Šef tima X-force red:

'Nismo još našli bankomat koji nismo uspjeli hakirati'

Ilustracija
Foto: Getty Images
08.08.2019.
u 17:24

Umjetna inteligencija skenira sustave i predviđa hakerske napade, ali mogu je koristiti i kriminalci

Osobni podaci nikad nisu bili u većoj opasnosti nego što su to danas. U užurbanom internetski povezanom svijetu sve više koristimo aplikacije i servise u oblaku, ali se istovremeno i izlažemo potencijalnom curenju podataka pa i hakerskom napadu. U 2018. i 2019. godini globalno je kompromitirano oko 566 milijuna podataka. Kompanije gube milijarde dolara zbog hakerskih krađa cijelih paketa baza podataka s podacima privatnih korisnika. U problemima su čak i kompanije koje su navikle biti izloženi kibernetičkim napadima – iz financijske industrije. Ako se sjetite nekih slučajeva iz Hrvatske proteklih nekoliko godina, imali smo više slučajeva da su lopovi izazvali eksplozije bankomata i ukrali novac. No cyber kriminalci su još opasniji i mogu oteti novac iz bankomata bez dima i buke.

O izazovu sigurnosti i prijetnjama kibernetičkih napada razgovaramo s Charlesom Hendersonom, šefom specijalizirane IBM-ove sigurnosne kompanije X-Force Red. Misija te kompanije jest simulirati hakerske napade i time testirati obranu kompanija te ukazati na mane u sustavima i infrastrukturi. Stoga, ne čudi da im je moto “hakirati bilo što da osiguramo sve”.Charles je u mladim danima i sam bio haker. Postao je poznat kada je završio na televiziji nakon što je hakirao svoj bivši automobil novom vlasniku tri godine nakon prodaje – tako što mu je trubio u gluho doba noći. Danas se sa svojim nekonvencionalnim timom bivših hakera brine o sigurnosti najvećih svjetskih brendova.

– Banke su danas toliko pod napadom da nas potiho pitaju za pomoć. Imamo 500 posto više zahtjeva za testiranje sigurnosti njihovih bankomata, to je povećanje samo u odnosu na prošlu godinu. Kriminalac ne mora ni dotaknuti bankomat da se okoristi, može ostati sjediti doma i poslati svoje ljude odjevene u službene uniforme da mirno pokupe novac s bankomata koje je već hakirao online – kaže Henderson koji nam je čak i pokazao videosnimku izvlačenja 5000 dolara iz bankomata – bez ikakve kartice!

Koliko je potrebno da se hakira bankomat?

– Da pronađemo manu određenog bankomata, prvo moramo upasti na server kojim se upravlja. To mi i napravimo, dakako uz dopuštenje i znanje banke koja nas je unajmila da testiramo njihov sustav. Od trenutka kada smo pronašli jedan bankomat s manom do trenutka kad smo mogli učiniti da nam “ispljune” novac kada zaželimo proteklo je tjedan dana.

Za što je sve zadužen vaš tim?

– Može se reći da mi isprobavamo sigurnost svijeta. Mi smo vam kao đavolji odvjetnik. Od tvrtki za kibernetičku sigurnost uvijek ćete čuti da oni pokušavaju pospješiti sigurnost. Drugi izgrađuju sigurnost, a onda dođemo mi – naš je cilj srušiti im obranu. Uživamo u tome, ali rušimo obranu s ciljem, da je testiramo. Sigurno je kompanijama puno draže dobiti od nas detaljan izvještaj sa svim manama nego da dobiju vijest da su njihovi sustavi kompromitirani, a podaci korisnika ukradeni. 

Jesu li neke regije izloženije napadima?

– Postoje različiti trendovi, ali na kraju dana svaki kriminalac želi doći do novca, s čim manje muke, otpora i zaštite koju treba probiti. Nije vam ovo svijet Jamesa Bonda pa čak niti Austina Powersa, nema među hakerima morskih pasa s laserima, to je sve prekomplicirano. Kriminalce zanima povrat investicije, baš kao biznismene, pa će i oni ići putem koji im donosi najviše profita.

Uspijete li upasti u nečiji sustav svaki put?

– Ne baš svaki put. Ali ovisi i o meti. Nismo još našli neki bankomat u koji ne bismo upali, bilo gdje u svijetu. Ali testiramo različite sustave, pitanje je stupanj dubine osiguranja, dubine mane. Ne postoji apsolutna sigurnost. Nastojimo svakog klijenta ostaviti u puno boljem stanju. 

Približite nam malo što stoji u pozadini sigurnosne provjere mrežne infrastrukture?

– Poznati slučaj WannaCry ispao je veliki sigurnosni problem zbog izostanka samo jedne zakrpe u sustavu. Sad to stavite u ovu perspektivu – svaka tvrtka ima od nekoliko tisuća do nekoliko milijuna ranjivih točaka u sustavu koje nisu zakrpane! Te ranjive točke pokušavaju se rangirati po ocjenama, što je prije bilo lako. No danas više nema 50-60 izloženih točaka, nego tisuće i milijuni. Zato mi predlažemo renking sustav, kao što imate pjesmu broj 1 pa broj 2 ili 3 u svakoj regiji, tako mi možemo rangirati ranjive točke u sustavu određenih kompanija. Ako riješiš 50 ranjivosti za koje je najizglednije da će ih hakeri iskoristiti, onda si puno pomogao sigurnosti svoje kompanije.

Koliko smo danas sigurniji nego prije?

– Generalno bolje shvaćamo sigurnosne prijetnje i što učiniti kada se dogodi napad. Prije 10 godina svi su još bili u stanju poricanja i mislili “ma neće nas nitko napasti”. Natjerali smo industriju da gleda da je pitanje kada, a ne hoće li se napad dogoditi. Klijente pripremamo na reakciju. Zapravo smo sve bolji iako izvana izgleda da imamo sve više propusta.

Izvana izgleda kao da su kriminalci uvijek korak ispred.

– Kriminalci ne odustaju. Imaju posao i adaptiraju se, a zato se i mi moramo prilagođavati. Jako smo se poboljšali u otkrivanju prijetnji i shvaćanju što se događa jednom kad se napad dogodi. Umjetna inteligencija skenira sustave i predviđa upade. Ali umjetnu inteligenciju mogu koristiti i kriminalci. Također, AI bolje funkcionira u napadu nego u obrani. Jer za napad trebaš samo jedan uspješan upad, a obrana mora naći i zaustaviti svaki pokušaj proboja. To je posebno zahtjevno danas kada je računalstvo u oblaku toliko rašireno. Učinili smo da je vrlo lako plasirati stvari u oblak, to je super za IT, ali užas za sigurnost. 

Ključne riječi

Komentara 2

CR
CrveniJohn
17:45 08.08.2019.

Hakirati banke koje legalno nas hakiraju. Uzeti im sve što su od nas uzele.Banke su povjesni trojanski konj koji treba ukinuti.

Važna obavijest
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu i mobilnim aplikacijama Vecernji.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu i mobilnim aplikacijama Vecernji.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.

Za komentiranje je potrebna prijava/registracija. Ako nemate korisnički račun, izaberite jedan od dva ponuđena načina i registrirajte se u par brzih koraka.

Želite prijaviti greške?

Još iz kategorije