Rozhovor: Ondrej Kreheľ / Otázka neznie, či, ale kedy ma hacknú

Bezpečnosť
0

Ondrej Kreheľ, generálny riaditeľ a zakladateľ spoločnosti LIFARS, je po celom svete uznávaný pre svoje odborné znalosti v oblasti digitálnej forenznej analýzy. Jeho metodológia sa využíva na dosiahnutie najrýchlejšej analýzy a nápravy základnej príčiny.

Vďaka dvom desaťročiam skúseností v oblasti počítačovej bezpečnosti a forenznej analýzy uskutočnil širokú škálu cvičení červeného tímu, záležitostí týkajúcich sa kybernetickej odolnosti, vyšetrovania vrátane údajov porušených prienikom do počítača, krádeží duševného vlastníctva, rozsiahlych výmazov, defragmentácie, prania špinavých peňazí, finančných podvodov, matematického modelovania a počítačového hackingu.

Z ďalších priemyselných skupín je členom Združenia pre vyšetrovanie kriminality v oblasti špičkových technológií (HTCIA), konzorcia pre certifikáciu bezpečnosti informačných systémov (ISC) a Medzinárodnej rady pre elektronický obchod (Rada ES). Je takisto certifikovaným profesionálom v oblasti bezpečnosti informačných systémov (CISSP), certifikovaným skúšajúcim v EnCase (EnCE) a certifikovaným etickým hackerom (CEH). Je jedným z mála, ktorí majú akreditáciu certifikovaného inštruktora etického hackera (CEI) a má oprávnenie prednášať kurzy etického hackingu pre vládny aj súkromný sektor.

Pracoval v FBI Training Academy a je spoluzakladateľ QuBit Conference (medzinárodné konferencie, ktoré budujú komunitu profesionálov v kybernetickej bezpečnosti). Jeho práca si získala pozornosť okrem iných aj v CNN, ABC, BBC, Reuters, The Wall Street Journal a The New York Times. Ďalšie ­informácie k prípadom, kde už boli vydané ­zatykače:

Apt10
https://www.justice.gov/opa/pr/two-chinese-hackers-associated-ministry-state-security-charged-global-computer-intrusion

xDedic
https://www.justice.gov/usao-mdfl/pr/xdedic-marketplace-website-involved-illicit-sale-compromised-computer-credentials-and

Lazarus
https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

SamSam
https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransomware-extort-hospitals-municipalities-and-public


Ondrej Kreheľ, PhD, CISSP, CEH, CEI, EnCE, zakladateľ a CEO spoločnosti LIFARS

NXT: Kybernetická bezpečnosť  je ako „neverending story“. Možno podľa vás dosiahnuť stav, keď budú mať firmy 100 % dokonalú ochranu pred akoukoľvek súčasnou či budúcou kybernetickou hrozbou? 

Ondrej Kreheľ: Múdrosť hovorí, že každý robí hlúposti v rámci vlastného rozumu. Digitálne systémy sú programované talentovanými ľuďmi, ktorí majú vlastné limity, ktoré nazývame chybami systémov. Slabiny vždy existujú a budú existovať. Počítačová bezpečnosť nikdy nebude mať systém, ktorý je stopercentne chránený, vždy bude existovať pravdepodobnosť, že systém bude ohrozený. Každý systém prejde ohrozením ako ľudia – od nádchy po ťažkú kybernetickú rakovinu.

Treba však myslieť na to, že taktiky, techniky a postupy útočníkov sa neustále vyvíjajú, vznikajú nové hrozby, objavujú sa nové zraniteľnosti, a preto je nevyhnutné kybernetickú bezpečnosť periodicky vyhodnocovať, analyzovať a zlepšovať. Len tak sa možno držať aspoň na krok za útočníkmi. Tí sú a, žiaľ, vždy aj budú krok pred nami.

Možno však aplikovať taký prístup k bezpečnosti, keď sa tento náskok útočníkov zníži na akceptovateľnú úroveň. Dá sa to dosiahnuť kombináciou posúdenia bezpečnostných potrieb zákazníka vzhľadom na hodnotu toho, čo treba chrániť, a miery rizika, ktorú je zákazník ochotný podstúpiť ( tzv. risk apetít). Implementáciou hĺbkovej ochrany (z angl. defense in depth) možno zaistiť redundanciu bezpečných opatrení. To znamená, že aj v prípade, ak útočník prekoná jednu ochranu, tá ďalšia ho zastaví. Ak prekoná aj tú, zastaví ho opäť ďalšia.

 

NXT: Aké nevyhnutné minimum typov produktov či služieb by mala každá firma používať, ak chce mať aspoň základnú ochranu pred útokmi a vedieť na ne včas reagovať?

Ondrej Kreheľ: Firmy by predovšetkým mali poznať a definovať svoje bezpečnostné potreby a hodnotu svojich aktív. Investícia do bezpečnosti by potom mala byť adekvátna tejto hodnote. Výsledkom by však vždy mala byť kombinácia viacerých typov opatrení. Konkrétne ide o preventívne, detektívne, nápravné či kompenzačné opatrenia. Z preventívnych opatrení za absolútne minimum považujem firewally, IPS, riadenie prístupu s viacfaktorovou autentifikáciou, antivírusovú ochranu, silné heslá, včasnú aktualizáciu všetkého softvéru, šifrovanie, zálohovanie dát, ale napríklad aj nevyhnutné pravidelné školenia pre všetkých zamestnancov a bezpečnostné politiky a smernice. Pre organizácie, ktoré by mohli byť cieľom aj pokročilejšieho útoku, sú to, samozrejme, aplikačný whitelisting, implementácia hĺbkovej ochrany a, samozrejme, EDR. Detektívne opatrenia sú zas veľmi dôležité na včasné odhalenie zraniteľností v sieti a informačnom systéme, ako aj na detekciu kybernetických incidentov. Bez nich nebude možné včas odhaliť incident a reagovať naň. Patria k nim vykonávanie skenovania zraniteľností, penetračné testy, monitoring siete, SIEM, SOC či bezpečnostné audity. Nápravné opatrenia, ako už ich názov napovedá, slúžia na to, aby v prípade zistenia nedostatkov alebo incidentov obmedzili ich dosah a opätovne uviedli systém do bezpečného stavu. Sem možno zaradiť obnovovanie systému zo záloh, riešenie incidentov, aktualizáciu, aplikáciu bezpečnostných záplat. Aby som to zhrnul, na základnú ochranu pred útokmi a reakciu na ne by firmy mali používať spektrum uvedených opatrení, ktoré by spolu mali ladiť ako orchester. Práve návrh, súhra a vyladenie týchto opatrení býva často úskalím pre mnohé firmy, ktoré nemajú skúseného odborníka na kybernetickú bezpečnosť a investujú do ad hoc riešení a tzv. bezpečnostných zariadení. Od vendora si zakúpia zázračnú škatuľku, ktorá sľubuje komplexné riešenie ich bezpečnosti, a potom ľahko podľahnú falošnému pocitu bezpečia. A keď potom ich sieť napadne ransomvér a zašifruje ich dáta, nevedia si dať rady, pretože im chýbajú zálohy a nemajú procesy na riešenie incidentov. 

 

NXT: Aké sú najčastejšie slabé miesta v zabezpečení firiem?

Ondrej Kreheľ: Počas nespočetných prípadov, testov, analýz a auditov, ktoré sme riešili, sme sa stretli prevažne s tromi veľkými skupinami slabých miest. Ide o technické zraniteľnosti informačných systémov, slabiny ľudí, t. j. zamestnancov, ale aj vedenia firiem, a nedostatky v procesoch. Je ťažké povedať, ktorá z týchto skupín je najvýznamnejšia, ale štatistika napríklad hovorí, že okolo 90 % kybernetických útokov sa začína phishingovým útokom. Ten využíva práve potenciál ľudí podľahnúť manipulatívnym technikám sociálneho inžinierstva, pre ktoré sú ochotní odovzdať svoje prihlasovacie meno a heslo alebo spustiť škodlivý softvér. Útočníci takýmto spôsobom vkročia do internej siete firmy a následne môžu v tichosti vykonávať nekalé útoky. V prípade, že firma nemá zaistený monitoring svojej siete, môžu takéto útoky trvať aj niekoľko rokov. Počas nich firma nevedomky prichádza o citlivé údaje alebo aj o peniaze. Útočníci sa takisto často zameriavajú na aplikácie alebo webové stránky firiem, ktoré sú verejne dostupné. Pokúsia sa nájsť v nich známe zraniteľnosti pomocou automatizovaných nástrojov a tie následne zneužiť. Mnoho ľudí z firiem si myslí, že útočníci nemajú dôvod sa na nich zamerať, a preto je malá šanca, že ich niekto napadne. No útočníci sa ani nemusia zamerať na konkrétnu firmu. Používanie týchto automatizovaných nástrojov umožňuje plošné skenovanie celého internetu a v prípade, že vaša firma má publikované zraniteľné aplikácie alebo webové stránky, útočníci ich nájdu ­automaticky. Treba preto vykonávať pravidelné skenovanie zraniteľností všetkých webových aplikácií a stránok a nedostatky včas odstrániť. Otázka dnes neznie, či ma hacknú, ale kedy ma hacknú. Čo sa týka nedostatkov v procesoch, tu by som vyzdvihol často podceňovanú tému business continuity, disaster recovery a incident response. V každom momente fungovania organizácie by zamestnanci zodpovední za prevádzku a bezpečnosť IT mali vedieť, čo, kedy, ako a s kým budú robiť v prípade incidentu. Minimálne by mali vedieť, komu možno zavolať, aby prišiel vo vopred definovanom čase takýto problém za nich vyriešiť.

 

NXT: Ktoré typy firiem či organizácii sú najčastejšie terčom útokov?

Ondrej Kreheľ: Terčom sú všetky typy firiem a organizácií, ako aj bežní ľudia. Ako som už spomínal, najčastejšie bývajú napadnutí práve tí, ktorí majú vo svojom zabezpečení nedostatky. Sem spadajú tie automatizované útoky, ktoré sa následne vedia transformovať na pomerne závažné incidenty, ktorých vyriešenie môže firmu stáť stovky tisíc. Môže ju to dokonca stáť aj existenciu, pokiaľ nedostatky boli natoľko závažné, že sa incident nepodarí vyriešiť vôbec. Pokiaľ firma nedokáže obnoviť svoju činnosť v určitom čase, príde o svojich zákazníkov a dobré meno. V kombinácii s únikom citlivých proprietárnych dát alebo osobných údajov a ich následnou publikáciou to môže byť devastačné. Sankcie v rámci GDPR sa môžu vyšplhať do výšky 20 miliónov eur, resp. 4 % z obratu. Samozrejme, podľa toho, ktorá suma je vyššia. Sú však aj cielené typy útokov, keď sa útočníci zamerajú na konkrétnu spoločnosť, pretože majú záujem o ich dáta, prípadne majú zá­ujem ich nejakým spôsobom poškodiť. Môže ísť napríklad o útoky DDoS s cieľom zneprístupniť webové služby zákazníkom alebo exfiltráciu zaujímavých dát, či priamo znemožnenie vykonávania určitých činností. Útoky DDoS sú pomerne lacné, možno ich kúpiť už za 20 USD na hodinu. V prípade, ak cieľ používa  ochranu pred DDoS, môže sa to vyšplhať približne na  400 USD na deň. Takýto útok často slúži aj na odvrátenie pozornosti bezpečnostného personálu od iného, oveľa závažnejšieho útoku. Firma si potom povie, ako dobre to zvládla. Pravda však môže byť aj taká, že kým sa riešil DDoS, útočníci sa nepozorovane dostali až do internej siete a majú pod kontrolou doménový radič. Veľmi známy cielený útok, o ktorom bol nakrútený aj výborný dokumentárny seriál s názvom Zero Days, bol útok na iránsky nukleárny program. Konkrétne išlo pravdepodobne o spoločnú akciu Spojených štátov amerických a Izraela, v ktorej vyvinuli kybernetickú zbraň - červa s názvom Stuxnet. Využíval až štyri 0-day zraniteľnosti, ktoré štandardne bývajú pomerne drahé, pretože sú v podstate exkluzívne a o ich existencii nevedia ani výrobcovia daného softvéru. Možno teda predpokladať, že išlo o najdrahší kybernetický útok v histórii. Splnil však svoj účel, pretože sa pomocou tohto červa podarilo fyzicky poškodiť zariadenia na obohacovanie uránu, ktoré boli v sieťach nedostupných z internetu a boli prísne kontrolované a hermeticky uzavreté. V súčasnosti napríklad registrujeme viaceré incidenty spojené s krádežami dát z výskumu a vývoja vakcín proti novému koronavírusu. Dochádza k častým útokom na sektory zdravotníctva, financií, školstva a verejnej správy.

 

NXT: Ako taký útok prebieha? Je možné, že firma ani nezistí, že bola napadnutá?

Ondrej Kreheľ: Áno, možné to je. Môže to byť napríklad z dôvodu nedostatočného monitoringu a vyhodnocovania log záznamov. Firma si môže myslieť, že ich bezpečnosť je dostatočná, pretože nemajú žiadne incidenty. Ale zo skúseností môžem povedať, že ak mi niekto hovorí, že v ich firme nikdy nemali žiadny kybernetický incident, na 99 % viem, že nemajú monitoring a len o nich nevedia. Cielené útoky prebiehajú vo viacerých fázach. Tá prvá je prieskum, počas ktorého útočníci zisťujú všetky dostupné informácie o svojom cieli. Používajú na to OSINT, teda spravodajské zisťovanie z otvorených zdrojov. Tieto informácie následne využijú na prípravu prvotného útoku, ktorým často býva už spomínaný phishing, resp. spear phishing. Vytvoria vysoko personalizovaný e-mail, ktorý môže pôsobiť veľmi dôveryhodne, prípadne sa môže zdať, že pochádza od kolegu alebo nadriadeného. Cieľom je čo najviac zvýšiť pravdepodobnosť, že cieľová osoba stiahne prílohu e-mailu a spustí ju na svojom počítači, čím nainštaluje malvér. S informáciami zistenými z prvej fázy sa následne útočník vyzbrojí malvérom, ktorý bude fungovať v infraštruktúre cieľa a tento spear phishingový e-mail doručí. Nasleduje fáza exploitácie a inštalácie malvéru, keď obeť podľahne útoku, uverí, že e-mail od útočníka je legitímny, a spustí prílohu. Môže to byť napríklad excelovská tabuľka so škodlivým makrom. Makro, čo je v podstate malý program vnorený do excelovskej tabuľky, po zapnutí stiahne hlavný škodlivý kód, napríklad remote access/administration tool (RAT), ktorý útočníkovi umožní úplnú kontrolu nad počítačom obete bez jej vedomia. Útočník sa môže následne ďalej propagovať po internej sieti, eskalovať svoje privilégiá, vyhýbať sa detekcii, získavať a exfiltrovať údaje alebo podnikať ďalšie útoky. Štatistiky hovoria, že priemerný čas detekcie kybernetického incidentu, resp. prieniku do systému je 150 dní. A to hovoríme o sektore energetiky, ktorý je na tom zo všetkých najlepšie. Verejnému sektoru to trvá priemerne 190 dní, sektoru školstva 217 dní a sektoru zdravotníctva dokonca až 255 dní. 

 

NXT: Ako v praxi vyzerá, keď si nejaká firma objedná vaše služby, či už na forenznú analýzu útoku, alebo ako response team?

Ondrej Kreheľ: Dá sa k tomu pristúpiť dvoma spôsobmi. Buď si firma predplatí hodiny cez tzv. retainer, ktorý jej zaručuje časy reakcie prostredníctvom SLA, alebo poskytujeme aj ad hoc riešenie incidentov a forenzné analýzy v prípade akútnej potreby. Určite firmám odporúčame náš Incident Response Retainer, ktorý im zaručuje prednostné riešenie ich incidentu a s tým spojené služby. Ak predplatené hodiny firma nevyužije priamo na riešenie incidentov, môže ich potom využiť na niektoré z našich proaktívnych služieb, ako sú napríklad penetračné testy, threat hunting, bezpečnostné audity a mnoho ďalších. V prípade retainera navyše vykonávame aj prvotné analýzy bezpečnosti nášho klienta a vyhodnocujeme jeho pripravenosť na reakciu na bezpečnostný incident. Následne ich prevedieme procesom zlepšenia ich technických bezpečnostných opatrení, ako aj procesov. Toto nám umožní lepšie spoznať ich infraštruktúru a spoločne sa tak pripraviť na riešenie prípadných incidentov. V prípade kompromitácie napríklad malvérom sme pripravení napísať pre klienta aj vakcíny, ktoré umožnia rýchle a plošné potlačenie incidentu. Jednu takúto vakcínu sme napríklad vytvorili na plošnú mitigáciu bankového trójskeho koňa Dridex. Je dostupná na našom githube.

 

NXT: Aké najzaujímavejšie bezpečnostné incidenty ste vo svojej kariére riešili?

Ondrej Kreheľ:  LIFARS  riešil veľké množstvo prípadov od štandardného ransomvéru cez prieniky do finančných inštitúcií a krádeží údajov až po kompromitáciu top firiem na svete, ako aj štátom sponzorované špionážne kampane proti firmám a organizáciám v Severnej Amerike, západnej Európe a na Blízkom východe.

 Väčšinu zaujímavých prípadov nemôžeme spomínať, pretože na každý z nich sa aplikuje NDA a na tie zaujímavejšie prípady sa väčšinou aplikuje tá najprísnejšia.    Riešili sme však napríklad viacstupňový útok v jednej z top finančných inštitúcií na svete, kde útočníci najprv získali prístup k citlivým údajom, potom skompromitovali veľkú časť infraštruktúry do miery,  že IT organizácie nemali pod kontrolou väčšinu zariadení, pričom o tom ani nevedeli. Keď útočníci získali všetky dáta, ktoré boli pre nich zaujímavé, nasadili ransomvér s cieľom zamiesť všetky stopy. 

 Ďalší prípad je zaujímavý z iného hľadiska. Útočníci pri útoku na veľkú celosvetovú organizáciu sa najprv pokúsili získať zaujímavé dáta a potom iná skupina (ktorá však používala rovnakú operačnú sieť, teda rovnaké napadnuté servery) sa pokúsila firmu vydierať prostredníctvom ransomvéru. Zaujímavé je, ako sú špionážne a zločinecké kruhy v niektorých prípadoch prepletené. 

 

NXT: Ktoré významné inštitúcie patria medzi vašich zákazníkov?

Ondrej Kreheľ: Konkrétne organizácie nemôžeme menovať, ale medzi našich zákazníkov patria organizácie zo zoznamu Fortune 500, finančné organizácie, utility, výskumné a zdravotnícke  organizácie, audítorské firmy a podobne. 

 

NXT: Ktoré krajiny majú najlepších hackerov a čím to je dané?

Ondrej Kreheľ: Neskromne si dovolím tvrdiť, že aj na Slovensku máme veľmi kvalitných hackerov, teraz myslím etických hackerov. Napríklad členovia nášho tímu boli súčasťou víťazného tímu cvičenia NATO Locked Shields. A to bol, myslím si, fantastický úspech, keď sa im podarilo dostať sa pred krajiny, ako je napríklad Fínsko, Estónsko, Holandsko, ale aj samotný tím NATO. Vo všeobecnosti sa však dá povedať, že kvalitných blackhat hackerov majú krajiny, v ktorých sú títo hackeri sponzorovaní štátom. Nemožno s istotou tvrdiť, ktoré hackerské skupiny sú podporované ktorými štátmi, ale predovšetkým ide o krajiny, ktoré nemajú tradičné demokratické režimy. Jedna z najznámejších skupín je APT28, známa aj ako Fancy Bear, o ktorej sa hovorí, že je sponzorovaná Ruskom a že sa jej podarilo ovplyvniť prezidentské voľby v USA. Severná Kórea údajne sponzoruje skupinu Lazarus Group. Tá je známa napríklad útokom na spoločnosť Sony Pictures, ktorá počas neho prišla o množstvo citlivých dát, ktoré boli následne zverejnené. Skupina takisto požadovala stiahnutie pripravovaného komediálneho filmu o atentáte na Kim Čong-Una. Podniká aj finančne motivované útoky, ktoré pravdepodobne financujú fungovanie tejto krajiny zaťaženej sankciami. Ďalšia veľmi známa skupina je Black Energy, pravdepodobne sponzorovaná Ruskom, ktorá má na svedomí blackout elektrickej siete na Ukrajine v decembri 2015. Vtedy sa zamerali na  systémy SCADA distribútora elektriny a na diaľku vypli prúd viac ako 200-tisíc ľuďom. Čína má rôzne skupiny, ako aj priamo používa kybernetickú armádu. Každá skupina má svoje špecifiká. Spoločné však majú to, že sú veľmi dobre financované, a tak sa vedia zamerať na útoky na významné ciele.

Veľmi pekne ďakujeme za rozhovor.

 

 

Zobrazit Galériu

Martin Drobný

Všetky autorove články

Mohlo by vás zaujímať

Mohlo by vás zaujímať