Amerykański rząd pilnie zatrudni hakera

[Кристофер (Kpuc)]

Na konferencji hakerów Defcon, która odbyła się w piątek w Las Vegas, równie łatwo co na hakera można było wpaść na rządowego agenta.

Pracownicy wywiadu krążyli w tłumie, wymieniali uśmiechy i uściski dłoni, rozdawali wizytówki i brali udział w panelu dyskusyjnym "Poznaj rządowego agenta 2.0". Nie jest to nic nowego, od lat pojawiają się na imprezach tej społeczności, zbierając informacje o działaniach hakerów. Jednak w tym roku mieli też inny cel - przede wszystkim rozmawiać, robić dobre wrażenie i kusić - Cyberdowództwo USA (United States Cyber Command), zbrojne ramię Pentagonu w sieci, szuka ludzi. Wyszkolonych ludzi, z konkretnymi umiejętnościami. Jak mówi Daron Hartvigsen, agent specjalny z amerykańskiego lotnictwa:

Mamy problemy, które rozwiązać mogą tylko ludzie z takiego środowiska

Dlatego agenci przeczesują tłum osób, których na pierwszy rzut oka nikt nie zatrudniłby w rządowej agencji - wytatuowanych, z pofarbowanymi włosami. Jeden nawet nosił pelerynę, a kilku kilty. Większość zaś nalegała, by zwracać się do nich sieciowymi pseudonimami.

Sami agenci mówią, że dla nich to raczej delikatna misja dyplomatyczna, niż proces rekrutacyjny. Starają się prezentować swoje umiejętności obsługi komputerów, stopnie naukowe, zwalczają stereotyp policjanta i agenta widzianego jako "bandzior w ciężkich butach". Jeden ze śledczych opisywał pracę jako "kuszącą, jeśli jesteście geekami i chcecie łapać złych kolesi". Wbrew pozorom hakerzy wykazują zainteresowanie i zadają wiele pytań: czy policja korzysta z informatorów (tak), czy atakuje komputery podejrzanych (nie). Zdarzają się przypadki, gdy ktoś pyta o konkretne stanowisko.

Specjaliści są niezbędni

W odbywającym się w ramach Defcon konkursie na obchodzenie zabezpieczeń hakerzy pokazali jak łatwo jest przekonać pracowników dużych firm, by wyjawili kluczowe dla bezpieczeństwa informacje. W ramach jednego z zadań zdołali namówić zatrudnionych, by pozwolili im na skorzystanie ze służbowych komputerów i wejście na wybrane przez nich strony. W przypadku prawdziwego ataku takie witryny mogłyby instalować szkodliwe oprogramowanie.

Podszywając się pod pracowników działu IT, bez problemu uzyskali też informacje o konfiguracji interesującego ich komputera. Jak widać socjotechniczne sztuczki, które już kilka lat temu opisywał w książce "Sztuka podstępu" sławny haker, Kevin Mitnick, nadal działają. To człowiek pozostaje najsłabszym ogniwem systemu bezpieczeństwa. Hakerzy nadal bardzo cenią metody socjotechniczne, podejście przeciwnika i namówienie go do dobrowolnej pomocy - często nawet nie muszą zbliżać się do systemów bezpieczeństwa firmy. Zdaniem Johnny'ego Longa zawsze lepiej jest zdobyć dane bez potrzeby przełamywania zabezpieczeń, po prostu wykorzystując ludzkie słabości. Long jest ekspertem - firmy wynajmują go, by za pomocą inżynierii socjotechnicznej znajdował luki w szkoleniach kadr i zasadach bezpieczeństwa.

Wbrew pozorom w tegorocznym konkursie nie próbowano ataków na małe lub nie mające pojęcia o tego typu zagrożeniach firmy. Największą ilość danych udostępnili pracownicy Oracle Corp., jednego z największych twórców oprogramowania. Rzecznik firmy odmówiła komentarza na ten temat.

Moim zdaniem to przerażające, że byli tak życzliwi i chętni do współpracy.

powiedział o pracownikach jeden z organizatorów konkursu, Chris Hadnagy.

Konferencja Defcon jest organizowana przez hakerów działających otwarcie i dla dobra publicznego. Jej celem jest promocja badań firmowych systemów bezpieczeństwa w celu wykrycia luk, a częściowo także wywieranie nacisku na firmy, by zajęły się problemem, a przede wszystkim dostrzegły jego istnienie. W tym celu kilku hakerów działających dla dobra sieci ufundowało konkurs, który miał pokazać jak słabe są zabezpieczenia dużych firm.

Źródło. technologie.gazeta.pl