19.9.2018 11:24 | Bezpečnosť

Top Ako pracuje elita počítačovej bezpečnosti

Export v oblasti IT bezpečnosti hovoril aj o tom, ako pracuje elita počítačovej bezpečnosti
Export v oblasti IT bezpečnosti hovoril aj o tom, ako pracuje elita počítačovej bezpečnosti Zdroj: Ján Trangel

Základný problém Windows je návyk jeho používateľov, keď klikajú bez premýšľania na niečo, čo sa spustí, hovorí v rozhovore odborník na IT bezpečnosť.

Ako pracujú elitní odborníci na počítačovú bezpečnosť, ktorí odhaľujú zraniteľnosti? Je možné smartfóny považovať za reálnu hrozbu a je lepšie chránený iOS alebo Android? Sú macOS či Linux bezpečnejšie ako Windows? Aj na tieto témy sa s nami rozprával expert v oblasti IT bezpečnosti William Ischanoe.

Čo si myslíte o bezpečnosti smartfónov? Môžeme ich považovať za bezpečené alebo si so sebou nosíme každý deň malé odpočúvacie zariadenie?

Nedá sa to povedať vo všeobecnosti. Ľudia na smartfónoch spustia prakticky čokoľvek a každá aplikácia žiada nejaký súbor oprávnení. Používateľovi je zväčša jedno, aké práva sú vyžadované. Aj keď aplikácia na začiatku žiada len o prístup na internet, v ďalšej aktualizácii si pýta prístup k SMS, v ďalšej o prístup k mikrofónu a používateľ to všetko odsúhlasí.

Nevie totiž, čo tá aktualizácia prináša, nevie, prečo žiada dané oprávnenie. Ľudí, ktorí sa naozaj nad udeleným každého oprávnenia zamyslia, je málo. Aj teraz vám na mobile beží aplikácia, ktorá ma nahráva, a pritom nemáte ani zapnutý displej a všetko funguje. Rovnako je to pri akejkoľvek ďalšej aplikácií, ktorú ste si nainštaloval a udelil jej rôzne oprávnenia. Dnes je to teda akýsi štandardný stav.

Kto je William Ischanoe

Oblasti IT bezpečnosti sa v praxi venuje viac ako 20 rokov. Zaoberá sa Windows komponentmi z pohľadu bezpečnosti, autentizáciou, infraštruktúrou pre overovanie totožnosti a šifrovanie komunikácie PKI (Public Key Infrastructure), bezpečnostnými protokolmi IPSec a Wi-Fi.


Je držiteľom viacerých certifikátov v oblasti počítačovej bezpečnosti. Tento rok aj v roku 2016 bol ocenený cenou EC-council Global Awards v kategórii Instructor Circle of Excellence Award. V súčasnosti je odborným garantom kurzov IT bezpečnosti a hackingu IT.


V piatok vystúpi na konferencii Hackerfest 2018 v Bratislave. Lístky sú už vypredané.

Používate na svojom smartfóne alebo notebooku nejaký systém biometrického zabezpečenia, ako snímač odtlačkov či skener tváre?

Áno, je to pre mňa jednoduchšie. Mám viac smartfónov, na niektorých používam PIN, na iných biometriu. Biometria je vhodnejšia, pretože je lepšia ako nič. Otázka je, aká je to biometria, a keď ide napríklad o snímanie tváre, ako si poradí s fotkou používateľa. Keď ide o senzor odtlačkov, môžete zájsť do obchodu a kúpiť si základnú sadu na sňatie odtlačkov.

Ilustračná snímka fotogaléria / 4
Biometria je vhodnejšia, pretože je lepšia ako nič (Ilustračná snímka). Zdroj: iStock

Potom si môžete ich kópiu napríklad vytlačiť, a netreba na to ani 3D tlačiareň. Keď totiž tlačíte niečo cez plastovú fóliu, zvrásni sa. Máte teda kópiu odtlačku, na ktorú vám stačilo hračkárske náradie v hodnote 10 eur. Je otázne, ako tento odtlačok posúdi cieľový smartfón, či bude snímať napríklad aj vodivosť a iné parametre. Keď ide o vodivosť, môžete použiť gél s rovnakou vodivosťou ako ľudská pokožka, pri vyžadovaní rozsahu teploty odtlačok jednoducho zahrejete. Niektoré snímače odtlačkov takto dokážete oklamať.

Dúfajme, že pokročilejšie technológie ako Face ID sú o niečo lepšie. Priznám sa, že neviem. Používam ho, no nesnažil som sa ho ešte obísť.

Vnímate uloženie odtlačku prsta do smartfónu ako bezpečné? Neobávate sa možnosti ďalšieho zneužitia?

Akákoľvek biometria je zo svojej podstaty peklo. Niektoré firmy dokonca pretláčajú biometriu na overenie podpisu a podobne, čo je strašné zverstvo. Fór je totiž v tom, že keď sa napríklad dotknete pohára a odídete, ja môžem odtlačok skopírovať, a vám na prste ostane rovnaký „údaj“ po zvyšok života.

„Akákoľvek biometria je zo svojej podstaty peklo.“

Jedna vec teda je, že biometriu môže niekto skopírovať, druhá, že odtlačok je nahratý niekde do firmvéru, no neviete kde. Spoliehate sa, že telefón ho uloží do internej pamäte a nebude s ním nič robiť, ale čo skutočne viete? Na telefón môže doraziť nová aktualizácia, v rámci ktorej sa tieto údaje môžu odoslať ďalej.

Biometria je teda dobrý zabezpečovací doplnok, ktorý by však nemal byť primárnym zabezpečením. To znamená, že je vhodné kombinovať biometriu s heslami či overovacími SMS, a musí to byť spojené.

Biometria zároveň spadá pod ochranu osobných údajov, a pri použití vo firme ich teda spoločnosť nesmie skladovať. Kam teda správca tieto dáta „odleje“, čo sa s nimi bude diať? To je obrovský problém.

O morálke používateľov operačných systémov

Čitatelia často opakujú, že Windows ako platforma nie je bezpečný, a pokiaľ chce byť človek v bezpečí, mal by používať Linux alebo macOS. Aký je váš názor?

Je to určitý klamlivý pocit, daný nedostatkom bezpečnostnej morálky, ktorá majú používatelia Windowsu. Systém ako taký môže byť bezpečný na rovnakej úrovni, ako jeho konkurencia. Používatelia sa však k Windowsu chovajú ako „prasatá“, a málokto z nich si to prizná. To je dané našou výchovou.

Ilustračná snímka fotogaléria / 4
Používatelia sa k Windowsu chovajú ako „prasatá“ (Ilustračná snímka). Zdroj: iStock

Pri prvom kontakte s Windowsom, kedysi dávno, sme objavili Prieskumníka a fakt, že môžeme klikať na súbory. Príde nám úplne prirodzené, že môžeme kliknúť na TXT súbor (textový dokument, pozn. redakcie), ale z nejakého dôvodu je rovnako prirodzené kliknúť aj na súbory s koncovkou EXE, VBS či BAT, ktoré možno spustiť. Na disku pritom máte plno spustiteľného kódu, o ktorom nič neviete. A keďže tu nie je žiadne oddeľovanie pamäti, akonáhle v nej beží kód pod vašim kontom, môže robiť všetko to, čo ostatné aplikácie.

Čítajte aj Video: Ako sme sa dostali od hesla k tvárovej biometrii

Takže základný problém Windows je návyk jeho používateľov, keď klikajú bez premýšľania na niečo, čo sa spustí. V tomto smere sú tie druhé systémy určite lepšie. Napríklad v macOS to máme filtrované cez App Store, respektíve nutnosťou nainštalovania používateľom. Linux už z princípu používajú zdatnejší používatelia s lepšími návykmi.

„Základný problém Windows je návyk jeho používateľov, keď klikajú bez premýšľania na niečo, čo sa spustí.“

Druhá časť problému na Windowsoch sú makrá, ktoré sa na platforme často spájajú s ransomvérom. Ľudia si však napriek nadávkam na systém za to môžu sami, lebo nedbajú na opatrnosť voči makrám a nemajú morálku pri strážení aplikácií. Je to podobné, ako keď svojim deťom v puberte požičiate chatu, nech sú na nej celý mesiac. Otázka znie, ako to dopadne. Všetci vieme, že si môžete zháňať nové bývanie.

Sú teda podľa vás Windows, macOS aj Linux zabezpečené zhruba rovnako?

Ak by sme sa teoreticky chovali čisto morálne, v tom prípade dopadnú všetky platformy zhruba rovnako. Používatelia Linuxu či macOS majú často pocit, že ich systém je bezpečný. Pritom si však vezmime, že či už máme macOS alebo Linux, rovnako do nich budeme inštalovať nové aktualizácie platformy či programov kvôli dieram v kóde.

Ak však vieme, že v systéme existujú diery, čo je zákonité, ako sa potom môžeme cítiť bezpečne? Je to teda otázka toho, kam ľudia „lezú“. Ľudia si často myslia, že keď ich bude niekto hackovať, prenikne k nim z internetu do vnútornej siete. Je však omnoho jednoduchšie dať na internet stránky, ktoré budú zaujímať ľudí.

V okamihu, kedy sa stránka nahrá do počítača, beží v jeho pamäti nejaký kód. My sa spoliehame na ochranné prvky v prehliadači, aby kód skontrolovali a limitovali len na potrebný priestor. Ak však niekto vykoná „exploitáciu“ (zneužije zraniteľnosť kódu, pozn. redakcie), dostane sa mimo sandbox prehliadača na úroveň používateľa. Potom je otázka, čo všetko dokáže napáchať, ako je naprogramovaný daný program. Vo finále si môžete predstaviť plugin prehliadača, ktorý vám dovolí niečo načítať z disku. Ak to môže urobiť doplnok, dokáže to aj exploit prehliadača.

Ak sa bavíme o mobilných systémoch, myslíte si, že iOS je bezpečnejší ako Android, alebo naopak?

iOS je spomedzi mobilných platforiem naozaj najlepšie zabezpečený, hoci pri cene zariadení nie je dostupný všetkým. Mobilný Windows bol svojho času taktiež dobrý, keby ho Microsoft neodpísal kvôli zlému marketingu.

„iOS je spomedzi mobilných platforiem naozaj najlepšie zabezpečený, hoci pri cene zariadení nie je dostupný všetkým.“

Nie je to tak dávno, čo rezonovala veľká kauza, kedy FBI nevedela prelomiť zabezpečenie iPhonu. Dáta pritom potrebovala pri vyšetrovaní. Myslíte si, že smartfóny sú skutočne takto dobre zabezpečené?

Existuje celá plejáda firiem, ktoré vo forme služby ponúkajú prelomenie týchto operačných systémov. Nie je to tak dlho, čo informácie jednej z nich prenikli na verejnosť, spomeňte si na kauzu Hacking Teamu.

Ilustračná snímka fotogaléria / 4
Existuje celá plejáda firiem, ktoré vo forme služby ponúkajú prelomenie týchto operačných systémov (Ilustračná snímka). Zdroj: Pixabay

Ale pozrime sa na to inak. Jedna vec je, keď máte zamknuté zariadenie na stole a nemôžete s ním nič robiť. A druhá vec, keď sa ním sledovaný používateľ pohybuje v teréne. Vtedy otvorí nejaké stránky, pripojí sa do nejakej siete a podobne, na základe čoho s ním môžeme prichádzať do určitej interakcie.

Možno mu teda niečo podhodiť, vďaka čomu sa dá neskôr do zariadenia dostať. Myslíte si, že toto je bežnejší postup?

Áno. Nemusí to byť len o podhodení, to zariadenie môže obsahovať dieru, ktorá je známa len určitému okruhu ľudí. Exploity zväčša nie sú robené pre vypnuté zariadenia. Fungujú napríklad na báze toho, že sa dostanete do blízkosti zariadenia, ktoré je pripojené na vašu sieť, a ako útočník medzi Wi-Fi a zariadením mu podsúvate obsah, ktorý chcete.

Ďalší bežný scenár je, že zariadenie necháte zapnuté a akurát si pôjdete odskočiť. Potom vám doň môžu pripojiť konektor a niečo s ním skúsiť. Zariadenie by síce malo disponovať ochrannými prvkami, ale práve na ich obídenie cielia exploity.

Ako pracuje elita počítačovej bezpečnosti

Skúste zjednodušene popísať, ako prebieha celý „ekosystém“ v procese objavovania a zverejňovania zraniteľností.

Ide o to, že určitý tím odborníkov môže objaviť neštandardné chovanie aplikácií v rôznych situáciách. Potom sa do hĺbky zaoberajú tým, akým spôsobom bol programovaný konkrétny plugin alebo časť danej aplikácie. Niekedy sa „diera“ objaví úplne náhodne, niekedy zase na základe predtipovaného súboru dát, ktoré sa vložia do zariadenia a následne sa sleduje, čo spôsobia. Ľudia, ktorí toto objavujú, sú čisto profesionáli, elita počítačovej bezpečnosti. Preto chcú často byť videní.

Chcú byť videní? Nie skôr naopak?

To sa, samozrejme, líši. Ale tí, ktorí chcú byť vidieť, to dávajú o sebe dosť jasne najavo. To sú napríklad problémy, na ktoré upozorňujú Microsoft a Google. Teda veľkých hráčov, ktorí prirodzene pútajú pozornosť.

Čo sa deje v momente, keď sa zraniteľnosť objaví?

Nejaká skupina objaví zraniteľnosť a vtedy na ňu ešte neexistuje záplata. Nastáva teda stav, kedy máme takzvanú zero-day zraniteľnosť, proti ktorej zatiaľ nemáme možnosť sa brániť. Aj preto dnes nízkoúrovňoví programátori nemajú núdzu o prácu. Objavia takúto zraniteľnosť, a teraz je na ich morálke, čo urobia ďalej.

Heslá si takto zatiaľ uskladnilo 28 ľudí.
Čítajte aj Kryptomeny ukryté v DNA? Možné je všetko

Samozrejme, okrem morálky vstupujú do hry aj financie. Po objavení chybu nahlásite výrobcovi, aby na ňu mohol vytvoriť záplatu. V tej chvíli dostane nálezca kredit v tom zmysle, že ho všetci poznajú ako objaviteľa zraniteľnosti, všetci ho poznajú, a všetko je fajn. Otázka znie, či mu dobré meno a svedomie pomôže pri splácaní hypotéky. Keď nabudúce objaví ďalšiu zraniteľnosť, môže sa s ňou preto zveriť niekomu inému. Existujú skupiny, ktoré takéto zraniteľnosti skupujú, a prenajímajú prístup do ich databázy za účelom zneužitia.

Čiže vy ako dodávateľ kontaktujete niektorú z firiem, pošlete im svoj kód na preverenie a následne sa dohodnete na odmene?

Presne tak.

Čo robí firma so zraniteľnosťou ďalej? Dá to na nejaké trhovisko alebo upozorňuje svojich klientov priamo?

Je to forma prenájmu služby. Tak, ako si môžete prenajať výpočtový výkon, môžete si prenajať aj možnosť zneužiť niektorú zo zraniteľností.

„Tak, ako si môžete prenajať výpočtový výkon, môžete si prenajať aj možnosť zneužiť niektorú zo zraniteľností.“

A poskytnú vám komplexnú službu aj s vykonaním alebo vám povedia, ako máte zneužitie urobiť sám?

To záleží na prístupe a na tom, do akej miery si môže firma dovoliť exponovať kód.

Väčšinou teda prenajímajú jednu zraniteľnosť viacerým subjektom alebo iba jednému?

To je už veľmi interná vec, čiže toto netuším.

Ako sa v tomto prostredí chovajú veľké firmy, na ktoré mieri väčšina takýchto zraniteľností?

Veľké firmy sa snažia brániť, odhaliť napádanie. Preto investujú veľké sumy do preventívnych a diagnostických riešení. Diagnostickými riešeniami myslím nástroje na sledovanie určitého chovania, sledovanie signatúr v logoch, teda čo sa dialo v systémoch a podobne. Na exploity však väčšina firiem nie je dobre pripravená. Niektoré veľké firmy sa snažia brániť napríklad obmedzením právomocí používateľa alebo majú vyriešené sledovanie tak, že sa nedá dostať k citlivým údajom bez povšimnutia. Týchto firiem je však málo.

Keď sa pozriete na bežné organizácie, väčšinou riešia úplne iný problém. Riešia ľudí, ktorí sedia doma a naprogramujú napríklad ransomvér, ktorý sa do firmy dostane úplne primitívnym spôsobom. Ja napríklad učím ľudí z rôznych veľkých firiem, ktorým ukazujem rôzne formy malvéru, ktoré sa spustia úplne nenápadne a často ich nezachytí ani antivírus. Robíme to v podobe spustiteľných súborov, makier, odkazov a podobných vecí, na ktoré ľudia klikajú.

Diskusia 11 Príspevkov