Mitnick: największą słabością cyberzabezpieczeń są nasze nawyki
Największą słabością zabezpieczeń komputerowych jest czynnik ludzki - twierdzi Kevin Mitnick, który podczas wizyty w Polsce opowiadał o metodach wykorzystywanych przez włamywaczy i o niedoskonałościach stosowanych zabezpieczeń.
16.10.2015 09:20
Mitnick jest jednym z najbardziej rozpoznawalnych hakerów na świecie. Łamaniem zabezpieczeń teleinformatycznych i wykradaniem haseł zaczął się zajmować jeszcze jako nastoletni radiowiec-amator. W latach 90. znalazł się na liście najbardziej poszukiwanych przez FBI, za przestępstwa komputerowe odsiadywał kilkuletni wyrok. Obecnie prowadzi własną firmą konsultingową i testuje zabezpieczenia organizacji rządowych oraz największych światowych korporacji.
Jego zdaniem najłatwiejszym sposobem ataku, przed którym też trudno się zarazem bronić, jest socjotechnika. "Testując zabezpieczenia danej firmy, zwykle nakierowujemy nasze ataki typu phishing na osoby zatrudnione poza branżą IT, np. zatrudnione w działach sprzedaży czy marketingu, i zastanawiamy się, komu ufają: klientom, dostawcom, współpracownikom... Następnie podszywając się pod kogoś takiego, wysyłamy do obranego celu maila z załącznikiem, którego otwarcie przez ofiarę zainstaluje narzędzie pozwalające na wykorzystanie luk w oprogramowaniu do przejęcia kontroli nad systemem. Gdy raz w systemie znajdzie się malware, jest już po wszystkim - nie pomogą tu ani antywirusy, ani nawet dwuetapowa identyfikacja, o ile odbywa się tym samym kanałem" - opowiada.
Według Mitnicka ludzie chcieliby bezpieczeństwa, które nie wymagałoby od nich zmiany przyzwyczajeń. To jednak właśnie po stronie użytkowników upatruje największej słabości różnych systemów zabezpieczeń. "Nawet ludzie uczestniczący w konferencjach na temat zabezpieczeń popełniają błędy" - przestrzega. Wśród najpowszechniejszych złych nawyków wykorzystywanych przez hakerów, wymienia: klikanie linków w mailach, otwieranie załączników, obdarzanie zaufaniem rozmówców telefonicznych i stosowanie łatwych do odgadnięcia haseł. Przestrzegł także przed podawaniem kodów przez klawiaturę telefonu podczas rozmowy.
"Jest wiele różnych ataków socjotechnicznych - wykonywanych osobiście, telefonicznie, poprzez internet..." - wylicza. Równocześnie demonstruje łatwość, z jaką haker może podszyć się pod kogokolwiek, jeżeli tylko pozna jego numer telefonu. "Inżynieria społeczna tak naprawdę polega na manipulacji, zwodzeniu i wywieraniu wpływu, aby ktoś spełnił nasze żądanie, po wykonaniu którego będziemy w stanie przejąć kontrolę nad systemem. Wystarczy znaleźć jedną osobę. W ten sposób zhakowany został m.in. amerykański Departament Stanu, a atakujący byli w stanie dostać się do Białego Domu" - relacjonuje Mitnick.
Mitnick przestrzegł także zwolenników Internetu Rzeczy (Internet of Things). "Tego typu urządzenia często zabezpieczane są tylko minimalnie, jeżeli w ogóle. Bez trudu można zhakować np. setki elektronicznych niań na całym świecie, bo korzystają tylko z domyślnych ustawień i standardowych haseł, a dla użytkownika może być nadmiernym utrudnieniem wprowadzenie aktualizacji. To problem niewystarczającej wiedzy w społeczeństwie, jak zabezpieczać urządzenia, które nie mają wbudowanych funkcjonalności bezpieczeństwa" - twierdzi. Pociesza jednak, że przynajmniej w wypadku zdalnego przejmowania kontroli nad samochodami nie zdarzyło się jeszcze udane włamanie bez wcześniejszego fizycznego dostępu do pojazdu celem zmodyfikowania oprogramowania.
Zdaniem eksperta, to jednak nie hakerzy powinni być głównym zmartwieniem dla przeciętnych obywateli. "Nie mam wątpliwości, że amerykańskie NSA i brytyjskie GCHQ atakują systemy, prowadzą podsłuchy i gromadzą dane użytkowników w Polsce tak samo jak gdzie indziej, zwłaszcza że polski rząd współpracuje z amerykańskim. Agencje rządowe w rodzaju NSA przepuszczają podsłuchiwaną komunikację poprzez bardzo skomplikowane algorytmy, by poprzez metadane wyszukiwać kontakty i rozmowy ludzi, którzy są dla nich interesujący. Tego powinniście się obawiać bardziej niż hakerów" - przekonuje.
Już od kilku lat w Europie i Stanach Zjednoczonych październik jest miesiącem bezpieczeństwa cybernetycznego. Wizyta w Polsce Kevina Mitnicka - słynnego hakera i konsultanta bezpieczeństwa teleinformatycznego, autora książek: "Sztuka infiltracji" i "Sztuka podstępu" oraz autobiografii "Duch w sieci" - miała związek właśnie z tą inicjatywą. (PAP)
mk/ jbr/