NISMO JOŠ NAŠLI BANKOMAT KOJI NISMO USPJELI HAKIRATI
Umjetna inteligencija skenira sustave i predviđa hakerske napade, ali mogu je koristiti i kriminalci
Osobni podaci nikad nisu bili u većoj opasnosti nego što su to danas. U užurbanom internetski povezanom svijetu sve više koristimo aplikacije i servise u oblaku, ali se istovremeno i izlažemo potencijalnom curenju podataka pa i hakerskom napadu. U 2018. i 2019. godini globalno je kompromitirano oko 566 milijuna podataka. Kompanije gube milijarde dolara zbog hakerskih krađa cijelih paketa baza podataka s podacima privatnih korisnika. U problemima su čak i kompanije koje su navikle biti izloženi kibernetičkim napadima – iz financijske industrije. Ako se sjetite nekih slučajeva iz Hrvatske proteklih nekoliko godina, imali smo više slučajeva da su lopovi izazvali eksplozije bankomata i ukrali novac. No cyber kriminalci su još opasniji i mogu oteti novac iz bankomata bez dima i buke. O izazovu sigurnosti i prijetnjama kibernetičkih napada razgovaramo s Charlesom Hendersonom, šefom specijalizirane IBM-ove sigurnosne kompanije X-Force Red. Misija te kompanije jest simulirati hakerske napade i time testirati obranu kompanija te ukazati na mane u
sustavima i infrastrukturi. Stoga, ne čudi da im je moto “hakirati bilo što da osiguramo sve”. Charles je u mladim danima i sam bio haker. Postao je poznat kada je završio na televiziji nakon što je hakirao svoj bivši automobil novom vlasniku tri godine nakon prodaje – tako što mu je trubio u gluho doba noći. Danas se sa svojim nekonvencionalnim timom bivših hakera brine o sigurnosti najvećih svjetskih brendova.
– Banke su danas toliko pod napadom da nas potiho pitaju za pomoć. Imamo 500 posto više zahtjeva za testiranje sigurnosti njihovih bankomata, to je povećanje samo u odnosu na prošlu godinu. Kriminalac ne mora ni dotaknuti bankomat da se okoristi, može ostati sjediti doma i poslati svoje ljude odjevene u službene uniforme da mirno pokupe novac s bankomata koje je već hakirao online – kaže Henderson koji nam je čak i pokazao videosnimku izvlačenja 5000 dolara iz bankomata – bez ikakve kartice!
Koliko je potrebno da se hakira bankomat?
– Da pronađemo manu određenog bankomata, prvo moramo upasti na server kojim se upravlja. To mi i napravimo, dakako uz dopuštenje i znanje banke koja nas je unajmila da testiramo njihov sustav. Od trenutka kada smo pronašli jedan bankomat s manom do trenutka kad smo mogli učiniti da nam “ispljune” novac kada zaželimo proteklo je tjedan dana.
Za što je sve zadužen vaš tim?
– Može se reći da mi isprobavamo sigurnost svijeta. Mi smo vam kao đavolji odvjetnik. Od tvrtki za kibernetičku sigurnost uvijek ćete čuti da oni pokušavaju pospješiti sigurnost. Drugi izgrađuju sigurnost, a onda dođemo mi – naš je cilj srušiti im obranu. Uživamo u tome, ali rušimo obranu s ciljem, da je testiramo. Sigurno je kompanijama puno draže dobiti od nas detaljan izvještaj sa svim manama nego da dobiju vijest da su njihovi sustavi kompromitirani, a podaci korisnika ukradeni.
Jesu li neke regije izloženije napadima?
– Postoje različiti trendovi, ali na kraju dana svaki kriminalac želi doći do novca, s čim manje muke, otpora i zaštite koju treba probiti. Nije vam ovo svijet Jamesa Bonda pa čak niti Austina Powersa, nema među hakerima morskih pasa s laserima, to je sve prekomplicirano. Kriminalce zanima povrat investicije, baš kao biznismene, pa će i oni ići putem koji im donosi najviše profita.
Uspijete li upasti u nečiji sustav svaki put?
– Ne baš svaki put. Ali ovisi i o meti. Nismo još našli neki bankomat u koji ne bismo upali, bilo gdje u svijetu. Ali testiramo različite sustave, pitanje je stupanj dubine osiguranja, dubine mane. Ne postoji apsolutna sigurnost. Nastojimo svakog klijenta ostaviti u puno boljem stanju.
Približite nam malo što stoji u pozadini sigurnosne provjere mrežne infrastrukture?
– Poznati slučaj WannaCry ispao je veliki sigurnosni problem zbog izostanka samo jedne zakrpe u sustavu. Sad to stavite u ovu perspektivu – svaka tvrtka ima od nekoliko tisuća do nekoliko milijuna ranjivih točaka u sustavu koje nisu zakrpane! Te ranjive točke pokušavaju se rangirati po ocjenama, što je prije bilo lako. No danas više nema 50-60 izloženih točaka, nego tisuće i milijuni. Zato mi predlažemo renking sustav, kao što imate pjesmu broj 1 pa broj 2 ili 3 u svakoj regiji, tako mi možemo rangirati ranjive točke u sustavu određenih kompanija. Ako riješiš 50 ranjivosti za koje je najizglednije da će ih hakeri iskoristiti, onda si puno pomogao sigurnosti svoje kompanije.
Koliko smo danas sigurniji nego prije?
– Generalno bolje shvaćamo sigurnosne prijetnje i što učiniti kada se dogodi napad. Prije 10 godina svi su još bili u stanju poricanja i mislili “ma neće nas nitko napasti”. Natjerali smo industriju da gleda da je pitanje kada, a ne hoće li se napad dogoditi. Klijente pripremamo na reakciju. Zapravo smo sve bolji iako izvana izgleda da imamo sve više propusta.
Izvana izgleda kao da su kriminalci uvijek korak ispred.
– Kriminalci ne odustaju. Imaju posao i adaptiraju se, a zato se i mi moramo prilagođavati. Jako smo se poboljšali u otkrivanju prijetnji i shvaćanju što se događa jednom kad se napad dogodi. Umjetna inteligencija skenira sustave i predviđa upade. Ali umjetnu inteligenciju mogu koristiti i kriminalci. Također, AI bolje funkcionira u napadu nego u obrani. Jer za napad trebaš samo jedan uspješan upad, a obrana mora naći i zaustaviti svaki pokušaj proboja. To je posebno zahtjevno danas kada je računalstvo u oblaku toliko rašireno. Učinili smo da je vrlo lako plasirati stvari u oblak, to je super za IT, ali užas za sigurnost.