Ako prebiehajú penetračné testy? – rozhovor s etickým hackerom

T: Začnime odľahčene. Čo si myslíte o seriáli Mr. Robot? Máte z filmov a seriálov z IT prostredia podobný pocit ako mávajú doktori, keď sa dívajú na lekársky seriál? Chytáte sa za hlavu, keď to sledujete?

R.F.: Nám je veľmi smiešne, keď bežné filmy a seriály zobrazujú hackovanie ako nejakú modro zelenú obrazovku, na ktorej sa sype html kód a za 2 minúty má hacker prístup do systémov CIA. Drvivá väčšina seriálov je naozaj komická. Ale aj hackerská komunita si všimla, že v Mr. Robot sa tieto veci zobrazujú pomerne realisticky.

T: To rada počujem 🙂. Dnes budeme hovoriť o vašom povolaní. Kto je vlastne etický hacker?

R.F.: To pomenovanie vzniklo kvôli negatívnej konotácii názvu hacker. Je to človek, ktorý rád zisťuje ako veci fungujú, ako ich ovplyvniť, aby fungovali inak. Takže nehovoríme iba o IT profesii a technických veciach, ale poznáme „travel hackerov“, „bio hackerov“ alebo „life hackerov“.

Žiaľ, všeobecné vnímanie je také, že hacker vám ukradne peniaze, vláme sa vám do počítača, vnikne do systémov spoločnosti, aby jej spôsobil nejakú škodu. Etický hacker je človek, ktorý používa tie isté technické prostriedky na to, aby našiel bezpečnostné chyby v systémoch, ale našiel ich eticky, teda na žiadosť človeka, ktorý tieto systémy prevádzkuje a spôsobom, ktorý je vopred dohodnutý. Tieto chyby im nahlási a poradí, ako ich opraviť.

Začiatky v hackingu a slovenské školstvo

T: Ako ste sa dostali k tejto práci? Skúšali ste už na strednej dostať sa do nejakých systémov a zistili, že máte prístup tam, kde by ste ho mať nemali?

R.F.: Myslím, že hovorím za všetkých z našej firmy, ale aj od konkurencie, že náš záujem o bezpečnosť sa formoval pomerne skoro. Určite každý z nás skúšal niečo už na školskej sieti, keďže v časoch, keď som bol na strednej nebolo bežné mať doma internet. Čiže, určite áno, ale viem povedať za seba aj za kolegov, že pokiaľ ide o vyslovene o black hatové veci, ktoré by už mali presah do kybernetickej kriminality, tak s týmto nemal nikto z nás nikdy nič spoločné.

T: Existujú na vysokých školách predmety, kde by sa takýto alebo príbuzný predmet vyučoval?

R.F.: Musím sa priznať, že nemám prehľad ako to funguje teraz, ale počul som, že už sú na vysokých školách predmety, ktoré sa tým zaoberajú. Zažil som rozdelenie fakúlt FIIT a FEI a, samozrejme, mali sme predmety, ktoré sa týkali informačnej bezpečnosti. Ale neboli veľmi praktické. Neučili sme sa hľadať zraniteľnosti v systémoch. Počul som, že situácia je teraz oveľa lepšia, do portfólia sa dostávajú predmety, ktoré sa týkajú napr. reverzného inžinierstva. Za tých 12 rokov odkedy som vyštudoval na univerzite sa to určite pohlo.

O penetračných testoch

T: Čo sú vlastne penetračné testy? Ako prebiehajú?

R.F.: Ide o testovanie infraštruktúry, aplikácií a informačných systémov spôsobmi, ktoré majú preukázať alebo odhaliť nejakú zraniteľnosť, pokúsiť sa ju využiť alebo eskalovať na nájdenie ďalších zraniteľností v infraštruktúre zákazníka. Sú to postupy a metódy, ktoré používajú aj skutoční útočníci.

Ide o simuláciu reálneho útoku na systémy zákazníka, s tým rozdielom, že je tam dôraz na minimalizáciu škôd.

Na začiatku je dôležité ujasniť si, čo je presne cieľom testu, jeho predmetom, aký je rozsah testovania, prípadne, akým spôsobom testovať. V závislosti od cieľu testovania, hĺbky a architektúry totiž existujú rôzne metodiky.

Zo všeobecného pohľadu sú tieto testy rozdelené do niekoľkých fáz.

Prvá fáza sa vo väčšine prípadov nazýva „information gathering“ (zbieranie informácií).  V závislosti od cieľa testovania môže byť napr. o zbere informácií o vašej webovej aplikácii. Pokúšame sa ňou zistiť čo najviac informácií, ktoré existujú verejne, napr. aj historické. Zvykneme sa pozerať ako aplikácia vyzerala pred rokom, aké technológie ju poháňali.

Ak testujeme celú externú infraštruktúru nejakej spoločnosti, počas prvej fázy zisťujeme úplne všetko, teda aj akých zamestnancov má spoločnosť, aké sú kontakty na týchto zamestnancov, zisťujeme detaily o infraštruktúre, konfiguráciu emailového servera, DNS servera. Všetky takéto technické a netechnické informácie, ktoré nám môžu pomôcť v ďalších fázach.

Ak by sme sa v nejakej fáze pokúšali prelomiť prihlasovanie, tak nám veľmi pomôže vedieť, aké sú emailové adresy zamestnancov v spoločnosti. A toto sa dá zistiť.

Spravidla je ďalšou fázou detekcia a enumerácia zraniteľnosti. Môžu byť známe – napr. viem, aký typ servera používate pre beh vašej webovej aplikácie a existujú databázy, v ktorých je pre každý typ servera zoznam zraniteľností, na ktoré trpí. To sa môžem v ďalšej fáze pokúsiť zneužiť.

Potom sú zraniteľnosti, ktoré nie sú známe, alebo sú špecifické pre aplikáciu, ktorá vznikla custom vývojom. Tie sa pokúšame hľadať metódami, ktoré sú popísané v príslušnej metodike.

Tretia fáza je samotné zneužitie týchto identifikovaných zraniteľností. Pokúsime sa preukázať, do akej miery je možné ich zneužiť, či možno tieto útoky ďalej eskalovať. To znamená, napr. či nám nejaká zraniteľnosť umožní odhaliť určité heslo v databáze, s ktorým sa prihlásime do administračného rozhrania.

Po týchto troch hlavných fázach nasleduje reportovanie a návrhy riešení.

T: My sme cloudová spoločnosť a pre náš biznis sú takéto testy kľúčové. Majú zmysel aj pre úplne iné spoločnosti? Tam, kde primárny biznis nie je softvér? Predpokladám, že aj pre nich má zmysel dať si takéto testy urobiť.

R.F.: Určite áno. Realizujeme veľa penetračných testov pre firmy, ktoré nevyvíjajú vlastný softvér, ale nejaký „iba“ používajú. Dokonca ani nemusia byť vyvinuté pre nich, pokojne to môžu byť krabicové riešenia. Tam je tiež možné identifikovať zraniteľnosti, ktoré si možno výrobca nedal otestovať alebo ktoré vyplývajú zo samotnej implementácie. Softvér sám o sebe môže byť bezpečný, ale povedzme, že nevhodnou konfiguráciou pri nasadení sa objaví nejaká zraniteľnosť.

Aj keď spoločnosti nepoužívajú takéto softvéry a aplikácie, stále používajú emaily a rôzne aplikácie. Tam majú penetračné testy tiež svoje miesto. Dokážu odhaliť zraniteľnosti mailového serveru, ktorý napr. môže slúžiť na rozosielanie spamu.

Ak do penetračných testov môžeme zahrnúť aj sociálne inžinierstvo, tak sa dajú testovať aj vyslovene netechnické veci ako bezpečnostné povedomie zamestnancov. Vtedy sa zisťuje, či možno zamestnancom vziať nejaké pohodené USB zo stola alebo ho tam naopak položiť, či recepcia pustí do budovy ľudí bez vstupnej kartičky. Aj toto tam spadá.

T: Robí sa aj odpočúvanie telefónov?

R.F.: Na takéto účely máme subdodávateľa, robievame to v spolupráci s nimi. Oni dokážu robiť detekciu ploštíc, spravia vám Faradayovú klietku v kancelárii na zabránenie odpočúvania alebo poskytnú rôzne rušičky. Už niekoľko rokov pravidelne organizujeme konferenciu, na ktorej táto spoločnosť prezentovala svoje služby tak, že umiestnila kameru do predlžovačky na stole a nič netušiaceho návštevníka začala premietať na plátno v sále. Bolo to veľmi efektné.

T: Je nejaký rozdiel, keď testujete prostredie, ktoré má firma u seba v porovnaní s veľkými prostrediami typu Microsoft Azure alebo Google? Dnes má totiž veľa firiem outsourcované práve tieto hostingy niekam do Azure. Potrebujete nejaké špeciálne povolenie od Microsoftu?

R.F.: Donedávna bolo takmer u všetkých takýchto poskytovateľov potrebné vyplniť formulár, ktorým sa žiadalo o súhlas na vykonanie penetračných testov. Práve Azure a Amazon pred nejakým časom úplne zrušili túto povinnosť. Minimálne tieto dve riešenia môžeme testovať bez nejakého predošlého súhlasu. Treba ale povedať, že u ostatných poskytovateľov si to potrebujeme vždy overiť. Nemusia to byť ani cloudoví poskytovatelia. Stačí, že aplikácia, ktorú testujeme beží na niečej infraštruktúre, tak by bolo dobré mať ich súhlas. Stále tam platia nejaké obmedzenia, tie sú vypublikované v zozname.

Čo sa týka porovnania testovania takýchto poskytovateľov a vlastného prostredia, tak po splnení potrebných podmienok tam už iný rozdiel nie je.

Online bezpečnosť na Slovensku

T: Vy robíte penetračné testy pre mnoho slovenských firiem. Ako sú na tom s bezpečnosťou?

R.F.: Je to rôzne. Za posledný mesiac sme vykonali niekoľko penetračných testov webových aplikácií. Niektoré vyšli z testovania s takmer čistým reportom, pričom sa tam vyskytli iba stredné a nízko rizikové zraniteľnosti. Ale mali sme aj prípady, ktoré boli vyslovene ukážkou toho, čo sa dá vo webovej aplikácii zneužiť. Tento stav trvá odkedy si pamätám. Je tam nejaký posun, ale prisúdil by som ho skôr vývoju technológií, programovacích jazykov a frameworkov, ktoré už často obsahujú množstvo bezpečnostných prvkov.

Zaráža nás to, že ešte stále sa nájdu aplikácie, ktoré obsahujú zraniteľnosti, ktoré tu boli možno pred 15 rokmi. Je to v podstate stále zábava ?. Ak porovnám Slovensko s inými krajinami, tak nevidím rozdiely.

T: Príkladom aplikácie, ktorá je zle urobená je asi ezdravie, však? ? Ako to vlastne bolo v kauze zlého zabezpečenia dát o testovaných na COVID-19? Práve Nethemba na to upozornila.

R.F.: Toto nebol ten príklad, pretože my sme ezdravie netestovali. To by sme ani nemohli. Keď sa realizuje penetračný test, tak všetko, čo sa okolo neho deje je prísne dôverné.

Zraniteľnosť v tomto prípade, v NCZI nebola niečím, čo by bolo potrebné odhaliť penetračným testom. Prišlo sa na ňu úplnou náhodou. Údaje, ktoré tam boli, sa zverejnili online bez akejkoľvek autentifikácie a autorizácie, dokonca boli odniekiaľ referencované, pretože niektoré z výsledkov boli zaindexované Googlom. Išlo o zraniteľnosť, ktorú je veľmi ľahké spraviť, šlo o problém autorizácie. Zároveň bol obrovský problém v tom, že tie záznamy boli referencované obyčajným číslom. Keď to zbadá nejaký človek, ktorý rozumie technológiám, a nemusí to byť hacker, že v adrese v prehliadači sa nejaká premenná rovná číslu 2, on tam skúsi dosadiť číslo 3 a vyjde mu z toho, že je to ďalší údaj, ku ktorému vie pristúpiť, tak si to môže skúsiť rovno celé vyiterovať.

Čiže, prišlo sa na to náhodou, bolo to verejne dostupné, nijakým spôsobom chránené, a ak ste videli na našom blogu ten trojriadkový skript, tak takým triviálnym spôsobom sa dalo pristúpiť ku všetkým údajom. Ten skript nerobil nič iné, iba navštevoval tú stránku s údajmi, pričom zvyšoval hodnotu jedného parametra. Nešlo o žiadne hackovanie. My sme sa v komunikácii s úradom bránili označeniu, že by šlo o nejaký útok, pretože podľa nás nešlo. Útokom alebo hackom predsa nie je situácia, kedy niekto navštívi nejakú URL a sú tam nejaké údaje.

T: Predtým, než ste zverejnili, že sa vyskytol tento problém ste ich kontaktovali, aby si to opravili?

R.F.: Samozrejme. My sme ich kontaktovali okamžite, ako sme na to prišli. Kontaktovali sme aj CSIRT, ktorý je zodpovedný za bezpečnosť štátnej infraštruktúry. Riešili sme to pomocou kontaktnej adresy šifrovaným spôsobom, keďže túto možnosť ponúkajú. Ozvali sme sa im v nedeľu a zareagovali na to až v stredu po ďalšom kontaktovaní z našej strany.

Každá etická firma, ktorá sa zaoberá bezpečnosťou musí nasledovať tzv. „zodpovedné zverejňovanie zraniteľností“. Toto si viaceré veľké korporácie uverejňujú na svojich stránkach – ako postupovať, keď niekto odhalí nejakú zraniteľnosť v ich systémoch. Všeobecné pravidlo teda je, že ak sa niečo takéto stane a odhalí, treba to nahlásiť prevádzkovateľovi a počkať, kým si to opraví. Až keď je eliminované riziko, že by túto zraniteľnosť mohol odhaliť niekto ďalší, až vtedy môže byť zverejnená.

T: Máte podobné skúsenosti aj z minulosti? Všetci si pamätáme kauzu okolo hesla do systémov v Národnom bezpečnostnom úrade – nbu123. Je v prípade štátnych inštitúcií ezpečnosť horšia ako u súkromných spoločností?

R.F.: Prípad nbu123 bol iný. Tam išlo o cielený prienik do ich systémov, nie o náhodné prezeranie stránky. Čo sa týka podobných incidentov, tak viacero ľudí reportovalo dostupnosť adries alebo nejakých ďalších atribútov ľudí, ktorí boli pozitívni na COVID-19, čo bolo iba niekoľko týždňov pred touto zraniteľnosťou, o ktorej sa bavíme. Takže áno, takéto veci sa dejú.

Čo sa týka porovnania štátnej infraštruktúry a štátnych systémov so súkromnými, tak my vieme tiež iba to, čo sa dostane von cez médiá. Nethemba od roku 2014 už vôbec nepracuje pre štát. Takže, nevieme to veľmi dobre posúdiť, v každom prípade, oni majú nejaké pravidlá, tímy, metodiky, majú Národný bezpečnostný úrad, CSIRT, ktoré sa o bezpečnosť majú starať a starajú sa. Chcem veriť tomu, že existuje veľa motivovaných ľudí, ktorí vedia, že štát spravuje veľa citlivých osobných údajov a že nejaká bezpečnosť tam asi musí byť, lebo tých incidentov by sme videli viac. Na druhú stranu, nie každý, kto nejaký bezpečnostný incident odhalí, s ním naloží tak, ako my, teda zodpovedne. Na to sme aj upozorňovali. To, že my sme túto zraniteľnosť odhalili a zverejnili, neznamená, že ju neodhalilo 10 iných ľudí pred nami a že tieto údaje o stovkách tisíc ľudí sa niekde nenachádzajú na čiernom trhu.

T: Vy ich teda niekde máte, však? Iba žartujem ?

R.F.: ? My sme ich, samozrejme, vymazali. Nikdy neopustili šifrované úložisko. Vymazali sme ich po reportovaní úradu. Po tom, ako sme im dokázali, že tá zraniteľnosť tam je.

T: Myslíte si, že predchádzať takýmto situáciám by mohlo nové IT centrum, ktoré štát, resp. nová vláda plánuje zriadiť? Čo si myslíte o tomto nápade? Reakcie sú rôzne.

R.F.: Nemôžem hovoriť za všetkých v našej firme. Myslím, že aj u nás sú na to rôzne názory. Podľa mňa je dôležité si uvedomiť ako budú títo ľudia motivovaní. Keď to porovnáme s tým, keď si štát objedná tieto služby od súkromných firiem, otázka je, či interný tím dokáže poskytnúť rovnakú kvalitu. Či dokážu vytvoriť takéto podmienky (aj finančné), ktoré motivujú kritické množstvo ľudí, aby sa im tam prihlásili. Nemyslím si, že z čisto technického pohľadu by to, že na tom bude robiť interný tím malo nejako znižovať kvalitu, ale či budú vedieť nájsť dostatok motivovaných ľudí, ktorí tú kvalitu prinesú. A to nevieme.

Rozhovor bol súčasťou nášho webinára o etickom hackingu. Jeho záznam si môžete pozrieť na našom youtube kanáli: