Za razliku od prvih gadgeta, multifunkcionalnih predmeta dragocjenih i u uredu i izvan njega, novi digitalni nisu osobito korisni na nekom izletu u prirodu, ali ključni su za proboj i ometanje sustava ili manipulaciju njima. Iako su neki od njih razvijeni za zakonite svrhe poput testiranja sigurnosti, njihova zloupotreba rezultirala je mnogim zabranama diljem svijeta. Spravice specijalizirane za iskorištavanje ranjivosti u računalnim, mobilnim i mrežnim sustavima zabrinuti svijet pokušava zaustaviti
Kad je Tim Berners-Lee predložio koncept hipertekstnog sustava za razmjenu informacija u CERN-u, bio je to početak onoga što danas poznajemo kao internet. World Wide Web pokrenut je 1989., a prva mrežna stranica postala je dostupna dvije godine poslije. U 36 godina svog postojanja internet je promijenio način na koji živimo, radimo, komuniciramo... U istom vremenu tehnologija povezana s internetom stvari, odnosno, kraće, IoT-om, ubrzano se razvijala i evo nas danas već i u eri nekakve umjetne inteligencije. A kako se razvijao pošten svijet na internetu, tako se razvijao i onaj ološ digitalnog društva, nazvan hakerima. Nećemo biti oštri, ima i takozvanih bijelih hakera koji daju svoj doprinos društvu, ali, kao i u stvarnom svijetu, i u onom digitalnom često vladaju bezakonje i zakon jačega. I dok neki grade, drugi razaraju, a u razaranju im pomažu i malene stvarčice nazvane gadgeti, ili u ovom slučaju hakerski gadgeti.
Specijalisti za rane i ranjivosti
Pojam gadget odnosi se na male i inovativne uređaje sa specifičnim funkcijama. Jedan od prvih u modernom smislu bio bi švicarski nožić izumljen potkraj 19. stoljeća. Ovi novi digitalni nisu korisni u šumi kao švicarski vojni nož, ali ključni su za proboj i ometanje digitalnih sustava ili manipulaciju njima. Iako su neki od njih razvijeni za zakonite svrhe poput testiranja sigurnosti, njihova zloupotreba rezultirala je mnogim zabranama diljem svijeta. Takvi gadgeti specijalizirani su za iskorištavanje ranjivosti u računalnim, mobilnim i mrežnim sustavima, a njihova primjena varira od legalnih penetracijskih testova do kriminalnih aktivnosti poput krađe podataka, ometanja signala i neovlaštenog pristupa sustavima.
Nepoćudni uređaji
Prvi hakerski alati pojavili su se još 80-ih godina 20. stoljeća kada su entuzijasti i stručnjaci za računalnu sigurnost počeli razvijati softver i hardver za testiranje ranjivosti sustava. U to vrijeme ključni alati uključivali su softverske exploite (specijalizirani programski kodovi ili tehnike koje iskorištavaju ranjivosti u računalnim sustavima) i uređaje za prisluškivanje telefonskih linija. S razvojem bežičnih mreža i interneta stvari, takozvanog IoT-a, hakerski gadgeti postali su sofisticiraniji, kompaktniji i dostupniji široj javnosti. Iako su neki od njih zabranjeni u pojedinim državama, jasno je da se na internetu danas sve da kupiti, bilo na legalnim stranicama poput poput AliExpressa i eBaya bilo na onim mračnim, na dark webu. Danas na tržištu ima mnogo uređaja koji se upotrebljavaju u hakerske svrhe, a neki od najpoznatijih uključuju USB Killer, WiFi Pineapple, Rubber Ducky, Flipper Zero, RFID Cloner, HackRF One.
Naš domaći stručnjak i konzultant za kibernetičku sigurnost Marko Gulan kaže da se takvi uređaji itekako upotrebljavaju.
– Svake minute negdje u svijetu napadač upotrijebi gadget poput Flipper Zeroa, Rubber Ducky USB-a ili WiFi Pineapplea kako bi upao u korporacijske sustave, presreo osjetljive podatke ili kompromitirao pristupne kartice – napominje Gulan.
Simulacije, množenje, trenutačna smrt
USB Killer upotrebljava se da bi trenutačno uništio računalne komponente ispuštanjem visokog napona putem USB porta. Zbog svoje je učinkovitosti i jednostavnosti korištenja posebno opasan u rukama nekoga tko ima zle namjere. RFID Cloner pak omogućuje kopiranje i umnožavanje RFID kartica koje se upotrebljavaju za pristup poslovnim zgradama, hotelima... Uglavnom otvara vrata, što se vlasnicima tih vrata uglavnom ne sviđa. HackRF One napredni je ‘softverski definiran radio‘ (SDR) koji može snimati, analizirati i odašiljati različite vrste radiosignala, uključujući bežične komunikacije i radiofrekvencije kojima se koriste različiti sigurnosni sustavi.
– Rubber Ducky izgleda poput običnog USB prutića, ali zapravo je uređaj za automatizirane napade putem skripti. Kad se priključi u računalo, može simulirati tipkovnicu i automatski izvršavati maliciozne naredbe poput krađe zaporki ili instalacije backdoora – objašnjava Gulan.
Tu su još i WiFi Pineapple te poznati i popularni, svestrani Flipper Zero, koje ističe i naš stručnjak.
– Pineapple je uređaj koji omogućuje napadačima stvaranje lažnih Wi-Fi mreža putem kojih mogu presretati podatke korisnika koji se nesvjesno spajaju na mrežu misleći da je legitimna, a Flipper Zero iznimno je svestran gadget koji omogućuje testiranje sigurnosnih ranjivosti, ali može se upotrijebiti i za kloniranje RFID kartica, emulaciju daljinskih signala i izvođenje Bluetooth-napada – objašnjava Gulan.
Naoko bezazleni
U svijetu u kojem kibernetički napadi postaju sofisticiraniji nego ikad poslovne organizacije često zanemaruju najveću prijetnju, uređaje koji izgledaju potpuno bezazleno, ali mogu srušiti cijelu mrežu i ugroziti poslovanje.
– Jedna od najpodmuklijih prijetnji dolazi iz predmeta koje svi svakodnevno upotrebljavamo, kabela za punjenje mobilnih telefona i javnih postaja za punjenje – napominje Gulan i ostavlja sve u laganom šoku.
Iako se o tome rijetko govori i malo ljudi to zna, ti naizgled bezazleni kabeli mogu biti velika opasnost. Napadači danas više ne upotrebljavaju samo sofisticirane metode hakiranja softverskih sustava, oslanjaju se i na ljudsku znatiželju i nesmotrenost kako bi prodrli u poslovne mreže. Zamislite sljedeći scenarij: zaposlenik na podu parkirališta pronalazi neoznačeni USB prutić i iz puke znatiželje priključuje ga u računalo kako bi provjerio njegov sadržaj. Ne zna da u tom trenutku maliciozni kôd preuzima kontrolu nad sustavom, krade korisnička imena i zaporke te omogućava napadaču udaljeni pristup mreži.
– Recimo, evo scenarija s hakerskim gadgetom: netko u predvorju poslovne zgrade može neprimjetno upotrijebiti Flipper Zero kako bi klonirao pristupnu karticu zaposlenika. Unutar jednog sata napadač može fizički ući u poslužiteljsku sobu i instalirati LAN Turtle, uređaj koji omogućuje skriveni vanjski pristup korporacijskim sustavima. Ti napadi ne zahtijevaju vrhunsku stručnost, nego samo osnovno poznavanje uređaja koji su široko dostupni na crnom tržištu – govori Gulan.
Kako napadaju
Još je podmuklija prijetnja ona koja dolazi iz kabela za punjenje mobilnih telefona. Kako to funkcionira, nastavlja objašnjavati naš kiberstručnjak.
– Napadači se koriste manipuliranim USB kabelima i javnim punjačima kako bi preuzeli podatke s uređaja, instalirali maliciozne aplikacije koje omogućuju daljinsko praćenje te dobavili zaporke i pristupne ključeve za poslovne aplikacije i e-poruke. Nekoliko sekundi priključenja na zaraženi punjač može biti dovoljno da napadač preuzme kontrolu nad mobilnim uređajem. Zamislite sada scenarij u kojem zaposlenik vaše tvrtke na poslovnom putu u zračnoj luci puni telefon na javnom punjaču. Kad se vrati u ured i spoji telefon na internu Wi-Fi mrežu, napadač upotrebljava već instalirani malware kako bi dobio pristup internim aplikacijama, financijskim podacima i poslovnim e-porukama. Takvi napadi ne zahtijevaju sofisticirano hakiranje; dovoljno je da korisnik nesvjesno otvori vrata hakerima – napominje.
Nužna obrana
Obrana od takvih napada nije opcija, već nužnost, te bi svaka organizacija trebala primijeniti strategiju aktivne zaštite koristeći se istim metodama kojima se koriste hakeri kako bi testirala vlastitu sigurnost. Primjerice, testiranja Red Team, u kojima interni ili vanjski sigurnosni timovi simuliraju napade na sustav, mogu pomoći u otkrivanju ranjivosti prije nego što ih iskoriste stvarni napadači. Bez obzira na sve napredne hakerske gadgete, najslabija karika u kibernetičkoj sigurnosti oduvijek je bio i ostao čovjek. Statistike pokazuju da čak 91 posto napada počinje phishingom ili socijalnim inženjeringom, a USB uređaji i lažne Wi-Fi mreže među najčešćim su vektorima napada.
– Sve tvrtke koje ignoriraju te prijetnje riskiraju ne samo gubitak povjerljivih podataka i poslovnu štetu već i ozbiljne pravne i financijske posljedice. Kazne za kršenje regulative o GDPR-u mogu biti goleme, a reputacijska šteta često nadmašuje i financijski gubitak – naglašava Gulan pa dodaje da korištenje samo antivirusnih programa ili VPN-a nije dovoljno te da treba oči uvijek držati otvorene.
U suprotnome, jasno je da stvari neće poći u željenom smjeru.