Bezpieczeństwo  / Artykuł

Pentesterzy hakują nie tylko zza biurka. Jak atakuje się firmę na jej własne życzenie?

Pentesterzy to legalni hakerzy, którzy dogadują się z firmami, że za opłatą sprawdzą ich zabezpieczenia, czyli spróbują się włamać do systemu. Ich celem jest znalezienie luk w zabezpieczeniach, a nie wykorzystanie wrażliwych danych firmowych. Jak pracują?

- Czasami gramy policjantów, czasami złodziei – zawsze po dobrej stronie. Kiedy gramy złodziei, to wcielamy się w rolę hakerów na zlecenie naszych klientów. Próbujemy zdalnie włamać się do systemu, a wielokrotnie nawet fizycznie dostać się do budynku – to wszystko w celu wykazania braków w zabezpieczeniach – mówi Leszek Tasiemski z F-Secure, który opowiedział mi o pracy pentestera.

Krok 1: dogadanie się z firmą

Instytucja ( np. bank) zgłasza się do penterów z prośbą o przeprowadzenie testów. Wówczas siada się do rozmów, podczas których mówi się o:

  • Scenariuszu –  haker może być pracownikiem firmy o złych intencjach, albo osobą z zewnątrz – gościem, albo podwykonawcą. Ustala się również rzeczy, których hakerom robić nie wolno.
  • Celu – np. dostęp do systemu finansowego.
  • Budżecie – hakerzy muszą się poruszać w ramach ustalonego budżetu zniszczeń. Łapie się do niego np. zbicie szyby, aby fizycznie wyciągnąć serwer.

Krok 2: Rozpoznanie

Najpierw trzeba zidentyfikować potencjalne cele. W tym celu dzwoni się do pracowników i sprawdza ich media społecznościowe, a także wysyła maile phisingowe – wszystkie informacje mogą być przydatne w planowaniu ataku.

W ostatnim eksperymencie pracownicy F-Secure rozesłali sfałszowany mail  udający wiadomość z serwisu LinkedIn, żeby sprawdzić, ilu pracowników kliknie w link podany w mailu. Wynik był zatrważający, bo kliknęło aż 52 proc. odbiorców. W innym eksperymencie stworzyli oni mail prowadzący do sfałszowanego portalu. W tym przypadku w przekierowujący link kliknęło 26 proc. osób, a 13 proc. osób zalogowało się na sfałszowanej stronie, używając swoich danych logowania. Skuteczność jest więc wysoka.

Do tego niekiedy zdarza się szukanie wydruków maili w śmietnikach, podrzucanie zainfekowanego pendrive’a na parkingu firmowym czy próba zdobycia hasła do sieci bezprzewodowej od recepcjonistki, podając się za nowego pracownika – dzień, jak co dzień w pracy pentestera. Zdarza im się również wchodzić do budynku w przebraniu elektryków lub udawać dziennikarzy kierujących się na konferencję prasową

Krok 3: Atak

Scenariusze ataku są różne, bo i różne są luki w systemach. Czasami historie bywają jednak naprawdę niespodziewane.

Jeden z pentesterów wspomina, że chciał kiedyś wejść do budynku w odblaskowej kamizelce, jako ekipa naprawcza. W drzwiach zatrzymał go ochroniarz z pytaniem o powód wejścia do firmy. Pentester odpowiedział, że testuje bezpieczeństwo, bo tak było w istocie i... został wpuszczony.

Innym razem razem w podobnych warunkach pentesterowi udało się dostać do pokoju IT, gdzie do firmowej sieci podłączył router. Traf chciał, że następnego dnia firma przeprowadziła gruntowne sprzątanie właśnie w tym pomieszczeniu. Nikt się nie zorientował, że w sieci pozostaje nadliczbowe urządzenie. Starto tylko pod nim trochę kurzu.

Co by się stało gdyby taki haker został złapany na gorącym uczynku?

O przeprowadzaniu testu najczęściej wie tylko zarząd firmy. Pracownicy i służby bezpieczeństwa już nie. Dlatego zdarza się, że pentestera zgarnia policja. Właśnie na taką okazję przygotowuje się "kartę wyjścia z więzienia" (prawie jak w Monopoly), która mówi o całej umowie i daje kontakt do zarządu.

Krok 4: Raport

Dokument podsumowujący jest w istocie jedynym produktem pentestów. Klienci z reguły ze zrozumieniem podchodzą do ich pracy, a później nawet proszą o konsultacje przy łataniu zabezpieczeń. Kiedyś jeden ze zleceniodawców powiedział nawet: "Cieszę się, że znaleźliście to przed Rosjanami".

Kto może zostać pentesterem?

Warto jednak pamiętać, że nie tylko umiejętności decydują o zostaniu pentesterem:

Wszyscy pracownicy mają „czystą przeszłość” i niezmiernie twardy kręgosłup moralny – jest to dla nas bardzo istotne, ponieważ musimy ufać ludziom, którzy mają dostęp do bardzo wartościowych informacji. Nie akceptujemy nawet najlepszych hakerów, którzy mieli w przeszłości coś na sumieniu – tłumaczy Tasiemski.

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst