Хакерът, на когото плащате, за да тества сигурността

| от |

Когато Ашер Де Метц влиза в супермаркет, никой не подозира, че е пристигнал там, за да направи обир. На рамото си носи торбичка за многократна употреба, но в нея се крие чанта за лаптоп. Никой не знае какво ще последва, повечето продавачи маркират стоки, други поправят цените и зареждат рафтовете. Де Метц влиза в магазина, заобикаля щандовете и влиза в IT отдела, където открива други хора, които вече са отворили своите компютри. Това е неговата тренировъчна сесия. Това е мястото, където той също може да се скрие пред погледа на всички и да се опита да отвлече машина.

Де Метц сваля интернет кабела на един от локалните компютри и го слага в своя лаптоп, никой не обръща внимание. Занимава се с кражба на данни, пробив на системата и извличане на ценна информация. По неговите думи, това е обичайна практика и не изисква много усилия, особено за хакери, които са инвестирали целия си живот в това изкуство. Докато работи върху своя пъклен план, един от служителите на магазина ще го изгледа странно и ще го попита какво прави.

Ашер се усмихва и обяснява, че е тук, за да инсталира нов софтуер и няколко ъпдейта, изпратен е от централния офис. Историята изглежда много достоверна, но след като служителката не знае за подобни планове, звъни на своята супервайзърка. Това е моментът, в който Ашер решава да напусне магазина. Затваря лаптопа си и си тръгва. Въпросната служителка осъзнава, че е изпратена за зелен хайвер и хуква след него. Хакерът тича по стълбите, отваря една от вратите на задния вход и активира алармата. Ашер се опитва да избяга, но кодът на магазина изисква всички врати да се заключат. Един от касиерите успява да го спре и да го попита какво прави. Метц има отговор и перфектно алиби, той е разпечатал цяла папка с документи, които показват какви са задълженията му към тази верига.

Представя се за корпоративен служител, който трябва да защити системата им от хакерски атаки. Погледът му е железен, когато заявява:

„Знаете ли, че снощи има пробив от вашата мрежа? Милиони бяха откраднати.“

Супервайзърът е категоричен, че никой не го е известявал за подобни атаки. Двамата се съгласяват да направят един разговор и да потвърдят случилото се относно сигурността на магазина.

Част от историята на Де Метц наистина е вярна, той е нает от магазина, за да повиши сигурността и да предотврати бъдещи проблеми. Друга малка подробност е, че хакът е направен именно от него, а той самият не е откраднал и цент. Собствениците са се свързали с него, за да видят дали наистина може да ги хакне. Както се оказва, работата му е брилянтна и се е справил без особени затруднения. С това може да даде и адекватен отговор относно нивото на сигурност – плачевно е.

Де Метц работи като консултант по сигурност в компанията Sungard Availability Services, глобален технологичен гигант в този сектор. Зад гърба си, хакерът има повече от 20 години в сферата на проникването, като веднага след успешен пробив, съобщава на някои от най-големите си клиенти, че могат да се постараят повече. Занимавал се е с фирми от Северна Америка, Европа, Великобритания, Близкия изток и Азия.

„Причината повечето компании да се съгласяват на такива хакове е, че те самите не разбират нищо от софтуерна сигурност. Може да наемете най-големият екип от вътрешни специалисти и отдел за сигурност, да се стараете многократно да подсигурите системата си, но въпреки това не знаете какво следва, когато системата е нападната. В 9 от 10 случая, екипът дори не знае как да реагира, моята работа е да открия вратичките, които са пропуснати, защото компаниите не могат да си позволят да ги поемат.“

Де Метц има само една мисия, да открие слабостите на софтуера, преди да го направят хакерите. Това се превръща в един от най-бързо развиващите се бизнеси. Изследване на IBM за щетите от пробив на системата, направено през 2017 г., посочва една значително черна статистика – 60% от малкия и среден бизнес е атакува именно по този начин. Още по-лошото е, че точно толкова е процентът на затворените врати след една такава атака. Средната цена на една хакерска атака коства на бизнеса около 3.62 милиона долара.

Статистиката не става по-розова. В рамките на първите 6 месеца от 2021 г., броят на бизнеси, атакувани от най-различни софтуери за откуп, се е удвоил спрямо 2020 г. Това е софтуер, който блокира цялата система, изисква определена сума и едва тогава започва да работи като преди. Една компания е подложена на атаки около 800 пъти на година, а при отказ, информацията ѝ излиза в публичното пространство.

Това е причината да се търсят хакери, които да правят тестове за пенетрация, наричат ги бели хакери. Де Метц е един от тях и винаги знае как да си свърши работата.

„Това е нещо като застрахователна полица. Ако компанията харчи пари за сигурност, то най-вероятно ще спести между 10 и 100 милиона долара при евентуална успешна атака. Това спестява и главоболия през следващите месеци, които със сигурност се отразяват върху възможността им да работят нормално.“

Друга причина за наемането на бял хакер е да се гарантира високо ниво на сигурност. Най-честите клиенти са болници, финансови организации, правителствени институции, както и много други. Всички са задължени да отговарят на най-високия стандарт пред правителството, следователно този вид бизнес съществува най-често в САЩ, където дигиталният свят знае какво наистина е необходимо.

Повечето хора си представят хакера като един самотен войник, който винаги се насочва към личната информация на една компания, докато стои на безопасно разстояние от самата индустрия. Истината е, че пенетрацията трябва да се случи физически и на място, където има оголване на техническите точки. В повечето случаи един хакер се намира директно в организацията и знае много добре какво трябва да направи.

„Компаниите не искат да оставят нищо на масата, това също е вид слабост. При тестването на физически контроли, можем лесно да влезем в една сграда, да преминем през охраната и да излезем през задната врата? Въпросът е дали можем да вземем физическите файлове? Можем ли да преминем в зоните, където компаниите правят кредитни карти или правят различни карти за подаръци?

Това са критичните места, където Де Метц се опитва да пробие, техническата част е свободата и лекотата да влезе в една компания и да събере необходимата деликтна информация.

Хакерът дава и съвети, тренира служителите, за да знаят какво да правят, когато някой трябва да се верифицира и представи за кадъра с достъп до определени нива. Съществува и сериозна методология, ако един служител не може да бъде разпознат. По негови думи, всичко това е забавна игра, но винаги има положителен и правилен ефект върху случващото се.

За да се проведе тестът, хакерът трябва да има много детайлна информация относно използваната технология. Това идва с трупането на опит, а не с използването на някакви модерни джаджи, каквито сме виждали във филмите на Джеймс Бонд.

„Пенетрацията се случва с разбирането и интеракцията на технологията – да знаете точно как тя работи. Съществува цяла методология с различни инструменти, които да оформят боравенето, това не е просто някакъв код, който да се копира и вратите да се отворят.“

Веднъж след като Метц влезе в системата, той започва да търси три основни елемента: къде може да влезе, какви софтуерни версии са използвани и дали системата работи правилно.

„Можем ли да познаем една парола? Можем ли да открием други начини за влизане? Може ли този софтуер да има слаби страни, които да се експлоатират. Възможно ли е това да е вратата за инсталирането на вирус. Някои дупки могат да се открият на най-странни места, което изненадва още повече моите клиенти. Често те не са оставени случайно там.“

Екипът по сигурност обикновено проверява дали системата е била атакувана, пенетраторът проверява дали самата система работи.

Той може да се представи като човек, който гледа лабиринта от птичи поглед и търси изхода. Понякога проблемът може да бъде не просто една стара система, а цялостна оптимизация и подобряване. Това е работата на белия хакер, да открие всички слаби звена и да посочи как се решава проблемът.

Много малки и средни бизнеси се борят със зъби и нокти да открият по-добра и сигурна инфраструктура. Ето защо и белите хакери стават толкова популярни в наемането. Дори Facebook инвестира милиони в търсенето на най-добрите в тази сфера. Те дори имат цяла програма, с която заплащат за разкриването на дупки в сигурността. Съдейки по слабото представяне, очевидно цената не е толкова добра.

Метц често присъства и в някои подкасти, като разказва драматични истории от опита си. Неговият опит е да забавлява слушателите си, но също така да докаже каква стойност имат белите хакери и защо техните услуги са от изключително значение. Често може дори да не разберете, че хакерите са около вас, но когато компанията получи окончателния доклад, няма как да пропуснете истината. Ето защо инвестицията в сигурност е от такова значение.  

 
 
Коментарите са изключени за Хакерът, на когото плащате, за да тества сигурността