Przyznaję, że zmieniłem trochę zdanie kilka tygodni temu, podczas konferencji IDC. Do Warszawy przyjechali eksperci od cyfrowego bezpieczeństwa z USA, Włoch i Niemiec. Swoją wiedzą dzielili się m.in. przedstawiciele Oracle’a, F-Secure czy Darktrace. Zwracali uwagę na różne aspekty cyberzagrożeń: mity, słabe punkty, błędy ludzi czy przemiany dotyczące ochrony komputerów.

W trakcie jednej z prezentacji, prowadzonej przez hakera z Immunity Systems, zdałem sobie sprawę, że… naprawdę wszędzie da się włamać. Prezenter Karol Celiński oficjalnie jest architektem bezpieczeństwa IT i jednocześnie należy do kategorii hakerskiej white hat. Są to ludzie dokonujący włamań, np. do sieci korporacyjnych, na zlecenie tychże korporacji. Celiński przekonywał nas, że ma w swoich działaniach 100-proc. skuteczność. Jeszcze nie zdarzyło się, żeby któryś system okazał się nie do pokonania.

Ekspert opowiadał krok po kroku, jak przygotowuje się takie włamanie. Trzeba zebrać dane dostępne w Internecie: szczegóły dotyczące serwera i wersji oprogramowania. Informacje o istniejących w nich lukach można wyguglować, ewentualnie kupić w darknecie. Mogą się też przydać dane z serwisu LinkedIn. Tam łatwo da się ustalić zależności służbowe i dokładne informacje o pracownikach. Duże firmy zwykle są dobrze zabezpieczone z zewnątrz. Dlatego haker w kolejnym kroku stara się przeniknąć do środka organizacji. Czasem po prostu fizycznie.

Karol Celiński opowiadał o rozmowach na papierosie przed biurem dużej firmy prowadzonych po to, żeby później wejść z grupką rozmówców, udając, że zapomniał karty magnetycznej. Wchodził też do przedsiębiorstw jako pracownik, który ma coś naprawić. Kiedyś dostał się w ten sposób do systemu firmy, wpinając sprzęt do urządzenia obsługującego zewnętrzny szlaban. Okazało się, że szlaban jest połączony z głównym systemem IT.

Innym razem odnalazł na Facebooku administratora sieci. Zauważył, że hobbistycznie robi on piękne zdjęcia. Założył fikcyjną internetową gazetę o fotografii. Administratorowi zaproponował publikację jego zdjęć w pierwszym numerze. Mężczyzna chętnie się zgodził. Potem dostał na adres mailowy plik o rozszerzeniu .xyz, który miał zawierać numer pisma do autoryzacji. Administrator odpisał, że nie może otworzyć nietypowego pliku. White hat przeprosił i przysłał specjalny program do otwierania plików .xyz. Administrator sieci użył go i przejrzał zdjęcia. Kłopot w tym, że oprogramowanie – choć oczywiście uruchomiło plik z numerem magazynu o fotografii – przede wszystkim było malware’em.

Ten i podobne mu przykłady pokazują, że jeśli mamy w firmie 50 albo 500 osób, zawsze z kogoś można zrobić „otwartą furtkę”. Bo ludzie, jak mówią hakerzy, są zwykle ufni i chętni do pomocy. Rzecz idzie więc nie o to, żeby stworzyć całkowicie bezpieczny system, ale żeby jak najbardziej obniżyć ryzyko.