RADE FURTULA, INŽENJER PRODAJE U KOMPANIJI „KASPERSKI” U svetu hakera čovek je i dalje najslabija karika
U svetu sajber-bezbednosti postoje dve grupe ljudi – oni koji otkrivene slabosti u softveru prijavljuju kako bi bile otklonjene i oni koji ih prodaju ili zloupotrebljavaju.
Upravo taj drugi slučaj odnosi se na takozvane zero-day propuste – nepoznate greške u softveru, koje proizvođači još nisu imali prilike da zakrpe.
– Zero-day je, u suštini, bag u softveru koji niko nije uočio na vreme. Kada ga otkrije neko sa zlim namerama, dobija pristup sistemu pre nego što bezbednosne službe uopšte shvate šta se dogodilo – objašnjava Rade Furtula, inženjer prodaje u kompaniji „Kasperski”.
Takve slabosti muče čak i najveće sisteme, poput „Gugla”, i često postaju polazna tačka za napade državno sponzorisanih hakerskih grupa i rensomver operacija, rekao je nedavno Furtula. - Najaktivnije APT grupe (državno sponzorisane), poput „Lazara” ili „TetrisPhantom”, upravo iskorišćavaju zero-day propuste da bi infiltrirale sisteme, naročito one koji su izolovani od interneta – industrijske pogone, energetske kompanije i infrastrukturu.
Furtula ističe da se u preko 90 odsto slučajeva incidenti pokreću fišingom, ali da se zatim koriste upravo zero-day eksploiti za prodor u dublje slojeve IT infrastrukture, pri čemu napadač često ostaje neprimećen.
Takve slabosti muče čak i najveće sisteme, poput „Gugla”
– Napadač može nedeljama da boravi u sistemu, da posmatra, izvlači podatke i tek kasnije aktivira napad. Zato kompanije moraju stalno da rade na obukama, simulacijama fišing kampanja i podizanju svesti kod zaposlenih. Tehnička zaštita je samo pola posla – kaže on.
Stvari postaju još gore kad se u jednačinu uvede veštačka inteligencija.
- Čovek je i dalje najslabija karika, ništa se tu nije puno promenilo. Ali, sada, uz pomoć AI, napadači imaju priliku da pričaju sve jezike sveta, i to relativno besplatno, kao i da pišu gramatički dobro i da to predstavljaju žrtvi kao poziv na neku akciju. Zamislite da imate kuću u koju hoćete da provalite: imate opciju da razbijete ta vrata ili da prevarite gazdu da vam ih sam otvori. U većini velikih napada čovek je ta najslabija tačka, od koje sve počinje. On obično dobije neki lažni mejl, fišing, naravno, klikne na neki link i to je inicijalna pozicija odakle to kreće dalje. Što duže postoji veštačka inteligencija, postaje sve pametnija. Sad nam ostaje da vidimo da li ćemo mi biti pametniji od njega, kako bismo sprečili da nas, uz pomoć sajber kriminalaca, vara.
- Kvalitet napada jako zavisi od toga ko ga izvodi: kod državno sponzorisanih grupa to će biti mnogo naprednije jer oni imaju timove koji izučavaju pojedince koje će pokušati da napadnu. Iza ovih napada koji su popularni kod nas, kao što je „Slučaj Dajhman” ili „Pošta Srbije”, najverovatnije stoje neke manje hakerske grupe ili neki nezavisni igrači, prvo zato što napad nije dovoljno dobro urađen. Da država stoji iza toga, vi biste dobili toliko dobru poruku da biste teško našli grešku.
Ako sumnjate, postavljajte nezgodna pitanja
Ljudi još uvek ne veruju da iza mnogih slika, videa i audio snimaka stoji veštačka inteligencija. Kako da ljudi prepoznaju da je u pitanju prevara?
Što se tiče voice phishing ili fišinga, važno je da sagovornika pitate neku informaciju koju samo vi znate ili najbliži krug ili, ako vas nazove šef, da ga pitate nešto što bi on morao da zna. Ako vas, na primer, zovu iz banke, da ih pitate kako glase poslednja dva broja vaše lične karte. Što se tiče dipfejkova i lažnih video snimaka, tu je preporuka gledati mimiku lica, zato što veštačka inteligencija to još uvek ne zna da kopira. Usta, zubi, pokreti, to je najslabiji deo tih video snimaka.
U ovom slučaju ide se na masovnost – kaže Furtula. - To je masovna kampanja, nije usmerena protiv jedne osobe, već protiv grupe, odnosno šalje se na sve brojeve koje su pribavili na dark vebu. Uspešnost ovih kampanja je manja, ali igraju na masovnost i na to da će se neko sigurno upecati. Ako građani dobiju ovakve poruke, jako je važno da ne reaguju odmah. U većini tih fišing poruka od vas će tražiti neku hitnu akciju: „ako ne kliknete ovde, sledi vam kazna”. Ja sam skoro dobio, navodno, paket od Pošte „ako ne klikneš na link, vaš paket će biti vraćen pošiljaocu”. Stvarno sam se zamislio, jer je sve izgledalo kao da mi je poruku poslala Pošta. Srećom, tada nisam ništa poručio, ali to je dokaz da svako može biti cilj i žrtva.
Zero-day je, u suštini, bag u softveru koji niko nije uočio na vreme
Prema njegovim rečima, upravo je pitanje podataka ključno u svim napadima. Dok građani najčešće misle da je krađa novca glavni cilj, stvarna vrednost je u podacima – brojevima telefona, lokacijama, zanimanjima i navikama, koji se zatim prodaju drugim grupama na dark vebu. „Te baze velikih podataka omogućavaju napadačima da prave naše profile i sve preciznije nas targetiraju”, upozorava on. - Kad imaju više informacija, lakše znaju na šta ćemo pre da nasednemo.