Pod pojmom „hacker“ si asi väčšina z nás predstaví osobu, ktorej úmyslom je zneužiť svoje digitálne zručnosti na škodenie druhým. To ale nie je vždy pravda. Dôkazom je napríklad spoločnosť Citadelo, ktorej zameraním je poskytovanie služieb v oblasti etického hackingu a penetračného testovania. Aktuálne zverejnila svoju správu Ethical Hacking Report 2023, ktorá tvrdí, že v minulom roku „etickí hackeri“ odhalili až 2 795 zraniteľností rôznej závažnosti, a to v rámci až 384 projektov pre klientov naprieč rôznymi priemyslovými odvetviami.
Hackeri tak v priemere u každého skúmaného projektu odhalili sedem zraniteľností, čo rozhodne nie je málo. Zraniteľnosti sa delia do štyroch kategórií, konkrétne podľa miery závažnosti. Tých najviac rizikových, čiže kritických, bolo odhalených až 192, čo je rekordné číslo.
Remote Code Execution a SQL injection
Odhalené zraniteľnosti môžu záškodníkom umožňovať napríklad útok typu Remote Code Execution. Ide o vzdialené spustenie škodlivého kódu, eskaláciu privilégií alebo dosiahnutie hlavného cieľa pri simulácii útoku na IT infraštruktúru firiem, získanie role doménového administrátora, s ktorého oprávneniami preberá útočník kontrolu nad celou sieťou.
Konkrétne pre weby predstavuje obrovské riziko aj zraniteľnosť známa ako „SQL injection“. V tomto prípade útočník využíva bezpečnostné nedostatky k preniknutiu do databázovej vrstvy webovej aplikácie, a to prostredníctvom vloženia vlastného SQL príkazu. Pre lepšie pochopenie – SQL je programovací jazyk umožňujúci prácu s dátami v relačných databázach. Tie často obsahujú citlivé informácie, akými sú napríklad prístupové údaje používateľov.
K tomuto útoku najčastejšie dochádza prostredníctvom neošetrených vstupných formulárov. Útočník môže do nezabezpečeného prihlasovacieho formulára v internetovom obchode vložiť SQL príkaz, ktorý mu umožní voľne zapisovať do databázy. Hacker teda má možnosť manipulovať s dátami, ktoré sú v databáze uložené, čo môže vážne ovplyvniť chod aj prevádzku aplikácie, jej serveru a zaobchádzanie s citlivými údajmi používateľov.
Hackeri a ich alarmujúca úspešnosť
Etickí hackeri z Citadelo sa taktiež zamerali na preverovanie ľudského faktoru, na ktorý najčastejšie meria vektory útoku hackerov využívajúce metódy sociálneho inžinierstva, ako sú vishing, phishing a smishing. Tie sú vysoko rizikové ako pre jednotlivcov, tak aj pre firmy, v ktorých pracujú.
Efektivitu týchto útokov monitorujú aj interné štatistiky spoločnosti, ktoré sa nezverejňujú. Úspešnosť simulovaných útokov, ktoré Citadelo vlani vykonalo s využitím uvedených techník, činila až 40 %. Nástrahám tak v prepočte podľahla približne každá druhá obeť.
Testy sú nevyhnutné
Veľký počet nájdených zraniteľností poukazuje na nevyhnutnosť komplexného penetračného testovania a posudzovania bezpečnosti. Predovšetkým v dnešnej dobe, kedy sa početnosť a sofistikovanosť kybernetických útokov neustále zvyšuje a stále viac mieria na komerčný priemyselný sektor, telekomunikácie a dopravu.
