ili unosa u klijentovom ticketing sustavu, koji kaže što se detektiralo i što predlažemo da se napravi. Kod klijenata s kojima imamo ugovoreno i sistemsko održavanje, taj odgovor na incident vrše Combisovi tehničari. Bitno je da je klijent upoznat sa situacijom, s akcijama koje treba poduzeti i na kraju, da se s njima slaže”, kaže Živković.

Uz sama tehnička znanja i sposobnosti Combisovog SOC tima, Živković ističe i njihovu sposobnost da se komplicirana teme poput proboja u sustav i računalna sigurnost općenito, objasne na razumljiv način. “Mi učimo od svakog našeg korisnika. Ako nam itko kaže da mu je nešto bilo nejasno u našem izvještaju ili komunikaciji, onda krećemo u interno popravljanje procesa i procedura. Kada nemamo incidenata, onda radimo na poboljšavanju sustava detekcije, te jasnije i preciznije komunikacije s klijentima. Sa svakim novim korisnikom taj dio priče raste, pa se cijeli sustav konstantno unaprjeđuje i preoblikuje”, ističe Živković.

Purple teaming je bitan način učenja

Goran Živković nam također priča kako i on, kao i njegov tim, sudjeluju u purple teamingu, procesu u kojem se interni napadački i obrambeni timovi ‘sučeljavaju’ kako bi pronašli sigurnosne propuste i rupe u pojedinim sustavima. “Ideja je da kolege iz našeg odjela moralnih hakera pokušaju probiti neki sustav, a mi pratimo događaje u SOC-u i detektiramo što su kolege napravili. Pritom se ne ide s preporukom da se izolira napadač, već da vidimo do kuda može doći. Nakon izvršene vježbe, uspoređujemo bilješke. Na taj način učimo detektirati propuste, a kolege istovremeno uče kako zaobići obrambene mehanizme. Na kraju, svi unaprjeđujemo svoje sposobnosti, a time i cijeli sustav”, objašnjava Živković.

Takav pristup Combisu se pokazao vrlo uspješnim. “Kod nekih klijenata, nakon vremena uhodavanja koje traje oko šest mjeseci od uspostave SOC-a, jedna takva vježba pokazuje i nama i korisniku razine otpornosti i zrelosti njihovog detekcijskog mehanizma, a dodatno nama što još zapravo nedostaje. Time se ukazuje na stvari koje smo rekli da treba dovesti pod nadzor, a da se ranije nisu mogle zbog raznih razloga, poput nedostatka vremena ili financija. Pronalazimo slijepe točke i dajemo potom preporuke što treba unaprijediti”, dodaje Živković.

Misterij zažbukanog servera

Živkovića smo pitali ima li kakav istaknuti slučaj iz svoje karijere, koji će zauvijek pamtiti. Prisjetio se jednog iz ranijih dana, dok je radio kao ‘pentester’ – tehničar koji pokušava upasti u sustav. “Testirali smo jednu instituciju i našli smo hrpu ranjivosti na poslužitelju za koji nitko nije znao. Ispostavilo se da su greškom pregradili taj poslužitelj nekakvim knauf zidom i nitko nije znao da on postoji, kamo li gdje se fizički nalazi. Nakon što su ga pregradili, server je radio vrlo, vrlo dugo. Mislim da je imao uptime (op.a. vrijeme uključenosti bez gašenja) veći od godinu i pol dana. Pohvala za server koji je izdržao toliko vremena”, prisjeća se Živković.

Nastavlja kako su potom u potpunosti ovladali tim serverom, te time dobili točku u mreži. U tom trenutku, uz još poneke ranjivosti, Živkovićev tim je mogao izvlačiti podatke. “Stvar je bila poprilično ozbiljna, ali za klijenta je bilo olakotno to što server nije bio izložen internetu. Netko je morao biti fizički u mreži da mu pristupi. No, što je danas još lokalno? VPN je ulaz u mrežu, stoga se podigla poprilično velika prašina jer postoji ozbiljan sigurnosni problem, a ne znamo gdje. Fizički ne znamo gdje. Situacija je bila prilično nezgodna, ali je rezultirala poboljšanjima”, zaključuje Živković.

Ljudi su spremni investirati u sigurnost tek kada je prekasno

Drugi istaknuti slučaj kojeg se prisjetio bio je kada su testirali sigurnosne sustave jedne banke. “Tada smo testirali sustav koji je bio prilično kritičan. Napravili smo skeniranje bez najave, pa je taj sustav prestao raditi u nekim inicijalnim fazama. Stvar se okrenula u političku priču, pa su se neki na visokim pozicijama pitali zašto nismo najavili testiranja. Morali smo im objasniti da im hakeri, napadači, neće poslati najavu u kojoj će im objasniti da će ih napasti. Priča se tada malo otvorila na drugu stranu. Nekoć nisam razumio te korporativne probleme i procese, ali sa sadašnjim iskustvom shvaćam zašto im je to bio problem”, kaže Živković.

Stanje s problemom razumijevanja ovakvih pitanja na visokim pozicijama se sada poboljšalo, no ne zbog edukacije, već zbog iskustva. “Ljudi su naučili shvaćati zbog šteta koje su nastale. Po medijima često možete čitati o raznim sigurnosnim probojima i napadima. Nekoć se pisalo o takvim slučajevima iz velikih zemalja, a mislilo se da ‘neće nas jer smo mali’. Čini se da su nas ipak našli na karti, koliko god mali bili. Napadi postaju lokalni, što podiže svijest. Dok se netko dovoljno blizu ne ‘opeče’, ljudi uglavnom ne mijenjaju svoju svijest”, zaključuje Živković.

---

Sadržaj nastao u suradnji s Combisom.