Павел Георгиев е създател и организатор на събитията “Cyber Security Talks Bulgaria“, част от мултидисциплинарната общност на КиберКЛУБ. Следващото издание се очаква да се проведе на 21 февруари.
Ако искате да научите повече за опасностите, които крие интернет пространството и начините да се предпазите, вижте нашия разговор.
Как решихте да се занимавате с етично хакерство? Какво Ви мотивира?
ПГ: Последните няколко години доста се говори за разликата между злонамерените и етичните хакери. Вярвам, че вашите читатели са добре запознати, но все пак се чувствам длъжен да посоча най-основната, а тя е – намеренията. Злонамерените хакери извършват атаките си, следвайки свои собствени подбуди – най-вече финансови. Докато етичните хакери използват същите техники, похвати и инструменти като злонамерените, но в помощ на организациите. При извършването на една проверка на приложените мерки за Информационна сигурност чрез етична хакерска атака – т.н. penetration test или тест за проникване, етичният хакер получава писмено съгласие за извършване на теста от собственика на атакуваната система или архитектура.
За мен етичното хакерство се появи като естествено развитие от системен администратор, ръководител на ИТ отдел и отговорник за информационната сигурност. В компанията, в която работех, осъзнахме, че имаме нужда да проверим до каква степен въведените от нас мерки за информационна сигурност наистина гарантират защита от хакерски атаки. Тогава започнах проучване за наемане на фирма за извършване на penetration test (тест за проникване).
В онзи момент нямаше много компании в страната, които да предлагат тази услуга. В процеса на проучването започнах да научавам все повече и повече елементи на етичното хакерство и така по естествен път осъзнах, че това е сферата, в която искам да продължа професионалното си развитие. Така информационната сигурност и активната й проверка чрез етично хакерство се превърнаха в страст и взех решение изцяло да започна да се занимавам само с това.
Мотивира ме фактът, че сферата е изключително динамична и това ме кара постоянно да се стремя да се развивам и да научавам нови и нови аспекти от нея. Мотивираме и мотото, че за да можеш да се защитиш, трябва да си запознат с техниките и похватите, които използват злонамерените хакери.
Какви умения трябва да притежава един сертифициран етичен хакер?
ПГ: Един етичен хакер трябва да притежава отлични компютърни умения: задълбочени познания за основните операционни среди, мрежови концепции, хардуерни и софтуерни познания. Но наред с техническите умения, той трябва да притежава редица нетехнически: силно чувство за работна етика и добри умения по разрешаване на проблеми и комуникация, способност за бързо учене и адаптиране на новите технологии, ангажимент към политиките за сигурност на дадената организация. Той трябва да може да прецени кои негови действия могат да доведат до увреждане на тестваните ресурси и да знае къде трябва да спре и да предупреди отговорните в организацията лица за наличието на съответните слабости. Не на последно място етичният хакер трябва да е запознат с местните стандарти, изисквания и закони.
Как протича оценяването на сигурността на компютърните системи?
ПГ: Оценката на сигурността протича най-основно по два начина: пасивен и активен. Пасивната оценка представлява одит на сигурността. При него се проверява дали дадената организацията е внедрила определен набор от стандартни политики и процедури за сигурност, свързани с регулаторни изисквания или с добрите практики за управление на информационната сигурност.
След приключване на пасивната оценка се преминава към активна. Това е именно предприемане на актуални хакерски похвати чрез извършването на сканиране за уязвимости и тестове за проникване. Те имат за цел да проверят ефективността на предприетите мерки и приложените политики и процеси.
Съществуват редица утвърдени методологии за провеждане на тест за проникване. В процеса на подготовка на теста се подбира най-подходящата спрямо обекта, който ще се тества.
Лесно ли може да се намери етичен хакер, който да разбие някаква система?
ПГ: В момента в страната има немалко компании, които предлагат услугата penetration testing (тест за проникване). Но всички те отчитат изключителен недостиг на високо класифицирани специалисти.
Работи се усилено по различни направления за обучението и преквалифицирането на специалисти. Почти всички водещи университети в страната създадоха различни специалности в сферата информационната и киберсигурността. Развиват се и академии, които да предоставят допълнителни практически и технически познания в сферата, надграждащи получените в университетите.
Тук искам да споделя за една много иновативна инициатива насочена изцяло към младежите на възраст между 14 и 25 години. Вероятно сте чули или прочели, че с подкрепата на Министерството на електронно управление (МЕУ) в момента се сформира първият национален отбор по киберсигурност. Той ще представи страната на организираното от Европейската агенция по киберсигурност (ENISA) състезание – European Cyber Security Challenge. Повече информация можете да откриете на страницата на МЕУ и официалната страница на отбора.
Сами разбирате, че процесът по създаване на квалифицирани кадри в сферата едва сега набира скорост и реалните резултати ще са видими след няколко години. Затова много компании предприемат стъпки по преквалификация и допълнителна специализация на професионалисти от други направления.
Какво представлява атаката за отказ на услуга (DoS attack) и защо се практикува? Каква е целта на нападателите?
ПГ: Най-общо казано DoS атаката е атака срещу компютър/сървър или мрежа, която намалява, ограничава или предотвратява достъпа до системни ресурси и предлаганите услуги за легитимни потребители. При DoS атака нападателите “заливат” системата на жертвата с нелегитимни заявки или трафик, с цел да претоварят нейните ресурси или да повредят системата. Това води до недостъпност до предлаганата услуга или поне значително намалява производителността на системата или мрежата на жертвата. Целта на DoS атака е да попречи на легитимните потребители да използват системата или услугата за определен период от време.
Какви видове DdoS атаки съществуват? Има ли начин да се предотвратят и какъв е той?
ПГ: При дистрибутираните атаки за отказ от услуга нападателите разчитат на т.н. botnet мрежи от зомбирани устройства. Това са мрежи от огромен брой заразени устройства, които изпълняват задачите на нападалите без техните собственици да разбират, че са част от злонамерени действия. Тези устройства може да са както компютри, лаптопи, мобилни телефони и таблети, но и смарт устройства като: умни хладилници, прахосмукачки, печки, климатици и дори остарели рутери.
Съществуват много видове DdoS атаки, но можем да споменем най-основните категории. Сред тях са: обемните атаки (Volumetric Attacks), чиято цел е да изчерпят честотната лента в рамките на целевата мрежа или услуга, или между целевата мрежа или услуга и останалата част от интернет. Те причиняват блокиране на трафика, като възпрепядстват достъпа на легитимните потребители.
Другата категория са протоколните атаки. Те имат за цел да претоварят с нелегитимни тежки и времеотнемащи обработването на заявки към оборудването, което се грижи за предоставянето на дадената целева услуга. По този начин ще го лишат от способността да обработва заявките на легитимните потребители.
Предотвратяването на DdoS атаки може да се случи само след правилно планиране преди самата атака. Основните похвати са абсорбиране или поглъщане на атаката, като се използват допълнителни ресурси, които да могат да обработят всички постъпили заявки. Вторият похват е пренасочване и филтриране на зловредния трафик с помощта на устройства за защита от DdoS атаки. И последният похват е да се изключа временно атакуваните системи, докато атака престане.
Коя е най-честата и известна атака?
ПГ: Най-честите атаки срещу услуги са именно споменатите до момента атаки за отказа от услуга. Това е така, защото реализирането им не изисква специфични технически умения, като в тъмната мрежа (darkweb) подобен тип атака може да бъде заявена срещу минимална сума.
Докато най-честата атака, с която всеки от нас се сблъсква в ежедневния досег с Интернет е фишинга. Както сигурен съм, вашите читатели знаят, това е компютърно базирана атака от тип социално инженерство. Тя има за цел да принуди жертвата да предостави чувствителна лична или финансова информация.
Най-честото й реализиране е чрез изпращане на фишинг имейл, който претендира да е от легитимен изпращач или организация. Може имейлът да подканва жертвата да посети измамен сайт, имитиращ легитимна организация или услуга. В него жертвата да попълни своя лична информация: като данни за кредитни и дебитни карти, потребителско име и парола за достъп до дадена услуга и други.
Подобен тип атаки разчитат основно да създадат у жертвата усещане за спешност, неотложност, притеснение и страх за санкции, загуби или преустановяване достъпа до дадената услуга, но и на любопитство, алчност и други.
