Ētiskie hakeri - pašlaik tehnoloģija vada cilvēku, bet jābūt ir otrādi

LETA
CopyLinkedIn Draugiem X
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Foto: Shutterstock

Pēdējo mēnešu laikā sabiedrību arvien biežāk pāršalc ziņas, ka kādam pazīstamam tiešsaistes pakalpojumam uzbrukuši kiberļaundari. Nereti tas novedis pie dažādu personīgo datu noplūdes, tādēļ pakalpojumu sniedzējs ir bijis spiests likt saviem klientiem nomainīt pieejas datus. Lai sistēmas būtu grūtāk uzlaužamas, jau ilgāku laiku uzņēmēji sāk novērtēt ētisko hakeru pakalpojumus, kas veic ielaušanās testus un pamāca, kā izsargāties no īstiem ļaundariem.

Šāda veida testi pamazām sāk kļūt arī par obligātu sastāvdaļu ISO sertifikācijas iegūšanai, kas atsevišķiem uzņēmumiem liek savu darbiniekus apmācīt par ētiskajiem jeb baltajiem hakeriem. Pašlaik Latvijā ar šādām apmācībām nodarbojas kompānija «New Horizons», kurp jau vairāki pazīstami uzņēmumi nosūtījuši savus speciālistus. Viens no pasniedzējiem, kurš sagatavo topošos ētiskos hakerus, ir Pjotrs Gubarevičs, kurš par ētiskā hakera profesijas īpatnībām un ikdienas drošības riskiem pastāstīja portālam «Nozare.lv».

Par ikdienas kiberdrošību «Nozare.lv» izdevās parunāt ar pazīstamās kompānijas «Kaspersky Lab» vecāko drošības ekspertu Deividu Džeikobiju, kurš kā ētiskais hakeris darbojas jau vairāk nekā 15 gadus. Lai arī tehnoloģijas mūsdienās attīstās ar pamatīgu sparu, tomēr visbiežāk to lietotāju izpratne ir novecojusi. Tieši kļūdaini pieņēmumi ir galvenais traucēklis kiberdrošībai, nevis tehnoloģiskā mazspēja, uzskata eksperts. Džeikobijs pat iesaka, ka tehnoloģiju attīstību varētu nedaudz piebremzēt, kamēr lietotāji tām tiks līdzi.

Pjotrs Gubarevičs

Sākam ar pašiem pamatiem - kas ir hakeris?

Tas ir cilvēks, kurš ļoti labi zina, kā strādā sistēma, un prot iedarbināt tās slēptās iespējas.

Arī izmantot šo sistēmu tai neparedzētā veidā?

Jā, tā varētu teikt. Nevajag gan aizmirst, ka ir «black hat» un «white hat» hakeri, kam ir atšķirīgi motīvi.

Kas nosaka to, kādā krāsā ir hakeris - melns, balts vai pelēks?

«Black hat» nodarbojas ar noziedzību - meklē internetā upurus un tehnoloģiski uz tiem iedarbojas, lai iefiltrētu viņu sistēmās dažādus vīrusus un citu programmatūru. «White hat» darbojas līdzīgi, bet viņi to dara, esot kontraktā ar resursa īpašnieku, - pārbauda drošības sistēmas un nereti arī nosaka, vai sistēmas izstrādātas saskaņā ar vispārpieņemtajiem drošības standartiem. Ļoti labs aizsardzības speciālists zinās, kā lauzt un arī kā pasargāt.

Kas ietverts «baltā» hakera apmācības programmā?

Mūsu programma ir tikai pirmais solis - kopumā soļu ir daudz, lai no iesācēja nokļūtu līdz speciālistam. Ētiskā hakera kursā apskatām vairākus uzbrukuma vektorus – ceļus, kā iedarboties uz datorsistēmu, kā arī aizsardzību, ja tie tiek izmantoti pret jums pašu.

Un beigās audzēknis saņem sertifikātu, ka viņš ir ētiskais hakeris?

Tik vienkārši tas nav - uzreiz var saņemt sertifikātu, ka kurss ir noklausīts. Lai saņemtu hakera sertifikātu, ir jānokārto eksāmens. Pie mums to var izdarīt. Speciālistiem, kam bijis iepriekšējās redakcijas sertifikāts, to ik pa trim gadiem nepieciešams atjaunināt, jo tehnoloģijas nemitīgi mainās.

Pēc kursa noklausīšanās visi kārto šo testu?

Ne vienmēr - daudziem nepietiek pieredzes, kas nepieciešama prasību izpildei. Tāpat arī šo eksāmenu noteikti nevarētu saukt par vienkāršu. Ļoti daudzi kursus apmeklē, lai vairāk uzzinātu par kiberdrošību, - eksāmenu kārto tie, kam darba devējs ir noteicis prasību pēc attiecīgā sertifikāta. Latvijā arī šīs prasības pēc drošības sertifikātiem parādījušās samērā nesen.

Tātad varētu teikt, ka uzņēmumos vadības līmenī sāk parādīties uzskats, ka ir nepieciešams nolīgt nevis «Java», PHP vai kādu citu programmētāju, kurš dara visu, bet gan kiberdrošības speciālistu?

Patlaban galvenā problēma ir, ka uzņēmumā ir kāds programmētājs vai izstrādātāju grupa, kas nodarbojas ar programmatūras izstrādi. Pēdējā laikā arvien vairāk uzņēmumu sāk darbību tiešsaistē - dažāda veida preču un pakalpojumu pasūtīšana internetā, dažādi maksājumi -, un 90% gadījumu izstrādātie risinājumi nav droši.

Tātad būtu nepieciešams speciālists no ārpuses, kas spētu objektīvi pārbaudīt izstrādāto produktu noturību pret kiberuzbrukumiem?

Nav jābūt obligāti no ārpuses - arī uzņēmuma iekšienē vajag speciālistu, kas labi pārzina uzbrukuma paveidus un palīdz uzbūvēt programmatūru vai sakārtot tā iekšējo tīklu, lai iekšējo un ārējo draudu risks tiktu samazināts līdz minimumam.

Nav prasību, ka jābūt tieši ārējam speciālistam, kas veic šādas pārbaudes?

Ar to pašlaik nodarbojas auditēšanas kompānijas, kur darbojas dažādi speciālisti, tostarp arī sertificēti hakeri.

Vai nevar būt tā, ka tie, kas pabeidz šos ētiskā hakera kursus, beigās kļūst par ļoti zinošiem kibernoziedzniekiem? Zināms, ka kibernoziedzība ir plaukstoša industrija ar ļoti pieklājīgu apgrozījumu.

Labs jautājums. To nekad nevar zināt, bet pamatā katrs kursants parakstās, ka ir pilnībā atbildīgs par to, kā izmantos iegūtās zināšanas.

Jūs pats kā pasniedzējs varat fiksēt, ka kāds no kursantiem ir tendēts uz noziedzīgu darbību veikšanu?

To nekad nevar zināt. Mūsu klienti gan lielākoties ir uzņēmumu darbinieki, nevis privātpersonas.

Pastāv arī tāds termins kā pelēkais hakeris - kas ar to tiek saprasts?

Tas ir cilvēks, kurš nodarbojas gan ar «white hat» aktivitātēm, gan arī ar kibernoziedzību. Es precīzi nepateikšu, cik bieži tas tā notiek, bet tā ir realitāte. Parasti gan melnie hakeri, sevi pilnveidojot, ar laiku kļūst par baltajiem.

Cik izplatīti ir hakeru uzbrukumi to populārajā izpratnē?

Esmu runājis ar interneta pakalpojumu sniedzējiem, un viņi saka, ka divi no trim mājas datoriem ģenerē ļaunprātīgu datu plūsmu. Citiem vārdiem sakot - tos ir nolaupījis un robotu tīklam pievienojis kāds ļaundaris.

Tas notiek, ja kāds ir nejauši uzķēries uz izsūtītas ļaunatūras. Drīzāk biju domājis uzbrukumu, kur patiešām cilvēks ielaužas manā sistēmā.

Mērķēti uzbrukumi nav īpaši izplatīti, bet tie notiek. Jo lielāks uzņēmums, jo lielāka iespēja, ka kāds strādā pie tā tīkla uzlaušanas gan no ārpuses, gan iekšpusē. Parasti arī apjomīgākās sistēmās ir lielāka nekārtība, ko hakeris var izmantot savu mērķu sasniegšanai.

Vai baltais hakeris ielaušanās gadījumā drīkst veikt pretuzbrukumu?

Daudzi hakeri strādā, lai ar savām zināšanām pasargātu uzņēmumu. Viņi apzina dažādas ievainojamības un izstrādā ziņojumu cilvēkam, kurš ir atbildīgs par riska vadību. Šajā gadījumā var iedarbināt dažādus mehānismus, kas apgrūtinātu potenciālo ielaušanos. Saprotams, ka pilnībā pasargāt sistēmas nav iespējams.

Vai ētiskais hakeris drīkst publiskot atklātās nepilnības?

Vajadzētu būt tā, ka sākumā hakeris vēršas pie izstrādātāja un paziņo, ka ir atklājis kādu ievainojamību.

Ja nu izstrādātājs pasaka, ka tās ir muļķības un ka nekādu caurumu viņa veidotajā sistēmā nevar būt?

Mēdz būt arī tā. Parasti gan notiek tā, ka izstrādātājs nāk klajā ar atjauninājumu, un tikai pēc tam hakeris drīkst publicēt atklāto ievainojamību.

Nesen pasauli pāršalca ziņa, ka atklāta kritiska ievainojamība «OpenSSL» šifrēšanas sistēmai. Kā vērtējat tās nopietnību?

Patiesību sakot, šādas ievainojamības atklāj ārkārtīgi bieži. Nav programmu bez caurumiem. Nesen bija ziņas, ka atklāta ievainojamība pārlūkam «Internet Explorer». Pilnīgi visi pārlūki ir ar ievainojamībām! Es studentiem mēdzu jautāt, kurš pārlūks viņiem patīk vislabāk, un to arī laužam!

Tad «Heartbleed» nebija «armagedons», kā to nereti dēvēja medijos?

Nē, šādi «armagedoni» notiek katru dienu.

Deivids Džeikobijs

Jūs bijāt viens no pirmajiem, kurš vērsa uzmanību uz «Heartbleed» ievainojamību. Man kiberdrošībnieki ir teikuši, ka mediji pārspīlē tā nozīmību, - kā jūs vērtējat šo ievainojamību?

Tehniski skatoties, ievainojamība bija ārkārtīgi sarežģīta un bīstama, bet tas neparāda visu ainu. Jāskatās arī uz to, cik plaša ir šīs ievainojamības ietekme. «Heartbleed» gadījumā galvenā problēma ir dažādas ierīces, kas izmanto ievainojamo «OpenSSL» šifrēšanu savā aparātprogrammatūrā.

Tās nekādi salabot nevar?

Kā tu vari salabot, ja ražotājs nav izlaidis labojumu vai ja ierīcei vispār nav paredzēts uzstādīt labojumus? Protams, bija satraucošas ziņas, ka «Heartbleed» ļaundariem ļaus iegūt dažāda veida privāto informāciju, bet patiesībā lielākā daļa svarīgo vietņu - bankas un e-pasta nodrošinātāji - samērā ātri to salaboja.

«Heartbleed» gan bija interesants ar to, ka šī ievainojamība apstiprināja to, ko kiberdrošības un izpētes industrija ir teikusi ilgu laiku. «OpenSSL» ir drošības risinājums, kam vajadzētu jūsu sistēmu padarīt drošāku, bet tā vietā tā kļūst nedrošāka. Cilvēkiem vajadzētu apzināties, ka tā ir tikai programmatūra, kas nav perfekta! Es savās prezentācijās parasti rosinu, ka ir jāsāk mainīt to, kā domājam par šāda veida programmatūru. Žurnālistiem un arī tādiem kiberdrošības pētniekiem kā man patīk runāt par lietām, kas ir modernas un aizraujošas. Tomēr, ja mēs pašķetinām tos gadījumus, kad tiek konstatēti nopietni uzbrukumi, tad ir redzams, ka tiek izmantoti neba tie paši jaunākie «caurumi». Bieži vien tās ir lietas, par ko mēs esam zinājuši 20 vai pat vairāk gadu! Protams, ka mēs dzirdam, kā cilvēkiem datorus uzlauž, izmantojot kādu ārkārtīgi atjautīgu un tehnoloģiski sarežģītu ievainojamību, bet reāli tādi uzbrukumi ir niecīga daļa. Tāpēc man, ja es kādam piedāvāju kiberdrošības risinājumu, ir jāstāsta ne tikai par to, ko tas spēj paveikt, bet daudz svarīgāk ir saprast, ko tas nespēj. Protams, jauki, ka risinājums kaut ko spēj, bet klientam daudz svarīgāk ir zināt, ko tas nespēj, jo viņam pašam tad būs jāmeklē kaut kas, kas trūkstošo spēs aizpildīt. Tas pats ir ar «Heartbleed» - ir jābūt skaidrībai, ko šī ievainojamība ietekmē un ko mēs varam darīt. Izskatot informācijas drošības risinājumus, parasti pieturas pie trim galvenajiem konceptiem - konfidencialitātes, pilnīguma un pieejamības. Pieņemsim, ka tu vēlies aizsargāt industriālu ražošanas sistēmu, kur galvenais, lai tā vienmēr strādātu. Visdrīzāk, ka tev būs vienalga, vai kāds no tās ir spējīgs nolasīt vai izmainīt kodu, ja vien tā uzticami darbosies. Tagad iedomāsimies, ja tev pieder banka. Kas ir pats briesmīgākais, kas tavam klientam var atgadīties? Ka tava mājaslapa nav pieejama? Nē - bankas klientam galvenais ir, lai viņa nauda būtu drošībā. Viņam būs puslīdz vienalga, ja tava lapa ir nobrukusi no kāda uzbrukuma vai tehniskās apkopes dēļ, ja vien viņa konts ir drošībā. Kad es strādāju pie drošības risinājuma, man ir jāpiedomā, kā panākt pēc iespējas lielāku drošību, tai pat laikā apzinoties, ko varu ziedot tās vārdā. Diemžēl ļoti bieži kiberdrošībā tiek izdomātas dažādas atrunas, lai to nedarītu. Mēs visi zinām, ka katram servisam nepieciešams izmantot unikālu spēcīgu paroli, bet reti kurš to reāli arī dara.

Taču drošas paroles ir patiešām grūti atcerēties.

Tiešām? Izmēģināsim vienu metodi. Iedomājies kādu frāzi, ko jebkad varēsi atcerēties.

Labi - «Baby can’t you light my fire» no «The Doors» dziesmas.

Tagad paņem katram no vārdiem pirmo burtu un saliec rindā. Tam vajadzētu izskatīties šādi - BCYLMF. Tālāk ieliekam starp katru no burtiem kādu no speciālajām zīmēm - B$C$Y$L$M$F. Tas, ko izveidojām, ir statiskā paroles daļa. Tagad iedomāsimies kādu no vietnēm, kur to izmantosim. Piemēram, «Facebook», - izmantosim asociācijas, lai izdomātu katrai vietnei unikālo paroles daļu. No «Facebook» tā varētu būt krāsa - «B$C$Y$L$M$Fblue». To pierakstām ar mazajiem burtiem, jo dažām parolēm ir prasība, lai tiktu pielietoti gan lielie, gan mazie burti. Šādi iegūstam paroli, kas sastāv no 15 zīmēm un kuru nebūs grūti atcerēties. Tāpēc es uzskatu, ka atruna par to, ka paroles ir sarežģītas, īsti neiztur kritiku. Šodien ir 2014.gads un kiberdrošībā ir pa pilnam šādu atrunu, kāpēc mēs kaut ko nevaram izdarīt. Šīm atrunām pamatā ir dažādi nepareizi pieņēmumi. Cilvēki iedomājas, ka e-veikals, kas izmanto sertificētu sistēmu, ir pilnībā drošs, jo sertifikāta iegūšanai nepieciešams veikt automātisku vietnes auditu. Lielākā daļa auditu pamanīs, ja uz servera atrodas fails, kas nosaukts «passwords.txt», kurā atrodas visi lietotāju dati, un neļaus iziet sertifikāciju. Vai tas pamanīs, ja fails nosaukts «paroles.txt»? Nē, jo audits neprot latviešu valodu un bez problēmām apstiprinās, ka vietne ir pilnībā droša. Mums ir jāsaprot, ka ir lietas, ko mūsu programmatūra spēj un ko nespēj. Automātiskais audits nemācēs atrast ievainojamības latviešu valodā.

Kā «Heartbleed» vairākus gadus varēja pastāvēt, pilnībā nemanīts?

Tas tāpēc, ka šī ievainojamība ir ļoti grūti atklājama. Pamanīt failu «paroles.txt» ir vienkārši, bet ar «Heartbleed» bija daudz sarežģītāk. Tā ir specifiska ievainojamība, kas ļauj izlasīt atsevišķus ierīces atmiņas apgabalus, kur var atrasties konfidenciāla informācija. Tikko kā «Heartbleed» tika atklāts, tā publiski jau bija pieejams kods, ar ko ļaunprātīgi izmantot šo nepilnību. Tas ir ļoti bīstami, jo ievainojamība skāra dažādas ļoti svarīgas vietnes, tostarp bankas, lielu uzņēmumu vietnes, sociālos tīklus, bet nodarītie postījumi bija samērā nelieli. Galvenais ir tas, ka vēl joprojām daudzas ierīces darbojas ar defektīvo programmatūru un tās salabot būs ārkārtīgi grūti.

Kāds ir risinājums?

Iespēju robežās atjaunināt «OpenSSL» programmatūru. Ja tas nav iespējams, tad stingri vajadzētu apdomāt, kāda tipa informācija atrodas uz ievainojamajām iekārtām. Iespējams, ka ir tikai ļoti neliels cilvēku loks, kas drīkstētu tai piekļūt vai to izmainīt, - to vajag stingri noteikt uzstādījumos. Jāsaprot, ka, lai arī šo ievainojamību pilnībā salabot nevarēs, tomēr var samazināt iespējamo risku.

Daži drošības speciālisti man ir teikuši, ka šāda veida ķibeles IT pasauli piemeklē samērā regulāri.

Ievainojamības, kas darbojas pēc šāda principa, nav nekas neparasts. Galvenais ir tas, ka šoreiz tā tika atrasta drošības programmatūrā. Protams, jāpatur prātā, ka programmē cilvēki un kļūdas laiku pa laikam tiek pieļautas. Varu iedomāties, ka pēc desmit gadiem mēs atskatīsimies uz šodienas programmām un nodomāsim, kā mēs kaut ko tādu varējām uzprogrammēt. Es gan varētu piekrist tam, ka šīs ievainojamības nopietnība medijos tika pārspīlēta. Esmu sastapies ar citām, kas ir daudz nopietnākas. Ir bijuši gadījumi, kad pamanīju koda izpildi «Apache» serveru programmatūrā. To pašu esmu pamanījis «Windows» un «Linux kernel» kodā. Tas nozīmēja, ka jebkurš cilvēks varēja likt šīm sistēmām izpildīt jebkādas komandas. Ar «Heartbleed» ir jāsaprot un krietni jānopūlas, lai saņemtu meklēto informāciju. Iepriekš minētajām koda izpildes ievainojamībām tas ir nesalīdzināmi vienkāršāk - ieraksti komandrindu un tā tiks izpildīta ar visaugstākajām pieejas privilēģijām. Tas ir trakums! Un cilvēki par to nemaz nerunāja. Tas, protams, ir brīnišķīgi, ka par «Heartbleed» tika tik daudz uzrakstīts, jo tā skāra milzīgu daudzumu sistēmu. Manuprāt, cilvēkiem bija vienkāršāk saprast briesmas, ja pateikts, ka ievainojamība var apdraudēt banku kontus un sociālo tīklu pieejas.

Cik sapratu, tad konfidenciālai informācijai, izmantojot «Heartbleed», nemaz nebija tik vienkārši tikt klāt - daudzi to salīdzināja ar taustīšanos tumsā.

Tā varētu teikt, bet zinošs cilvēks varētu panākt, ka serveris izsniedz tieši to informāciju, kas nepieciešama. Piemēram, lai dabūtu kādus piekļuves datus, ļaundarim sākotnēji būtu jāieraksta nepareizā parole. Serveris tad no datubāzes izvilktu pareizo un noglabātu to atmiņā salīdzināšanai. «Heartbleed» ļāva šo atmiņas apjomu nopludināt un iegūt šos datus. Ja es, piemēram, gribētu iegūt kāda kredītkartes datus, tad man būtu kaut kā jāpiespiež serveri piekļūt šai informācijai datubāzē.

«Microsoft» nesen paziņoja par «Windows XP» atbalsta pārtraukšanu. Cik, jūsuprāt, tas ir nopietns drošības drauds?

Par šo gan cilvēkiem vajadzētu uztraukties. Lielākoties tāpēc, ka vēl joprojām ir milzums iekārtu, kas izmanto šo operētājsistēmu, piemēram, dažādi bankomāti, medicīniskās ietaises, industriālā aparatūra.

Šāda veida iekārtām gan vajadzētu darboties ar «Windows XP Embedded», kam atbalsts tikšot nodrošināts vēl divus gadus.

Skaidrs. Tad jautājums , kas notiks pēc šiem diviem gadiem? Par to vajadzētu domāt. Protams, ja ir iekārta, kas nekur nav pieslēgta, tad, iespējams, risks nemaz nebūs tik liels.

Antivīrusu kompānija «Symantec» nesen nāca klajā ar samērā skaļu paziņojumu, ka antivīruss ir miris. Kā to jāsaprot, kas tieši ir miris?

Zināmā mērā tam pat varētu piekrist. «Kaspersky Lab» nenodarbojas ar antivīrusu izstrādi, mēs nodarbojamies ar aizsardzību pret ļaunprātīgu kodu - Trojas zirgiem, pikšķerēšanu, mēstulēm, ievainojamībām un citiem kiberdrošības riskiem. Antivīruss savā klasiskajā izpratnē kā programma, kas ķersta programmas ar zināmām vīrusu pazīmēm, patiešām ir mirusi. Vienlaikus es nekad nebūšu tas, kurš ieteiks neizmantot antivīrusus, - ar visu tie galā noteikti netiks, bet daļa vīrusu tiks apturēta. Antivīruss varētu būt miris, bet kiberdrošības industrija noteikti nav mirusi.

Tā ir mainījusies - agrāk jūs cīnījāties ar huligāniem, tagad tas ir bizness.

Tieši tā. Kibernoziedznieks ir ieinteresēts nopelnīt. Es kiberdrošībā darbojos jau 15 gadus, un, kad es sāku, tad ļoti maz hakeru bija ieinteresēti nopelnīt - tagad tādu ir lielākā daļa. Agrāk sistēmas uzlauza savam priekam, tagad tā ir vai nu nauda, vai arī politiskās intereses. Tas gan bija gaidāms - pirms desmit gadiem cilvēki gāja demonstrācijās uz ielām, tagad tas pats notiek internetā. Tiešsaistē tevis teiktais sasniegs ļoti daudz dzirdīgu ausu. Ja tu pielīmē plakātu uz sienas kādā Latvijas mazpilsētā, tad to pamanīs daudz mazāk cilvēku nekā tad, ja tu uzlauz milzu kompānijas mājaslapu un tur parādīsies milzu uzraksts, ka tev nepatīk kāds XYZ. To pamanīs visa pasaule!

Esmu dzirdējis, ka pēdējā laikā pastiprināta uzmanība tiek pievērsta tīkla ierīcēm kā iespējamiem uzbrukuma upuriem. Cik ticams ir šāds scenārijs?

Nepiekritīšu. Senāk liela daļa uzbrukumu tika veltīti dažādiem maršrutētājiem un citām infrastruktūras ietaisēm, bet pašlaik uzbrukumi notiek ierīcēm, kas atrodas klienta pusē. Daudz vienkāršāk sistēmā iekļūt ir caur ievainojamību «Java» programmatūrā, tādas atrod gandrīz katru dienu. Tiesa, pēc tam, kad esi iekļuvis sistēmā caur to pašu «Java» ievainojamību, tad gan var sākt izmantot uzbrukumus tīkla infrastruktūrai. Uzbrukumi tīkla iekārtām ir izplatīti, bet tie noteikti netiek izmantoti kā piekļuves punkti.

Pēdējā laikā arvien vairāk tehnoloģiju entuziastu runā par «lietu internetu». Kā drošības eksperti raugās uz šo tendenci?

Pamatā jau nekas kardināli jauns tas nav. Pirms 15 gadiem klēpjdatori nebija tik izplatīti kā tagad, tas pats arī ar mobilajiem telefoniem - arī tie samērā nesen sāka piedalīties interneta pārlūkošanā. Tagad pie interneta slēdzas klāt arī televizori, ledusskapji... Tas var radīt problēmas. Esmu sastapies ar signālierīcēm veciem cilvēkiem, kas pieslēgtas internetam. Ja interneta savienojums pazūd, tad viņi nevar izsaukt palīdzību. Ir arī mājas drošības sistēmas, kas sniedz iespēju kontrolēt visu māju ar mobilās aplikācijas palīdzību, - tā ir uzprasīšanās uz nepatikšanām. Mans priekšnieks (Jevgēņijs Kasperskis - red.) pašlaik nodarbojas ar samērā interesantiem pētījumiem šajā jomā.

Vajadzētu gaidīt mežonīgos rietumus?

Es domāju, ka tieši tas arī notiks. Cilvēki cenšas internetam pieslēgt arvien vairāk ierīču. Iedomāsimies, ja kaut kas noies greizi sirds stimulatoram, kas sazinās ar «Bluetooth» palīdzību. Ja mēs gribēt uzticamāku savienojumu, tad nekas cits neatliktu, kā cilvēkam kreisajā sānā iebūvēt USB spraudni. Izvēlies - Wi-Fi, «Bluetooth» vai fizisks savienojums. Patiesību sakot, es nezinu, kas tieši notiks. Ir jautri spriedelēt par to, kā hakeri ielaužas internetam pieslēgtā vibratorā, bet tai pat laikā sekas var būt daudz nopietnākas, ja uzlauzts tiek sirds stimulators vai citas ierīces, kas pilda dažādas kritiskas funkcijas. Interesantākais, ka nav pat jāgaida, līdz kāds kaut kur ielauzīsies, - ja nu kaut kas vienkārši noiet greizi? Kāda protokolu nesakritība - tu ieslēdz savu interneta radio, sirds stimulators uzkaras - un tu esi beigts! Tā ir programmatūra - problēmas ir neizbēgamas!

Latvijā nesen tika sākta ētisko hakeru apmācība. Vai ir kāds veids, lai nodrošinātu to, ka šie hakeri pēc kursu pabeigšanas nesāks nodarboties ar noziedzību?

Jā, ir - likumdošana! Es pats 15 gadus darbojos kā ētiskais hakeris un savas zināšanas varēju izmantot arī citiem mērķiem. Ja kāds gribēs iemācīties, kā uzlauzt sistēmas, tad viņu nekas neapturēs, - šodien tas ir daudz vieglāk nekā jebkad agrāk. Pirms 20 gadiem, kad es sāku mācīties, interneta nebija. Tev bija jābūt cilvēkam, kam šādas zināšanas kāds cits gribētu uzticēt. Tagad atliek tikai noskatīties video «Youtube». Cita lieta, ka dažādi uzņēmumi ir iedomājušies, ka tagad ikkatram sistēmu administratoram būtu jāmācās par ētisko hakeri. Kāds gudrinieks reiz izteicās, ka tev būtu jādomā kā hakerim, lai spētu pret tiem aizsargāties. Es uzskatu, ka tās ir muļķības. Tev ir jāzina principi, kā notiek ielaušanās, bet tas nenozīmē, ka ir jāzina, kā ielauzties. Ja es esmu sistēmas administrators, tad man ir jāzina, kā darbojas koda injekcijas uzbrukums, bet man diez vai vajadzētu mācēt uzrakstīt kodu, kas veic šādu uzbrukumu. Tāpat man ir jāzina, kāds ir risks un ko darīt, ja uzbrukums noticis. Pastāstīšu par vēl vienu problēmu IT industrijā. Mēs nemitīgi sūtām tehniskus cilvēkus uz tehniskām apmācībām un cilvēkus bez tehniskām zināšanām uz apmācībām, kur par tehniku nemāca. Tomēr, ja es esmu sistēmu administrators, tad man ir jāzina, ko zina tie cilvēki, kam es uzstādu darbstacijas. Ja es uzstādu sistēmu finanšu departamentā, tad man būtu jāzina, kā lietotāji izmantos šo sistēmu, lai panāktu, ka tā ir droša. Tehniķiem būtu jāstrādā kopā ar ne-tehniķiem, lai labāk izprastu viens otru, bet diemžēl tas nenotiek. Sistēmu administratoram, uzstādot finanšu vadības sistēmu, būtu jābūt zināšanām, lai izprastu, ko tieši šī sistēma dara – kādām datubāzēm tā pieslēdzas un kādi cilvēki ar šo sistēmu strādās. Vadoties pēc šiem faktoriem, administrators var piemērot adekvātus drošības mērus - šifrēšanu, drošības kopijas - un noteikt, kādas pieejas privilēģijas nepieciešamas katram lietotājam. Citādi viņš saņem disku, saspiež «next», «next», «Yes», ievada paroli datubāzes pieejai un viss. Manuprāt, tā nav sistēmu administrēšana. Pēc šāda administratora atnāk ielaušanās testētājs un pasaka, ka viss ir nepareizi. Un nepareiza ir ne tik daudz sistēma kā mūsu uzskati par drošību. Esmu neskaitāmas reizes teicis, ka tehnoloģija, lai sevi pasargātu, mums ir, trūkst tikai izpratnes. Mums nevajag vairāk tehnoloģiju, kamēr mēs lietojam domāšanu, kas ir novecojusi par 20 gadiem. «Apdeitot» vajag cilvēkus. Es zinu IT, tu zini IT, bet kā ar mūsu vecākiem?

Es uzskatu, ka pārāk maz cilvēku apzinās, ka personālais dators ir pati sarežģītākā ierīce, kas jebkad ir nonākusi cilvēku rokās.

Tieši tā. Un mums nevajadzētu censties sarežģīt to vēl vairāk, kamēr mūsu izpratne tai nav tikusi līdzi. IT sistēmas vajadzētu censties vienkāršot, lai mēs tās spētu izmantot daudz atbildīgāk. Cilvēkam, kurš ir iekārtas operators, būtu jāzina, kuru failu atvērt, nevis atvērt visu pēc kārtas un tad cerēt, ka antivīruss viņu paglābs, ja kaut kas noies greizi. Atbildība ir jāprasa nevis no tehnoloģijas, bet gan no cilvēka. Ja notiek ielaušanās kādas kompānijas sistēmā, tad parasti saka, ka pie vainas bija kāda tehnoloģiska nepilnība, nevis konkrēts cilvēks. Atkārtoju - tehnoloģija mums ir un vēl vairāk tās nav vajadzīgs. Jāmaina ir domāšana! Pašlaik tehnoloģiju līkne iet augšup daudz straujāk par mūsu izpratni. Es ceru, ka tās kaut kad sastapsies, bet pašlaik ir jākoncentrējas uz izglītošanu, nevis tehnoloģiju attīstību.

KomentāriCopyLinkedIn Draugiem X
Svarīgākais
Uz augšu