Bezpieczeństwo w Internecie zależy nie tylko od użytkownika
wywiad z Michałem Sajdakiem z firmy Securitum

Michał Sajdak, doświadczony ekspert od bezpieczeństwa z firmy Securitum w rozmowie z redakcją Biuletynu Bezpieczny Internet wyjaśnia, w jaki sposób sprawdza zabezpieczenia systemów IT, ujawnia nawiększą “lukę” bezpieczeństwa, mówi także jak zostać wziętym specjalistą w tej branży oraz radzi jak pozostać bezpiecznym w erze smartfonów i social media.

Redakcja: Co kryje się pod pojęciem audyt bezpieczeństwa, którego różnymi formami zajmuje się Pana firma? Włamujecie się legalnie do systemów informatycznych?

Michał Sajdak, Securitum: W największym skrócie – tak, włamujemy się do systemów IT zleceniodawców. To jeden z najskuteczniejszych sposobów sprawdzenia, czy system IT jest realnie odporny na ataki. Formalnie proces ten nazywa się “testami penetracyjnymi”, popularnie to również “audyt bezpieczeństwa”. Audyt bezpieczeństwa, dokładnie rzecz ujmując, oznacza weryfikację bezpieczeństwa systemu informatycznego pod względem konkretnych wymagań (czyli w przeciwieństwie do “testów penetracyjnych” nie musi wcale sprawdzać realnej odporności na włamania). Wspomniane wymagania mogą być przykładowo określone przez: ustawę o ochronie danych osobowych, wymagania wewnętrzne czy rekomendacje nadzoru finansowego itd.

Zanim ktoś zostanie wziętym ekspertem, musi zdobyć nie tylko wiedzę, ale i doświadczenie. Czy mógłby Pan uchylić rąbka tajemnicy, jak i na czym szlifują swoje umiejętności osoby początkujące w tej branży?

Metod na zdobycie tego typu wiedzy jest co najmniej kilka. Prowadzimy szkolenia warsztatowe, na których można realnie nauczyć się technik i narzędzi potrzebnych przy realizacji tego typu prac. Uczymy też, jak się chronić. Są też oczywiście inne źródła – materiały przygotowujące do uzyskania certyfikatów bezpieczeństwa takich, jak Certified Information Systems Security Professional (CISSP) czy Certified Ethical Hacker (CEH). Jednym z wymogów otrzymania tego typu dokumentu jest zdanie odpowiedniego egzaminu potwierdzającego wiedzę merytoryczną kandydata.
Ostatecznie liczy się praktyczna wiedza i tutaj, aby nie wchodzić w konflikt z prawem (atakując realne systemy), można wykorzystać dostępne w Internecie tzw. serwisy do etycznego hackingu, które służą po prostu do tego, aby je atakować. Często w tego typu serwisach dostępne są również linki do branżowych książek czy poradników.

Jakie - na podstawie Pana doświadczeń - są najczęstsze luki bezpieczeństwa w systemach IT?

Zasadniczym i chyba największym problemem jest brak świadomości o bezpieczeństwie. Często firmy nie alokują wystarczających środków na bezpieczeństwo, ponieważ nie widzą takiej potrzeby oraz nie mają świadomości zagrożeń czy słabości (luk) w swoich systemach. Często również bezpieczeństwo IT sprowadzane jest do roli piątego koła u wozu, które z jednej strony kosztuje, a z drugiej tylko przeszkadza przy wykonywaniu produktywnej pracy.
Bezpieczeństwo systemów IT firmy można jednak tak zorganizować, aby wpływało pozytywnie na wyniki finansowe. Tutaj polecam przyjrzeć się pojęciu “analiza ryzyka IT”. Taka analiza może m.in. zapobiec przeszacowaniu środków na bezpieczeństwo, ale również wskazuje, kiedy środki te mogą okazać się niedoszacowane. W skrócie – na bezpieczeństwo warto wydawać pieniądze, ale rozsądnie. Dobrym przykładem dojrzałego podejścia do bezpieczeństwa IT są działania wielu polskich banków, które nauczone doświadczeniami, wiedzą że inwestycja w bezpieczeństwo, choć krótkofalowo czasem może wydawać się niepotrzebna, to długofalowo - po prostu się opłaca.

Czy przeciętny użytkownik bankowości internetowej oraz mobilnej ma możliwość profilaktycznego zabezpieczenia się przed wykorzystaniem nieprawidłowości przez przestępców? Czy można się skutecznie zabezpieczyć przed atakami, takimi jak głośna niedawno podmiana DNS lub błędy typu Heartbleed? A może jedynym skutecznym sposobem jest przysłowiowe wyciągnięcie wtyczki z kontaktu?

Warto tutaj rozróżnić dwa główne obszary zabezpieczeń – od strony komputera użytkownika oraz od strony serwerowej. Dopiero dobre zabezpieczenia w tych dwóch obszarach mogą dać rozsądny, całościowy poziom bezpieczeństwa. Podmiana DNS, o której Pan wspomina, może być wykryta np. przez wyświetlenie komunikatu przeglądarki internetowej o wykryciu niezaufanego certyfikatu SSL. Jeśli zauważymy taki komunikat przy połączeniu do bankowości elektronicznej, nie należy klikać przycisku “akceptuj” oraz najlepiej skontaktować się z bankiem.
Z kolei podatność przede wszystkim serwerowa, taka jak Heartbleed (umożliwiająca atakującemu na anonimowe odczytanie dużych obszarów pamięci z serwera, np. haseł innych użytkowników), zazwyczaj jest wykrywana i usuwana w ramach standardowych procedur monitorowania podatności w infrastrukturze IT. Procedura ta może m.in. obejmować realizację wspomnianych wcześniej audytów bezpieczeństwa czy analizę informacji zbieranych przez systemy Intrusion Detection Systems. Oczywiście tego typu procedury trzeba mieć i je realizować.

O ile świadomość użytkowników komputerów co do korzystania z oprogramowania zabezpieczającego jest już stosunkowo duża, to jednak telefony i tablety wydają się wciąż słabo zabezpieczone i mogą być łatwym kąskiem dla cyberprzestępców. Co może zrobić przeciętny użytkownik smartfona czy tabletu, by bezpiecznie korzystać z dobrodziejstw bankowości mobilnej?

To prawda, warto pamiętać, że smartfony to po prostu małe komputery. Co więcej, od strony bezpieczeństwa mają pewne dodatkowe wady – łatwo je zgubić i często wykorzystywane są jako drugi kanał do uwierzytelnienia transakcji w bankowościach mobilnych (hasła przesyłane SMS-ami). Możliwości zabezpieczenia jest wiele, ale na początek wymieniłbym kilka: regularne aktualizacje oprogramowania na urządzeniu mobilnym, zainstalowanie oprogramowania antywirusowego, nieinstalowanie aplikacji z podejrzanych źródeł oraz zabezpieczenie urządzenia przynajmniej prostym kodem PIN.

Żyjemy w czasach dominacji mediów społecznościowych, kiedy wrażliwe dane osobowe są dostępne na wyciągnięcie ręki. Na co użytkownicy Facebooka, NK, Linkedina czy Twittera powinni zwracać uwagę, szczególnie w kontekście bezpiecznego korzystania z usług bankowości internetowej?

Tutaj – podobnie jak w przypadku systemów mobilnych - zagrożeń jest wiele. Warto na pewno uważać na otwieranie udostępnionych nam plików (takich jak .pdf, .doc czy plików wykonywalnych). Czasem otwarcie tego typu pliku może spowodować infekcję naszego komputera, a w dalszym kroku prowadzić do ataków na nasze konta w bankowości elektronicznej. Warto również z dużą podejrzliwością traktować wszystkie miejsca, gdzie prosi się nas o podanie swoich danych do bankowości elektronicznej (często z informacją, że chodzi właśnie o bezpieczeństwo...), szczególnie warto weryfikować tutaj adres URL w pasku przeglądarki, pod którym realizowana jest taka prośba – podczas tego typu ataku jest to często adres serwera atakującego, a nie banku.
Zastanówmy się również, jakie dane o sobie udostępniamy w serwisach społecznościowych. Informacje takie jak: imię i nazwisko połączone z telefonem, miejscem zatrudnienia, datą urodzenia, zainteresowaniami - mogą w znaczny sposób pomóc w przygotowaniu ataku na nas. Dobrym przykładem są tutaj tzw. ataki socjotechniczne (czyli ataki kierowane w pierwszym kroku na osoby, nie na systemy informatyczne). Atakujący, znając nas, może spróbować wyłudzić od nas poufne dane czy poprosić o uruchomienie przesłanego za pośrednictwem e-maila złośliwego programu, podszywając się choćby pod innego pracownika firmy. Zdecydowana większość z nas nie jest niestety odporna na socjotechnikę - stąd też konieczna wydaje mi się ciągła konieczność budowania świadomości o tego typu zagrożeniach.

Na początku kwietnia Microsoft zakończył wsparcie dla bardzo popularnego systemu Windows XP, który jest jeszcze używany w wielu firmach i domach. Co może czekać w najbliższym czasie osoby lub instytucje, które chcą pozostać przy tym systemie?

Cały czas do końca jeszcze nie wiemy, jak będzie się zachowywał Microsoft. Z jednej strony, 8 kwietnia 2014 r. zakończono wsparcie dla Windows XP (czyli zadeklarowano koniec wydawania poprawek bezpieczeństwa dla tego systemu). Z drugiej strony, 1 maja 2014 r. Microsoft wydał łatę na krytyczną podatność w Internet Explorerze, obejmując tą aktualizacją również Windows XP.
Warto zwrócić też uwagę na fakt, że znaczna liczba oprogramowania dostępnego na Windows XP również nie ma wsparcia, co umożliwia kolejne drogi infekcji systemu. Rzeczywiście, problem wydaje się spory – szczególnie, że Polsce ponad 20% komputerów jeszcze korzysta z Windows XP. Gdy w przyszłości pojawi się niezałatana, istotna luka w tym systemie, możemy mieć do czynienia z masowymi infekcjami.

Które z nowych technologii kształtujących rynek urządzeń mobilnych mogą Pana zdaniem wpłynąć na obniżenie bezpieczeństwa użytkownika bankowości mobilnej? Co zrobić, by bezpiecznie korzystać także z nowych kanałów dostępu do usług bankowych?

Moim zdaniem same technologie mobilne zdecydowanie będą (czy już są) celem ataków. Według organizacji Gartner w 2014 r. na rynek będzie dostarczonych przeszło dwa razy więcej systemów opartych o Androida niż wszystkich Windowsów razem wziętych, a Android to przecież tylko jedna z mobilnych platform. Samo bezpieczeństwo platform mobilnych to niejako cofnięcie się o kilka lat. Problemy, które w klasycznych systemach były już rozwiązane, pojawiają się na nowo. Choćby sprawa aktualizacji systemu operacyjnego – często nowy telefon zaraz po odpakowaniu już posiada krytyczne podatności, a aktualizacja jest utrudniona czy wręcz niemożliwa. Podobnie ma się sprawa z oprogramowaniem antywirusowym – na klasycznych komputerach to już prawie standard, na systemach mobilnych to nowość.

Czy banki są w stanie dostarczyć takie usługi, narzędzia i wewnętrzne mechanizmy bezpieczeństwa, by nawet użytkownicy niestosujący odpowiednich zabezpieczeń czy też nie mający świadomości zagrożenia mogli bezpiecznie korzystać z usług bankowości internetowej i mobilnej?

Banki ograniczają ryzyka IT (obliguje je do tego choćby “Rekomendacja D” Komisji Nadzoru Finansowego), wdrażają także operacje monitoringu transakcji finansowych i w razie wykrycia nietypowych sytuacji podejmowana jest stosowna akcja. Sam użytkownik również odpowiada za swoje zachowania, poczynając od tych najprostszych, np. zasada nieprzekazywania swoich danych dostępowych do bankowości elektronicznej innym osobom. Same banki nie są często w stanie zapobiec wszystkim problemom – w końcu nie oddajemy kontroli nad swoimi komputerami i telefonami bankowi. Często jednak na stronach tych organizacji można znaleźć informacje o bezpiecznych zasadach korzystania z bankowości elektronicznej – stosowanie tych zasad często znacznie zmniejsza ryzyko skutecznego ataku na nasze konto.

Dziękujemy za rozmowę.

 

Michał Sajdak posiada przeszło dziesięcioletnie doświadczenie w zagadnieniach związanych z technicznym bezpieczeństwem IT. W ramach firmy Securitum realizuje testy penetracyjne oraz audyty bezpieczeństwa dla znanych organizacji w Polsce. Prowadzi autorskie szkolenia z zakresu bezpieczeństwa. Posiadacz certyfikatów CISSP oraz CEH. Założyciel serwisu sekurak.pl