Знакомство с Black Hat профессионалом
Ахметов Амир — специалист по информационной безопасности.
Знакомство с Black Hat профи или мое осознание истинного состояния индустрии информационной безопасности. Как то раз хороший знакомый узнав о моей специализации на информ безопасности обмолвился, что знаком с отличным спецом в это области. Я весьма заинтересовавшись настоял на организации знакомства, ведь действительно хороши спецов ИБ хоть в красную книгу заноси. После долгих уговоров и прошествии значительного времени встреча была организована.
Встреча проходила дома у, на тот момент еще незнакомца. Когда мы вошли в комнату, молодой человек находившейся в ней не выразил абсолютно никакой заинтересованности и уважения, даже не встав из-за компьютера, который меня сразу же заинтересовал. Системный блок такого форм фактора я видел впервые. Нет, это не был новомодный бесполезный ужас из оргстекла подсвеченный неоном. Это был монстр из которого в верхней части торчали два пары Асиков и который чуть слышно шуршал тремя внешними фанами системы жидкостного охлаждения. На вскидку я посчитал, что только видимого железа тут на 8-10К $, исходя из этого стоимость ПК должна быть не менее 15000$.
Оценив инструмент хозяина я завел светскую беседу с уклоном в ИБ, однако не смог добиться нужного внимания. Слегка рассердившись этому, я решил подтвердить свои компетенции и произвести впечатление рассказом о прохождении CEH8, своих докладах на Profit Security Day и поинтересовался его регалиями. Он мне ответил что ему «эти бумажки» без надобности и продолжил увлеченно «топтать» клавиатуру и кликать мышкой.
Слегка сместившись что бы взглянуть в монитор и понять чем же он так увлечен, что даже не считает нужным поддержать беседу, я остался в этом положении и в течение часа уже больше не проронил ни слова. Он взламывал онлайн магазин…. Прямо у меня на глазах в течение часа был взломан онлайн магазин! Получен доступ к базе, расширены привилегии, залит шел, получен доступ к ОС сервера, проинспектированы аккаунты на предмет наличии средств на балансе и их вывода. Добыча составила около 800$. И пятикратный хэш MD5 паролей пользователей и админов не помог, т.к. совершенно не препятствовал взлому. Т.е. не даже не находился на пути атакующего. Иных подтверждений компенсаций собеседника мне не требовалось. После того как он деловито написал письмо администрации сайта с предложением купить уязвимость за 500$ и прокомментировал «скорее всего не ответят и будут искать уязвимость сами, а я ночью им базу снесу что бы не повадно было», я понял сферу его интересов и восторженно засыпал его вопросами. И беседа со скрипом пошла.
Обрыв связи с Black Hat профессионалом
Я встречался с ним еще дважды на условиях конфиденциальности, до того как он покинул съёмную квартиру и перестал отвечать на вызовы по телефону и в мессенджерах, как мои так и нашего общего знакомого. Та скудная информация, с огромным трудом полученная от него, дала мне пищу для размышлений и работы на многие месяцы. А ведь я считал себя хорошим специалистом, с большим опытом работы и подтвержденными компетенциями. Сейчас я не умаляю своих достоинств как специалиста, а хочу открыть глаза на истинную ситуацию с ИБ. По моим прикидкам, из известных мне IT инфраструктур сопротивляться команде таких юных дарований способна лишь одна и то предположительно. И это известно, как я понял, узкому кругу людей. Я уже не говорю о собственниках и топ-руководстве компаний и банков которые уверены в безопасности своих ресурсов и данных. Так и хочется сказать – Бегите, глупцы! Инвестируйте в ИБ пока не стало поздно! Искажу более, тот кто первый инвестирует в конкурентную бизнес-разведку и контр-разведку – станет лидером рынка и отрасли в целом. Сейчас все это в зачаточном состоянии эмбриона. Задумайтесь!