|
Na ovogodišnjim WinDaysima u Opatiji sa
zanimanjem smo poslušali predavanja iz tematike informacijske sigurnosti koja
su održali predavači iz tvrtke Infigo IS. Zamolili smo ih za razgovor. Naši
sugovornici su Saša Jušić CISSP, CISA, Leon Juranić, haker, i Bojan Ždrnja
CISSP, GCIA, GCIH. Intervju smo odradili u obliku otvorene rasprave. Iako su
pitanja bila namijenjena pojedinom sugovorniku, ostali su se slobodno
uključivali kad bi osjetili potrebu da dopune odgovor.
Kako ste se odlučili na malom tržištu pokrenuti tvrtku
koja se bavi isključivo informacijskom sigurnošću? Zar ne bi bilo sigurnije
proširiti djelatnost?
Informacijskom sigurnošću bavili smo se još za vrijeme
studija, u miješanom akademskom i komercijalnom okruženju. Kada smo nakon
diplome tražili posao u postojećim IT tvrtkama, IT sigurnost je u Hrvatskoj
bila tek na začetku, tako da nismo uspjeli pronaći posao koji bi nam odgovarao.
Zato smo odlučili ući u rizik i osnovati vlastitu tvrtku. Namjera nam je bila
da se afirmiramo u Hrvatskoj ali i regionalno kao sigurnosni konzultanti.
Dodatnu kredibilnost nam daje i činjenica da ne prodajemo nikakav hardver ili
softver, tako da nas nitko ne može optužiti za sukob interesa.
Na predavanju ste spominjali ulogu etičkog hakera u
poboljšanju sigurnosti ICT sustava. S obzirom na kontroverzna značenja koja se
pripisuju pojmu haker, možete li nam objasniti što za vas znači biti haker,
odnosno etički haker?
Leon: Za mene je haker čovjek koji je spreman učiti,
učiti i samo učiti.
Saša: Ne postoji pozitivno i negativno značenje pojma
haker, postoji samo želja za znanjem. Ostalo je stvar osobnog morala.
Leon: Mene osobno savjest tjera da idem dalje. Kada
naiđem na nepoznato područje, postajem nervozan i naprosto moram sve naučiti i
razumjeti.
Bojan: Prva generacija hakera je započela open source
pokret. Kasnije su se pojavili likovi koji su provaljivali, iz želje za
dokazivanjem, ili iz koristoljublja. Da bi ih razlikovali od hakera prozvali su
ih crackeri. Osobno sam, pišući za domaće informatičke časopise, s
vremenom odustao od korištenja termina cracker. Čestom upotrebom izraza hacker
u negativnom značenju izraz cracker je potisnut u drugi plan. Zato je
uveden pojam etički haker, kako bi hakere razlikovali po tome koji su im motivi
i na koji način upotrebljavaju svoje znanje.
Možemo li se onda složiti da je haker u općenitom
značenju zapravo svatko tko je velik znalac u nekom području i tko sa
zadovoljstvom uči i napreduje?
Leon: Upravo tako. Iako se najčešće upotrebljava u
računalnom kontekstu, moguće ga na isti način koristiti i u drugim ljudskim
djelatnostima.
Na koji će se način promijeniti situacija uvođenjem
edukacije i certifikata za etičko hakiranje? Hoće li hakeri koji silaze s
tekuće vrpce povećati količinu kriminala na globalnoj mreži, ili će je
smanjiti?
Bojan: To je retoričko pitanje, koje već implicira
odgovor. Poslovanje današnjih tvrtki sve se više oslanja na IT sustave i svakim
danom sve više ovisi o njima. Okruženje je sve kompleksnije, a zahtjevi koji se
postavljaju pred administratore sve su veći. Etičko hakiranje treba postati dio
osnovnog skupa znanja sposobnih administratora. Samo na taj način će oni moći odgovarati
na izazove složenog okruženja.
Po mom mišljenju, edukacija za etičke hakere koju kod
provodi Algebra je specijalizirana i usmjerena u dubinu, pa je možda pogodnija
za specijaliste koji se bave informacijskom sigurnošću nego za same administratore.
Poslovni svijet donedavno nije poznavao radno mjesto
hakera. No tvrtke posluju preko Interneta i pri tome gube novac. Sigurnost je nužno
postala sastavni dio poslovnog procesa, jer pridonosi uspješnosti poslovanja.
Saša: Samo velike tvrtke koje ovise o IT sustavima
trebale bi zapošljavati etičke hakere. Za manje tvrtke to je posao koji je
najbolje eksternalizirati, na primjer dva puta godišnje naručiti od vanjske
tvrtke provjeru sigurnosti.
Nije li uloga sveučilišta da obrazuje kadrove za obavljanje
tog posla?
Bojan: Sveučilišta još ne obrazuju prave stručnjake za
informacijsku sigurnost. Edukacija o sigurnosti se uglavnom svodi na osnove
kriptografije. To je nedovoljno da bi netko po završetku studija mogao raditi
kao konzultant za informacijsku sigurnost. U takvoj situaciji ljudi koji imaju background
iz hakinga mogu se zapošljavati kao eksperti za sigurnost. Certifikat za
etičkog hakera daje takvim ljudima kredibilitet u poslovnom okruženju.
Leon: Certifikat je garancija da su svladana određena
znanja, ali da bi netko stvarno bio haker, treba mu još hakerski mentalitet, strast
za neprestanim usavršavanjem.
Saša: Kod nas nedostaje ona prva generacija hakera, tako
da mladima nema tko prenijeti znanje.
Leon: Prije desetak godina još je postojala kakva takva
hakerska zajednica, međutim danas je to više usamljeničko zanimanje. Internet
je izvor informacija, ali čovjek sam uči i isprobava naučeno.
Bojan: Osim toga, u proteklih deset godina dogodile su se
velike promjene. Koliko je samo novih protokola u međuvremenu zaživjelo?
Današnji haker mora znati mnogo više od svojih prethodnika.
Saša: Haker mora imati vrlo široko i detaljno tehničko
znanje. No da bi dobro obavljao posao u tvrtki koja ga je zaposlila treba
usvojiti brojne poslovne i komunikacijske vještine. To je još jedan razlog
zašto je teško biti „sigurnjak“ u poslovnom okruženju.
Leon: Poznajem sposobne hakere koji stvarno mnogo znaju,
ali se ne mogu zaposliti kao specijalisti za sigurnost. Kako moraju od nečega
živjeti, bave se na primjer web dizajnom. To je paradoks: nedostaje nam
stručnjaka za sigurnost, a ljudi koji bi to mogli raditi ne mogu naći posao.
Koji su novi trendovi u području cyber kriminala?
Bojan: Tu su bitne dvije stvari. Prvo, danas se sve vrti
oko novca. Krađa identiteta, prodaja informacija poput kreditnih kartica,
preuzimanje korisničkih računala i stvaranje botneta - sve se to čini
radi zarade. Drugo, napadi postaju tehnički i organizacijski sve složeniji i
usmjereniji. Kao primjer naveo bih takozvani spear phishing. Kriminalci
odaberu žrtvu, prikupe što više informacija o njoj, izdvoje ljude koji su im
zanimljiva meta, te pažljivo pripreme napad. Takav je bio nedavni napad na IRS,
poreznu službu u SAD.
Saša: Eto, hakeri su našli poslodavca koji je spreman
platiti njihovo znanje. Zar ne bi bilo bolje da su ih zaposlile tvrtke koje su
meta ovih napada?
Bojan: Malware je postao izuzetno sofisticiran. Vlasnik
botneta od 300.000 računala nedavno je u intervjuju izjavio da je u stanju
napraviti dogradnju softvera na svim tim računalima za samo pola sata! To je
mnogo brže i efikasnije od bilo kojeg postojećeg sustava za distribuciju
zakrpa.
Kriminalci uče i od etičkih hakera. Nedavno se pojavio rootkit
koji se aktivira iz Master Boot Recorda prilikom startanja Windowsa. Pokreće se
prije operacijskog sustava, pa ostaje skriven i nevidljiv. Analiza je pokazala
da je iskorišten kod koji su razvili etički hakeri i prezentirali ga na
sigurnosnoj konferenciji kako bi demonstrirali ranjivost Viste.
Bojane, proveo si nekoliko godina radeći u inozemstvu.
Možeš li nam ukratko reći što si tamo naučio, te usporediti stanje IT
sigurnosti sa onim koje si zatekao pri povratku u Hrvatsku?
Radio sam kao Security Officer na sveučilištu u
Aucklandu, Novi Zeland. Imao sam priliku upoznati ogroman i dobro organiziran
informacijski sustav. Sveučilište je koncipirano kao velik i ozbiljan biznis.
Razina svijesti o informacijskoj sigurnosti neusporedivo je veća nego u
Hrvatskoj. Na primjer, u slučaju defacementa web stranice nekog
fakulteta, točno je zadana procedura oporavka. Ispisuju se izvještaji, nastoji
se pronaći na koji je način izvršen napad i spriječiti ponavljanje incidenta.
Ukoliko bi se incident ponovio, uslijedila bi ozbiljna istraga i bili bi
obavljeni strogi razgovori sa IT osobljem zaduženim za upravljanje i
administriranje sustava.
Naglasio bih da su tamo shvatili važnost reputacije.
Aucklandsko sveučilište je 48. na listi najboljih 50 sveučilišta u svijetu.
Sigurnosni incidenti mogli bi narušiti teško stečen ugled, zato se svakom
incidentu pridaje maksimalna pažnja, nastoji se do detalja istražiti uzroke i
provesti korekcije. Oni su u pristupu proaktivni, za razliku od naših
sveučilišta gdje prevladava reaktivni pristup i gdje je često najjednostavnije
reinstalirati sustav i što prije ga vratiti u funkciju, umjesto da se provede
prava istraga.
Velika se pažnja posvećuje i zaštiti osobnih podataka,
zaštiti privatnosti studenata. I to je dio brige za izgradnju i održavanje reputacije.
U tako organiziranom IT sustavu jasno su postavljeni
prioriteti i određeni kritični servisi. Napravljeno je istraživanje u kojem su
fakulteti birali koji su im servisi od najvećeg značaja za obavljanje poslovnih
aktivnosti. Istraživanje je na prvo mjesto, kao najkritičniji servis izbacilo
e-mail! Zato se radu tog servisa pridaje velika pažnja, nastoji se izbjeći i
najmanji zastoj u njegovom radu. U skladu s tim je i status IT službe, koja je
u mnogo većoj mjeri prihvaćena i cijenjena nego kod nas.
Na prezentaciji ste kao nagradu za postavljanje
zanimljivih pitanja dijelili majice sa sloganom: Bolje haker nego šljaker!
Možete li nam protumačiti poruku koja se time želi prenijeti?
Slogan je Algebrin, ali smo mi na šaljiv način nastojali afirmirati
hakiranje kao ozbiljan posao. Mogli bismo to shvatiti i ovako: Bolje biti
haker, zaštiti svoje sustave i bez stresa obavljati svoj posao, nego poslije
incidenta mukotrpno „šljakati“ da se spasi što se spasiti da.
Trackback(0)
 |
TrackBack URI for this entry
