Старайтесь не допускать перерывов в работе клиентов. Многие инструменты тестирования на проникновение имеют «режимы безопасности», которые устраняют элементы с более высоким риском. Всегда начинайте с тщательного тестирования своих инструментов и методологий, прежде чем их использовать. Я всего лишь раз вызвал массовые сбои в работе, но это до сих пор меня преследует. Так произошло, потому что я не уделил достаточно внимания тестированию перед широкомасштабным применением.
Если вы будете следовать всем шагам, описанным в этой главе, то станете успешным и вас будут регулярно приглашать на новые проекты.
Глава 26 рассказывает про Аарона Хигби, одного из лучших тестеров на проникновение, которых я когда-либо знал, а в главе 27 представлен профиль Бенилда Джозефа, специалиста по тестированию на проникновение, эксперта по кибербезопасности и известного этичного хакера.
Поездка в машине Аарона Хигби – это опыт, знакомый только автомеханикам и инженерам. К процессору и двигателю его автомобиля подключено столько внешнего компьютерного оборудования и датчиков, что машину вполне можно принять за «Делориан» из фильма «Назад в будущее». Те из нас, кто знает Аарона уже несколько лет, ничему не удивляются. Хигби редко делает что-то наполовину. Он либо полностью погружен в работу, либо не заинтересован ею. Очевидно, что девиз «Играй жестко или иди домой» имеет огромную роль в его жизни.
Сначала я работал с Хигби над проектом по проникновению, где мы были в команде, нанятой для взлома одного из крупнейших в мире провайдеров кабельного телевидения. Я осветил эту работу в последней главе о тестировании на проникновение, но пропустил часть истории. Мы успешно скомпрометировали не только предполагаемую цель кабельной телевизионной компании, телевизионную приставку, но и всю ее кабельную сеть. И это только за первый день! Хигби стало скучно, поэтому он начал искать слабые места оборудования от вендора. Он манипулировал оборудованием клиента, переключая провода, меняя местами перемычки материнской платы и устанавливая электрические кабели. Аарон продолжал пробовать различные хакнутые конфигурации, и в какой-то момент буквально поджег устройство. Дым повалил из блока, мы поспешили отключить электричество и потушить небольшой пожар. Пришлось подождать несколько минут, пока дым рассеется, чтобы увидеть, выпустят ли пожарные детекторы компьютерного зала токсичный газ и заставят ли нас эвакуироваться.
После того как дым рассеялся, Хигби вернулся и продолжил свой аппаратный взлом, что немало нас удивило. Никто из команды не смог его остановить. В конце концов он случайно спровоцировал пожар в аппаратном блоке, который мы потушить не смогли. Пока мы убегали, он посмеивался и, без моего ведома, снимал все происходящее на мобильный телефон. Через несколько минут видео появилось в Интернете.
Эта история – не пример для подражания. Неразумно делать что-то, что имело хотя бы малейшую возможность вызвать пожар. Но этот анекдот дает вам представление о том, каково было работать с Хигби. Большинство его друзей и коллег запросто могут поделиться с вами похожими историями о нем.
Помимо того, что с Аароном можно интересно и весело поболтать, он стал одним из лучших и преданных тестировщиков на проникновение, которого вы когда-либо встретите. Он вырос в довольно религиозной семье со строгими правилами. Я думаю, что такое воспитание и стало причиной его страсти к жизни и способности заставить всех, включая себя, смеяться. Сегодня он намного более профессионален и по-прежнему вносит свой уникальный вклад в опыт борьбы с хакерами и спамерами.
Позже мы оба покинули ту компанию. Я пошел работать в Microsoft, а Хигби стал соучредителем собственной невероятно успешной фирмы под названием PhishMe (https://phishme.com/). PhishMe специализируется на обучении конечных пользователей противостоянию фишинговым атакам. В частности, она позволяет легко отправлять поддельные, но реалистичные атаки против ваших сотрудников, чтобы увидеть, кто из них может быть обманут в вопросе конфиденциальной информации. Попытки сделать это предпринимались и до создания PhishMe, но она стала одной из компаний, которые сделали это невероятно легким в исполнении. С годами PhishMe расширялась, и теперь там 350 сотрудников, а доход составляет 12 млн долларов. Хотя с финансами у меня все хорошо, у Хигби дела идут лучше.
Я спросил его, как он очутился в сфере ИБ. Он ответил: «Я сел за компьютеры в эпоху BBS [системы доски объявлений], и некоторые из BBS, которыми я хотел воспользоваться, были дорогими междугородними звонками. Так что я начал узнавать о телефонном фрикинге, чтобы совершать звонки бесплатно, и таким образом начал разбираться во взломе. Меня взяли на первую работу в области ИБ в компанию EarthLink. Я занимался электронной почтой. Что бы ни пришло на адрес компании, я это обрабатывал: боролся со спамом, мошенничеством с кредитными картами, нарушением правовых норм и т. д. Мне так понравилось, что я бросил колледж. Родители посчитали, что я совершаю большую ошибку. Они думали, что Интернет был мимолетной причудой».
Я аплодировал Аарону и PhishMe, основанной на анти-фишинге. Многие из его конкурентов расширили сферу своей работы, но не компания Хигби. И это особое внимание к конкретному вопросу, похоже, приносит огромные дивиденды PhishMe и его клиентам. Он заявил: «Некоторые люди не понимают, что PhishMe делает. Они думают, что это пустая трата времени и что вместо того, чтобы пытаться помочь людям справиться с электронной почтой и проблемой фишинга, как это происходит сегодня, мы должны пытаться пропатчить саму электронную почту. Должны попытаться сделать вычисления совершенно безопасными для людей по умолчанию. Идея замечательная, но это своего рода журавль в небе.
Я увидел свое первое фишинговое письмо в 1997 году на EarthLink. Если бы вы сказали мне, что это все равно останется огромной проблемой, что я до сих пор буду зарабатывать на жизнь, борясь с этим, я бы никогда не поверил. Общая проблема заключается в том, что протокол электронной почты сломан, и не похоже, что это будет исправлено в ближайшее время. Через десять лет ее все равно будут взламывать. Многие люди на протяжении долгих лет пытались улучшить систему, но ни одно из дополнений не прижилось. И я не понимаю этого, потому что мы исправили другие протоколы и избавились от некоторых, таких как Telnet. Никто больше его не использует. Вместо этого мы обратились к SSH. Но по какой-то причине сломанный протокол электронной почты продолжает жить, несмотря на огромные проблемы, и до тех пор, пока это так, я хочу помогать компаниям обезопасить себя».
Я поделился своим недоумением по поводу того, что множество организаций не делает больше антифишингового тестирования и обучения, хотя это, вероятно, номер один или два в списке лучших вещей, которые они могут сделать, чтобы уменьшить риск взлома. Хигби сказал: «Часть проблемы в том, что некоторые из людей, проводящих фишинговые тесты, идут во всеоружии и в итоге провоцируют проблемы. Мы не просто проводим тест PhishMe. Мы говорим людям, чтобы они общались со всеми сотрудниками и руководством, и пусть они знают, что мы будем проводить фишинговые тесты в течение следующего года. Нужно меньше тестов и больше образования. Часть того, что мы делаем, – это обучение клиентов тому, как решать проблемы, чтобы все были в плюсе».
Вероятно, лучшее в моем интервью с Хигби – что он кажется таким же радостным и счастливым, как и когда я работал с ним более 10 лет назад. Он сказал, что создание и ведение бизнеса было невероятно напряженным, но он справился и смог сохранить жизнерадостность. Видимо, так же поступают и его сотрудники. Компания PhishMe совсем недавно была признана одним из лучших мест для работы по версии журнала Washington Business Journal и провела ежегодную встречу в Канкуне. И почему я не мог придумать антифишинговую компанию 10 лет назад?..