Жизнь после Anonymous – интервью с бывшим хакером (Jason Lackey)

Хакерская группа Anonymous в последнее время часто попадала в новости. Это происходило по разным причинам – WikiLeaks, брешь HBGary (http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars) (прим. – американская фирма, специалиризующаяся в IT безопасности, выполняющая правительственные контракты) и многое другое. Из последних новостей – это появление беглецов из этой организации, уход одного из членов – SparkyBlaze (http://news.cnet.com/8301-1023_3-20094821-93/anonymous-hacker-quits-burns-bridges-on-way-out/) по многим причинам, включая «пресыщение тем, что Anonymous просто выкладывают данные людей в онлайн и провозглашают себя великими героями».

Я веду твиттер ленту @CiscoSecurity (http://twitter.com/#!/CiscoSecurity), я провожу много времени в Твиттере и я видел, что @SparkyBlaze был активным пользователем. Я связался с ним в попытке узнать его часть истории. Кроме того, я хотел вкратце узнать о том, что происходит на другой стороне – возможно все в сфере безопасности хотят лучше понять Anonymous и подпольное хакерское сообщество. Я интересовался как человеческими мотивами, так и действительно хотел узнать о его мнении о корпоративной безопасности и конкретных рекомендациях для организаций, как предотвратить бреши и вторжения.

Некоторые могут спросить, мы что, собираемся дать трибуну нелегальному хакеру?  Я бы сказал нет. Сам Sparky сказал ясно: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Кроме ника @SparlyBlaze и адреса email мы мало о нем знаем, и мы не разговаривали на другие темы, кроме тех, которые описаны внизу. Вот интервью:

JL: Расскажи немного о своем прошлом

SB:  Я из Манчестера. Я закончил школу практически не обращая внимание…учителя всегда говорили, что я умный, но я не хочу ничего делать. Они были правы, меня ничего не интересовало. Я начинал работать  если мне что-то чрезвычайно нравилось, как компьютеры. В детстве я жил скучно, пока я не обнаружил компьютеры. Я люблю такие вещи, как DefCon (http://www.defcon.org/), хакерские конференции, разговоры с другими хакерами. Я люблю управлять серверами (и делать их безопасными)

Я белый, в свои 20 я хочу переехать в Америку для изучения вычислительных систем и этического хакинга (Я думаю, что это самое лучшее, если они не узнают обо мне и Anonymous). Я планирую жить там так, как я всегда хотел. Еще я люблю оружие, но это в Британии почти нелегально и негде пострелять.

JL: Как ты попал в компьютерные технологии и в безопасность.

SB: Я попал в компьютеры так как я вырос среди них. Мне нравится физическая безопасность и я всего лишь применил свой интерес к компьютерам. Затем я начал изучать межсетевые экраны, эксплойты…вроде того.

JL: А как ты связался с Anonymous

SB: Я попал в Anonymous  так же, как большинство других людей. Я люблю хакинг и я верю с свободу слова. Я попал на страницу Anonymous, заинтересовался в них,  начал зависать на IRC с ними, все пошло оттуда.

JL: Что ты думашь о хактивизме?

SB: Хактивизм – это интересная тема. Я люблю хакинг, я верю в свободу слова, я против цензуры, так что сложить все вместе было для меня легко. Я чувствую, что все нормально, когда ты атакуешь правительство. Получение файлов и передача их в WikiLeaks, вещи такого рода, они всегда плохо воспринимаются правительством. Но выкладывание имен пользователей и паролей нет, и выкладывание информции о людях, за которых ты борешься, это неправильно. (прим. перевод. – очень спорная жизненная позиция)

JL: Как ты думаешь, как остальной мир видит хакеров?

SB: Люди, знающие компьютеры смотрят на хакеров неодобрительно. Хакер – это большой, страшный волк и компьютерщикам надо «избавиться от этого». Большинство людей не знают, что такое хакинг, они используют везде одни и те же пароли и не используют ни антивирусов, ни межсетевых экранов. Для них «замечательная» инсталляция Windows с IE7. Это проблема с людьми сегодня – они не понимают всю важность компьютеров и компьютерной безопасности.

JL: Что ты думашь о современном состоянии компьютерной безопасности?

SB: В области компьютерной безопасности творится бардак, как я только что сказал. Компании не хотят тратить время и деньги на компьютерную безопасность, поскольку они думают, что это не имеет большого значения. Они не зашифровывают данные, у них нет правильного программного, аппаратного обеспечения и людей для того, чтобы обеспечить безопасность . Они не обучают свой персонал не открывать присоединенные файлы в письмах от людей, которых они не знают. Проблема не в программах и устройствах, которые они используют…проблема в людях, которые их используют. Вам надо научить эти компании, что им нужна хорошая политика информационной безопасности.

JL: В чем самая большая проблема, которую ты сегодня видишь?

SB: В моем понимании это социальная инженерия. У нас есть программы или устройства для защиты от переполнений буфера, вредоносного кода, DDoS, и выполнения кода. Но что хорошего во всем этом, если вы можете заставить кого-либо дать вам пароль для выключения межсетевого экрана просто сказав, что вы Грэг из службы информационной безопасности и что вы проводите тестирование. Если все в конце концов приходит к обману, все это делают и некоторые люди становятся в этом очень хороши!

JL: Какие советы ты можешь дать предприятиям и организациям, когда они сталкиваются с проблемами безопасности.

SB: Вот мои советы:

  • Используйте несколько линий защиты, глубоко эшелонированную оборону
  • Разработайте строгую политику информационной безопасности
  • Регулярно проводите аудиты своей системы безопасности внешней компанией
  • Используйте систему предотвращения или обнаружения вторжений
  • Проведите обучение персонала по информационной безопасности
  • Проведите обучение персонала по cоциальной инженерии
  • Всегда обновляйте софт и устройства
  • Следите за сайтами безопасности, смотрите новости и узнавайте о новых атаках
  • Позвольте вашим администраторам ездить на Defcon J
  • Наймите хороших администраторов, которые понимают, что такое безопасность
  • Зашифровывайте свои данные
  • Используйте спам-фильтры
  • Следите за информацией, которая попадает в публичный доступ (прим. перевод. особенно актуально в свете последних утечек информации в России)
  • Используйте хорошие методы физической безопасности. Что толку от всех систем информационной безопасности, если кто-то может просто зайти и вынести защищенную систему

(прим. перевод. Стандартный набор разумных советов. Но, пока гром не грянет…)

JL: Какой совет ты дашь молодым людям, которые хотят работать в информационной безопасности?

SB: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Вот вам пример: Вы нанимаетесь на работу, и у вас есть конкурент. У вас примерно одна и та же квалификация и вы одинаково хороши. Они проверяют вас обоих – он чист, а ты был замешан в хакинге сервера и выкладывании даныых онлайн. Кому они дадут работу? Я уверен, не тебе!

Перевод осуществил Павел Родионов (Cisco IronPort)

Реклама

4 Responses to Жизнь после Anonymous – интервью с бывшим хакером (Jason Lackey)

  1. Вы нанимаетесь на работу, и у вас есть конкурент. У вас примерно одна и та же квалификация и вы одинаково хороши. Они проверяют вас обоих… — лучше держаться подальше от такого РАБотодателя

    • Комрад, ты не забывай — человек говорит об иностранных работодателях. Там проверяли, проверяют, и будут проверять.
      Если хочешь устроиться на хорошую работу с хорошей зарплатой — будут проверять. И бежать от таких работодателей не нужно. Хотя… если будешь убегать от такого — дай мне его координаты, я убегать не буду.

  2. Инокентий Корицын says:

    Хакинг чужого сервера и слив собственных данных корпорации — разные вещи. Если первое говорит об экспе нанимающегося и его квалификации (инетресно, что будет равносильным в зачёте у конкурента?), то второе — обыкновенное крысятничество, не требующее никакого опыта.

    Для фирмы, я считаю, главнее будет то, что человек состоял в организации и сохранил её тайну. iff, нафиг такую фирму.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s