Jak firmy mogą bronić się przed atakami socjotechnicznymi?

Przede wszystkim szkolić pracowników. Kurs, który obejmuje obronę przed takimi atakami istotnie podwyższa bezpieczeństwo firmy. Zademonstrowanie pracownikom stosowanych metod i ich efektywności oraz szkolenie, aby rozpoznawali działania socjotechniczne sprawi, że będą mogli się im przeciwstawić. W ten sposób można minimalizować ryzyko, choć niestety nie uda się go wyeliminować. Warto też zauważyć, że efektywność takich ataków jest największa w wypadku dużych firm, a im mniejsza organizacja, tym atak jest trudniejszy.

Czy technologia w tym pomaga?

Gdy przegląda się strony cybercrime.gov, gdzie publikowane są informacje o przestępstwach komputerowych, szpiegostwo przemysłowe bardzo często się tam pojawia. Przykładem jest niedawny wypadek, gdy amerykański obywatel sprzedawał poufne dokumenty Chińczykom.

Wykonywałem wiele zleceń konsultingowych i odkryłem, że niemal wszyscy są skoncentrowani na budżecie i technologii. Firmy kupują różne systemy zabezpieczeń i mają budżet na szkolenia z nimi związane. Tymczasem hacker może zadzwonić do zaufanej osoby w firmie i zaproponować, aby otworzyła ona konkretną stronę. Ponieważ wcześniej dokonał rozpoznania, wie jakiej przeglądarki używa firma i może wykorzystać atak dnia zerowego. Złośliwy kod zostaje pobrany przez przeglądarkę i uruchomiony. Od tej chwili napastnik posiada kontrolę nad uwierzytelnionym komputerem, który jest podłączony do sieci lokalnej firmy. Dlatego sądzę, że należy pamiętać o zabezpieczeniu każdego ogniwa tego łańcucha, gdyż intruz zawsze wykorzysta najsłabsze z nich. Z reguły najsłabszym ogniwem jest człowiek.

Wiele ataków zostało wykonanych od środka firmy...

Każda firma powinna się zabezpieczyć przed naruszeniami bezpieczeństwa także od środka. Intruz, który dokonuje kradzieży informacji od wewnątrz jest w znacznie lepszej sytuacji od tego, który to robi z zewnątrz. Jedną z najbardziej znanych spraw było naruszenie bezpieczeństwa w banku Societe Generale, gdzie pracownik przy użyciu własnej wiedzy i skradzionych haseł dokonał nielegalnych transakcji na kwotę ponad 7 mld USD. To chyba najbardziej spektakularny przykład dużego ataku, który był wykonany od środka.

Czy zmienił się sposób myślenia dzisiejszych hackerów? Był Pan jednym z nich...

Niestety tak, ale byłem hackerem starej szkoły. Obecnie hackerzy myślą w kategoriach komercyjnych. Podam przykład firmy, która padła ofiarą jednego z nich. Hacker przejął jej domenę i zażyczył opłaty za jej zwrot. Firma poprosiła mnie o pomoc, ale wymagała szybkiego działania. Jedynym sposobem na odzyskanie domeny w tym czasie, było zapłacenie hackerowi okupu 3000 USD. Rozpocząłem poszukiwania i znalazłem tego hackera, znam jego nazwisko. Człowiek ten atakuje domeny regularnie i nie boi się konsekwencji prawnych, gdyż mieszka w Iranie.

Co powoduje najwięcej szkód: ataki hackerów, złośliwe oprogramowanie, ataki DoS?

Regularnie oglądam statystyki, ale tak naprawdę nie wiem, jak są dokładne. Do głowy przychodzi mi jedno oczywiste pytanie - co jest statystycznie najpoważniejszym zagrożeniem, socjotechnika czy atak techniczny? Przyznaję, że nie znam odpowiedzi. Ale wiem, że gdy byłem napastnikiem, socjotechnika działała na 99-95%. Na takie ataki podatne były nawet takie firmy jak Motorola, Fujitsu, Sun Microsystems, Silicon Graphics czy IBM, gdzie stosowano naprawdę silne zabezpieczenia techniczne, np. dwuskładnikowe uwierzytelnienie dostępu do serwerów. Dokonuję audytów bezpieczeństwa i wiem, że nadal - zarówno ludzie, jak i technologie - są podatne na ataki.