Сетевая безопасность

Сетевая безопасность

Лес Паундер обсудил с загадочным хакером по имени Freakyclown будущее сетевой безопасности в мире, где следят за каждым щелчком вашей мыши.

Мир хакеров — сумрачное пространство тайн, сопровождаемое измышлениями, которое в последние годы стали вытаскивать под прицелы фотокамер в виде WikiLeaks, файлов Сноудена [Edward Snowden] или высокопрофессиональных атак на крупные корпорации, осуществляемых тайными группировками. Однако хакерство — ровесник технологии, и не все хакеры — злодеи.
Знакомьтесь: Freakyclown [англ. Клоун-чудак], хакер и тестировщик на проникновение, старающийся сделать мировую сеть безопаснее, хотя бы для своих клиентов.
Freakyclown — человек особенный; он скрывает своё настоящее имя, но готов публично рассказывать о своей профессии и известен своими выступлениями на различных британских мероприятиях. Кроме того, он активно поддерживает Raspberry Pi Foundation и их деятельность.

LXF: Вы — довольно загадочная знаменитость в мире конференций и подобных мероприятий.
Не хотите немного поделиться своей историей?
Freakyclown: Ну, родом я из Эссекса, и вырос в бедности, но благодаря моим друзьям, которые мне больше чем братья, и тому, что мы держались вместе, мы выстояли.

Компьютерами я заинтересовался довольно рано. Моей первой машиной была игровая приставка Binatone, с двумя аналоговыми контроллерами и металлическими переключателями, чтобы переходить от Tennis к Pong и так далее. Потом была ещё парочка, в том числе Atari 2600, у моего лучшего друга Ли до сих пор жива такая, в деревянном корпусе! Потом у меня появился Amstrad СРС464, мой первый компьютер с клавиатурой, и я начал понемногу программировать. Потом продал его, чтобы купить Commodore 64, а затем обзавёлся Amiga 500 и 1200, когда уже стал заниматься этим всерьёз. Атаковать всякие электронные доски объявлений и прочие коммутируемые системы.

Примерно тогда же я попал в тусовку 2600, одного из хакерских сообществ. Вскоре начал ходить на их собрания в Лондоне, нашёл новых друзей, но главное — это общение многому меня научило. Ведь всего через несколько лет я стал тем, кем являюсь сейчас, — профессиональным хакером или тестировщиком на проникновение.
 

Сетевая безопасность в Вашей жизни


LXF: В вашей жизни было какое-то событие, побудившее вас стать хакером?
FC: Не думаю, что для этого требуется повод. Это особый образ мысли и образ жизни, который сидит в тебе с рождения — стремление понимать и изменять ход вещей. Навряд ли был такой момент, когда я воскликнул «Эврика!» и ушёл в хакерство. Скорее это была некая природная тяга к тому, чтобы не просто познать принцип действия системы, но и управлять ею.
Здорово, конечно, просто сидеть и играть в видеоигры, но ничто не сравнится с тем, чтобы сделать игру самому, насколько бы топорной и примитивной она ни вышла. Такой склад ума бывает полезен, когда тестируешь сети, сетевые приложения, двоичные программы, и работаешь над сетевой безопасностью. Мы видим их с совершенно иной точки зрения, нежели конечный пользователь или разработчик.
Когда я нахожу уязвимости, то нередко слышу: «Надо же, я бы никогда не заметил», или «Никогда бы не подумал, что так можно сделать». Это принципиально иное видение мира. Многие считают: нужно быть преступником, отчасти или в прошлом, чтобы выполнять такую работу, но это вовсе не так. На самом деле, при таком раскладе, вам подобную работу никогда не получить — это всё равно что полицейскому стать преступником, чтобы их ловить. Это просто образ мысли.

LXF: Вы работаете на компанию под названием Portcullis Security — не могли бы вы рассказать немного о том, чем вы занимаетесь?
FC: Portcullis — одна из самых крупных фирм, занимающихся компьютерной сетевой безопасностью в Великобритании. Она существует с 1986 года и объединяет около 40 тестировщиков на проникновение. Я в основном занимаюсь сетями и сетевыми приложениями. Но вообще у нас работают специалисты практически любых направлений, от специалистов по телефонам на iOS до экспертов-криминалистов. Мы активно выпускаем новые инструменты и делимся информацией в блогах, через специальный сайт наших лабораторий (_http://labs.Dortcullis.co.uk]. Ну и помимо выполнения обязанностей тестировщика, я также работаю по основной специальности — занимаюсь социальным инжинирингом.
 

Социальный инжиниринг как средство обхода сетевой защиты


FC: В широком смысле, социальный инжиниринг — это когда вы методом убеждения заставляете людей выдать вам информацию или предоставить доступ куда-либо, чего они делать не должны. Так что, наряду с другими способами, которые сегодня на слуху (например, фишинговыми атаками на email), мы используем социальный инжиниринг для тестирования систем безопасности сетей самых разных организаций, от небольших офисов до банков и более секретных мест, которые я назвать не могу. Я этим типом тестирования занимаюсь уже много лет и имею 100% показатели успешности, поскольку могу проникнуть в любую поставленную цель.

Уж не знаю, говорит это о моём профессионализме или о том, что специалисты по сетевой безопасности, повсеместно, работают плохо. Я кучу времени потратил, убеждая людей, что это важнейшая часть безопасности информационной. Множество раз мне приходилось сталкиваться с какой-нибудь фирмой, потратившей миллионы на свою сетевую безопасность, но ничего не стоило просто пройти в их здание и вынести те компьютеры, которые они так старательно пытались защитить.
У меня уже буквально тысячи интересных историй и ситуаций из моей практики социального инжиниринга, которые медленно складываются в небольшую книжицу, так что хорошо бы тем, кому было бы интересно об этом почитать, добавить меня в Twitter или IRC и почаще об этом напоминать, а то мне всё не хватает мотивации, чтобы её закончить.
 

Отказываться ли от сервисов с недостаточной безопасностью?


LXF: А бывало так, что вы переставали пользоваться каким-либо сервисом или продуктом из-за проблем с его безопасностью?
FC: О да, я узнаю много вещей, которые меня беспокоят и вынуждают отказаться от ряда продуктов или сервисов. От банковских карт, использующих NFS (мой излюбленный пример на всяких выступлениях, где я наглядно демонстрирую, как легко украсть с них информацию), до целых компаний, сети которых оказываются небезопасны и ставят под угрозу мою личную информацию! Уверен, что ни один нормальный человек не смог бы, зная это, спать спокойно.
Есть один хитрый способ отследить, кто сливает вашу информацию: нужно войти в учётную запись Google и отправить компаниям письма, используя + — адресацию. Например, изменив MrFoo@amail.com на MrFoo-t-ElectricCo@amail.com для электроэнергетиков, при этом письма от них будут приходить на _MrFoo@amail.com. но их будет проще фильтровать, а вот если газовики начнут присылать письма на MrFoo+ElectricCo@amail.com. вы сразу поймёте, откуда утечка, и будет легче заблокировать их или отметить как спам.

LXF: Выступая с презентациями на различных мероприятиях, вы представляетесь с помощью серии быстро меняющихся слайдов. Были ли у вас трения с законом, и если да, каково их представление о «хакерах»?
FC: Ну, однажды меня арестовали за нарушение Раздела 3 СМА (Computer Misuse Act) [Закон о неправомерном использовании компьютерных технологий, — прим. пер.], и честно говоря, всё зашло довольно далеко, но после многих и многих месяцев переживаний и ожидания, справедливость восторжествовала, когда на этапе освобождения под залог дело было прекращено!
Другой забавный случай был у меня в Лондоне, как раз когда я занимался социальным инжинирингом. Часа в 2 или 3 ночи я бродил, присматриваясь к одному зданию и выискивая в нём уязвимости, которыми наутро смогу воспользоваться. Мне нужно было понять, как проникнуть в эту огромную неприступную крепость.
Внезапно сзади кто-то кашлянул и осведомился, что я здесь делаю. Очевидно, с недосыпа и продолжая думать о своём, я ляпнул: «Да вот, пытаюсь решить, как бы мне завтра вломиться в этот банк». 1/1 тут я понимаю, что передо мной стоят двое колов и смотрят на меня с подозрением. Пришлось долго объясняться! В третий раз, другой тест на проникновение в крутой банк привёл к неожиданным последствиям, когда здание окружила полиция, и мне пришлось долго распинаться и доказывать, что я не преступник!

LXF: Интернет Вещей постепенно становится реальностью. Недавно к рассылке 750000 спам-писем оказались причастны холодильники! Неужели действительно нужно, чтобы все устройства имели выход в Интернет? И если так, можно ли как-то снизить риск того, что наши холодильники станут частью Skynet?

FC: До перехода на IPv6 я даже не представляю, как это всё можно подключить к Сети. И уж тем более не переживаю, что из холодильников организуют Skynet! Есть такой фантастический фильм, Максимальное ускорение [Maximum Overdrive] (1986), там все управляемые приборы восстают против людей и начинают их убивать; возможно, в будущем нас ждёт скорее это, а не войны в стиле Терминатора. Компьютеры — вещь очень ненадёжная. Не представляю себе Skynet, который сможет проработать больше двух недель без перезагрузки для установки обновлений.

LXF: Google за последнее время приобрёл немало интересных компаний, включая робототехническую компанию Boston Dynamics и, совсем недавно, Nest, проект удалённо контролируемой системы отопления. Не представляет ли покупка Nest угрозы для нашей жизни и здоровья?
FC: Я думаю, с Google слишком много носятся. Военных источников финансирования у них нет, исследований для этой сферы они тоже не делают. У Google просто куча денег, и они всё время пытаются подыскать очередную крутую штуку. А люди терпеть не могут чужие успехи. В 1980-х и 1990-х все ненавидели Microsoft, теперь ненавидят Google, Facebook и FlappyBird.
 

Как людям защитить себя в Сети?


FC: Никому не доверять. Устанавливать все предлагаемые обновления (убедившись в их подлинности). Использовать хороший бесплатный антивирус. Убедиться, что вы действительно понимаете, в чём состоит риск. Подозреваю, что читатели данного журнала в этом плане более сведущи, чем большинство, так что обращаюсь к ним с просьбой передавать свои знания другим.

LXF: С устройствами вроде Raspberry Pi и Arduino экспериментировать с аппаратной и программной начинкой стало проще. Приходилось ли вам сталкиваться с фактами недобросовестного использования таких штуковин?

FC: Да, я и сам к этому руку приложил. Например, создал VoIP-телефон со встроенным внутрь Raspberry Pi. Через проводное подключение базового устройства скрытый в нём Pi получал доступ к целевой сети. Сам Pi также создавал точку беспроводного доступа, чтобы оставаться подключённым к этой сети и выполнять функции VolP-телефона, при этом позволяя атаковать сеть через Wi-Fi.

LXF: К слову о вредоносных устройствах, как вы относитесь к беспилотным самолётам? Если
все эти технологии можно найти в Интернете, не представляет ли это угрозу частной жизни?

FC: Как и с любой новой технологией, всегда есть риск, что она может быть использована как на зло, так и во благо. Кто знает, когда кому-то придёт в голову прицепить к беспилотнику гранату и рвануть её на концерте Джастина Бибера [Justin Bieber], или облетать военные базы, выуживая секреты?
LXF: В мире сегодня появляется всё больше пользовательских и хакерских сообществ.

Что бы вы им посоветовали, какие уроки им бы следовало учесть?
FC: Давайте сперва поясним читателям, что мы говорим о мастерских, где люди могут заниматься хоть электроникой, хоть шитьём, деревообработкой и чем угодно. Создавать ЗО-принтеры, работать на токарном станке, с дрелью, ну и иногда с чем-то компьютерным. И в хакерской вас не будут учить, как противозаконно что-нибудь взламывать.

Как я уже говорил, я помогал организовывать Hackspace в Сэррее и Гэмпшире, в городе Фарнборо, и располагаю некоторым опытом относительно того, зачем и как устраивать такие мероприятия. Я бы посоветовал для начала оглядеться. Возможно, где-то недалеко уже нечто подобное проводится. Если, как это было у меня, вы ничего не нашли, то лучше начать с малого. Начните просто с встреч в местном пабе или кофейне, чтобы привлечь основных участников.
Именно это ядро будет вам опорой, когда через несколько лет вы решитесь организовать своё первое мероприятие. Не спешите. Мы тоже начинали с посиделок в пабах, потом нашли пабы, где нам разрешали бесплатно использовать подсобку, так всё и началось. Если кому-нибудь нужен наш совет, мы всегда доступны на IRC, freenode #sh-hackspace.
 

А тем, кто подумывает о карьере в сфере сетевой безопасности или хакерства, вы бы что посоветовали?


FC: Учитесь основам. Постарайтесь разобраться в самых фундаментальных вещах — как устроены сетевое взаимодействие, код, пакеты, соединения и так далее; только владея этой базой, вы сможете что-то на ней надстроить, а затем понять, как этим управлять. Если вы молоды и выбираете колледж или университет, постарайтесь попасть на специальность как можно более широкую. Чтобы стать тестировщиком на проникновение, нужен не только особый склад ума, но и большой объём знаний. Если вы старше, уже работаете и не можете полностью посвятить себя учёбе, то лучше всего попробовать получить какой-нибудь сертификат.

В Великобритании стоит попробовать Crest или Tiger Scheme — они хорошо известны, и в этой сфере котируются выше, чем, допустим, CCNA или MS. Есть также множество бесплатных учебников, live-CD с инструментами и приложениями в открытом доступе, такие как Kali Linux, Black Arch, а также live-CD, с которых можно установить лаборатории для тестировки, наподобие WebGoat и DamnVulneraple Web Арр. И помните: без разрешения лучше ничего не трогать, или все ваши карьерные планы могут пойти прахом.

LXF: Есть ли у других хакеров достижения, которые вы бы хотели, чтобы достались вам?
FC: [смеётся] Не думаю, что мне хотелось бы быть на их месте, потому как их, в основном, за это ловили, но, пожалуй, больше всего меня привлекает деятельность Гэри МакКиннона [Gare McKinnon], по причине моего интереса к НЛО. Беда в том, что после того, как мне однажды случилось пересечься с ним на конференции, я не верю ни одному слову из его наблюдений.

249 просмотров

Рейтинг: 0 Голосов: 0

Комментарии

Нет комментариев. Ваш будет первым!