Sebastian Schreiber založil spoločnosť Svss GmbH v roku 1998 s cieľom zhromažďovať a následne využívať odborné hackerské znalosti na zlepšenie IT bezpečnostných systémov. Spoločne so svojím tímom predvádzali komplexné testy preniknutia pre významné firmy, pravidelne prispieva do rôznych odborných časopisov a prednáša na medzinárodných kongresoch. Vyštudoval informačné technológie a business manažment na Univerzite v Tübinghene. Koncom septembra vystúpi Sebastian Schreiber prvýkrát na Slovensku, a to v rámci IDC IT Security Roadshow (viac info na www.idc-cema.com/events/itsecurity06sk). Účastníkom bratislavskej konferencie predvedie, ako rýchlo možno preniknúť do nedostatočne zabezpečeného systému, aké jednoduché je napadnutie mobilných telefónov a biometrických zariadení a predstaví najhorúcejšie novinky v tejto oblasti.
Všetci sme už počuli o hackeroch a máme predstavu, čo taký hacker robí. Je toto všeobecné povedomie správne?
-- Existuje niečo ako hackerské klišé -- mladí ľudia s okuliarmi, sediaci v tmavej izbe, oblečené majú čierne tričko a jedia pizzu, pijú čiernu kávu a neustále sa snažia nabúrať do nejakého systému. Takíto hackeri, samozrejme, existujú, ale je aj mnoho ďalších, napríklad profesionálnych a priemyslových špiónov, ktorí nabúravajú systémy, aby sa dostali k citlivým informáciám. Zámer tejto skupiny je však úplne odlišný. K svojim útokom síce využívajú rovnaké techniky ako typickí hackeri, ale ich jediným cieľom sú peniaze. Nabúravajú sa do IT sietí, aby tam našli a následne predali tajné informácie. Podľa môjho názoru sa v posledných rokoch títo profesionáli stali efektívnejší a ich aktivity závažnejšie.
Sú títo profesionáli niekým najatí alebo útoky robia tzv. "na voľnej nohe" a nájdené informácie sa potom snažia sami speňažiť?
-- Obidva tieto spôsoby fungujú. Bývajú najatí, ale väčšina pracuje "na voľnej nohe", pretože je ďaleko jednoduchšie sa nabúrať do akejkoľvek spoločnosti než vopred špecifikované chránené firmy. Hackeri na voľnej nohe si vytypujú zraniteľné systémy odkiaľ prevezmú informácie a následne sa ich snažia speňažiť.
Či už z osobnej skúsenosti alebo dostupných informácií, existuje podľa vás trh s hackerskými službami?
-- Áno, taký trh existuje, len sa o ňom nehovorí. Je pochopiteľné, že ľudia či spoločnosti, ktoré majú záujem o dáta svojich konkurentov, neradi na túto tému hovoria.
Pracujete s nadnárodnými spoločnosťami ako Kodak, SAP a Lufthansa a vlastne im pomáhate chrániť sa pred podobnými útokmi hackerov. Avšak najskôr ste sa museli tieto hackerské techniky naučiť. Kde to bolo?
-- V prvom rade je dôležité poznamenať, že ja osobne som žiadne nelegálne útoky nikdy neuskutočňoval. Môj otec, podpredseda okresného súdu, mi vždy kládol na srdce, aby som nerobil žiadne nelegálne veci. Začínal som v Tübinghene, kde som skúmal sieť miestnej univerzity, avšak s povolením tamojšieho IT oddelenia.
Takže vám priamo povedali: "Choďte a nabúrajte náš systém, aby sme videli, aké je účinné naše zariadenie?"
-- Nejako tak to naozaj bolo. Oficiálne som požiadal o povolenie na vniknutie, ktoré som dostal. Bol to môj prvý penetračný test pred viac ako 10 rokmi.
Prezradíte nám systém, ktorý by ste vy osobne označili za najzraniteľnejší?
-- To je zaujímavá otázka. Niektorí ľudia tvrdia, že Linux je bezpečnejší než Windows, ale s tým nesúhlasím. Vždy záleží na spôsobe, akým systém prevádzkujete. Pokiaľ máte nainštalované záplaty (patches), pokiaľ zlepšujete zabezpečenie svojho systému, máte prehľad o tom, čo robíte a necháte systém preveriť penetračným testom, potom môže byť akýkoľvek systém tým najbezpečnejším. Nemožno však povedať, že Linux je bezpečnejší než Windows alebo naopak. Najdôležitejšie je podľa môjho názoru, aby bol systém riadený profesionálnym spôsobom.
Všetko je vlastne otázka, aký systém používate a ako ho chránite.
-- Áno, v tom to je. Nemali by sme zabúdať na riadenie kvality, mať prehľad, čo presne robíme a tiež pravidelne vzdelávať svojich zamestnancov.
Dokážete odhadnúť, koľko penetračných testov v priemere ročne urobíte?
-- Robíme okolo 100 penetračných testov za rok a približne 50 z nich je vo veľkých spoločnostiach.
Môžete nám opísať najpodarenejší prienik, na ktorý ste najviac pyšný? Samozrejme, nemusíte menovať.
-- Celkom zaujímavý prienik som zažil minulý rok. Síce neviem, či to bol práve ten najzaujímavejší, ale určite bol jeden z tých najzaujímavejších. Testovali sme webový server veľkej spoločnosti. Pomocou skenovania a path climbing attacku sme našli zipový súbor, obsahujúci zálohu s kompletným obsahom webovej stránky. Boli sme schopní súbor bez problémov uložiť, rozbaliť a nájsť zraniteľné miesta CGI (Common Gateway Interface) scripte písanom v Perlu. Aj keď tieto skripty už dlhší čas nečinne ležali, mohli sme ich použiť na vytvorenie exploitu a tak kompromitovať celý systém. Problémy pri samotnom prieniku do systému sú dobrým znamením. Najprv sme museli urobiť zmieňovaný path climbing attack, potom stiahnuť zipový súbor, rozbaliť ho a napísať exploit. Celkovo toto možno posúdiť ako dobrý výsledok penetrančného testu.
Zároveň to znie ako dobrá výzva...
-- Áno, bola to pre nás výzva. Nie je nič nudnejšie, ako keď rovno uhádnete heslo. O takýchto prípadoch sa u nás vo firme vôbec nezmieňujeme, pretože ani nestoja za reč. Omnoho lepší pocit máte, pokiaľ dokážete systém kompromitovať nejakým zvláštnym spôsobom -- napríklad vďaka odborným znalostiam, použitím rafinovanosti na prekabátenie systému alebo napísaním vlastného exploitu. Potom máte právo hrdiď sa.
Pri vašej práci musíte objavovať mnoho nových metód na nabúranie systému.
-- Áno, to je pravda. Je mnoho známych techník, známych exploit scriptov, ale tie spravidla musíme prispôsobiť, zlúčiť alebo nájsť úplne iný spôsob, ako do systému preniknúť.
Pokiaľ sa vy snažíte nájsť nové spôsoby prienikov do systému, je zrejmé, že ostatní hackeri sa snažia o to isté.
-- Určite hľadajú nové spôsoby. Napríklad pred mesiacom sme našli zraniteľné miesta vo veľmi zriedkavo používanom operačnom systéme a som si takmer istý, že nikto okrem nás a nášho klienta by nevedel, ako sa doň dostať. Prvým krokom klienta na zabezpečenie slabých miest bola inštalácia firewalls. My sme následne kontaktovali výrobcu so stručnou konzultačnou správou, na základe ktorej sa budú môcť tieto slabé miesta odstrániť.
Existujú také systémy, do ktorých ste sa i s najnovšími metódami neboli schopní dostať?
-- Ale samozrejme. Uvediem príklad, keď sme našli novonainštalovaný záplatovaný systém so zlepšeným zabezpečovaním. Pokiaľ takýto zlepšený systém nemá žiadny softvér a záplaty sú správne aplikované, potom šanca jeho prelomenia je takmer nulová. No realita je iná, spoločnosti musia veľakrát používať systémy bez záplat alebo bez aktualizovaných záplat, nepodarí sa im nainštalovať záplaty včas alebo ich musia testovať a potom zmeniť, a čelia mnohým ďalším problémom.
Zmieňovali ste sa, že tento systém mal veľmi málo softvéru alebo dokonca žiadny. Ktorý softvér, podľa vás, má najväčšiu tendenciu vytvárať zraniteľné miesta v systéme?
-- Na to nie je jednoduché odpovedať. Väčšinou je softvér nakombinovaný. Môžete používať napríklad aplikačný server a operačný systém s tým, že ten aplikačný server je kvalifikovaný fungovať iba na určitej verzii záplaty. A keď napríklad Microsoft zverejňuje novú záplatu, vy si ju nainštalovať nemôžete, lebo s takto zaplátovaným systémom by váš aplikačný server nemusel fungovať. Vlastníte teda operačný systém a viete, že ho nemôžete zaplátovať, môžete ho kompromitovať, napríklad pomocou existujúceho expolitu.
Hlavnou činnosťou vašej spoločnosti sú z veľkej časti penetračné testy. Aké výhody plynú z takéhoto testu pre zákazníka?
-- Pri penetračnom teste obvykle ako prvé hľadáme zraniteľné miesta. A mýliť sa je ľudské. I v prípade, že zákazník dbá na bezpečnosť, sústredí sa na riadenie kvality, jeho IT procesy sú efektívne a má vyškolených zamestnancov. Stačí, aby sa niečo zabudlo alebo nastanú problémy s konfiguráciou. Potom možno nájsť zraniteľné miesta, vďaka ktorým sa dostaneme do systému a tieto zraniteľné miesta môžu byť následne odstránené. Pokiaľ by sme nepoznali všetky problematické miesta systému, nemôžeme pracovať na ich odstránení.
Odstraňujú si firmy po vašom upozornení chybu samy v rámci svojho IT oddelenia?
-- Áno, neopravujeme tieto problémy, pretože je veľmi dôležité, aby tu nebola žiadna spojitosť medzi ľuďmi, ktorí testy uskutočňujú, a tými, ktorí inštalujú konfiguráciu.
Spozorovali ste v priebehu svojej praxe nejakú spojitosť medzi mierou zabezpečenia a veľkosťou firmy? Majú veľké firmy a spoločnosti lepšie zabezpečené svoje IT systémy?
-- Medzi našimi zákazníkmi sú veľké i malé spoločnosti, pracujeme, napríklad, pre automobilové giganty ako Daimler Chrysler, Audi, BMW, ale i pre banky, poisťovne, atď. A musím povedať, že som žiadnu priamu súvzťažnosť nenašiel. Je mnoho malých, dobre zabezpečených firiem, ale tiež mnoho tých veľkých. V mojej praxi som sa však stretol s veľkým počtom zraniteľných bánk, so slabo riadenými systémami a žiadnym patch manažmentom. Na druhej strane som taktiež spoznal mnoho veľmi dobre zabezpečených bánk. Všeobecne však nemôžem povedať, že by som cítil nejakú súvzťažnosť medzi veľkosťou a mierou zabezpečenia. I napriek tomu, že robíme veľke množstvo penetračných testov, bývame ich výsledkami občas prekvapení.
Čo znovu poukazuje na nutnosť školenia zamestnancov.
-- Preškolenie a usporiadanie pracovného vyťaženia zamestnanca je potrebné. V mnohých prípadoch nemajú administrátori na zodpovedajúce zabezpečenie dostatok času. Na inštaláciu záplat, písanie dokumentácie či premýšľanie o procesoch im nezostáva čas, takže sú mnohokrát radi, že systém funguje a zvládajú základnú údržbu.
Na aké miesto v rebríčku všeobecných hrozieb pre IT bezpečnosť sa radí obdobné zanedbanie ako nevyužitie záplat či chýbajúca administratíva?
-- Úspešné zabezpečenie nie je len vo vymenovaných nástrojoch, ale určite sú dôležitou súčasťou. Je oveľa zložitejšie nabúrať systém, pokiaľ má firma dobrý patch manažment, pravidelne zlepšuje zabezpečenie svojho systému, riadi kvalitu a dokáže cielene podporovať riadenie zmien. Dokonalá sieť neexistuje, respektíve neexistuje sieť, do ktorej by sme nedokázali preniknúť. Len čo sa s laptopom, z ktorého chcete útok zrealizovať, dokážeme napojiť na podnikovú sieť, sme z tejto pozície navždy schopní systém napadnúť.
Inými slovami, nejde až tak o dokonale bezpečný systém ako o stupeň zabezpečenia?
-- To máte pravdu.
V posledných rokoch spolupracujete s analytickou spoločnosťou IDC na ich odborných konferenciách, kde v rámci IDC IT Security Roadshow predvádzate živé ukážky hackerských techník. Na čo sa môže návštevníci bratislavskej konferencie 26. septembra v hoteli Danube tešiť?
-- V prvom rade musím povedať, že spolupráca s IDC ma veľmi teší a na ich akciách vystupujem rád. Tento rok pripravujem ukážky mnohých útokov. V tejto chvíli mám pripravených 7 takých ukážok, ale možno ešte niečo zmením -- do 26. septembra máme ešte trochu času, takže pokiaľ sa vyskytnú nejaké nové útoky či budú zverejnené nové exploity, môžem ich zaradiť do svojho programu.
Ak nájdete bezpečnostnú slabinu počas takej demonštrácie, ako s touto informáciou naložíte?
-- Je veľmi nepravdepodobné, aby som našiel niečo ako O-Day* exploit. Ani si nemyslím, že by som taký O-Day exploit našiel, pretože také hľadanie vyžaduje hodiny práce. Ale je reálne, že nájdem systémy, ktoré sú zraniteľné, a na ktorých predvediem hackerské techniky -- v prípade, že sú legálne. V súčasnosti sú totiž v rôznych krajinách dovolené rôzne útoky. Dobrým príkladom hackerskej techniky, dovolenej vo všetkých európskych krajinách, je Google hacking. Ja toto vyhľadávanie pomocou Googlu používané na identifikovanie zraniteľných systémov a rovnako ako pomôcka k nájdeniu citlivých informácií, ktoré sú umiestnené na internete. Áno, to je Google. Ale je tiež mnoho iných zaujímavých metód, ktoré, samozrejme, nie je možné predviesť na systémoch napojených na internet, pretože by som za to mohol ísť do väzenia. K takýmto ukážkam slúžia moje vlastné "obetné systémy", na ktorých som schopný účastníkom živo predviesť útoky a pritom nebyť v konflikte so zákonom.
Väčšina ľudí vie, že spoločne s počítačovými systémami a internetom sa vyvíjajú i hackerské techniky. Ak zvážime častejšie využívanie VoIP, IPTV a iných bezdrôtových riešení, aké útoky očakávate v roku 2007? A ich ďalší vývoj?
-- Ako vieme, technológie sa neustále menia. Veci okolo nás sa vyvíjajú, technológie tiež a súčasne s nimi sa vývoju prispôsobujú aj útoky. Dobrým príkladom je VoIP -- najväčším problémom volania cez internet je, že komunikácia nie je zašifrovaná a je teda veľmi jednoduché odpočúvať hovory. Ľudia VoIP využívajú -- a ja osobne používam nástroje, ktoré sú voľne k dispozícii na internete a musím povedať, že sú veľmi efektívne. V praxi to znamená, že môžem zapísať všetky hovory, ktoré prebehli v rámci spoločnosti, s obyčajným laptopom a špeciálnym Linux softvérom. Stačí zapojiť laptop do siete a nechať ho deň či dva. Potom je moja disková pamäť plná MP3 súborov so zaznamenanými hovormi.
Takže ide o kombináciu zvyšujúcu profesionalitu hackerov a technologického vývoja?
-- A čo ešte hackerom zjednodušuje život je fakt, že IT siete sa stávajú komplexnejšími, čo v praxi znamená, že napríklad môj mobilný telefón má zabudovaný infraport, Bluetooth, GPRS, UMTS a bezdrôtové pripojenie. A hackerom tak ponúkam viac spôsobov, ako sa do môjho telefónu môžu dostať.
------------------------------------------------------------------------------------------------------
* Zero day alebo 0-day sa vzťahuje k softvéru, videozáznamu, hudbe alebo informáciám, ktoré boli nezákonne uvoľnené či získané v deň, keď mali byť zverejnené. Položky získané pred ich oficiálnym zverejnením sú niekedy označované ako Negative day alebo --day. Zero-day software, videozáznamy i hudba boli spravidla nelegálne získané a nelegálne rozmnožené.