Kinga Kokoszka
Kevin Mitnick był jednym z najbardziej znanych hakerów. Swoją karierę zaczynał od niewinnego żartu, polegającego na zmianie rodzaju usługi przypisanej do numeru telefonu znajomego. Ten podnosząc słuchawkę swojego telefonu stacjonarnego, słyszał w niej "wrzuć monetę". Wraz z budowaniem coraz większej pewności siebie, dopuszczał się również coraz zuchwalszych włamań. Na jego celowniku znalazły się największe korporacje w USA. Po wielu latach poszukiwań i zatargów z prawem FBI aresztowało go w 1995 r. Po zatrzymaniu był izolowany, ze szczególnym uwzględnieniem dostępu do wszelkich urządzeń, które dawały podejrzenie użycia ich do kolejnego włamania.
W 2000 r. Mitnick wyszedł z więzienia, ale do 2003 r. obowiązywał go zakaz używania Internetu. Po odbyciu kary założył firmę, której celem było wzmacnianie i edukacja w zakresie bezpieczeństwa. Napisał również (wraz z Williamem Simonem) kilka książek: "Sztuka podstępu", "Sztuka infiltracji" i "Duch w sieci", w których podzielił się z nami swoim doświadczeniem. Kevin Mitnick zmarł 16 lipca 2023 r.
Jakich lekcji Kevin Mitnick udzielił testerom?
Każdy z nas z pewnością potrafi wymienić cele testowania. Wśród nich znajdują się m.in.:
- budowanie zaufania do poziomu jakości przedmiotu testów
- dostarczanie interesariuszom informacji niezbędnych do podejmowania świadomych decyzji
- obniżanie poziomu ryzyka związanego z jakością oprogramowania.
Wszystkie te cele znikną, jak balonik przebity szpilką, jeżeli z testowanej przez nas aplikacji wyciekną dane. Nie jest to jednak techniczny tekst dla specjalistów w dziedzinie cyberbezpieczeństwa. Chcę tym tekstem zwrócić uwagę na to, że o podstawowe aspekty bezpieczeństwa może zadbać nawet początkujący tester.
Kevin Mitnick, pomimo umiejętności technicznych, w swoich działaniach skupiał się na najsłabszym elemencie łańcucha – człowieku. Dziś hakerzy robią dokładnie to samo, podszywając się w e-mailach pod naszych kolegów z pracy, zapraszając do kliknięcia linku, pobrania załączników czy prosząc o pozornie nic nieznaczące dane.
Jak ocenić czy dane są wrażliwe?
Najlepiej założyć, że wszystkie dane są wrażliwe. Kevin Mitnick opisuje przykłady, w których podszywając się pod różne osoby wykonujące usługi, prosił o błahą przysługę. Budował zaufanie prostymi pytaniami, aby wśród nich uzyskać jedną niewzbudzającą podejrzeń informację. Kilkanaście telefonów, pozwalało uzyskać mu parę informacji, a te połączone w całość dawały dostęp do pozornie świetnie zabezpieczonych systemów.
Jeżeli testowany przez Ciebie system, strona, aplikacja zakładają podział na role, koniecznie przeanalizuj, czy każdy typ użytkownika otrzymuje tylko takie uprawnienia, jakie są mu niezbędne do wykonywania powierzonych działań. Może warto również przy nadawaniu uprawnień poinformować użytkownika, że przekazywane mu dane należy chronić.
Hasło, jako złudzenie bezpieczeństwa
Hasła, kody dostępu, autoryzacja czy weryfikacja - wszystkie te rzeczy i wiele innych spełnia swoje zadanie, ale zawsze w tej układance pojawia się człowiek, który ma przyklejony kod PIN do karty kredytowej (tak, żeby nie zapomnieć) lub zupełnie nieświadomy loguje się do nieznanych sieci, a następnie przy logowaniu podaje niezakryte hasło. Nawet jeżeli zrobimy wszystko z najwyższą starannością, to ustawi hasło: "Hasło123".
Jak słabe mogą być hasła, doskonale ukazują krzyżówki stworzone po wycieku danych dotyczących kont w Adobe. Hasła w krzyżówce zostały stworzone z 1000 najczęściej wykorzystywanych haseł, a podpowiedzią do nich jest 50 najczęstszych podpowiedzi, jakie użytkownicy podawali w systemie.
Poniżej mały przykład:
Socjotechnika, czyli kiedy tester potrzebuje psychologii
Nigdy nie wiemy, kiedy zdobyta wiedza się nam przyda. Tester świadomy aspektów psychologicznych ludzkich zachowań będzie mógł je lepiej przewidzieć i napisać do nich przypadki testowe, a następnie wykonać testy. W swoich książkach Kevin Mitnick opisał niezliczoną ilość przypadków, kiedy to właśnie w całym świetnie zabezpieczonym środowisku, ktoś obdarzył go zbyt dużym zaufaniem.
W swojej pracy testerzy muszą przewidywać różne, czasami wydawałoby się kuriozalne działania przyszłych użytkowników. Czasami dbamy o rzeczy trudne, zapominając o podstawowych. Oceniajmy więc siłę wymaganych haseł, weryfikację danych logowania, informacje zawarte w komunikatach walidacyjnych, czy konieczność automatycznego wylogowania się po określonym czasie bezczynności.
Dostęp do nieuprawnionych danych dla osób postronnych zawsze generuje większe straty, niż koszty potencjalnych zabezpieczeń – jeżeli tylko te są znane i uświadomione.
„Bezpieczeństwo to nie produkt – to proces”. - Bruce Schneider
Należy robić wszystko, aby czuć się bezpiecznie i nigdy nie przestać być ostrożnym. Bądźmy ostrożni, zarówno testując dla naszych pracodawców, jak i klientów, ale też na co dzień dla samych siebie. Zdobywajmy wiedzę, dzielmy się doświadczeniem i edukujmy, tak abyśmy wszyscy byli tak bezpieczni, jako to tylko możliwe. Pamiętając, że już podstawowe działania w kierunku bezpieczeństwa są lepsze, niż niepodjęcie żadnych kroków, a przy ogromie zaawansowanych technicznie zabezpieczeń, potencjalny haker nie będzie próbował ich złamać oczywistą drogą, wiedząc, że jego nieudana próba ostrzeże potencjalną ofiarę o jego zamiarach.
Nie tylko o bezpieczeństwie
Najważniejszą lekcję zostawiam na sam koniec. To, co pokazał nam Kevin Mitnick to nie technikalia, a w dużej mierze usposobienie i zachowania, które możesz codziennie rozwijać. Przechodząc do sedna: nie bój się zadawać pytań. Pamiętaj, nie zawsze otrzymasz od razu wszystkie informacje. Dziel zadania na mniejsze części i dalej zadawaj pytania. Zbieraj małe części informacji i układaj je w większą całość. Bądź systematyczny, wytrwały, uparty, skrupulatny i najważniejsze: wszystko, co robisz, rób w dobrych intencjach. :)
Jeżeli zainteresował Cię tekst i chcesz odrobić swoją lekcję wraz z Kevinem Mitnickiem, więcej informacji znajdziesz w jego książkach, które były inspiracją i źródłem tego artykułu.
