„Hack IT to Defend IT“: nuo mitų iki atradimų
Visi be išimčių turime dalykinių sričių, kur tenka susidurti su teorinių žinių ar praktinių įgūdžių trūkumu. Jeigu kibernetinis saugumas nėra jūsų stiprioji pusė arba, atvirkščiai, esate saugumo ekspertas, tačiau norite tobulinti praktinius įgūdžius ir į saugumo problemas pažvelgti kitu kampu, Cyber Security Academy (CSA) mokymai „Hack IT to Defend IT“ – kaip tik jums.
Pirmiausiai, „Hack IT to Defend IT“ mokymai orientuoti į įvairaus kompetencijų ir atsakomybių lygio IT profesionalus, kuriems svarbu įvertinti organizacijos kibernetinio saugumo lygį iš puolėjo perspektyvos. Būtent todėl nemaža mokymų dalis orientuota ne tik į techninių žinių ir gebėjimų spektrą, bet ir į bandymą suprasti įsilaužėlių motyvus, mąstyti kaip jie ir , perpratus priešininką, būti keliais žingsniais priekyje. Į CSA mokymus paprastai susirenka nemaža smalsių IT specialistų grupė iš įvairių Lietuvos organizacijų. Bendras siekis pažvelgti į kibernetinį saugumą iš įsilaužėlio perspektyvos suartina dalyvius jau prie rytinės kavos, kur spėjama ne tik susipažinti, bet ir pasidalinti asmenine patirtimi kibernetinio saugumo kontekste. Kiekvienas dalyvis mokymuose gauna USB atmintinę su galimybe pakrauti ir naudoti mokymams skirtą Kali Linux operacinę sistemą. Taip pat - detalus mokymų medžiagos ir praktinių užduočių žinynas, kuris niekam nepalieka abejonių, jog užduotis turi sugebėti atlikti visi. Be to, kiekvienam dalyviui yra sukuriama atskira virtuali aplinka, suteikiant galimybę dirbti savo tempu ir nebijoti suklysti ar sutrukdyti kolegai. CSA lektoriui nuotaikingai pristato „Hacker’io“ sąvoką, istorinį kontekstą, ankstyvųjų sistemų spragas išnaudojusių inžinierių žygdarbius ir atradimus. Šiandien pasaulis sąvoką „Hacker’is“ tapatina su įsilaužėliais – išskirtinių gebėjimų kompiuterių specialistais, kurie buriasi į gerai organizuotas grupes ir monetizuoja savo nelegalią veiklą parduodami kibernetinių nusikaltimų paslaugas.
Apžvelgiame ir keletą dažniausiai pasitaikančių kibernetinio saugumo mitų, kurie ne tik stimuliuoja diskusijas, bet ir sužadina didesnį dalyvių žinių apetitą: #1: Manote, kad kibernetiniai piktavaliai nieko daugiau neveikia, tik nuolat vykdo įsilaužimus? Deja, bet tai mitas. Įsilaužėlio veiklos procesas apima daug daugiau nei atakos vykdymas. Tiesą sakant, kruopšti atakos objekto analizė, planavimas ir pasiruošimas reikalauja daugiausiai laiko bei pastangų. Būtent todėl išskiriami du aspektai: anonimiškumo užtikrinimas ir informacijos apie atakos objektą rinkimas – IP adresai, jų sąryšiai, tinklo topologijos modelio sudarymas, atvirų prievadų nustatymas, ir kt. – tai įsilaužėlio namų darbai, kuriuos jis privalo atlikti prieš vykdydamas ataką. Tai žinančio kibernetinio saugumo specialisto užduotis užkirsti kelią atakoms supaprastėja, nes pirmas žingsnis - neleisti įsilaužėliui surinkti pakankamai informacijos, kurią išnaudojant galima rasti pažeidžiamumų. Be šios informacijos, joks piktavalis nesugebės tinkamai pasiruošti atakai ir jos sėkmingai įvykdyti. #2: Manote, kad šiais laikais Internete neįmanoma pasislėpti, nes interneto paslaugų tiekėjai, Google ir kitos sistemos seka kiekvieną žingsnį, o geolokacijos mechanizmai nustato buvimo vietą kelių metrų tikslumu? Tai taip pat iš dalies yra mitas. Keletą metodų, kuriuos įsilaužėliai naudoja savo anonimiškumui užtikrinti, įsisavino ir mokymų dalyviai. Naudodami Tor ir proxychains įrankius, dalyviai išmoko, kaip tinkle klastojama tapatybė, o užsitikrinus anonimiškumą ir nerizikuojant būti pagautam, galima rinkti informaciją apie atakos objektą. Pavyzdžiui, galima skenuoti organizacijų tarnybinių stočių prievadus, nustatyti įdiegtą programinę įrangą ir jos versijas naudojant DNS, ARP, TCP ir kt. protokolų veikimo schemas bei viešai prieinamas svetaines. Šių įrankių pagalba mokymų dalyviai suprato, kaip renkama informaciją, kuria naudojantis viešose duomenų bazėse randami pažeidžiamumų aprašai. #3: Manote, kad programinės įrangos versijų ir jose aptiktų pažeidžiamumų viešumas nekelia grėsmės jūsų sistemų saugumui ir turite daug laiko jiems pašalinti, kol įsilaužėlis rašo atakos programas? Mitas. Matant detalią pažeidžiamumų informaciją prieš akis, nesunku suprasti, kad kiekvienam skrupulingai dokumentuotam pažeidžiamumui jau yra parašytas jį išnaudojantis programinis kodas, kurį galima rasti metasploit programos duomenų bazėje. Pasirinkus pažeidžiamumą išnaudojantį kodą, telieka nurodyti vieną iš daugelio jau parašytų atakos programų (angl. Payload) ir per kelias minutes nuo pažeidžiamumo aptikimo gali būti įvykdyta ataka. Remiantis šiais principais, kiekvienas mokymų dalyvis dedikuotame virtualiame serveryje įvykdė ataką, kurios metu pavyko perimti sistemos vartotojų ir jų slaptažodžių informaciją.
#4: Manote, kad Interneto paslaugos yra saugios? Pavyzdžiui, esate tikri, kad sugalvojote sudėtingą, tikrai saugų slaptažodį ir to pakaks, kad jūsų elektroninių laiškų neperskaitytų piktavaliai? Deja, tai ne visais atvejais yra tiesa. Išnaudojant LAN tinklo ir ARP protokolo trūkumus, įmanoma apsimesti kitu kompiuteriu tinkle ir perėmus svetimą duomenų srautą, galima jį analizuoti tcpdump ir Wireshark įrankių pagalba. Mokymų dalyviams pavyko nustatyti, kad jų virtualiose aplinkose įdiegtas pašto serveris veikia POP protokolo pagalba, o pašto paskyrų slaptažodžiai į tinklą siunčiami kaip base64 eilutės, kurias paprasta dekoduoti, tad dalyviai jau netrukus galėjo skaityti vienas kito elektroninius laiškus. „Hack It to Defend It“ mokymai apima ir daugiau temų ir laužo daug daugiau mitų - nuo web puslapių atakų iki bevielių tinklų apsaugos. Visos temos padeda įvertinti trapią saugumo kibernetinėje erdvėje situaciją ir suprasti būtinybę skirti pakankamą dėmesį kibernetinio saugumo kompetencijų kėlimui. Mokymų dalyvių diskusijose dominuoja motyvas, jog, nepaisant profesijos ar atliekamos rolės, kiekvienas randa naudos. Patyrę sistemų administratoriai džiaugiasi jų arsenalą papildžiusiais naujais komandinės eilutės įrankiais. Vėliau, jau po mokymų, neretas pasidalina patirtimi, kad nauji įrankiai leidžia lanksčiau atlikti sistemų ir tinklo analizę bei pateikti gilesnes ataskaitas vadovybei. Neretai šiuose mokymuose galima sutikti studentus, kurie pasirenka potencialias etiškojo įsilaužėlio temas baigiamiesiems magistro studijų darbams. Dinas Morozovas, VGTU Kibernetinio saugumo studijų magistro studentas, pasidalino, kad į mokymus atėjo dėl temos aktualumo studijoms ir nepasigailėjo. Labiausiai jam patiko laboratorijos, nors ir kitos mokymų dalys ne mažiau svarbios bandant perprasti įsilaužėlio mąstyseną. Kita dalyvių grupė, programuotojai ir kibernetinio saugumo specialistai, juokavo apie jų pačių organizacijose sutinkamą žinių ir kritinio mąstymo trūkumą, kuriam šalinti rekomenduotų būtent šiuos CSA mokymus. Aleksandr Minič, VĮ Ignalinos atominės elektrinės kibernetinio saugumo grupės vadovas, CSA mokymuose dalyvauja ne pirmą kartą. Jo manymu, „Hack IT to Defend IT” mokymai padeda sustiprinti organizacijos informacinės infrastruktūros kibernetinį imunitetą. Negalime nesutikti, kad „Hack IT to Defend IT“ – tai yra mokymai, kurie „laužo” dalyvių požiūrį į kibernetinį saugumą ir leidžia kritiškai pasižiūrėti į savo organizacijos ir asmeninį pasiruošimą iš įsilaužėlio perspektyvos.
Artimiausiu metu šie mokymai bus organizuojami Rugpjūčio 23-24 dienomis, o perskaičiusiems iki galo ir užsiregistravusiems iki rugpjūčio 1 dienos su kodu HIDIMITAI taikome 20 % nuolaidą mokymams!