Nemá vždy k dispozícii otvorenú bránu na vstup do cieľovej siete. Stále však môže preniknúť do cieľového systému pomocou vektora útoku na ľudí tak, že prinúti používateľa vykonať škodlivý kód, ktorý mu potom umožní prístup do cieľového systému napríklad prostredníctvom zadných vrátok. Nielen taktiku hackerov priblížil v rozhovore pre náš magazín Spektrum zástupca riaditeľa Ústavu počítačového inžinierstva a aplikovanej informatiky FIIT STU v Bratislave, docent Ladislav Hudec.
foto: Archív FIIT STU
Pán docent, venujete sa bezpečnosti informačných systémov. Mohli by ste nám túto oblasť priblížiť?
Ak dovolíte, najprv by sme sa trocha zorientovali v základnej terminológii, pretože u nás sa používa aj termín kybernetická bezpečnosť. Skúsme si teda objasniť vzťah týchto dvoch pojmov. Kybernetická bezpečnosť sa chápe ako informačná bezpečnosť kybernetického priestoru alebo technickej informačnej a komunikačnej infraštruktúry.
V akom je vzťahu k informačnej bezpečnosti?
Z vecného hľadiska je jej podmnožinou. Takže všeobecne by sme mali hovoriť o informačnej bezpečnosti. Samozrejme, vynára sa otázka charakteristiky tohto samotného pojmu; ten má súvis s aktívami informačného systému. Tie zasa predstavujú údaje, hardvér, softvér, infraštruktúra informačného systému vrátane personálu zabezpečujúceho a poskytujúceho informatické služby.
Ako by sme teda mohli definovať samotnú informačnú bezpečnosť?
Je to charakteristika informačného systému vyjadrená vlastnosťami aktív z pohľadu dôvernosti, integrity a dostupnosti. Dôvernosť znamená, že iba oprávnení používatelia majú prístup k aktívu. Integrita, že modifikovať aktívum je možné iba predpísaným spôsobom. A dostupnosť, že ak používateľ požaduje od aktíva službu, dostane ju. Štandardmi pre informačnú bezpečnosť je rad technických noriem ISO 27000.
Mnoho procesov sa postupom času z reálneho sveta presunulo do kybernetického priestoru. Ako by ste porovnali úroveň bezpečnosti v týchto dvoch prostrediach?
Áno, penetrácia internetu do spoločnosti a s ňou súvisiaci nárast poskytovaných elektronických služieb presúva mnoho procesov z priestoru reálneho sveta do kybernetického priestoru. Logickou požiadavkou na procesy v ňom teda je, aby úroveň ich bezpečnosti bola aspoň taká, ako je úroveň bezpečnosti v reálnom svete.
Ak porovnáme bezpečnostné hrozby v oboch svetoch, dali by sa definovať porovnateľne?
Nie, sú kvalitatívne iné. Uvediem klasický príklad dokumentujúci túto skutočnosť. Ak chce zločinec v reálnom svete ukradnúť peniaze z banky, musí tam fyzicky prísť, prekonať opatrenia fyzickej bezpečnosti banky a peniaze vziať. Krádež peňazí z banky v kybernetickom priestore sa dá realizovať prelomením opatrení informačnej bezpečnosti banky z ktoréhokoľvek miesta na svete, kde je dostupný internet.
Dá sa definovať, ktorý mechanizmus výraznejšie napomohol k zvýšeniu bezpečnosti procesov v kybernetickom priestore?
Internet a kybernetický priestor v zásade poskytuje svojim používateľom anonymitu. Na zvýšenie bezpečnosti procesov bolo teda potrebné zaviesť všeobecný koncept identifikácie používateľov. Bol navrhnutý a implementovaný mechanizmus infraštruktúry verejného kľúča.
V čom spočíva?
Povedzme, že zodpovedá mechanizmu občianskych preukazov v reálnom svete. V ňom občan preukazuje svoju identitu spomínaným občianskym preukazom, na ktorom je hlavným identifikačným znakom fotografia. V kybernetickom priestore používateľ preukazuje identitu svojím certifikátom verejného kľúča a hlavným identifikačným znakom je práve ten kľúč. Občiansky preukaz vydáva dôveryhodný orgán štátnej správy, ktorý v ňom bezpečným spôsobom zväzuje identitu občana s jeho fotografiou. Certifikát verejného kľúča používateľa vydáva dôveryhodná certifikačná autorita, ktorá v ňom bezpečným spôsobom zväzuje identitu používateľa s jeho verejným kľúčom.
Spomeňme v tejto súvislosti elektronický podpis. Kde tu má miesto?
Je ďalším významným bezpečnostným konceptom v kybernetickom priestore. Zároveň je súčasťou infraštruktúry verejného kľúča. Certifikačná autorita pri vydávaní certifikátu verejného kľúča používateľa vlastne svojím podpisom potvrdzuje väzbu identity používateľa a jeho verejného kľúča.
Môžeme si priblížiť mechanizmus elektronického podpisu elektronického dokumentu?
Základným predpokladom je, že podpisovateľ vlastní privátny kľúč a verejný kľúč pre asymetrické šifrovanie a pre tento verejný kľúč má vydaný certifikát. Pri podpisovaní sa najprv z elektronického dokumentu vypočíta kontrolná suma, tá sa potom zašifruje privátnym kľúčom podpisovateľa. Zašifrovaná kontrolná suma predstavuje elektronický podpis elektronického dokumentu a logicky sa k dokumentu pripojí.
Ako funguje overenie platnosti?
Vykoná sa opačný proces. Elektronický podpis sa najprv dešifruje verejným kľúčom z certifikátu podpisovateľa, čím sa získa kontrolný súčet pôvodného elektronického dokumentu. Takto získaná kontrolná suma pôvodného dokumentu sa porovná so znovuvypočítanou kontrolnou sumou podpísaného elektronického dokumentu. Ak sú rovnaké, elektronický podpis je overený a podpis elektronického dokumentu je platný. V opačnom prípade nie.
Aký podpis sa dá ľahšie zneužiť? Elektronický v kybernetickom priestore alebo vlastnoručný v reálnom svete?
Ten vlastnoručný je vždy rovnaký, nezáleží na tom, aký dokument osoba podpisuje, respektíve aký je obsah dokumentu. Z tohto pohľadu je vlastnoručný podpis napodobiteľný, a teda podpísaný dokument môže byť falšovateľný.
Elektronický nie je všade rovnaký?
Nie. Ten je pre rôzne dokumenty rôzny. Ak by sme v elektronicky podpisanom dokumente zmenili čo len jeden znak, podpis sa stane neplatným a dokument falošným. To znamená, že elektronický podpis, okrem preukazovania autenticity podpisovateľa, chráni aj integritu dokumentu. Navyše, nie je možné elektronicky podpísať prázdny dokument, na rozdiel od reálneho sveta, kde je možné podpísať prázdny papier. Elektronický podpis je teda z bezpečnostného hľadiska podstatne lepší, ako vlastnoručný podpis v reálnom svete.
Poďme teraz k hackerom. Zaujímalo by ma, ako to pomenovanie vzniklo?
Pôvodne sa tak hovorilo expertom vyznajúcim sa v komplikovaných detailoch informačných systémov, ktorí boli schopní použiť systém spôsobom nad chápanie obyčajného používateľa. Po čase však označenie hacker získalo negatívny obsah, opisujúci osobu, ktorá nedovolene vniká do informačného systému. Stále však existuje rozdiel medzi bielymi klobúkmi (angl. white hats), ktorí využívajú svoje schopnosti na pomoc prevádzkovateľom informačných systémov, a čiernymi klobúkmi (angl. black hats), ktorí prenikajú do systému s úmyslom spôsobiť ťažkosti a škodu. Posledné roky je možné pozorovať na internete zvýšené množstvo jasných kriminálnych aktivít.
Je možné hackerov nejako „odstupňovať“?
Možno ich rozdeliť do dvoch základných skupín. V prvej sú tí, ktorých ambíciou je iba prekonanie bezpečnostných opatrení informačného systému organizácie a potvrdenie si svojich prienikárskych schopností. Druhou, podstatne nebezpečnejšou, sú kariérni zločinci. Táto skupina zvyčajne disponuje značnými zdrojmi na realizáciu hackerských útokov a ich cieľom sú najmä finančné zisky.
Skúste teraz laicky priblížiť, ako prebieha hackerský útok.
Útok hackera na informačný systém organizácie má niekoľko štandardných krokov. Prvým býva zbieranie informácií o cieľovom informačnom systéme. Počas tohto kroku hacker využíva celý rad verejne dostupných zdrojov s cieľom dozvedieť sa viac o organizácii a jej systéme. Tieto informácie je možné získať z internetových zdrojov, ako sú diskusné fóra, nástenky (angl. bulletin boards), diskusné skupiny (angl. newsgroups), články, blogy, sociálne siete a iné komerčné alebo nekomerčné internetové stránky. Čím viac infromácií hacker o organizácii a jej systéme zhromaždí, tým je väčšia šanca na úspešný útok.
Čo nasleduje potom?
Prieskum informačného systému. Tento krok útoku sa zaoberá predovšetkým identifikáciou stavu cieľovej siete, jej zodpovedajúcej sieťovej architektúry a uzlov (serverov) informačného systému. Hacker môže použiť pokročilé voľne šíriteľné nástroje a môže ľahko zistiť aktívne sieťové uzly, operačné systémy bežiace na týchto uzloch, a charakterizovať každé zariadenie podľa jeho úlohy v sieti. Tretím krokom je mapovanie zraniteľností na základe odhalených portov a služieb na uzloch informačného systému.
To sa dá ako dosiahnuť?
Prostredníctvom mnohých nástrojov na automatizované hodnotenie sieťových a aplikačných zraniteľností. Môže byť vykonaný tiež ručne, ale vyžaduje obrovské množstvo času a vyžaduje odborné znalosti. Následným, štvrtým krokom môže byť využitie sociálneho inžinierstva. Používanie umenia klamu je veľmi dôležité, a to vtedy, keď hacker nemá k dispozícii otvorenú bránu na vstup do cieľovej siete. Stále však môže preniknúť do cieľového systému pomocou vektora útoku na ľudí tak, že prinúti používateľa vykonať škodlivý kód, ktorý mu potom umožní prístup do cieľového systému napríklad prostredníctvom zadných vrátok (angl. backdoor).
Čo presne si môžeme predstaviť pod sociálnym inžinierstvom?
Realizuje sa v rôznych formách. Niekto môže predstierať, že je správca siete a po telefóne núti používateľa prezradiť informácie o konte (meno konta a prístupové heslo), alebo použije podvod typu e-mail phishing, ktorý smeruje na unesenie citlivých údajov používateľa. Existuje celý rad možností, ktoré hacker používa na dosiahnutie požadovaného cieľa. Z jeho pohľadu je dôležité si uvedomiť, že pre úspešný prienik musí niekedy, ešte pred použitím akéhokoľvek vhodného triku, venovať dodatočný čas na spoznanie ľudskej psychológie. A posledným krokom útoku hackera je vyťaženie cieľového informačného systému, čo znamená získanie prístupu a kontroly nad aktívom informačného systému organizácie. Po starostlivom preskúmaní objavených zraniteľností je možné preniknúť do cieľového systému napríklad na základe dostupných typov zneužitia (angl. exploits). Niekedy to vyžaduje ďalší výskum alebo modifikáciu existujúceho exploitu s cieľom jeho správneho fungovania. Túto úlohu je možné ľahšie splniť v prípade, že hacker používa vyspelé prieskumné nástroje.
V tejto súvislosti sa stretávame aj s pojmom etický hacking. Ide tam o opačné využitie uvedených schopností?
Tu začnem trocha zoširoka. Informačný systém organizácie predstavuje zvyčajne lokálnu počítačovú sieť s komplexnou infraštruktúrou pozostávajúcou zo serverov, pracovných staníc používateľov, sieťového prepojenia, bezpečnostných zariadení a nástrojov, a samozrejme príslušného systémového a aplikačného programového vybavenia a údajov. Táto lokálna počítačová sieť býva prepojená na internet. Aj keď organizácia disponuje kvalifikovanými administrátormi a vyškolenými používateľmi informačného systému a implementuje najlepšie praktiky informačnej bezpečnosti, môžu sa v informačnom systéme a v jeho pripojení na internet vyskytnúť bezpečnostné slabiny. Tie môžu hackeri zneužiť na útok na informačný systém organizácie a spôsobiť škodu alebo stratu aktív. Aby organizácie predišli neželaným útokom, objednajú si službu etického hackingu. To znamená, že etický hacker na základe zmluvy s organizáciou vykonáva útoky na informačný systém, aby zistil nepokryté bezpečnostné slabiny. Identifikuje ich, oznámi organizácii a tá ich odstráni. Samozrejme, etický hacker pri tejto činnosti nespôsobuje organizácii škodu alebo stratu aktív.
Poďme teraz k vašej fakulte. Ako, respektíve nakoľko prispieva pri výchove špecialistov na informačnú bezpečnosť? A ako by ste celkovo zhodnotili ich samotnú potrebu?
V súvislosti s plnením povinností inštitúcií verejnej správy a prevádzkovateľov základných služieb podľa zákona č. 95/2019 Z. z. O informačných technológiách vo verejnej správe a zákona č. 69/2018 Z. z. O kybernetickej bezpečnosti výrazne narástla potreba špecialistov v oblasti informačnej bezpečnosti. Treba však konštatovať, že na Slovensku ich je dlhodobo veľmi málo. Fakulta informatiky a informačných technológií STU včas zareagovala na takúto potrebu. Už v roku 2015 predložila na akreditáciu, ako prvá na Slovensku, študijný program Informačná bezpečnosť v študijnom odbore Informatika. Ten bol následne akreditovaný a fakulta ročne vychováva asi 20 absolventov bakalárskeho štúdia v tomto programe, v súčasnom akademickom roku aj prvú dvadsiatku absolventov inžinierskeho štúdia. Na výučbe v študijnom programe Informačná bezpečnosť sa podieľajú aj externí špecialisti, okrem iného aj zo spoločnosti Eset.
Prezraďte nám viac o vedeckom výskume u vás. Kam ho smerujete?
Vedecký výskum v oblasti informačnej bezpečnosti orientujeme do oblastí, ako sú metódy objektívneho ohodnotenia úrovne informačnej bezpečnosti v organizácii, bezpečnej komunikácie v mobilných ad hoc sieťach, zvyšovania bezpečnosti vo webových systémoch s využitím metód strojovej ineteligencie. V súčasnosti sme rozbehli výskum na tvorbe hier pre kybernetický polygón. Ide o implementáciu komplexných štruktúr informačných systémov v cloude.
Aký je princíp?
Taký, že na štruktúru informačného systému v kybernetickom polygóne v reálnom čase vykonáva červený tím útoky a modrý tím túto štruktúru pred útokmi chráni. Účelom takýchto hier je trénovať bezpečnostných špecialistov na obranu pred útokmi. Samozrejme, analýza mechanizmov útokov a obrana proti nim zároveň slúži na vedecký výskum.
Na záver poďme k vašim osobným aktivitám v manažmente vedy a techniky a medzinárodnej vedecko-technickej spolupráce. Čo z nich nám prezradíte?
Koncom roku 1992, keď bolo zrejmé, že vznikne samostatná Slovenská republika, som bol požiadaný vtedajším ministrom školstva profesorom Kučerom, aby som preniesol manažment medzinárodnej vedecko-technickej spolupráce z Prahy a Bruselu do Bratislavy. Ako riaditeľ SARC – Centra pre rozvoj vedy a technológie, priamoriadenej organizácie Ministerstva školstva, mládeže a športu SR, sme na národnej úrovni manažovali spolupráce PECO, INCO-COPERNICUS, PHARE sektor Veda a Technika a spoluprácu COST. Zaujímavým výstupom programu PHARE bola organizácia série seminárov na tému Zmluvný výskum a transfer technológií.
Ako sa to v tom období vnímalo?
Bola to zrejme nadčasová téma, pretože práve prebiehala masívna privatizácia a nové privátne podnikateľské subjekty mali iné starosti, než ako využiť výsledky výskumu pri tvorbe nových produktov a služieb. V spolupráci COST som v období 1993 až 2010 vykonával funkciu národného koordinátora a delegáta SR vo Výbore starších predstaviteľov. COST realizuje spoluprácu vedcov vo fáze predkonkurenčného výskumu a pre slovenských vedcov to bol a je výborný inštrument na zapájane sa do výskumného priestoru v rámci členských krajín Európskeho spoločenstva. Veľmi zaujímavou skúsenosťou bolo aj moje členstvo v negociačnej skupine č. 14 Veda a Technika v prístupových rokovaniach pre vstup Slovenskej republiky do Európskej únie. Táto prístupová kapitola bola v prístupových rokovaniach uzavretá ako prvá zo všetkých 31 prístupových kapitol.
Autorka článku: Katarína Macková, šéfredaktorka časopisu STU Spektrum
Článok bol zverejnený v univerzitnom časopise Spektrum.