уторак, 26. децембар 2017.

8 napada na platforme za kriptovalute u poslednjih pola godine


Ovaj post predstavlja nastavak priče iz prethodnog posta gde se nisam bavio napadima na platforme koje se bave kriptovalutama.

Vidljiv je trend koji će se vremenom sve više povećavati a to je napad na platforme koje se bave kriptovalutama i pokušaj sajber kriminalaca da ukradu određenu količinu neke od kriptovaluta i na taj način dođu do finansijske koristi.

Evo šta se sve dešavalo prethodnih pola godine i to po redosledu dešavanja događaja:

04.07.2017. - napad na Bithumb jednu od najvećih menačnica i krađa milijardi bitkoina

17.07.2017. - napad na CoinDash i krađa 7 miliona Etheriuma

20.07.2017. - napad na Parity Technologies kompaniju koja se bavi novčanicima za kriptovalute i zamrzavanje Etheriuma u vrednosti od oko 162 miliona dolara

24.07.2017. - napad na Veritaseum i krađa 8,4 miliona Etheriuma

05.08.2017. - napad na Enigma marketplace i krađa Etheriuma u vrednosti od 500.000 dolara

19.11.2017. - napad na Tether start-up i krađa tokena u vrednosti od 30 miliona dolara

07.12.2017. - napad na NiceHash i krađa bitkoina u vrednosti od 70 miliona dolara

21.12.2017. - napad na EtherDelta menjačnicu i krađa Etheriuma u vrednosti od 267.000 dolara


Kao što možete videti sajber kriminalci su shvatili gde se danas nalazi veliki novac i svakako će pokušavati na sve načine da dođu do svog dela kolača.

Ono što je bio cilj ovog posta jeste da upozna čitaoce da osim gubitka koji možete osetiti ako ne uložite svoj novac u pravo vreme i u pravu kriptovalutu postoji i druga opasost da ostanete bez svog novca.

понедељак, 18. децембар 2017.

Kako hakeri mogu zloupotrebiti vas racunar za rudarenje kriptovaluta


U poslednje dve nedelje tema kriptovaluta a posebno bitcoina se eksponencijalno povećala.

Razlog tome je ogroman skok cene bitcoina koja se u momentu pisanja ovog teksta kreće u iznosu nešto manje od 19.000$ za jedan bitcoin sa tendencijom daljeg rasta.

I to nije sve, osim bitcoina zabeležen je konstantan rast cena Ethereum i Litecoin kriptovaluta. Samim ovim postavlja se pitanje svih vrsta manipulacija vezanim za ove i slične kriptovalute.

Ovaj post sam želeo da posvetim toj temi i da upoznam širu zajednicu sa opasnostima.


Šta se promenilo

Nekada je primarna meta sajber kriminalaca bio računar korisnika ali sa namerom da se sa njega ili ukradu podaci na neki način ili da se taj računar pretvori u zombi računar koji postaje deo velike botnet mreže zaraženih računara koji se mogu koristiti za DDOS napade ili slanje SPAM poruka.

Razvojem popularnosti kriptovaluta sajber kriminalci su došli na ideju da iskoriste računare korisnika interneta za jednu sasvim drugu namenu.

Radi se o tome da se računar korisnika to jest njegov centralni procesor (CPU) koristi za nešto što je poznato kao proces "rudarenja" odnosno rešavanja kriptografskog algoritma koji se koristi za generisanje novih bitcoina.

Kako to sve funkcioniše

Osnovna ideja jeste da se veliki broj web sajtova inficira malverom kome je osovni cilj da "rudari" određenu kriptovalutu na račun vlasnika računara koji ga posećuje odnosno njegovog CPU-a.

Da se ovo već uveliko radi dokazuje blog na poznatom sajtu Sucuri gde se piše o tome da je preko 5500 wordpres sajtova inficirano malverom koji se koristi za "rudarenje" kriptovalute poznate pod nazivom Monero. Međutim da to nije najgore pokazuje i istraživanje Malwarebytes gde možemo pročitati da čak i posle zatvaranje taba određenog sajta proces "rudarenja" se nastavlja.

Još jedna stvar koja je veoma interesantna jeste i istraživanje TrendMicro gde se može pročitati da nisu samo računari mete ovakvih napada već i android uređaji u ovom slučaju se radi o Google play aplikacijama koje koristi JavaScript da bi se koristio CPU smart telefona ili tableta.


Šta stoji iza ovoga

Firma koja je napravila kod koji se izvršava na pretraživačima korisnika bez upozorenja i znanja korisnika je CoinHive.

Veliki broj sajtova nije upozorio korisnike, ovo je posebno prisutno na torrent sajtovima gde prednjači The Pirate Bay međutim neki od ovih sajtova su ipak upozorili korisnike kao što je na primer 4 oktobra uradio PassThePopcorn torent sajt kada je najavio da će početi sa korišćenjem ove tehnike za rudarenje Monero kriptovalute kao načina za finansiranje rada samog torent sajta.



Kako da se spreči izvšavanje koda

Postoji nekoliko načina da sprečite izvršavanje ovakvih kodova na vašim uređajima.

Na primer za Google Chrome postoje dve izuzetno popularne ekstenzije za ovu namenu NoCoin i minerBlock.

Potrebno je da potražite na internetu rešenje za vaš pretraživač ili uređaj koji koristite ukucavanjem CoinHive javascript code stop.

Opera je u svojoj novoj verziji 50 prvi pretrazivac sa ugradjenom zastitom.

Šta dalje, kuda idemo

Sajber kriminalci su shvatili da im se više isplati da napadnu i koriste CPU velikih računara koji imaju izuzetno veliku procesorsku moć, a ne običnih kućnih i laptop računara što dokazuje vest agencije Reuters o napadu na Ruski kompjuter koji se koristi za naftovod i nije poznato koliko je bitcoina generisano na njegovom procesoru.




Nadam se da sam uspeo da širu publiku upozorim na najnoviji trend koji će se u naredni periodu sve više zloupotrebljavati. Ukoliko želite da proverite trenutnu vrednost kriptovaluta to možete uraditi na sledećem linku.

уторак, 12. децембар 2017.

Chrome od sada moze da izoluje sajt


Nova varijanta popularnog google pretraživača dobila je u svojoj verziji 63 novu mogućnost koja će posebno povoljno uticati na bezbednost poslovnih korisnika ali i ličnih računara. Evo o čemu se radi.
Novina koja omogućava izolaciju sajta zove se Site isolation. Administratori sada mogu da podese da Chrome prikazuje sadržaj za svaki otvoreni web sajt u zasebnom procesu, izolovanom od drugih web sajtova. Cilj nove opcije jeste da se napravi dodatna sigurnosna granica između web sajtova, tako da se osigura da se novi proces pokreće svaki put kad se poseti novi domen.

Kako to sve funkcioniše

Postoje dve opcije odnosno dva pravila. Jedna je izolacija za sve web sajtove, a druga je izolacija samo sa liste određenih web sajtova (npr. sajtovi na kojima se korisnici prijavljuju i ostavljaju svoje podatke). Ako korisnici ne omoguće nijedno od ova dva pravila, Chrome će nastaviti sa svojom starom politikom: jedna kartica, jedan proces.
Još jedna novina u novoj verziji Chrome je da će administratori od sada moći da blokiraju upotrebu dodataka za Chrome na osnovu dozvola koje traže. Na primer, mogu se blokirati sve ekstenzije koje zahtevaju korišćenje web kamere ili mikrofona. Pored ovoga bitno je istaći i da nova verzija pretraživača sa oznakom 63 dolazi sa podrškom za TLS 1.3 koji će se za sada koristiti samo za gmail.

Da li postoji neki problem

Može se reći da su sva unapređenja vrlo pozitivna sa aspekta bezbednosti međutim jedino što opcija izolacije sajta ima svoju cenu a to je korišćenje memorije od strane Chrome-a koje je u tom slučaju veće za 10 do 20%.

Nadam se da je ovaj post bio od koristi a ukoliko želite da saznate kako uključiti opciju izolacije sajta pogledajte sledeći link.

среда, 29. новембар 2017.

Vaznost donosenja akta o bezbednosti IKT sistema


Plašim se da će ova mera koja je trebala da poboljša stanje bezbednosti IKT sistema u našoj zemlji izazvati više problema nego što se trenutno očekuje i zbog toga sam odlučio da ovaj post posvetim ovoj temi.

Kakav je to zakon i kada je donet?

Zakon o informacionoj bezbednosti je donet početkom 2016 godine dok je 5.02.2016. godine počela njegova primena („Sl. glasnik RS”, br. 6/16) dok su akti koji omogućavaju primenu Zakona usvojeni su 17.11 2016. čime je omogućena primena ovog Zakona.
Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Aktom o bezbednosti, u skladu sa zakonom, određuju se:
  • mere zaštite,
  • principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema,
  • kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
U izradi akta moraju se uzeti u obzir odredbe Uredbe o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja, kao i Uredbe o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, a koje su objavljene takođe u „Sl. glasniku RS“, br. 94/2016 i stupile su na snagu 2. decembra 2016. god.


Šta se zakonom zahteva?

Navedenim zakonom zahteva se sledeće:
  1. Da se uspostavi sistem bezbednosti informacija – 28 zahteva (Član 7.)
  2. Da se uspostavi i dokumentuje Akt o bezbednosti IKT sistema (Član 8.)
  3. Da se minimum jednom godišenje vrši interna provera usklađenosti sa Aktom i dokumentuje izveštaj, samostalno ili uz spoljne eksperte (Član 8.)
Koji su rokovi, kakav je nadzor a kakve su sankcije?

Akt o bezbednosti IKT sistema se mora uspostaviti i dokumentovati u roku od 90 dana od dana stupanja na snagu Zakona – (Član 33. Zakona i Član 8. Uredbe o bližem sadržaju Akta). Nadzor vrši inspekcija za informacionu bezbednost Ministarstva trgovine, turizma i telekomunikacija (Član 28. i 29.)

Novčana kazna iznosi od 50.000,00 do 2.000.000,00 RSD (Član 30. i 31.):
  • ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
  • ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
  • ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona
  • ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.
Za navedene prekršaje kazniće se i odgovorno lice u pravnom licu novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.


Na koga se ovaj zakon odnosi odnosno koga kači primena?

Zakon se odnosi na Operatore IKT sistema od posebnog značaja (Član 2. i 6.), a to su:
  1. Organi javne vlasti:
    - državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave,
    - organizacija kojoj je povereno vršenje javnih ovlašćenja,
    - pravno lice koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave, kao i pravno lice koje se pretežno, odnosno u celini finansira iz budžeta
  2. Pravna lica za obradu podataka (u smislu Zakona o zaštiti podataka o ličnosti) i
  3. Pravna lica koja obavljaju delatnost od javnog interesa (Član 6. i Uredba o utvrđivanju liste poslova)

O čemu je potrebno posebno voditi računa i gde je problem?

Na sajtu RATEL-a možete preuzeti Model akta o bezbednosti IKT sistema koji se može koristiti kao prva pomoć, međutim potrebno je dosta znanja da bi se posao obavio valjano. Ono što predstavlja poseban problem jeste "resavska škola" gde je veliki broj firmi preuzeo navedeni dokument i izvršio izmene u vidu naziva kompanije i datuma donošenja dok je sve ostalo ostalo manje više isto. Ono o čemu niko ne vodi računa jer se išlo na to ajde da obavimo to kako tako da nas ne bi neko zbog toga kažnjavao jeste to što će se zapravo proveravati primena ovog akta što će raditi inspektorat i što bi trebalo da uskoro počne. Ovaj akt na sajtu RATEL-a je napravljen u najboljoj nameri kako bi se pomoglo firmama da naprave ovaj dokument međutim niko nije želeo da se radi klasičan copy/paste i da se dokument ne prilagođava posebim potrebama svake firme.

Ko i kako bi trebalo da ovo radi?

Postoji  velika zabluda vezana za ovo pitanje. Prvo i osnovno što pre svega treba naglasiti jeste da ovakav dokument nikako ne spada u sektor pravne službe jer oni nemaju potrebna IT znanja i poznavanje poslovnih procesa da bi ovo mogli valjano napisati. Druga stvar jeste i da ovo nije nešto što bi trebalo da radi IT služba jer ljudi u ovom sektoru ne poznaju dovoljno poslovne procese niti pravne aspekte. Treća stvar jeste rukovodstvo firme koje jeste odgovorno pred zakonom za sprovođenje mera iz ovog dokumenta ali oni ne poznaju dovoljno specifičnosti IT sistema i postojeće opreme u firmi ali je pitanje i koliko su upoznati sa pravnim aspektom. Kao što možete videti za pisanje ovog dokumenta idealno bi bilo da postoji radni tim koji bi morao da ima bar po jednog člana iz pravne službe, rukovodstvo i IT službe. Ukoliko je ovo nemoguće realizovati zbog veličine firme ili smatrate da je potrebno da ovo urade ljudi koji to dobro poznaju možete ovo platiti konsultantskoj kući koja to može napraviti za vas a na osnovu specifičnosti poslovanja firme.

Nadam se da sam ovim postom uspeo da Vas malo podstaknem na razmišljanje o ovoj temi i da ako niste do sada napisali ovaj akt to što pre uradite a ako jeste da izvršite proveru pre nego što dođu nadležni organi kako ne bi rizikovali plaćanje propisane kazne. Iz tog razloga mi smo formirali tim koji se bavi ovom problematikom i koji Vam može pomoći kako za pisanje akta tako i za skeniranje postojećeg stanja u Vašoj organizaciji. Ukoliko imate bilo kakvih nedoumica ili pitanja vezano za navedenu temu slobodno nas možete kontakti na mail office@secitsecurity.com.

среда, 15. новембар 2017.

Kako sigurno upravljati nalozima i lozinkama

Imam utisak da se veoma neoprezno rukuje sa nalozima i lozinkama za pristup različitim sistemima pa zbog toga želim da kroz ovaj post malo skrenem pažnju na to. Ono što je još gore ne samo što krajnji korisnici ne koriste lozinke na pravi način već ni sistem administratori ne rade baš sve kako treba.

Prvo malo o korisničkim nalozima
Posebno treba obratiti pažnju na nekoliko stvari vezano za upravljanje korisničkim nalozima a naravno direktno u vezi sa tim i korisničkim lozinkama. Prva stvar jeste da je potrebno raditi obavezno sa grupama a ne sa pojedinačnim korisnicima jer na taj način se određena prava dodeljuju ili oduzimaju grupi i svim njenim članovima a ne pojedinačnim korisnicima. Druga stvar jeste neprestano praćenje korisničkih naloga što podrazumeva logovanje svih aktivnosti korisnika na sistemu. Treća stvar jesu neaktivni nalozi koji postoje na sistemu i o kojima treba posebno voditi pažnju jer ih hakeri mogu reaktivirati na različite načine. Neko se može zapitati zašto ne brisati nepotrebne naloge već ih sam privremeno deaktivirati (disable). Odgovor na ovo pitanje je direktno vezan za stavku koju sam već ranije pomenuo a tiče se logovanja aktivnosti naloga. Ukoliko se nalog obriše sa sistema brišu se i svi prateće podaci dok u slučaju deaktivacije sve je i dalje tu sem što korisnik više ne može da pristupi sistemu. Poslednja ali možda i najbitnija stvar jesu takozvani Shared accounts nalozi koje više ljudi zna i koriste se za pristup nekim resursima. Na primer kupi se samo jedna licenca nekog programa a onda više ljudi se loguje preko istog korisničkog imena i lozinke po potrebi. Preporuka stručnjaka jeste da ovakve naloge skoro nikada ne koristiti osim u slučajevima kada drugačije nije moguće.

Šta možemo uraditi da bi kroz upravljanje nalozima otežali ili sprečili otkrivanje lozinke?
Prvo što možemo uraditi jeste voditi računa o minimalnoj kompleksnosti lozinke (Password strength). Kada pričamo o kompleksnim lozinkama mislimo na to koje elemente mora da sadrži (mala slova, velika slova, brojevi i specijalni simboli)
Druga stvar koju možemo podesiti jesti isticanje (Expiration) korisničkog naloga ili lozinke. Ovo može biti korisno jer korisnik mora da periodično promeni svoju lozinku ili da ponovo aktivira nalog i postavi novu lozinku u zavisnosti od polise.
Treća stvar jeste podešavanje koliko se puta ne može ponovo postaviti ista lozinka (Password history/reuse). Ovo je korisno ako korisnici vrte u krug svoje lozinke, recimo imaju 3 lozinke koje vrte u krug. Na ovaj način takav način rada će biti onemogućen i samim tim biće otežan rad hakera na otkrivanje šifre.
Još jedna od mera koja je u direktnoj vezi sa prvom jeste minimalna dužina lozinke (Password length). Ovo podešavanje zavisi od tipa naloga i danas je standard da se za obične naloge koristi minimum dužina 8 karaktera a za admin i privilegovane naloge minimum 12 karaktera.
Mera koja sprečava online napade efikasno poznata je kao Lockout a radi se o tome da se posle nekoliko pogrešno unetih lozinki zaključa korisnički nalog određeni vremenski period. Ovo drastično otežava odnosno onemogućava online napad grubom silom. Sam MS Windows operativni sistem ima podešeno da se na 5 pokušaja nalog zaključa na 3-5min i ovo se može menjati po potrebi.
Ono o čemu još treba povesti računa jeste proces oporavka lozinke u slučaju da je zaboravljena (Recovery). Da li je taj proces automatizovan preko nekog portala ili se to radi tako što se pozove odgovorno lice koje će to uraditi direktno na sistemu. U oba slučaja postoje opasnosti jer u slučaju automatskog sistema neko može pokušati da promeni šifru postojećeg korisnika a u slučaju da to nije sistem već čovek mogu se koristiti tehnike socijalnog inženjeringa kako bi se taj čovek prevario i promenio lozinku.

Gde se nalaze lozinke i u kom su obliku?
Prvo što je izuzetno važno istaći jeste da se lozinke ne čuvaju nikada u čistom tekstu već kao heš vrednosti (Hashed values) gde se uglavnom koriste neki od popularnih algoritama za ovu namenu kao što su md5 i različite varijante sha algoritma). U ovom slučaju čak i da neko dođe u posed heš vrednosti neće moći lako da dođe do same lozinke.
Ako gledamo MS Windows operativni sistem postoje dva mesta gde se mogu naći hešovane vrednosti lozinke. Na svakom računaru sa Windows operativnim sistemom se nalazi takozvani SAM fajl gde se nalaze lokalni korisnici ali i korisnici koji su se preko domena logovali na računar. Ovo je veoma opasno jer se možda neki od privilegovanih korisnika logovao na sistem i ostavio svoje podatke u SAM bazi. Sa druge strane ako se koristi opcija Run as administrator koja postoji na sistemu tada se uneseni podaci neće ubeležiti u SAM bazu. Što se tiče samog fajla on se nalazi u Windows/System32/Config folderu. Drugo mesto na kome se mogu naći heš vrednosti lozinki jeste AD server i na njemu fajl pod nazivom ntds.dit koji je mnogo teži za rad od SAM fajla a i mnogo je teže doći do njega jer se nalazi na samom AD serveru.
Kod operativnog sistema Linux stvari su sasvim drugačije i heš vrednosti lozinki se uvek nalaze u jednom od sledeća dva foldera etc/passwrd i etc/shadow. Odavde ih možete iskopirati na neki eksterni disk i onda ih kasnije razbijati offline tipom napada.

Kako se hakuje lozinka?
Prva stvar jeste da je potrebno ovaj proces razdvojiti u odnosu na to da li imamo pristup samom sistemu (online) ili smo uspeli da iskopiramo fajl sa heš vrednostima lozinki i da ih onda u lokalu obrađujemo (offline). Druga opcija je mnogo bolja jer na napadača ne utiče Lockout naloga koji može biti podešen ili brzina samog linka i servera odnosno krajnjeg računara.
Sledeće metode se mogu koristiti za otkrivanje lozinke:
- Pogađanje, shoulder surf (na osnovu podataka koje znamo o korisniku (datum rođenja, ime članova porodice, ime kućnog ljubimca, automobil koji vozi i slično) ili tako što pratimo šta radi na računaru i možda uspemo da uhvatimo i lozinku koju unosi na tastaturi)
- Sniffing (ovo je tehnika koja se može koristiti samo ako je lozinka u čistom (clear) tekstu u suprotnom ćemo uhvatiti podatke koji nam neće biti od koristi)
- Dictionary (za ovu tehniku nam je potrebno da imamo dobar rečnik za različite jezike, što veći broj reči i sveobuhvatniji rečnik to su nam šanse veće, međutim ova metoda ne garantuje da će se otkriti lozinka jer ako se u lozinci ne nalazi smislena reč neće biti moguće naći odgovarajuću vrednost)
- Brute force (ovo je tehnika grube sile i izuzetno je zahtevna vremenski jer je potrebno ispitati sve moguće vrednosti kombinacije karaktera za određenu dužinu lozinke, sigurno je da će u jednom momentu biti otkrivena lozinke ovom metodom međutim to može da bude i posle nekoliko stotina godina)

Saveti za kraj
1. nikada ne koristiti istu lozinku na više različitih mesta jer ako neko uspe da otkrije na jednom mestu sigurno će pokušati da isproba istu lozinku na drugom mestu
2. nikada ne zapisivati lozinku na papiru i onda ostaviti ispod tastature ili još gore zalepiti na monitor računara gde svako može da je vidi (ako već zapisujete čuvajte kod sebe u novčaniku ili negde gde može biti pod ključem)
3. nikada prilikom kreiranja lozinke ne unositi smislene reči zbog napada rečnikom koji će u tom slučaju biti efikasan.
4. uvek koristiti kompleksnu lozinku sa svim elementima i dužinom nikada manjom od 8 karaktera.
5. nikada ni unositi svoju lozinku na stranici koja nema sertifikat (to možete videti kroz zeleni katanac sa leve strane u internet pretraživaču u suprotnom ne unositi podatke)
6. nikada i nikom ne slati putem elektronske pošte ili otkrivati putem telefona svoju lozinku jer neko može prisluškivati mrežu ili telefonsku liniju i na taj način doći do lozinke. Takođe moguće je i da se neko posluži tehnikama socijalnog inženjeringa i pokuša da se predstavi kao neko drugi.
7. koristiti program za upravljanje lozinkama - Password manager o kom je već bilo reči u jedno od prethodnih postova (zanimljivo je da je po nekim istraživanjima prosečan korisnik ovakvih programa imao 91 zabeleženu lozinku)

Nadam se da sam ovim postom bar malo uspeo da skrenem pažnju na problem koji je izuzetno izražen i koji je mnoge kompanije mnogo koštao. Ako se bar malo zamislite oko ove teme mislim da sam postigao svoj cilj.

среда, 08. новембар 2017.

Zašto je važno vršiti obuku zaposlenih


Ovaj post predstavlja nastavak prethodnog i ima za cilj da ukaže na važnost obuke zaposlenih koja je čini mi se u našoj zemlji neopravdano zapostavljena. Ima jedna stara priča za to kada su pitali jednog direktora zašto toliko ulaže u svoje zaposlene kada oni mogu svakog trenutka otići da rade u drugu kompaniju na šta je on odgovorio "Može da s dogodi da zaposleni u koga ja uložim novac napusti kompaniju i ode da radi za konkurenciju ili otvori svoj privatni biznis ali sa druge strane može da se dogodi da ja ne uložim u njegovu obuku a da on ostane, šta ću onda da radim sa njim?". Ovaj direktor je potpuno u pravu iako on ovde priča o veštinama koje su potrebne za obavljanje posla a u ovom našem slučaju radi se o ulaganju u obuku zaposlenih u oblasti poznavanja sajber pretnji koje svakodnevno vrebaju sve na internetu. Priča je skoro ista, ulaganjem u obuku zaposlenih na svim nivoima jeste da ćete potrošiti određeni novac međutim ukoliko takva obuka spreči samo jedno curenje važnih podataka ili infekciju interne mreže kompanije ona se odmah iz prve isplatila a da ne pričamo o tome ako se na ovaj način spreči više različitih vrsta napada čija se vrednost ni ne može preračunati jer osim opipljivih stvari koje se mogu ukrasti postoji i nešto što se zove imidž firme koji na ovaj način može mnogo biti urušen što može izazvati izuzetne finansijske gubitke pa čak kod nekih kompanija i prestanak poslovanja zbog gubljenja poverenja kod svojih klijenata.


Kako treba da izgleda jedna ovakva obuka
Ovakva obuka uglavnom ne treba da traži bilo kakva predznanja i sprovodi se u kraćem trajanju od maksimalno 2 školska časa odnosno 90min. Treba da bude što praktičnija i da se zaposlenima predstave sve pretnje kao i tehnike kako da ih prepoznaju i odbrane se od njih. Potrebno je ovde promovisati sigurnosne principe kojih se obično pridržavaju profesionalci u svakodnevnom radu kako bi i oni mogli da imaju od toga koristi. Ovde se pre svega misli na osnovne stvari, od politike lozinki pa do šifrovanja fajlova i sigurnog korišćenja email-a. Nije dobro da postoji jedna generička obuka već se svaka ovakva obuka priprema za kompaniju klijenta jer postoje specifičnosti koje je potrebno obraditi u pojedinim slučajevima a koji mogu dosta da utiču na opšte stanje bezbednosti. Ovakve obuke su poznate kao security awareness i predstavljaju vrhunac praktičnih primera iz prakse gde se zaposleni uče na tuđim greškama šta ne treba da rade i kako ne treba da se ponašaju!


Koje sve zaposlene treba obučavati ovakvim treninzima
Odgovor na ovo pitanje jeste apsolutno SVE! Nikada ne možete znati gde će napadač pokušati da udari odnosno ko će mu biti prva meta. Uopšte ne mora da znači da će to biti IT služba kao što veliki broj ljudi misli, naprotiv po nekim statistikama najveći broj pokušaja napada je bio na HR službu jer oni su pravo mesto za pokušaj ulaska u sistem. SECIT security tim sprovodi ovakve obuke već neko vreme i postoje razvijene obuke za sledeće kategorije:
- Trening-obuka za fizičko obezbeđenje
- Trening-obuka za šalterske službenike
- Trening-obuka za kancelarijske radnike
- Trening-obuka za menadžment
- Trening-obuka za radnike CALL centra
- Trening-obuka za finansijsku službu
- Trening-obuka za HR službu (ljudski resursi)
- Trening-obuka za radnike koji delatnost obavljaju na terenu
Pored ovih kategorija uvek je moguće skrojiti obuku po svojoj meri jer jednostavno nije moguće generalizovati stvari. Većina ovakve obuke smatra troškom što na papiru stvarno i jeste međutim ovakva obuka može kompaniju spasiti mnogo velike štete kako finansijske tako i u vidu prestanka poslovanja pa treba na vreme razmisliti o ovome. Po mišljenju većina stručnjaka u oblasti informacione bezbednosti ovakva obuka predstavlja prvu meru odbrane koja se sprovodi i pre nabavke hardvera i softvera koji se može koristiti za zaštitu i predstavlja proaktivnu meru u zaštiti.

Pošto sam u prethodnom postu već pisao o socijalnom inženjeringu ovde se neću baviti tom temom pa koga zanima neka pročita prethodni post. Upravo su socijalni inženjeri najveća opasnost po zaposlene u kompaniji. Nadam se da sam ovim postom uspeo da vas bar malo pokrenem na razmišljanje o ovoj temi i ako jesam to je sasvim dovoljno za početak.

уторак, 31. октобар 2017.

Socijalni inženjering na društvenim mrežama


Socijalni inženjering (Social engineering - SE) predstavlja tehniku manipulacije ljudima koja se zasniva na ljudskoj nepažnji ili neznanju. Koriste se razne tehnike prevara gde se igra na "ljudsku" stranu svakog pojedinca i želju da pomogne drugima ili na kartu autoriteta odnosno lažnog predstavljanja u osobu koja je na neki način autoritet u odnosu na žrtvu. Socijalni inženjer je zapravo osoba koja ne samo što poznaje tehnike i metode napada već izuzetno dobro zna psihologiju i ima visok nivo socijalne inteligencije koja mu pomaže da manipuliše drugima.

Kako je sve počelo?
U početku počelo se sa jednostavnim metodama prevara koje su u prvo vreme bile uglavnom vezane za upotrebu fiksne telefonije. Prva metoda je poznata kao "War dialing" a osnovna ideja jeste da imate uređaj koji će automatski pozivati veliki broj kompanijskih brojeva i na taj način detektovati na kojim brojevima se nalaze uređaji (pristupni modemi ili fax mašine). U vreme kada je ova tehnika bila aktuelna većina daljinskog pristupa (remote access) radila se preko ovih pristupnih modema dok je to danas samo rezervna varijanta u nekim firmama dok većina više i ne koristi takav način rada.
Sledeća stvar koja je bila izuzetno zanimljiva socijalnim inženjerima jeste bežična mreža (WiFi) koja je zbog samo načina prostiranja signala kroz vazduh i slabih metoda zaštite postala meta broj jedan. Tehnika koja je postala izuzetno popularna poznata je kao ratna vožnja (War driving) i koja čak sama po sebi i nije nelegalna. Radi se o pasivnom skeniranju mreža na određenoj teritoriji a izvodi se jednostavno tako što se vozite automobilom gde je aktivan program na laptop računaru koji skenira mreže odnosno pristupne tačke (Access point) i na nekoj vrsti mape a to je najčešće Google mapa postavlja markere koji označavaju bežične pristupne tačke. Osim naziva ovde se mogu beležiti i podaci o tome da li se koristi neka zaštita i ako se koristi koja, zatim koji se kanal koristi i u nekim slučajevima je moguće identifikovati i sam uređaj. Ovo je samo polazna tačka odnosno kako bi se to u vojnoj terminologiji zvalo "izviđanje" gde mi samo prikupljamo informacije a posle ih obradimo i na osnovu toga odlučujemo koji su dalji koraci.

Email i web
Osim bežičnih mreža za socijalne inženjere izuzetno je zanimljiva tehnologija emaila i web-a. Ovo su dva kanala koja se koriste za različite vrste pecanja (Phishing) gde je osnovna ideja naterati korisnika da klikne na određeni link koji će ga ili odvesti na neki lažni sajt gde će ostaviti svoje podatke za logovanje (korisnička imena, lozinke, PIN...) ili druga opcija jeste da se klikom na link pokrene instalacije određenog softvera na računar. U oba slučaja ideja je ista, maskirati pravi URL link u neki drugi kako bi korisnik kliknuo a što će se dalje desiti zavisi od toga šta je osnovni cilj napada. Ovde želim da napomenem da se ova metoda može raditi preko SMS poruka i onda je poznata pod nazivom SMISHING ili preko telefona a onda se radi o VISHING-u.

Društvene mreže
Posle svega ovoga dolazimo do pojave specifičnog fenomena današnjice a to su društvene mreže (social network) koje su se toliko raširile da je njihova upotreba danas postala standard. Nebitno da li je u pitanju Facebook, Twitter, LinkedIn, Instagram ili neka druga mreža socijalni inženjeri su svuda aktivni i igraju igru "predatora" koja osmatra i traži žrtvu. Naravno žrtva u ovom slučaju jeste osoba koja će prihvatiti da igra njihovu igru koju oni i te kako znaju dobro da kreiraju. Ovde treba biti veoma oprezan jer se ovde u nekim slučajevima susreću i pedofili koji koriste društvene mreže kako bi namamili decu i to kroz kreiranje lažnih profila maloletnih lica koja navodno hoće da se druže sa svojim vršnjacima. Ovo može imati elemente teškog krivičnog dela i postoji međunarodna policijska akcija poznata pod nazivom Armagedon koja se uspešno bavi ovom problematikom i gde učestvuje u Srbiji služba za borbu protiv organizovanog kriminala (SBPOK).
Međutim osim toga postoje i problemi koji su vezani za nešto što je poznato kao krađa identiteta a radi se o tome da neko toliko dobro poznaje osobu i njen online identitet da ga može preuzeti. Na svu sreću kod je još uvek dosta dokumenata u papirnom obliku pa je malo teže uraditi potpuno preuzimanje identiteta osobe što je u nekim tehnološki razvijenijim zemljama svakodnevnica.

Kako se zaštititi, ima li zaštite od ovakvih napadača?
Jedini način odbrane jeste nešto što je poznato kao security awareness odnosno podizanje svesti o pretnjama i načinima odbrane od istih. Relativno malo ulaganje u zaposlene i njihov awareness može se veoma isplatiti ako se na taj način spreči velika šteta koja se može izazvati ako zakaže najslabija karika u sistemu zaštite a to je na žalost čovek. Firme treba dobro da razmisle o ovome i da deluju preventivno kako bi bile koliko toliko sigurne.

Što se tiče fizičkih lica odnosno običnih ljudi evo nekoliko saveta šta ne treba raditi:
  • Pravi prijatelj na mreži je samo prijatelj koga poznajete iz realnog sveta a ne neko koga nikada fizički niste upoznali ali vam se približio u online svetu.
  • Vodite računa kakve podatke stavljate na društvene mreže, nikada nemojte postavljati pitanja vezana za posao koji radite jer samim tim možete nekom reći na čemu trenutno radite ili šta firma ima od softvera ili bezbednosnih uređaja.
  • Pazite koje slike stavljate na mreže a pogotovu izbegavajte slike porodice ili dece kao i slike sa kojih se može videti gde su snimljene. Takođe moguće je da slike u sebi ima i metapodatke koji otkrivaju kojim je aparatom slikano i tacna lokacija na mapi sa koordinatama. Ovo je nešto što se ranije koristilo na Facebook mreži ali je brzo njihov tim odreagovao i sada prilikom ubacivanja slike automatski se brišu svi postojeći metapodaci.
  • Nemojte se uvek čekirati da ste trenutno na nekoj destinaciji ako smatrate da je moguće da to neko zloupotrebi jer zna da niste kod kuće ili u kancelariji.
  • Kad god dobijete neki link bez obzira da li je u pitanju mail, viber, skype ili neki drugi vid razmene poruka uvek pogledajte gde taj link stvarno vodi a ne šta piše (to se može lako uraditi ako dođete miše na sam link i pogledate dole u statusnoj liniji vašeg browsera bi trebalo da vidite pravi link a ne ono što piše u poruci.
  • Nikada nemojte unositi svoje podatke na sajtovima koji nemaju SSL sertifikat i koje browser označi kao nesigurno (ovo je obično signalizirano crvenim ili narandžastim katancem dok bi zelenom trebalo da budu označeni bezbedni sajtovi).
  • Nikada nemojte davati informacije putem telefona ako niste sigurni u identitet osobe sa druge strane jer njegovo ime ne mora da znači da je pravo i da nije u pitanju prevara.
Ovo je samo mali deo onoga što sve postoji u metodologiji socijalnih inženjera i neke tehnike ovde nisam naveo ali ću za njih praviti pojedinačne postove jer su teme obimne. Takođe ovde su navedeni samo neki saveti ali toga ima još dosta tako da ovo treba shvatiti samo kao temu za razmišljanje i ako sam uspeo u tome da vas pokrenem na razmišljanje ovim postom onda sam postigao cilj.

Na kraju nekoliko zanimljivih linkova za one koji žele da istražuju ovu temu:
Kevin D. Mitnick (otac socijalnog inženjeringa)
- The Art of Invisibility
- The Art of Deception
- The Art of Intrusion
Christopher Hadnagy (sajt koji se bavi ovom temom http://social-engineering.org )
- Social Engineering: The Art of Human Hacking
- Unmasking the Social Engineer: The Human Element of Security
- Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails 

уторак, 24. октобар 2017.

Kako zaštiti podatke u slučaju da izgubite ili vam ukradu mobilni uređaj


Ovaj post predstavlja odgovor na pitanje koje mi  često postavljaju. Na početku želim da istaknem da kada kažem mobilni uređaj mislim na pametne telefone (Smart phone), tablete (tablets), sada već pomalo zaboravljene PDA uređaje (Personal Digital Assistant). Sve su to uređaji koji su često sa nama i može se desiti da ih izgubimo ili nam ih neko ukrade. Kada kažem ukrade mislim da ukrade direktno uređaj ili ono što se takođe često dešava jeste krađa ženske ili ređe muške torbe u kojoj se pored ko zna čega možda nalazi i sam uređaj.

Stručnjaci iz oblasti bezbednosti tvrde da postoje samo dve kategorije korisnika:
1. Oni koji su izgubili svoj uređaj ili im je ukrade
2. Oni koji će izgubiti svoj uređaj ili će im biti ukraden

Devet bitnih stvari o kojima treba razmisliti
U nastavku posta želim da dam listu koju krajnji korisnici mogu koristiti kako bi zaštitili svoje podatke u slučaju gubljenja ili krađe uređaja.

- Full device encryption (FDE) je opcija koju ima svaki smart telefon a radi se o tome da će svi podaci na samom uređaju biti šifrovani i da čak i ako neko dođe u posed samog uređaja neće moći da pročita vaše podatke.

- Daljinsko brisanje (Remote Wiping) je opcija koja je izuzetno korisna jer omogućava da sa udaljene lokacije kada sam uređaj nije kod vas pokrenete automatsko brisanje podataka sa njega.

- Lockout je opcija gde možete podesiti da se posle nekoliko neuspešnih logovanja na telefon automatski pokrene daljinsko brisanje podataka (Remote Wiping)


- Zaključavanje ekrana (Lock screen) je opcija zaključavanja pristupa samom uređaju i to je jedna od osnovnih stvari koju svaki korisnik uređaja treba da podesi. Moguće je podesiti više različitih varijanti ali najčešće se koriste PIN koji se ukucava kao niz brojeva ili pattern koji se ukucava spajanjem tačaka na ekranu u predefinisanom redosledu. Po nekim analizama stručnjaka za bezbednost PIN je mnogo bolje rešenje jer se na ekranu može ocrtati oblik spajanja tačaka koji neko može rekonstruisati. Ovde želim da napomenem da se pored ovoga može koristiti i biometrija u vidu očitavanja otiska prsta koju koriste Apple i Samsung na svojim uređajima. Takođe bilo bi dobro namestiti što kraće vreme automatskog zaključavanja ekrana kako neko ne bi dok ste vi odsutni iskoristio to vreme pre zaključavanja uređaja.

- Biometrija je metoda provere korisnika kroz neku od tehnologija kojih ima više ali se zbog cene uglavnom koristi čitač otiska prsta. Još jedna od u poslednje vreme predstavljenih tehnika jeste očitavanje otkucaja srca koja se može očekivati u budućnosti na mobilnim uređajima jer neki već danas poseduju senzor koji može da registruje brzinu otkucaja srca.


- GPS (Global Position System) je nešto što koristimo kada želimo da negde stignemo pa onda kroz neku od aplikacija za navigaciju možemo imati pomoć do dolaska na određenu destinaciju. Međutim iz aspekta bezbednosti moguće je na ovaj način utvrditi i gde se vas uređaj nalazi sa dosta velikom preciznošću što se može koristiti u slučaju gubljenja ili krađe uređaja.

- Kontrola aplikacija je način da kontrolišemo koje se aplikacije mogu instalirati na telefon. Ovo može biti korisno za službene telefone u firmama ali i za roditelje koji žele da prate šta njihova deca imaju na svom uređaju instalirano. Potencijalno sumnjive aplikacije za koje nikada nismo čuli ne bi trebalo instalirati čak i ako se nalaze na listi u zvaničnoj prodavnici za android ili iPhone jer je moguće da služe za krađu podataka sa uređaja odnosno da je u pitanju neka vrsta spyware aplikacija.

- Removable storage su kartice koje imamo u svom uređaju a služe za to da povećamo količinu memorije na samom uređaju po potrebi. U najvećem broju slučajeva to su SD kartice različitih formata i veličina. Treba voditi računa o tome da ako je na telefonu aktivna opcija FDE o kojoj je bilo reči ranije u tekstu obavezno i podaci koji se nalaze na samoj kartici budu šifrovani.


- Isključivanje nepotrebnih funkcionalnosti je mera koja je dobra i za očuvanje trajanja baterije uređaja ali i za bezbednost podataka. U slučaju da imate stalno uključen WiFi, Bluetooth ili NFC bilo bi pametno da ih isključujete jer je dokazano da se oni mogu koristiti za upisivanje ili izčitavanje podataka sa vaših uređaja. Recimo da je to izuzetno izraženo kod Bluetooth tehnologije i moguće je napadom tipa Bluejacking upisati podatke na sam uređaj ili slati poruke ili napadom tipa Bluesnarfing preuzeti podatke sa uređaja što podrazumeva bilo koji podataka pa i sam telefonski imenik sa uređaja.

Ovo su samo neke od popularnijih mera koje se mogu lako koristiti i podesiti i ne zahtevaju neko preterano znanje korisnika pa mi je zbog toga i bio cilj da ih navedem u ovom postu i da ako ništa drugo a onda bar podstaknem čitaoce da razmisle i da primene nešto od navedenog, za početak i to će biti dovoljno da se maknemo sa mrtve tačke.

уторак, 17. октобар 2017.

Na koji način se sve mogu pratiti zaposleni


Pre svega želim da na početku ovog posta istaknem da mi je osnovna ideja da širu javnost uputim u načine na koje ih poslodavci mogu pratiti jer smatram da dosta ljudi nije svesno na kom se to nivou radi i da posledice mogu biti različite. Takođe ovde ne želim da ulazim u detalje kako se koja vrsta praćenja vrši jer bi to onda bio veoma dug post za čitanje.
U romanu, „1984” Orvel nas upoznaje s Velikim bratom, nesvakidašnjim likom koji nadgleda sve naše pokrete, aktivnosti i kontroliše svaki aspekt života. Pisac nije mogao ni da sanja koliko će duh Velikog brata zaživeti u poslovnom svetu. Ono što je bitno da se istakne na samom početku jeste činjenica da zaposleni moraju biti obavešteni, odnosno da treba da postoji vidljiv znak koji je zaposlenog upozorio da se njegove akcije prate na određeni način. Postavlja se i pitanje šta se dešava sa podacima koji nisu vezani direktno za poslovanje, odnosno za firmu koja nadzire zaposlenog.

Šta se sve može pratiti?
Postoje različite metode i tehnike koje se mogu primeniti, a evo u nastavku liste onoga što se kod nas najčešće koristi:
  • praćenje CCTV kamerama radnog mesta
  • otvaranje poslatih i primljenih e-mailova
  • korišćenje automatizovanog softvera za proveru e-mailova
  • provera logova (SMS, MMS, pozivani brojevi, propušteni pozivi, primljeni pozivi) sa telefona ili snimanje sadržaja telefonskih poziva (ovo je moguće samo ukoliko imate službeni telefon)
  • provera logova posećenih web stranica u toku radnog vremena (mogu se koristiti tehnike kojima se ovo može onemogućiti maskiranjem IP adrese i URL adresa)
  • GPS praćenje službenog vozila (ovde se može utvrditi gde je vozilo bilo tokom radnog vremena)
  • kontrola ulaska i izlaska iz prostorija (ovde je moguće koristiti i biometrijske sisteme za proveru kao što su čitač otiska prsta, zenice oka i slično)
  • praćenje van radnog mesta što predstavlja teži oblik kršenja privatnosti (ATM terminali, terminali u supermarketima, mobilni operateri koji mogu na osnovu bazne stanice utvrditi relativno tačno putanju kretanja korisnika, kreditne agencije, CCTV kamere i uređaji za prisluškivanje u kompanijskim hodnicima, WC-u, restoranima...)

Kako se štititi?
Postoje različite metode i tehnike koje se mogu koristiti, ali ovde navodim samo neke od njih:
  • uključiti višestruku autentikaciju (MFA ili 2FA) za mail, kako niko ne bi mogao da otvara mailove (ovo neće onemogućiti softvere koji ovo mogu da rade na nivou mail servera)
  • koristiti virtuelne privatne mreže VPN i IPSec protokol za pristup resursima (na ovaj način ako neko uhvati internet saobraćaj on će biti šifrovan i neće biti u stanju da ga dešifruje)
  • na telefonu koristiti 3G ili LTE u zavisnosti od toga šta podržava vaš mobilni operator, a ne WiFi mrežu kompanije za pristup ličnim podacima
  • proveriti ugovor o radu, pravila i procedure koji su važeći u samoj kompaniji jer se ovde može desiti da nije definisano ili jeste šta se prati i na koji način.
Da li ovakav vid praćenja ima pozitivne efekte?
Odgovor je svakako DA. Na ovaj način se održava disciplina zaposlenih na radnom mestu što podrazumeva smanjivanje prevara, krađa, falsifikovanja, odavanje poslovne tajne, lažna bolovanja, neopravdano plaćanje troškova službenih putovanja, alkohol na radnom mestu ili rad pod uticajem opojnih droga i slično. Pored ovoga takođe se često može rekonstruisati neki događaj koji se dogodio, što može predstavljati validan materijal za pokretanje nekog postupka.

U pronalaženju najboljeg načina za monitoring zaposlenih uključile su se i softverske kompanije, od kojih je najpoznatiji proizvod firme Spectorsoft, koja je bila jedna od prvih na tržištu ovakvih aplikacija, a danas je poznata kao Veriato. Što se tiče aplikacija za mobilne telefone, postoji veći broj aplikacija za android ili iphone koje špijuniraju svaki vaš pokret, uključujući tu i korišćenje službenih vozila.


Potrebno je na kraju istaći da praćenje CCTV kamerama podleže posebnim zakonima o video nadzoru, koji u Srbiji još uvek ne postoje i koji regulišu datu oblast, kao i Zakon o radu koji se dosta preklapa sa ovom temom i kroz koji se dosta stvari može regulisati. Napomena je da poslodavac mora da obrati pažnju kako ne bi došao u situaciju da bude optužen za mobing i druge oblike zlostavljanja na radu korišćenjem navedenih metoda prismotre.

среда, 11. октобар 2017.

Ko su etički hakeri ili beli šeširi


Zbog čestog pominjanja same reči "haker", u negativnom kontekstu, kao osobe koje rade neke loše stvari, želim da u ovom postu pokušam da objasnim da postoje među hakerima različite vrste i da među njima postoje i "dobri" hakeri koji su inače poznati kao etički hakeri ili beli šeširi (white hats).

Ko su etički hakeri?
Etički hakeri  su ljudi koji su dobro istrenirani za različite vrste testiranja bezbednosti sistema. Njihov osnovni zadatak jeste da nađu propuste u bezbednosti nekog sistema i da o tome obaveste nadležne. Ono što je ovde izuzetno bitno napomenuti jeste da je za ovakvo testiranje neophodna pismena saglasnost kompanije koja se testira. Ovo napominjem iz razloga što su neki "hakeri" iz dobre namere u prošlosti pokušali da urade testove nekih sajtova bez ikakvog odobrenja i bez obzira na to što njihova namera sama po sebi nije bila loša, to se smatra kao krivično delo po važećim zakonima. Takođe, etički hakeri ne bi trebalo da se ikada bave "prljavim poslovima" jer će na taj način preći u kategoriju sivih šešira (Gray hats), koja je inače najomraženija kategorija među hakerima, iz razloga što beli šeširi smatraju da se u njih ne može pouzdati jer rade osim svog osnovnog posla povremeno i neke ilegalne, dok sa druge strane ih ne vole ni crni šeširi (Black hats), zbog toga što su oni u preko 90 procenata svog vremena zaposleni kao etički hakeri koji rade u firmama kao sajber security konsultanti  i direktno su im suprotstavljeni ciljevi. E sad pošto smo prošli kroz objašnjenje ko su zapravo etički hakeri, hajde sada da vidimo kako se i gde treniraju i obučavaju.

Gde se obučavaju i treniraju "etički hakeri"?
Postoji više profesionalnih kurseva gde se dobija sertifikat koji vas uvodi u grupu etičkih hakera. Među njima svakako je najpoznatiji EC Council kurs CEH (Certified Ethical Hacker)  koji se polaže u trajanju od 4 sata i ukupno 125 pitanja, a oznaka samog testa jeste 312-50. Pored ovoga dosta popularna jeste i obuka Offensive security OSCP (Offensive Security Certified Professional)  koji je posebno cenjen među stručnjacima zbog praktičnog polaganja koje traje ukupno 24h i gde se radi praktično hakovanje, prolazak na ispitu je vrlo jasan, a ako ste uspeli da hakujete sisteme koji su bili pripremljeni, dobijate sertifikat, dok u suprotnom ne. Ono što je još veliki plus za ovu sertifikaciju jeste to što je Offensive security zapravo autor najpoznatije Linux distribucije koja se koristi od strane hakera pod nazivom Kali.
Osim ove dve postoji jos dosta sertifikacija koje su na neki način povezane sa ovom temom direktno ili indirektno:
  • CPTC – Certified Penetration Testing Consultant
  • CPTE – Certified Penetration Testing Engineer
  • CompTIA – Security+
  • CSTA – Certified Security Testing Associate
  • GPEN – GIAC Certified Penetration Tester
  • ECSA – EC-Council Certified Security Analyst
  • CEPT – Certified Expert Penetration Tester

Koje alate koriste etički hakeri?
Ako ste mislili da se alati koje koriste crni i beli hakeri razlikuju, prevarili ste se. Alati koje koriste su potpuno isti, jedina razlika jeste što etički hakeri koriste ove alate samo ako imaju pre toga potpisan ugovor sa kompanijom koja će biti predmet testiranja. Neki od alata koji se uglavnom koriste nalaze se već instalirani u samom Kali linuxu, koji je najčešći izbor svih hakera, a pored ove distribucije postoji još jedna koja je dosta zastupljena a to je Backbox. U obe distribucije nalazi se poprilično veliki broj kvalitetnih alata, a ja ću ovde navesti neke od njih:
  • maltego - alat za prikupljanje informacija
  • dradis - alat za kolaboraciju hakera
  • OpenVas - vulnerability skener
  • nmap - skener
  • hping3 - napredni skener
  • tracert - putanja rutiranja
  • nslookup - DNS zapisi
  • metasploit/armitage - alat za hakovanje
  • yersinia - DOS napadi
  • john the ripper - alat za probijanje šifre
  • aircrack-ng - razbijanje wifi šifre
  • SET (Social Engineer Toolkit) - socijalni inžinjering

Da li postoje neka pravila ponašanja za etičke hakere?
Postoje određena pravila koja etički hakeri moraju poštovati kako bi bili dobri u svom poslu, odnosno kako bi izgradili dobru reputaciju. Svakako nikada i ni u kom slučaju ne smeju davati trećim licima bilo kakve informacije o sistemu koji se testira, na šta bi trebalo da ih obavezuje i NDA ugovor (Non-disclosure agreement) sa kompanijom. Druga stvar koja je opšte poznata jeste da ne smeju nikada prihvatiti da urade bilo šta što se kosi sa principima etike, odnosno da nikada ni pod kojim uslovima ne prihvate da se bave ilegalnim aktivnostima. Takođe, pri pristupanju materijalima za pripremu ispita za određene sertifikacije, traži se prihvatanje pravila da se alati koji će se tamo dobiti i naučiti nikada neće koristiti u destruktivne svrhe kako bi sačuvali svoj sertifikat i pristup informacijama koje su rezervisane isključivo za etičke hakere.

Nadam se da sam ovim postom uspeo bar malo da približim široj publici ko su zapravo "hakeri" i da među njima postoji i kategorija "dobrih momaka" kojima je osnovni cilj ojačanje bezbednosti sistema a ne destrukcija i uništavanje.

среда, 04. октобар 2017.

Međunarodna Konferencija o bezbednosti informacija (BISEC 2017)


Metropolitan univerzitet u Beogradu sa zadovoljstvom najavljuje Devetu Međunarodnu konferenciju o bezbednosti informacija (BISEC 2017).

Metropolitan univerzitet u Beogradu u saradnji sa Matematičkim institutom SANU i Udruženjem eSigurnost organizuje Devetu međunarodnu konferenciju BISEC 2017, koja će se održati 18. oktobra 2017. godine u prostorijama Metropolitan univerziteta.

Misija Konferencije BISEC je da poveže sektor privrede, javni sektor i akademske krugove u oblasti bezbednosti informacionih i komunikacionih sistema uzimajući u obzir savremene standarde u pomenutoj oblasti i najnovije informacione i komunikacione tehnologije u praksi, što je i ostvareno prethodnih godina.

Ove godine, glavna tema Konferencije je Zaštita digitalnih servisa.
Podteme su:
  • Upravljanje sajber sigurnosnim rizicima u digitalnim servisima
  • Dizajn sigurnog digitalnog servisa
  • Izgradnja sigurnog digitalnog servisa
  • Održavanje sigurnih digitalnih servisa u toku rada
  • Sigurnosne mere za provajdere digitalnih servisa
  • Digitalna sigurnost iz perspektive finansijskih digitalnih servisa
  • Digitalna sigurnost iz perspektive eGovernment digitalnih servisa
  • Klaud bazirani sigurni digitalni servisi
  • Digitalni servisi Internet stvari
  • Penetraciono testiranje web aplikacija
  • Penetraciono testiranje infrastrukture
  • Standardi za digitalne standarde
  • Zaštita digitalnih servisa zasnovanih na biometriji
  • Zaštita digitalnih servisa zasnovanih na mašinskom učenju
  • Zaštita konverzacionih agenata.
Tema okruglog stola ove godine je Održavanje sigurnih digitalnih servisa u toku rada
Podteme o kojima će se diskutovati:
  • Upravljanje ranjivostima i pečovanjem
  • Bezbednosne operacije i praćenje

U ime organizacionog odbora BISEC konferencije pozivam sve zainteresovane da dođu 18 oktobra na konferenciju i da čuju izlaganje naših Keynote predavača, panel diskusiju i na kraju prezentovanje radova autora.

среда, 27. септембар 2017.

Moja misija - širenje znanja!


Došao je septembar i sve se pokrenulo posle sezone godišnjih odmora i predaha koji nam je svima bio potreban kako bismo napunili baterije i očistili um. Odmah na početku meseca sačekale su me obaveze i priprema novih predavanja i seminara, malo sam zastao posle letnjeg odmora i razmislio o svemu. Posebno sam se zapitao zašto radim to što radim i zašto mi je to toliko bitno, ovaj post je posvećen tome i predstavlja sistematizaciju svega onoga što ja zapravo radim.

Zašto radim to što radim?
Svaki čovek ima nešto što ga pokreće i za šta je spreman da posveti svoje vreme, a i sva ostala sredstva. Ono što ja radim u poslednjih nešto više od 15 godina može se opisati jednom rečenicom: "Ja širim znanje o bezbednosti informacija". Ovo je u poslednje vreme postala popularna oblast dok je pre nekih 10 pa i više godina malo ljudi znalo išta o tome. Svedoci toga su moji prijatelji, koji su imali tu "nesreću" da od mene uvek slušaju o ovoj temi o kojoj niko drugi, ili bolje rečeno, koju je mali broj ljudi tada pominjao. Sebe mogu opisati kao nekoga ko želi da što više proširi svest o bezbednosti u sajber svetu što većem broju ljudi. Tu svoju misiju obavljam na više načina:

- Moj blog koji upravo čitate o informacionoj bezbednosti, gde pokušavam da jednom nedeljno pišem na neke teme iz oblasti sajber bezbednosti i to na što razumljivijem nivou, odnosno tako da što veći broj ljudi koji nisu IT stručnjaci može razumeti tekst do neke mere. Ideja mi je da kada neko želi nešto više da sazna o nečemu iz oblasti sajber bezbednosti dođe na blog i pročita. Takođe ideja je da se to sve jednog dana sisstematizuje u jednu knjigu.

- Video podcast KnowledgeCenter.rs gde sa svojim dobrim prijateljem i saradnikom, Miodragom Ranisavljevićem, koji je preuzeo ulogu voditelja, pokušavam da izborom zanimljivih tema iz oblasti sajber bezbednosti objasnimo što više praktičnih stvari. Takođe, ovde ćemo pozivati i goste iz struke koji će davati svoje komentare i mišljenja o aktuelnim temama koje obrađujemo. Za sada smo snimili uvodnu emisiju i prvu epizodu, a za koji dan je druga na redu.

- Seminari i obuke za profesionalce koje realizujem kroz svoju firmu SECIT security, a u saradnji sa privrednim komorama iz Srbije i regiona (PKS, Privredna komora Beograda, Regionalna privredna komora NS, Privredna komora Skopje), kao i nekim kompanija od kojih bi izdvojio nemačku firmu Forum Media d.o.o., koja već dugo godina uspešno posluje i u Srbiji. Pored ovoga izvodimo i treninge i obuke koji se rade inhouse, odnosno kod naših klijenata koji su kompanije ili organi države. Ovde moram da iskoristim priliku da se posebno zahvalim mojim saradnicima koji su stvarno stručni i dobro rade svoj posao.

- Predavanja na Fakultetu za informacione tehnologije (FIT) gde držim više predmeta na osnovnim studijama, a takođe sam i koordinator master studija Bezbednost informacija, gde takođe držim više predmeta iz oblasti bezbednosti informacija i digitalne forenzike i pokušavam da učinim da ovaj program bude što bolji i da učimo studente pravim i aktuelnim stvarima iz ove oblasti. Mislim da ovo u velikoj meri i uspevamo jer je Univerzitet Metropolitan, po nekim istraživanjima koja su sprovedena među studentima, broj 1 po zadovoljstvu studiranja.

- Udruženje eSigurnost je osnovano sa namerom širenja znanja iz oblasti bezbednosti informacija početkom 2016. godine, kada smo moji prijatelji i saradnici Aleksandar Mirković i Jovan Šikanja i ja, rešili da osnujemo udruženje gde ćemo pokušati da okupimo što veći broj stručnjaka iz ove oblasti i kako bi na taj način međusobno delili informacije i znanje. Danas udruženje broji oko 200 članova i može se reći da smo veoma aktivni što se tiče dešavanja u oblasti sajber bezbednosti na teritoriji RS. Naravno, po mom mišljenju, to još nije dovoljno, pa ću se truditi da prethodno pomenuto dovedem na viši nivo u narednim godinama.

- Tribine koje organizuje eSigurnost sa svojim partnerima su događaji koji se odigravaju nekoliko puta godišnje i imaju za cilj da se veći broj stručnjaka sakupi na jednom mestu i da se svaki put obrađuje neka aktuelna tema. Ovo su događaji koji su potpuno besplatni za svakoga ko želi da prisustvuje i ne postoje nikakve kotizacije. Eventualno se neki događaj zbog same teme mora održati tako da mu mogu prisustvovati samo ljudi po pozivu ali to je retko. Sledeći ovakav događaj se planira za prvu polovinu decembra a o tome ću još pisati na blogu.

- Dobijam dosta poziva za gostovanje na TV, radio, live stream emisijama, gde se odazivam kad god ovo mogu da uklopim u svoje obaveze, a trudim se da to bude što češće. Na ovaj način želim da što veći broj ljudi čuje za oblast sajber bezbednosti, koji inače ne bi to čuo da nije bilo gostovanja u emisiji. Pošto Udruženje eSigurnost ima dosta stručnjaka, ako nekada ne mogu da stignem na gostovanje zbog obaveza ili službenog puta van zemlje, uvek postoji opcija da se neko iz Udruženja odazove tako da postižemo da se skoro uvek odazovemo na pozive i zbog toga sam veoma ponosan.

- Smatram da najbolji način razmene informacija i znanja između stručnjaka iz neke oblasti predstavljaju konferencije, pa se iz tog razloga trudim da i ovu oblast ne zapostavim. Trenutno učestvujem u organizaciji dve konferencije iz oblasti bezbednosti informacija. Prva je stručna konferencija eSecurity koju organizuje Udruženje eSigurnost i koja će se održati u drugoj polovini aprila meseca 2018. godine (o detaljima  kao što su tačni datumi, agenda slično moći ćete da čitate na blogu). Druga je međunarodno naučna konferencija BISEC koju organizuje Univerzitet Metropolitan i koja je posvećena oblasti bezbednosti informacija, a kategorizovana je kao M33 i ugostiće i stručnjake iz regiona. Takođe, pored ovih konferencija gde sam uključen u organizaciju, uvek se rado odazivam na sve konferencije i kao predavač, gde koristim priliku da pričam o onome što najbolje znam, a što mislim da može biti korisno ciljnoj publici.

- Još jedna stvar koju sam započeo, ali za koju će trebati više vremena, jeste knjiga koju želim da napišem, a u kojoj ću pokušati da na što jasniji način predstavim sve opasnosti koje vrebaju jedan poslovni sistem i pojedince u njemu. Plan mi je da od tekstova sa ovog bloga kreiram sadržaj za knjigu, naravno kada se prikupi veći broj postova. Ideja mi je da ovo ne bude knjiga samo za stručnjake, već za širu publiku, a posebno bi mi bilo drago da je pročitaju direktori malih i srednjih preduzeća u Srbiji, koji predstavljaju ključan faktor u sajber bezbednosti, a da toga uopšte nisu ni svesni. Nadam se da ću u bližoj budućnosti uspeti da i ovo privedem kraju i da će se knjiga pojaviti na policama neke knjižare.

Kao što sam na početku bloga započeo sa pisanjem, na sličan način ću i završiti. Rekao sam da svako ima nešto što ga pokreće i u šta je spreman da uloži mnogo, a ovo je moj način da ostavim nekakav dublji trag u vremenu. Želim da na ovaj način utičem na što veći broj ljudi koji neće biti prevareni na internetu, firme koje neće biti hakovane od strane profesionalaca i neće pretrpeti štetu, ali i decu koja neće biti žrtve na internetu pedofila koji vrebaju ili svojih vršnjaka koji ih mogu terorisati. Nadam se da ću ostati na ovom putu koji sam započeo i da ću uspeti da ostavim neki trag, pa makar to pa makar to bio uticaj na samo nekoliko ljudi. Toliko za sada, a već sledeće nedelje očekuje vas novi post koji će nas sve zajedno povesti u tom smeru.

среда, 20. септембар 2017.

Bezbedna kancelarija u oblaku


Cloud computing odnosno oblak je iz korena promenio način na koji danas funkcioniše IT, kako u poslovnom okruženju, tako i običnih korisnika. Prednost ovakvog pristupa je višestruka, a glavna prednost jeste dostupnost podatka sa različitih lokacija (bez obzira da li se nalazite u kancelariji, svojoj kući ili na službenom putu van zemlje). Druga važna prednost oblaka jeste što podacima možete pristupati sa različitih vrsta uređaja koje koristite i to bez obzira na to koji operativni sistem koristite (mobilni telefoni - android, iphone, različite vrste tableta, laptopovi...). Sa poslovnog aspekta navedene prednosti su veoma pozitivne stvari vezane za prednosti korišćenja ove tehnologije jer jedan od efekata svakako jeste mogućnost velike uštede na IT troškovima kompanije. Ovde pre svega mislim zbog toga što se u ovom modelu neko drugi brine o Vašim podacima (pružalac usluga - Cloud provider), a sa druge strane i korisnici mogu sa jeftnijih uređaja da koriste resurse (ne moraju svi da imaju jake računare sa snažnim procesorima i dosta RAM memorije kako bi koristili ovu tehnologiju). Međutim postoje i sigurnosni problemi na koje želim da ukažem ovim postom, kao i na to koje podatke treba prebaciti u Cloud a koje ne. Pa da krenemo redom, prvo da vidimo koji sve modeli oblaka postoje.


Modeli oblaka

E sada kada smo objasnili koje su prednosti, potrebno je znati da postoje tri osnovna modela servisa u svakom cloud okruženju i svaki od navedenih modela ima različit uticaj na bezbednost podataka u cloud‑u i ne postoji mera bezbednosti koja je univerzalno primenjiva na sva tri modela. Postoje sledeći modeli:
- Infrastruktura kao servis (IaaS) - ovo je model u kome se iznajmljuje čitava infrastruktura, što podrazumeva virtualne računare, ali ne samo to već i mrežnu opremu i uređaje
- Platforma kao servis (PaaS) - predstavlja model u kome se iznajmljuje virtualni računar sa određenom količinom procesora i radne memorije, koje je moguće vrlo lako kroz pretplatu povećavati ili smanjivati u zavisnosti od potreba
- Softver kao servis (SaaS) - najčešće primenjivani model u kome se iznajmljuje sam program odnosno softver. Tipični primeri ovakvih usluga jesu MS Office 365 sa čuvanjem podataka na One Drive ili besplatna rešenja kao što su Dropbox i Google Drive. Osnovna ideja jeste da se program nikada ne kupuje, već da se plaća po broju sati korišćenja ili se plaća paušalno dogovorena cena na mesečnom ili godišnjem nivou, što je mnogo fleksibilnije od toga da morate kupiti čitavu aplikaciju i onda brinuti o licencama ili o ažuriranjima verzije.

Koje podatke čuvati na Cloud-u?
Neke vrste podataka su isuviše osetljive za smeštaj u oblak. Tu pre svega spadaju poverljivi poslovni podaci kao što su podaci o klijentima na primer. Međutim postoje različite varijante Cloud-a pa se postavlja pitanje koji je pravi model za Vaše poslovanje. Kod public cloud-a situacija je takva da više korisnika deli isti prostor za skladištenje podataka i tu je bezbednost na mnogo nižem nivou (Dropbox, Google Drive).

Bekap, disaster recovery i business continuity
Nešto što predstavlja stalnu boljku IT stručnjaka u kompanijama jeste šta raditi ako dođe do gubitka podataka, odnosno kako sistem što pre vratiti u stanje rada. Ovde je bitno istaći i da je ovo jedna od najskupljih i najzahtevnijih stvari jer se dostupnost poslovnih podataka ne sme dovoditi u pitanje. Cloud provajder mora da ispuni određene standarde i mora imati izuzetno veliku dostupnost, što podrazumeva i pristup podacima posle poplava, zemljotresa, nestanka električne energije i slično. Oblak predstavlja idealno mesto za skladištenje poslovnih podataka zbog svega navedenog. Troškovi su daleko manji od kupovine dodatnih resursa za čuvanje podataka i možda čak i održavanje sekundarne lokacije. Ukoliko dođe do bilo kakvog problema, svi podaci se nalaze u oblaku, tako da čak i sekundarna lokacija iako postoji, ne mora imati kopiju podataka jer je oblak dostupan i sa te lokacije.

Zašto čuvati podatke u oblaku?
Danas je većina cloud provajdera sertifikovana za poslove koje rade i trude se da steknu i očuvaju dobru reputaciju zbog starih i novih klijenata. To znači da su spremni da ispune određene standarde koji vam odgovaraju i koje vi verovatno ne možete tako lako ispuniti i dostići kao kompanija. Izbor cloud provajdera je stvar poverenja i to se mora graditi tokom vremena. Cloud provajderi takođe uglavnom imaju dobro opremljene data centre, adekvatnu logistiku i visokokvalifikovano IT osoblje, što mala i srednja preduzeća u Srbiji sebi teško mogu da priušte na tom nivou. Ovde treba voditi računa da je i dalje najveća odgovornost na korisniku jer ne znači puno ako Cloud provajder vodi računa o svim ostalim stvarima, a korisnik ne zaštiti svoj pristup Cloud-u. Pošto je ovo posebno bitna tema, u nastavku slede neka uputstva kako biti bezbedan u oblaku.

Dvostepena i biometrijska provera
Da bi sprečili ili bar otežali posao hakerima, koji pokušavaju da pristupe našim podacima, možemo koristiti sledeće dve tehnologije:
- Dvostepena verifikacija (2 step verification) - tehnologija koja omogućava korisniku da pored korisničkog imena i šifre uvede i drugi stepen provere, što je uglavnom SMS poruka sa pristupnim parametrima, koja stiže na unapred prijavljen broj telefona. Na ovaj način čak i da neko sazna vašu lozinku za pristup, neće moći da pristupi nalogu ako nema mogućnost da na vaše telefonu vidi parametre koji su stigli u SMS poruci. Većina cloud provajdera nudi ovu mogućnost, odavno je uvedena od strane kompanija Google i Apple a vrlo brzo posle toga i Dropbox pruža ovakvu mogućnost.
- Biometrijska provera (biometric verification) - tehnologija koja se može koristiti kao dodatni faktor provere i koja se bazira na otisku prsta ili zenice oka korisnika. Postoji još pored ovoga dosta različitih vrsta biometrijske provere, ali zbog jednostavnosti otisak prsta je nešto što se najčešće susreće u praksi. Veliki broj poslovnih laptop računara već ima ugrađen čitač otiska prsta kao sastavni deo, tako da ovo još dodatno olakšava primenu ove tehnologije.

Bezbednost radne stanice
Bez obzira što se podaci u ovakvom poslovanju većinom čuvaju u oblaku potrebno je i dalje voditi računa o bezbednosti samog računara sa kog pristupamo oblaku. To podrazumeva minimum sledeće:
  • ažuriran operativni sistem najnovijim zakrpama
  • instaliran i ažuriran antivirus program
  • dobro podešen softverski firewall
  • VPN klijent za pristup

Procedure za korisnike
Pored bezbednosti uređaja sa kog se pristupa potrebno je obezbediti i procedure za korisnike koji koriste ovakvo okruženje. Međutim izuzetno je bitno da korisnici budu upoznati sa tim procedurama kao i sankcijama u slučaju kršenja istih. Ovo je nešto što bi trebalo uraditi u kompanijama mnogo pre početka korišćenja oblaka u poslovanju. Ukoliko ne postoje ljudi u kompaniji koji su upoznati sa ovim, potrebno je obavezno angažovati stručne konsultante koji imaju iskustva sa ovom temom, kako bi se pokrilo sve što je potrebno sa tehničke i pravne strane. Ovde je posebno bitno da postoje definisane procedure bekapa podataka, povratka posle katastrofe (disaster recovery) i kontinuiteta poslovanja (business continuity) jer one mogu ugroziti poslovanje kompanije.

Da li da koristim Cloud u poslovanju ili ne?
Bitno je istaći da pošto su svesni rizika, provajderi koji nude ovakve usluge veoma ozbiljno shvataju opasnosti koje vrebaju u ovom modelu poslovanja. Tako da čak i u slučaju da se desi neki neželjeni upad u sistem, to ne znači da su podaci hakerima dati „na tanjiru“. Oni se šifruju i gotovo je nemoguće dešifrovati ih u nekom razumnom vremenskom periodu (ono što ovde stvara još dodatne zabune jeste veliki broj vesti koje se brzo šire internetom kako je došlo do kompromitovanja velikog broja podataka što uglavnom nije tačno već su uzete samo heš vrednosti lozinki i veliko je pitanje da li se i na koji način stvarno mogu razbiti).
Ono što predstavlja izuzetno korisnu stvar jesu aplikacije koje se koriste direktno u oblaku, kao što su na primer Office 365 ili Google Docs. Na ovaj način drastično je olakšana kolaboracija, odnosno zajednički rad na dokumentima koji se pored toga što su dostupni za izmenu od strane više korisnika sa mogućnošću praćenja izmena, takođe i sačuvani direktno u oblaku.

Zaključak
Potpuno je jasno da rad u cloud okruženju donosi niz prednosti u odnosu na rad sa izolovanim računarima ili računarima koji su povezani u neku vrstu računarske mreže. Naravno, potrebno je biti obazriv i voditi računa o svemu, ali ne treba da postoji paranoja i odbacivanje ovakve tehnologije, koja će se u budućnosti svakako sve više razvijati i doneti niz novih prednosti. Ukoliko želimo da iskoristimo sve te prednosti koje su već dostupne ili će tek biti, moraćemo da koristimo cloud okruženje, a da bi to radili u koliko toliko bezbednom okruženju, moraćemo i da poštujemo i neka pravila.