Denník N

Ako heknúť banku

Ilustračné foto - Sigmund/Unsplash/CC
Ilustračné foto – Sigmund/Unsplash/CC

Autor pracuje ako etický hacker v spoločnosti Citadelo

Banky sú inštitúcie, ktoré vo všeobecnosti považujeme za bezpečné. Vkladáme do nich dôveru tým, že im zverujeme správu svojich peňazí. Čo by sa však stalo, ak by do útrob jej systémov prenikli hackeri? Je možné robustné zabezpečenie bánk prelomiť?

Príbeh, ktorý vám idem vyrozprávať, sa presne v takejto podobe nikdy nestal, ale mohol by sa. Všetky postupy a metódy opísané v ňom sú skutočné a kombinujú v sebe viaceré penetračné testy. S ohľadom na dôvernosť informácií však nemôžem menovať konkrétnych klientov.

Reálna hrozba v simulovaných podmienkach

Staré príslovie hovorí, že v teórii neexistuje rozdiel medzi teóriou a praxou, zatiaľ čo v praxi áno. Dvojnásobne to platí aj pre oblasť bezpečnosti, a práve preto sa na nás obrátila banka, ktorá potrebovala overiť odolnosť svojho bezpečnostného systému voči reálnemu útoku.

V spolupráci s jej bezpečnostným tímom sme definovali presný rozsah testovania a určili si ciele, ktoré by mali útočníci docieliť – od ovládnutia domény, cez kontrolu nad internými systémami až po prístup k úložiskám citlivých dokumentov.

Rozdelili sme sa na dva tímy. Hackeri sú červený tím (Red Team), ľudia z banky modrý (Blue Team). Preto sa tento typ bezpečnostného testovania volá red teaming.

Zber informácií, ktoré sa nepodarí zneužiť

Na internetových stránkach každej jednej banky sú verejne dostupné informácie, ktoré sa vzťahujú na prevádzku. Márne by sme tam však hľadali citlivé informácie o zamestnancoch alebo o banke samotnej. A toto je presne typ údajov, ku ktorým sme sa potrebovali dostať. V porovnaní s úradmi či inými verejnými inštitúciami je oveľa komplikovanejšie získať informácie o pracovníkoch, ktorí nie sú obchodní zástupcovia či predstavitelia firmy zapísaní v obchodnom registri.

Z verejného úložiska súborov sa nám podarilo stiahnuť prezentácie zamestnancov banky, ktoré obsahovali kontaktné údaje väčšiny ľudí z HR oddelenia. Cez verejne dostupné dáta, napríklad z verejných obstarávaní, sme potom zistili, aké zariadenia, aplikácie či softvér používajú. Vďaka tomu sme si vytvorili hrubý náčrt toho, aké technológie banka využíva.

Ďalším krokom bolo mapovanie informácií o budove a správaní ľudí, ktorí v nej pracujú. Túto časť milujem. Zisťovali sme, kde sú vedľajšie vchody, kam chodia ľudia fajčiť, alebo sme hľadali miesta s nainštalovanými kamerami. Dokonca sme vysedávali v kaviarni cez ulicu a pozorovali, kedy je v okolí budovy najväčší pohyb, v akom čase prichádzajú autá dodávateľov a aké bezpečnostné postupy sú pre tieto situácie nastavené. Pri vedľajšom stole sme pri espresse počúvali, o čom sa rozprávajú zamestnanci, a zachytávali WiFi ,,handshakes” z ich zariadení.

Do karát nám hralo aj to, že HR oddelenie hľadalo v tom čase nových stážistov. Na pohovor priamo do banky sme vyslali kolegov, ktorí sa tvárili ako záujemcovia o prácu a mali tak možnosť nahliadnuť priamo do „kuchyne“. Odniesli si odtiaľ

Na čítanie potrebujete aspoň štandard predplatné.

Dnes na dennike.sk

Hekeri a kyberbezpečnosť

Ekonomika, Komentáre

Teraz najčítanejšie