Pentesterzy hakują nie tylko zza biurka. Jak atakuje się firmę na jej własne życzenie?
Pentesterzy to legalni hakerzy, którzy dogadują się z firmami, że za opłatą sprawdzą ich zabezpieczenia, czyli spróbują się włamać do systemu. Ich celem jest znalezienie luk w zabezpieczeniach, a nie wykorzystanie wrażliwych danych firmowych. Jak pracują?
- Czasami gramy policjantów, czasami złodziei – zawsze po dobrej stronie. Kiedy gramy złodziei, to wcielamy się w rolę hakerów na zlecenie naszych klientów. Próbujemy zdalnie włamać się do systemu, a wielokrotnie nawet fizycznie dostać się do budynku – to wszystko w celu wykazania braków w zabezpieczeniach – mówi Leszek Tasiemski z F-Secure, który opowiedział mi o pracy pentestera.
Krok 1: dogadanie się z firmą
Instytucja ( np. bank) zgłasza się do penterów z prośbą o przeprowadzenie testów. Wówczas siada się do rozmów, podczas których mówi się o:
- Scenariuszu – haker może być pracownikiem firmy o złych intencjach, albo osobą z zewnątrz – gościem, albo podwykonawcą. Ustala się również rzeczy, których hakerom robić nie wolno.
- Celu – np. dostęp do systemu finansowego.
- Budżecie – hakerzy muszą się poruszać w ramach ustalonego budżetu zniszczeń. Łapie się do niego np. zbicie szyby, aby fizycznie wyciągnąć serwer.
Krok 2: Rozpoznanie
Najpierw trzeba zidentyfikować potencjalne cele. W tym celu dzwoni się do pracowników i sprawdza ich media społecznościowe, a także wysyła maile phisingowe – wszystkie informacje mogą być przydatne w planowaniu ataku.
W ostatnim eksperymencie pracownicy F-Secure rozesłali sfałszowany mail udający wiadomość z serwisu LinkedIn, żeby sprawdzić, ilu pracowników kliknie w link podany w mailu. Wynik był zatrważający, bo kliknęło aż 52 proc. odbiorców. W innym eksperymencie stworzyli oni mail prowadzący do sfałszowanego portalu. W tym przypadku w przekierowujący link kliknęło 26 proc. osób, a 13 proc. osób zalogowało się na sfałszowanej stronie, używając swoich danych logowania. Skuteczność jest więc wysoka.
Do tego niekiedy zdarza się szukanie wydruków maili w śmietnikach, podrzucanie zainfekowanego pendrive’a na parkingu firmowym czy próba zdobycia hasła do sieci bezprzewodowej od recepcjonistki, podając się za nowego pracownika – dzień, jak co dzień w pracy pentestera. Zdarza im się również wchodzić do budynku w przebraniu elektryków lub udawać dziennikarzy kierujących się na konferencję prasową
Krok 3: Atak
Scenariusze ataku są różne, bo i różne są luki w systemach. Czasami historie bywają jednak naprawdę niespodziewane.
Jeden z pentesterów wspomina, że chciał kiedyś wejść do budynku w odblaskowej kamizelce, jako ekipa naprawcza. W drzwiach zatrzymał go ochroniarz z pytaniem o powód wejścia do firmy. Pentester odpowiedział, że testuje bezpieczeństwo, bo tak było w istocie i... został wpuszczony.
Innym razem razem w podobnych warunkach pentesterowi udało się dostać do pokoju IT, gdzie do firmowej sieci podłączył router. Traf chciał, że następnego dnia firma przeprowadziła gruntowne sprzątanie właśnie w tym pomieszczeniu. Nikt się nie zorientował, że w sieci pozostaje nadliczbowe urządzenie. Starto tylko pod nim trochę kurzu.
Co by się stało gdyby taki haker został złapany na gorącym uczynku?
O przeprowadzaniu testu najczęściej wie tylko zarząd firmy. Pracownicy i służby bezpieczeństwa już nie. Dlatego zdarza się, że pentestera zgarnia policja. Właśnie na taką okazję przygotowuje się "kartę wyjścia z więzienia" (prawie jak w Monopoly), która mówi o całej umowie i daje kontakt do zarządu.
Krok 4: Raport
Dokument podsumowujący jest w istocie jedynym produktem pentestów. Klienci z reguły ze zrozumieniem podchodzą do ich pracy, a później nawet proszą o konsultacje przy łataniu zabezpieczeń. Kiedyś jeden ze zleceniodawców powiedział nawet: "Cieszę się, że znaleźliście to przed Rosjanami".
Kto może zostać pentesterem?
Warto jednak pamiętać, że nie tylko umiejętności decydują o zostaniu pentesterem:
Wszyscy pracownicy mają „czystą przeszłość” i niezmiernie twardy kręgosłup moralny – jest to dla nas bardzo istotne, ponieważ musimy ufać ludziom, którzy mają dostęp do bardzo wartościowych informacji. Nie akceptujemy nawet najlepszych hakerów, którzy mieli w przeszłości coś na sumieniu – tłumaczy Tasiemski.
