Pentesterzy hakują nie tylko zza biurka. Jak atakuje się firmę na jej własne życzenie?

Pentesterzy hakują nie tylko zza biurka. Jak atakuje się firmę na jej własne życzenie?

Pentesterzy hakują nie tylko zza biurka. Jak atakuje się firmę na jej własne życzenie?

Pentesterzy to legalni hakerzy, którzy dogadują się z firmami, że za opłatą sprawdzą ich zabezpieczenia, czyli spróbują się włamać do systemu. Ich celem jest znalezienie luk w zabezpieczeniach, a nie wykorzystanie wrażliwych danych firmowych. Jak pracują?

– Czasami gramy policjantów, czasami złodziei – zawsze po dobrej stronie. Kiedy gramy złodziei, to wcielamy się w rolę hakerów na zlecenie naszych klientów. Próbujemy zdalnie włamać się do systemu, a wielokrotnie nawet fizycznie dostać się do budynku – to wszystko w celu wykazania braków w zabezpieczeniach – mówi Leszek Tasiemski z F-Secure, który opowiedział mi o pracy pentestera.

Krok 1: dogadanie się z firmą

Instytucja ( np. bank) zgłasza się do penterów z prośbą o przeprowadzenie testów. Wówczas siada się do rozmów, podczas których mówi się o:

  • Scenariuszu –  haker może być pracownikiem firmy o złych intencjach, albo osobą z zewnątrz – gościem, albo podwykonawcą. Ustala się również rzeczy, których hakerom robić nie wolno.
  • Celu – np. dostęp do systemu finansowego.
  • Budżecie – hakerzy muszą się poruszać w ramach ustalonego budżetu zniszczeń. Łapie się do niego np. zbicie szyby, aby fizycznie wyciągnąć serwer.

Krok 2: Rozpoznanie

Najpierw trzeba zidentyfikować potencjalne cele. W tym celu dzwoni się do pracowników i sprawdza ich media społecznościowe, a także wysyła maile phisingowe – wszystkie informacje mogą być przydatne w planowaniu ataku.

W ostatnim eksperymencie pracownicy F-Secure rozesłali sfałszowany mail  udający wiadomość z serwisu LinkedIn, żeby sprawdzić, ilu pracowników kliknie w link podany w mailu. Wynik był zatrważający, bo kliknęło aż 52 proc. odbiorców. W innym eksperymencie stworzyli oni mail prowadzący do sfałszowanego portalu. W tym przypadku w przekierowujący link kliknęło 26 proc. osób, a 13 proc. osób zalogowało się na sfałszowanej stronie, używając swoich danych logowania. Skuteczność jest więc wysoka.

Do tego niekiedy zdarza się szukanie wydruków maili w śmietnikach, podrzucanie zainfekowanego pendrive’a na parkingu firmowym czy próba zdobycia hasła do sieci bezprzewodowej od recepcjonistki, podając się za nowego pracownika – dzień, jak co dzień w pracy pentestera. Zdarza im się również wchodzić do budynku w przebraniu elektryków lub udawać dziennikarzy kierujących się na konferencję prasową

Krok 3: Atak

Scenariusze ataku są różne, bo i różne są luki w systemach. Czasami historie bywają jednak naprawdę niespodziewane.

Jeden z pentesterów wspomina, że chciał kiedyś wejść do budynku w odblaskowej kamizelce, jako ekipa naprawcza. W drzwiach zatrzymał go ochroniarz z pytaniem o powód wejścia do firmy. Pentester odpowiedział, że testuje bezpieczeństwo, bo tak było w istocie i… został wpuszczony.

Innym razem razem w podobnych warunkach pentesterowi udało się dostać do pokoju IT, gdzie do firmowej sieci podłączył router. Traf chciał, że następnego dnia firma przeprowadziła gruntowne sprzątanie właśnie w tym pomieszczeniu. Nikt się nie zorientował, że w sieci pozostaje nadliczbowe urządzenie. Starto tylko pod nim trochę kurzu.

Co by się stało gdyby taki haker został złapany na gorącym uczynku?

O przeprowadzaniu testu najczęściej wie tylko zarząd firmy. Pracownicy i służby bezpieczeństwa już nie. Dlatego zdarza się, że pentestera zgarnia policja. Właśnie na taką okazję przygotowuje się “kartę wyjścia z więzienia” (prawie jak w Monopoly), która mówi o całej umowie i daje kontakt do zarządu.

Krok 4: Raport

Dokument podsumowujący jest w istocie jedynym produktem pentestów. Klienci z reguły ze zrozumieniem podchodzą do ich pracy, a później nawet proszą o konsultacje przy łataniu zabezpieczeń. Kiedyś jeden ze zleceniodawców powiedział nawet: “Cieszę się, że znaleźliście to przed Rosjanami”.

Kto może zostać pentesterem?

Warto jednak pamiętać, że nie tylko umiejętności decydują o zostaniu pentesterem:

Wszyscy pracownicy mają „czystą przeszłość” i niezmiernie twardy kręgosłup moralny – jest to dla nas bardzo istotne, ponieważ musimy ufać ludziom, którzy mają dostęp do bardzo wartościowych informacji. Nie akceptujemy nawet najlepszych hakerów, którzy mieli w przeszłości coś na sumieniu – tłumaczy Tasiemski.

Dołącz do dyskusji

Advertisement