Tako je strokovnjak za kibernetsko varnost Milan Gabor opisal enega izmed načinov, kako nas hekerski nepridipravi preslepijo in kako jim sami odpremo vrata do svojega računalnika in vseh podatkov.

Milan Gabor je karierno pot začel kot razvijalec programske opreme v Švici, nato je dva meseca nabiral izkušnje v HP-jevih laboratorjih v Kaliforniji, potem pa se je vrnil v ljubljanski Softlab in kot razvijalec delal še nadaljnjih sedem let. Končno je imel "vsega dovolj" in je ustanovil lastno podjetje Viris, ki se ukvarja z informacijsko varnostjo. Etični hekerji so po njegovih besedah v veliki večini kariero začeli kot "sistemci", saj ti začetek na "temni strani" močno oteži skok v zakonite vode.

Etični heker je strokovnjak za kibernetsko varnost, ki vdira v sisteme, da bi poiskal varnostne luknje in izboljšave, takšnih strokovnjakov, ki so po vrhu še zanesljivi in nekaznovani, pa je po Gaborjevih besedah izredno malo, tako da ima pri širjenju podjetja in zaposlovanju kar precejšnje težave. Dela imajo ogromno, saj se med njihovimi naročniki znajdejo številna podjetja in banke tako doma kot v tujini kot tudi institucije javne uprave. Za novega naročnika, ki bi poklical ta hip, tako ne bi imeli časa nekje do maja. Strokovnjakov ne primanjkuje le v Slovenji, ampak tudi po Evropi in ZDA, in to v tisočih, je opozoril in dodal, da bi morala tudi Fakulteta za računalništvo informacijski varnosti posvetiti študijsko smer.
Vprašanju, ali bi lahko intervju imela kar v prostorih podjetja Viris, se je Gabor nasmejal in odvrnil, da nihče ne sme v prostore podjetja, niti njihovi naročniki ne. Glede na to, da se ukvarjajo z informacijsko oz. kibernetsko varnostjo, so tudi sami pogosto tarča napadov. "Napade vidimo, ali gre za našo konkurenco ali ne, je težko reči, saj svoje napade skrivajo, vemo, v kakšnem poslu smo, in imamo ustrezno poskrbljeno za zaščito," je dejal.
Kdo je pohekal Ajpes?
S sogovornikom za začetek nisva mogla mimo Agencije Republike Slovenije za javnopravne evidence in storitve (Ajpes), ki je bila pohekana v začetku meseca, na kulturni praznik. "Napadalci so odkrili eno izmed najbolj tipičnih pomanjkljivosti spletnih aplikacij, ki je na seznamu najpogostejših kritičnih ranljivosti na prvem mestu, posledično pa je bilo mogoče priti do osebnih podatkov ljudi iz registra prebivalstva, kot so EMŠO in davčne številke, ki jih hrani Ajpes. Če bi šlo samo za nekakšne finančne podatke podjetij, problem ne bi bil tako velik," je opisal, kaj se je zgodilo. Šlo je za "osnovnošolsko" napako v obliki varnostne pomanjkljivosti spletne aplikacije, ki naj je načeloma ne bi bilo, je dodal.

Ajpes je v sporočilu za javnost sicer zapisal, da niso zaznali indicev, ki bi kazali na to, da bi dejansko prišlo do nedovoljenega prevzema podatkov ali zlorabe osebnih podatkov iz podatkovnih zbirk, ki jih upravlja Ajpes. Namen napada naj bi bil opozoriti institucije javnega sektorja na ranljivosti v programski opremi, zgodbo pa je pompozno objavil eden izmed slovenskih medijev.

A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo "bombastično" udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpesu, da problem rešijo. Zadeva se lahko javno objavi pozneje, je komentiral Gabor in dodal, da načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, kar naj bi se v primeru napada na Ajpes prav tako zgodilo. "Za sebe lahko povem, da sem prijavil že veliko ranljivosti državnim in drugim organizacijam, nismo pa nikoli šli v javnost s tem. Res gre za osebne podatke državljanov, a obstajajo manj "napihnjeni" načini reševanja," je pojasnil.
_________________________________________
Kaj je glavna značilnost etičnega hekerja in katera je bila največja "riba", ki ste jo uspešno pohekali?
O ribah zelo težko govorimo, problem je, ker smo kot duhovniki, ki vedo za grehe vseh, a jih ne smejo javno povedati. Povem lahko le to, da smo odkrili določene pomanjkljivosti spletnih aplikacij, ki so vsebovale izjemno veliko osebnih podatkov Slovencev, sledila je odgovorna prijava incidenta Sl-CERT-u (Slovenian Computer Emergency Response Team), ki je nato koordiniral odpravo varnostnih lukenj. Vse brez medijskega pompa, šlo pa je za enega največjih slovenskih primerov, kot nedavni primer Ajpesa. Redno varnostno preverjamo in etično hekamo svoje stranke, podjetja in storitve, ki jih uporablja na tisoče Slovencev, od bančništva naprej.
Vse ranljivosti, ki jih prijavimo, vedno prihajajo z našega IP-ja, če bi zdajle vaš domači wifi ali strežnik pohekali in sporočili varnostno luknjo, bi v logih videli IP-naslov podjetja Viris. To je glavna razlika med etičnimi in kvazietičnimi hekerji. Napad na Ajpes naj bi prišel skrit za kriptirano VPN-povezavo, a zakaj, če so res imeli dobre namene. Najdeš varnostno luknjo, jo diskretno prijaviš, ne pa razbobnaš medijem. Ali so hoteli slavo, promocijo ali izboljšati varnost Ajpesa?

Povprečen uporabnik spleta se skrit za zaslonom počuti precej pogumnega, anonimnega in varnega, pa je res tako?
To je zgolj navidezna resničnost. Počutimo se res tako, dejstvo pa je, da z vsako povezavo, ki jo kliknemo, in z vsako aplikacijo, ki jo obiščemo, o sebi izdamo celo kopico podatkov, in sicer od internetnega priključka do brskalnika, ki ga uporabljamo. Glede na zgodovino obiskanih strani nas potem lahko razvrstijo v ciljne skupine. Popolnoma čiste anonimnosti sicer ni, tudi če se skrivamo za kriptiranimi VPN-povezavami ali TOR-omrežjem (temna stran interneta, ki je brskalniki ne indeksirajo). Ameriški raziskovalci so pokazali, da ni čiste anonimnosti na TOR-omrežju, saj se z določenimi metodami, ki izkoriščajo ranljivosti programske opreme, dajo razkriti pravi IP-naslovi uporabnikov.

VPN-povezava res skrije naš IP, a podatki se vseeno nekje hranijo, čeprav nekateri ponudniki VPN-jev obljubljajo, da ne hranijo ničesar, verjetno čisto anonimni nismo nikoli. Vedno se vidi povezava do ponudnika medmrežja. Tudi če greste v McDonaldsu na njihov wifi, ste anonimni, čeprav vas ulične kamere posnamejo, ko prihajate ven. Skrijete se danes lahko, samo če računalnik odklopite s spleta, a potem postane dokaj neuporaben kos železa.
Google ve in vidi vse, po pametnem telefonu celo to, kje se gibljemo. Kje se bo to končalo?
Zagotovo je zbiranje informacij o čim več ljudeh velik interes podjetij, kot je Google, saj ima moč tisti, ki ima informacije. Tako nam lažje s profiliranjem ljudi in njihovih navad servirajo reklame. Z veliko verjetnostjo lahko ugotavljajo tudi, kje so ta hip, kaj delajo in ne nazadnje kdo so.
Brez Googlovega računa na drugi strani je androidni telefon bolj ali manj neuporaben, tako da je vedno treba tehtati med zasebnostjo in uporabnostjo. Z določenim manjšim znanjem se da marsikaj izklopiti in Google teh podatkov ne dobiva, je pa res, da večina ljudi o tem sploh ni podučena oziroma o tem sploh ne razmišljajo, to je največji problem. Klikajo yes, yes, yes, next ... (da, da, da, naprej ...)
Googlovi podatki so zanimivi tudi za organe pregona.
Organi pregona bi si gotovo želeli, da bi vedeli, kje se kdo giblje, čeprav zakonodaja v Sloveniji kaj takšnega precej onemogoča. Vem za primer, ko se je nekje zgodil kriminal in so hoteli zajeti podatke, kdo vse je tam bil. Ker je bilo ponoči, veliko ljudi tam ni bilo, a so tako sodišče kot informacijski pooblaščenec dejali, da gre za nesorazmeren poseg v človekovo intimo.

Znani so primeri, ko Facebook, še posebej, ko gre za primere sovražnega govora, na zahteve policije odgovarja s smeškom :).
Če izpostavim primer brutalnega pretepa mladega fanta na Dolenjskem, ki je ostal objavljen več ur, se je treba zavedati, da takšnih stvari algoritmi ne prepoznajo samodejno kot v primeru pornografskih vsebin, ampak mora nekdo vse to ročno pregledati. Vedeti je treba tudi, da to pregledujejo ljudje najverjetneje nekje v Indiji, ki sploh ne razumejo slovenskega jezika in pravzaprav ne vedo, kaj gledajo, potem pa se morajo odločiti, ali je to primerno za objavo ali ne. Podobno je z osebnimi podatki, kako naj vedo, da je številka EMŠO pomemben osebni podatek v Sloveniji. To so izzivi, ki jih je prinesla globalizacija.

A problem nista toliko Google ali Facebook, ki omogočata platformo, ampak ljudje, ki takšne stvari objavljajo. Zaveden uporabnik pazi, kaj bo objavil in delil z javnostjo, nekateri pa objavljajo vse: Gremo na dopust! Ko pridejo nazaj, je prazno stanovanje in se čudijo, zakaj.
Zaradi katerih "neumnosti" so ljudje najpogostejše žrtve hekerskih napadov?
Problem je, da so ljudje naivni, in dejansko je daleč največ uspešnih napadov zaradi naivnosti. Tu ne igra tehnologija tolikšne vloge, ampak psihologija. Napadalci izkoriščajo to, da smo ljudje sprogramirani tako, da zaupamo določenim tipom oseb. Klasika, na katero najpogosteje "vsi padejo", so različni zadetki in nagrade oziroma nekaj, kar je osebi v interesu. Če vem, da ste oboževalec neke pasme, boste zelo hitro kliknili na priponko neverjetne pasje razstave, ki jo mora nujno vsak videti.
Tako na posameznika merijo usmerjeni napadi. Na milijone napadov v polomljeni angleščini ne bomo kliknili, če pa se nekdo poglobi, vzame čas in nas naštudira s pomočjo družbenih omrežij, lahko ustvari zelo dober vektor napada, za katerega se celo zdi, kot da je sporočilo poslal naš šef v službi, dekle ali prijatelj, in takrat bomo gotovo kliknili na priponko, ko pa ljudje enkrat kliknejo, je game over (konec igre).
Potem pomaga samo še formatiranje računalnika?
Odvisno od tipa napada, saj je odvisno, kakšne vse tehnike za zagotavljanje prisotnosti (persistency) so uporabili in kam vse se virus naseli. Lahko gre v vaše dokumente, in tudi če sistem formatirate, pride virus nazaj s pomočjo kakšnega zunanjega diska, če imate dokumente na Google Docs ali pa se naselijo v druge naprave znotraj vašega omrežja in tam živijo naprej.

Kako uspešni so antivirusni programi in kateri napadi so najbolj škodljivi?
V večini primerov poberejo okoli 95 odstotkov splošnih napadov, a če vas nekdo ciljno napade, ga antivirusni program ne bo zaznal. V takšnih primerih je treba imeti sofisticirano strojno in programsko opremo, ki bo takšen način napada zaznala. Za množične napade so antivirusni programi načeloma za navadnega uporabnika dovolj, a bolj kot programska oprema je tu ključno zavedanje uporabnikov, da ne smejo preveč klikati, ko nekje piše "click here" (klikni tukaj), ne klikneš.

Priponke v spletni pošti so lahko veliko bolj škodljive kot napadi preko spletnega brskalnika. Če nekoga napademo na ta način, moramo vedeti, kateri brskalnik in katero verzijo ima, a je že posodobil brskalnik ali ne. Wordova ali kakšna druga okužena datoteka, ki jo žrtev zažene, je tako gotovo najlažji način, da se pridobi dostop do računalnika.
Najodmevnejši so večji DDoS-napadi, kako pogosti so in kakšno škodo lahko povzročijo?
V zadnjem času so zelo pogosti, v napadih pa sodelujejo številni računalniki t. i. zombiji, strežniki pa tudi male kamere in druge okužene naprave, povezane v splet, ki zgenerirajo ogromne količine podatkov in jih pošljejo v svojo tarčo. Pri DDoS-napadu ne gre za hekanje, ampak zgolj onemogočanje delovanja storitve s preobremenitvijo. Kot če bi v Ljubljano pripeljali dva milijona ljudi in jo ohromili, nihče ne bi mogel več priti nikamor. Takšni napadi so lahko zelo poceni, na črnem trgu bi za napad in onemogočanje spletne strani rtvslo.si plačali od 10 do 20 dolarjev na uro. Tudi takšen posel je lahko zadaj, RTV na primer z velikim pompom oglašuje neko oddajo, konkurenca pa gre in plača sabotažo spletne strani ravno takrat.
Takšni napadi sicer ne trajajo dolgo, tedne ali dneve, ker se da napad z določenimi zaščitnimi mehanizmi onemogočiti. Dogovoriti se je treba s ponudnikom medmrežnih storitev, ki onemogoči takšen napad, a vztrajen napadalec bi lahko sprožil nov napad po drugi poti.

Kakšno prihodnost napovedujete torrentom, bo zakonodajalcem uspelo v tem boju z mlini na veter?
Zagotovo bi bilo treba ozaveščati ljudi, da piratiziranje pomeni krajo. V tujini, ko se pogovarjaš z Američani ali drugimi Evropejci, je miselnost ljudi precej drugačna. To, da snamete film s torrnetov, je, kot da bi šli v trgovino in film ukradli, prvo stvar boste naredili brez premisleka, drugo pa ne, eno je kul, drugo vam pa niti na misel ne pade, da bi pod plašč stlačili devede zadnjega filma in ga odnesli ven. Piratiziranja se sicer nikoli ne bo dalo povsem zatreti, da bi bilo nekoč vse samo zakonito, je utopija.

Zadnje čase razsaja izsiljevalski virus, ki zaklene računalnik, nepridipravi pa nato zahtevajo odkupnino ...
Klik na povezavo, na datoteko ali kar koli, pa se kriptografski virus sproži. Večino jih je zelo težko oziroma skoraj nemogoče shekati ali odkleniti, ker uporabljajo res napredne metode kriptografije. Najlažje je plačati odkupnino, če so podatki vredni tega, če niso, sformatirate računalnik, pa je rešeno.
Svetujem, naj se ljudje pogajajo, saj se da dogovoriti za veliko manj od zahtevanega. Rečeš, da si ubogi študent, in se dejansko da pogajati, ker oni so preprodajalci, čeprav so računali na tri, rajši dobijo en bitcoin kot nič. Ljudje veliko sprašujejo, ali jim bodo res odklenili računalnik, če plačajo. Seveda bodo, to je njihov tržni model, če ne bi odklepali, ne bi nihče več plačal.
Obstajajo sicer določeni triki, na primer pogajanje s pomočjo računa na gmailu. Če na primer uspešno okužijo in zaklenejo računalnik na RTV Slovenija, na pogajanja ne smeš prek RTV-spletne pošte. Ustvariti je treba neki poštni naslov na gmailu in jim pisati kot "reven študent", tako se lahko dogovoriš za izredno nizko odkupno ceno, saj oni nimajo pojma, čigav računalnik so okužili, nikakršna povratna informacija ne obstaja. Nekaj podjetjem smo tako svetovali in so se izredno ugodno dogovorili.

Kdo je najpogostejša tarča hekerskih napadov, so to spletne banke?
Uradno vdorov v banke ni, vem pa za številne poskuse, a jih ne bodo uradno priznali. Banke so nenehno pod napadi, saj gredo napadalci tja, kjer je denar. Na vaše računalnike gotovo ne bodo šli, ker novinarji RTV-ja ne dobivajo bajnih plač. Naslednje leto sicer začne veljati direktiva, da bodo banke zavezane vse uspešne vdore prijavljati, kar trenutno niso. Slovenske banke, s katerimi smo sodelovali, imajo gotovo najvišjo raven zaščite v primerjavi z drugimi akterji pri nas, kot so gospodarske družbe itd.
Najvarnejši sistemi niso povezani v svetovni splet, na primer jedrske elektrarne. Kako se hekerji lotijo takšnih sistemov?
Okužbo izvede fizična oseba, ki prinese USB-ključek ali računalnik od zunaj in ga priklopi v omrežje zaprtega sistema. Nekoč je bolj veljalo, da so sistemi, kot je jedrska elektrarna, popolnoma ločeni. V sodobnem času se na drugi strani vse več dela na daljavo. Zakaj bi sistemci, ki zadeve krmilijo, morali hoditi fizično tja, če lahko vzame telefon ali tablico in poklika ter reši problem. Iz čistega udobja tudi takšni sistemi postajajo vedno bolj povezani, in to postaja problem. Izjema so res najbolj kritični deli.
Napadi se v praksi dogajajo tako, da bodo napadli tistega človeka, ki se hvali po Facebooku, da popravlja računalnike v jedrski elektrarni. On bo potem okuženi računalnik prinesel v jedrsko elektrarno in ga priklopil na njeno omrežje.
Slovenija bo težko imela ogromno tankov in drugega železja, morda pa bi lahko imela najboljšo kibernetsko enoto? Je premajhna tudi za kaj takega?
Za uspešno kibernetsko enoto bi potrebovali samo nekaj deset ljudi, ki so visoko motivirani in imajo odlično tehnološko znanje ter ustrezno visoko plačo, a vsaj nekaj od teh pogojev pri nas ni izpolnjenih. Vojski takšen kader načeloma hitro uide, ker lahko v realnem sektorju zaslužijo bistveno več.
Vedno več naprav je povezanih v splet. Se nam nasmiha utopična prihodnost, ko bo vse delovalo samo še po spletu?
Dejansko življenja brez spleta že danes ni več, biti brez Googla si težko predstavljamo. Kdo pa še gre v enciklopedijo pogledat? Težava, ki jo bo v prihodnosti treba rešiti, je povezljivost vseh naprav. Obeta se, da bo do leta 2020 50 milijard naprav povezanih v splet, vsak jih bo imel doma 20 ali 30. Več kot jih bo, večja bo potencialna površina hekerskih napadov. Zanimivo bo postalo, ko bodo mikrovalovke napadale ameriški FBI, toaster bo streljal po kitajski vladi, hladilnik pa bo grafite pisal na spletni strani predsednika Slovenije.