Najal jsem hackera

Sedím u svého pracovního stolu, popíjím kávu a jím zapečenou bagetu, když si všimnu toho mladého, blonďatého, uhr...


Sedím u svého pracovního stolu, popíjím kávu a jím zapečenou bagetu, když si
všimnu toho mladého, blonďatého, uhrovitého dítěte stojícího před mým
oddělením, s ironickým úsměvem a červenými, kulatými tvářemi. Ptám se, co pro
něj mohu udělat, a on mi podá kus papíru s napsanou webovou adresou. Vypadá to
jako adresa, kterou použije náš zákazník pro přístup k aplikaci, kterou
poskytujeme.
Ptám se, co to znamená, a on se mi představuje jako jeden z vývojářů naší
firmy. Vysvětluje, že si bokem "rád tak trochu zahackuje" a jak "tohle
objevil", když si doma hrál. Beru si předanou webovou adresu, zadávám ji do
svého browseru, stisknu klávesu Enter a na obrazovce se objevuje celý seznam
jmen zákazníků, jejich telefonních čísel a čísel jejich kreditních karet. Ach
jo. Za normálních okolností jsou tyto informace přístupné jen po celé sérii
autentizací, ale tato adresa prostě obešla všechny bezpečnostní mechanismy a
rovnou zobrazila data. Dítě přede mnou se ujme slova a začíná mi vysvětlovat,
jak je aplikační programové rozhraní (API) chybně nakonfigurováno a jak se dá
zobrazit mnoho jiných stránek tím, že se obejdou obrazovky vyžadující
autentizaci. Děkuji mladému muži za informace, dělám si pár poznámek ohledně
detailů o API pro autentizaci a potom s ním zahájím interview.
Je mu 23 let, od svých 14 si hraje s Linuxem, od 16 začal programovat (pro
legraci, jak říká), za posledních šest let zastával práci na poloviční úvazek i
na plný úvazek jako správce Unixu a Windows NT a jako vývojář aplikací. Nemá
vysokoškolské vzdělání (ale právě se nechal zapsat na vysokou školu) a
bezpečnost dat je jeho hobby. Heuréka! Právě jsem vyhrál jackpot. Perfektní
součást mého plánu, jak dobýt svět. Nedávno byl u nás dokončen projekt vývoje
nové aplikace, na němž tento mladík pracoval a poslední dobou se navíc zajímá o
bezpečnost. To je skvělé! Abych to zkrátil, napsal jsem žádost o přeřazení
mladíka z jeho pracoviště do mého týmu. Má vědomosti o Unixu, je bystrý,
pohotový a nejlepší na tom všem je, že velmi dobře zná náš byznys. Dva roky se
věnoval vývoji, a má proto hluboké znalosti o aplikaci, kterou vyvíjíme a
prodáváme našim klientům.
Jak mnozí čtenáři jistě vědí, skutečné odborníky pro oblast bezpečnosti abyste
hledali lupou. Na základě svých zkušeností mohu říci, že je spousta takových,
jak já je nazývám, "pohotových neschopů": jsou to dobří manažeři, ale nedokážou
stisknout ty správné klávesy, kdyby na tom závisely jejich životy. Dokážou
oslovit různé skupiny posluchačů, ohromit je bezpečnostní hatmatilkou i dogmaty
o zaručeně nejlepších praktikách v oblasti bezpečnosti a vykreslit následky
nedostatečné bezpečnosti ve firmě. Ale zkuste je požádat, aby provedli
instalaci a konfiguraci firemní virtuální privátní sítě, a nebudou mít ponětí,
jak postupovat. Ve velkém podniku nebo konzultační firmě se takoví bezpečnostní
odborníci prosadí dobře a jsou často žádaní. Ale v prostředí vznikající firmy
je potřeba, aby si také manažer někdy ušpinil ruce od práce.
Tvorba týmu
Nejtěžší je sestavit tým z vyzrálých osobností s dobrou schopností komunikace a
se smyslem pro byznys, v kombinaci s několikaletou praxí v prostředí Unixu,
Windows NT, se znalostmi programování a také hackování i to patří mezi důležité
dovednosti. Ano, správně, říkám zkušenosti v hackování. Účastnil jsem se mnoha
výběrových řízení při najímání nových pracovníků a mám zkušenost, že hackeři
patří k nejlepším zaměstnancům bezpečnostního týmu. Jsou zapálení pro svůj
úkol, jsou disciplinovaní, vynalézaví a velice technicky nadaní. Přiznávám, že
někdy mám z těchto lidí smíšené pocity, ale pokud projdou veškerými kontrolami
bezúhonnosti a mají dobrou pověst, jsem spokojen.
Věřím, že 98 % lidí na světě je dobrých. Většina hackerů, kterým se naskytne
příležitost využít odhalenou slabost k nějakému pomíjejícímu prospěchu, takovou
akci neprovede. Podívejte se na většinu hacknutých internetových stránek.
Většinou je tam jen verbální prezentace typu: "Tuto webovou stránku hackl
[někdo]", nebo "Vaše zabezpečení je k ničemu. Původní domovská stránka je na
[odkaz na stránku]". Jistě, je to nepříjemný pocit a cítíte se napadeni, ale
většina hackerů se zastaví, jakmile zvolenou stránku hackne. Nevykládejte si
můj postoj špatně, opravdu bych nikdy nenajmul nikoho, o kom bych si myslel, že
má zločinecké sklony. Nákupní horečka
Zbývající část dne jsem strávil na telefonu s prodejci vysvětlováním svých
prvních požadavků na bezpečnostní software. Rozhodl jsem se pro software
detekce napadení (IDS) RealSecure od Internet Security Systems (ISS). Již dříve
jsem s tímto nástrojem pracoval a jediný problém, s nímž jsem se setkal, byla
šířka pásma.
Při volbě produktu IDS si musíte ověřit, jestli nástroj bude efektivní i při
větších šířkách pásma vaší sítě. V našem případě agregované přenosy nikdy
nepřekročí 8 Mb/s, přestože pracujeme s přepínanou architekturou o kapacitě 100
Mb/s. V určitém okamžiku nastává u IDS zlom, kdy začne ztrácet pakety. Někteří
lidé tomu s trochou nadsázky říkají "vzorkovací režim." V každém případě chci
zabránit tomu, aby náš IDS vůbec něco začal ztrácet, proto velmi pečlivě
prověřuji výkonnost. Prováděl jsem řadu testování v kontrolovaném prostředí. A
protože jsme začínající firma, nemůžeme si dovolit vydávat 10 000 dolarů
měsíčně na externě najatou monitorovací službu. RealSecure v nabízené verzi
umožňuje snadnou konfiguraci a výstražné signály jsou natolik srozumitelné, že
bude stačit jen základní školení našich pracovníků v operačním centru, abych se
mohl spolehnout, že budou schopni vhodně reagovat na problémové situace. Jako
doplněk k RealSecure jsem nejprve zadal požadavek na produkty Internet Scanner
a Database Scanner od ISS. Stejně jako s RealSecure i s ním jsem v minulosti
již pracoval a byl jsem velice spokojen. Mám pocit, že skener ISS v kombinaci s
volně distribuovanými nástroji, jako je skenovací bezpečnostní software Nessus
a skener portů Nmap, bude při odhalování mezer v naší infrastruktuře efektivní
na 98 %.
Největším problémem skenerů je následná potřeba nápravy zjištěných slabých míst
kontrolovaných systémů. Přimět jejich správce k tomu, aby provedli změny ve
fungujících produkčních systémech, to je vždycky nelehký úkol. Jako manažer
bezpečnosti musíte nasadit tvrdý výraz a začít se chovat jako hrozící burzovní
agent. Obvykle rád demonstruji možnosti nápravných opatření spolu s ukázkou
zranitelnosti. Předvedu-li hackování, lidé jsou více ochotni odsouhlasit a
následně i zrealizovat změnu.

Odkazy na webové stránky pro tento týden
Čtenáři, kteří chtějí získat hlubší znalosti v oblasti bezpečnosti sítě a
detekce napadení, by se měli podívat na Web Network Security Library:
http://secinf.net/. Najdete zde skutečnou záplavu informací užitečných jak pro
hackery, tak pro manažery bezpečnosti. Při sledování vývoje ohledně bezpečností
sítí je důležitým faktorem čas, je třeba neustále držet krok s vývojem
technologií. Uvedený Web vám v tom určitě pomůže.

Čtenáři, kteří si myslí, že jsem blázen, když zaměstnávám hackery, by si mohli
přečíst článek: Hiring hackers, the fine line between cult and criminal
(Najímání hackerů jemný předěl mezi uctívaným a zatracovaným) na stránce Help
Net Security: http://www.net-security.org/text/articles/thejian/hiring.shtml,
kde jsou uvedeny argumenty podporující moji volbu. lStránka
http://www.nessus.org/ si klade za cíl zdarma poskytnout svým návštěvníkům
výkonný, moderní a snadno použitelný dálkový skener bezpečnosti. Přesvědčete se
sami.

Hackerská stránka http://www.insecure.org/nmap/ pro vás může být zdrojem
skenovacího nástroje portů Nmap.
A ještě adresy v textu zmiňovaných firem:
Internet Security Systems: http://www.iss.net, RSA Security:
http://www.rsasecurity.com/
Tripwire: http://www.tripwiresecurity.com/, F-Secure: http://www.f-secure.com/
1 1236 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.