Am stat de vorbă cu un ethical hacker. La 29 de ani, E. lucrează pentru o companie din domeniul comunicațiilor în București. A absolvit Telecomunicații la Universitatea Politehnica din București, iar după absolvirea studiilor, a lucrat în securitatea comunicațiilor și cybersecurity pentru mai multe companii din industria telecom. A fost de acord să vorbim despre hacking, riscuri și moduri în care ne putem proteja.
Reporter: Salut E.! Mulțumesc pentru că ai acceptat să stam de vorba. În primul rand, ce este un ethical hacker?
E: Este un om cu capabilitatea de a face mult rău, care decide să nu facă acest lucru. (râde) Vorbind serios, un ethical hacker este un profesionist IT ce înțelege modul de operare al hackerilor și încearcă să le facă treaba cât mai grea. Trebuie să înțelegi foarte bine cum funcționează sistemele de operare, limbajele de programare și rețelele, pentru a le putea configura corect și proteja.
R: Când ți-ai dat seama că vrei să faci asta?
E: Prima data când am dat de coduri în jocuri. Am văzut că unii jucători foloseau programe care le ofereau avantaje față de restul jucătorilor. Am vrut și eu să le folosesc. Mi-am dat seama rapid că nu îmi oferă satisfacție, dar acesta a fost primul contact. În liceu am pus bazele programării. Apoi, în facultate am avut colegi care își construiau aplicații, le instalau pe calculatoarele de la laborator și copiau întrebările și răspunsurile de la unele examene ale grupelor precedente. Sau programau un stick de memorie și copiau documentele din calculatorul profesorului. Astfel aveau subiectele examenului de dinainte. (propoziția asta poate să fie ștearsă daca e prea mult). (rade) Cu adevărat mi-am dat seama că vreau să lucrez în domeniul acesta la unul dintre primele mele locuri de muncă. Într-o zi, am fost hacked de cineva din Spania. A durat aproape 24 de ore doar să înțelegem cum au creat breșa de securitate. E foarte ușor ca cineva să facă o greșeală sau să nu își facă bine treaba și cineva va încercă să profite.
R: Care este cel mai rău lucru pe care îl poate face un hacker?
E: În ziua de azi, un hacker poate omorî oameni. În mai multe moduri. Un exemplu ce îmi vine acum în minte este fenomenul Swatting. Acesta presupune aflarea locației victimei, numele acesteia și apelarea numărului de urgență. Hackerul foloseste numele victimei, spune că este înarmat, că a ucis pe cineva, este în casă cu un copil și urmează să îl omoare pe acesta și apoi să se sinucidă. Reacția forțelor de ordine în multe țări este letală în astfel de situații. De asemenea, acum câțiva ani, în Italia, un grup de hackeri a atacat în joacă un server care hosta serviciile numărului unic de urgență. Au blocat aproximativ o sută de apeluri către numărul de urgențe, rezultând două victime.
R: De ce fac hackerii asta?
E: De multe ori, pur și simplu vor să demonstreze că pot face chestii la care alții nu s-au gândit. De exemplu, acum nu mult timp, un grup de hackeri din Londra a reușit în aproximativ 15 minute să schimbe afișajul de pe un panou publicitar din centrul orașului. Au pus un mesaj de genul – am reușit să facem asta. Au încălcat câteva legi în proces, dar la final, au scăpat. Majoritatea încep cu chestii inofensive. Furat conturile unor utilizatori de jocuri, parole de social media ale prietenilor și așa mai departe. De la un anumit nivel, pentru bani. (zâmbește)
R: Cum fac hackerii bani?
E: Sunt câteva variante clasice. Frauda cu carduri clonate, șantaj și, în ultima vreme, ransomware. Criptează toate informațiile de pe un server și cer o recompensă pentru a reda utilizatorilor accesul la date. Dacă e vorba de laptopul tău, poate e mai simplu să îți cumperi un alt hard. Dar dacă ești un spital și ai informații critice ale pacienților în format digital, informațiile respective pot face diferența dintre viață și moarte. Recompensele pot ajunge la milioane de dolari.
R: Care este scopul unui hacker în momentul în care ataca?
E: Pe scurt, orice hacker are ca scop final să acceseze un server cu drepturi de admin. Odată ajuns aici, poate face absolut orice vrea. De la criptare la modificarea sau ștergerea datelor. Procesul este lung și anevoios și nu voi intra în detalii.
R: Vedem tot mai multe atacuri la nivel instituțional, în perioada aceasta tensionată.
E: Într-adevăr. Momentan, din fericire, nu au fost atacuri foarte eficiente. Ce am văzut până acum la noi, au fost atacuri haotice, fară un scop bine definit. Nu creează daune atât de mari, dar creează panică.
R: Ce avantaje ai fiind un hacker bun, nu unul rău?
E: Nici o zi nu arată la fel că alta. Trebuie să iți folosești logica, deducția și imaginația. Lucrezi diferit. Te pui în mintea unui hacker și te gândești cum să faci să contracarezi logica lui. Este un job foarte solicitant, dar care îți oferă și multă satisfacție.
R: Iar din punct de vedere material?
E: Este un job foarte bine plătit. În România, salariile unui junior fară experiență pleacă de la 2.000 de RON pe lună, dar pot ajunge și la 60.000 de RON pe lună pentru un specialist cu experiență ce lucrează pe o nișă. Dacă tu ești o companie ce poate pierde sute de mii de euro pentru fiecare oră de downtime (timp în care serviciile sunt căzute), îți permiți să plătești bine oamenii care te protejează de astfel de situații.
R: Sună bine. Cum pot intra în domeniu?
E: (râde) Ai nevoie în primul rând de pasiune și curiozitate. Trebuie să îți placă și să vrei să înțelegi cum funcționează sistemele și de ce. Poate jumătate din timpul meu de lucru presupune studiu și research. Este un domeniu în care dacă nu ești la zi cu cele mai noi tehnologii și evoluții, rămâi în urmă foarte repede. Apoi, fiecare e cu stilul lui de învățat. Există multe cursuri, tutoriale, unele sunt gratuite pe internet, altele costă, dar îți oferă un certificat. Pentru un elev, recomand să învețe programare cât mai devreme. Orice limbaj de programare ajută. Este un domeniu infinit. Nimeni nu știe tot. Trebuie să te obișnuiești cu ideea asta, dar să vrei să înveți cât mai mult.
R: Îmi poți da un exemplu de un caz în care te-ai confruntat cu un hacker?
E: Nu chiar hacker, dar scammer. Am fost contactat pe o platformă de social media de un utilizator pe care nu îl cunoșteam care îmi promitea că dacă îmi fac cont pe un site, o să primesc o recompensă semnificativă în Bitcoin. Atenție! Nimeni niciodată nu o să iți ofere Bitcoin gratis. Exista într-adevăr companii ce iți oferă alte crypto monede la lansare, dar niciodată Bitcoin. Având ceva timp la dispoziție, am tratat situația că pe un proiect intern. Am analizat riguros site-ul. Cerea multe informații personale și de asemenea cheia privată de la portofelul de bitcoin. Am observat că pentru a crea cont, puteai să adaugi și o poză. Am urcat un script ce părea poză și pe scurt, am reușit să îmi dau drepturi de admin. Am blocat opțiunea de a crea cont pe site pentru a nu apărea alte victime și am scris mare pe prima pagină “This is a scam” (aceasta e o țeapă). Apoi am raportat mailul și domeniul catre providerul de servicii împreună cu toate dovezile pe care le aveam. De regulă, providerii au o listă neagră pe care o împărtășesc între ei. Multă baftă să o iei de la capăt și să găsești un nou provider.
R: Este meseria ta una periculoasă?
E: Poate deveni. Gândește-te că ajungi să ai acces la sisteme și informații critice. Sisteme care centralizează sau controlează fluxuri importante de bani. Având acces la anumite sisteme, pot există oameni mai puțin prietenoși care să fie interesați de aceste informații. În principiu, you lay low. Eu nu o să am niciodată descrierea jobului pe social media ethical hacker. Nimeni nu face asta. Îmi protejez identitatea și securitatea datelor, fără însă a deveni paranoic. Îmi fac treaba și nu ies în evidență. Mă bucur de viață fără să arăt asta.
R: Ce este fenomenul de social engineering?
E: Sunt profesioniști în manipulare și programatori buni. Își aleg sau primesc o țintă, pe care apoi o filează. Caută toate datele posibile despre acea persoană online. Apoi, îi filează grupul de apropiați. Caută o verigă slabă de care s-ar putea folosi. Presupunând că tu ai acces la informații critice, un social engineer poate să încerce să se împrietenească cu tine. Sau să spargă contul de social media al unui bun prieten de-al tău și apoi să se dea drept acel prieten și să îți trimită un link ce îi permite accesul la device-ul tău. Sunt cameleoni sociali și de multe ori sunt angajați chiar de companii, pentru a testa securitatea fizică din anumite clădiri, sau diverse vulnerabilități ale factorului uman.
R: Spune-mi te rog, cum mă protejez eu ca utilizator basic de tehnologie în 2022?
E: Cel mai bun sfat pe care pot să ți-l dau este să ai grijă de conturile tale. Folosește parole cât mai lungi. Asta crește dificultatea unui breach. Folosește autentificare multiplă, prin amprentă, sms, sau servicii oferite de terți. Nu recicla aceeași parolă. Îți recomand să folosești un password manager offline. Nu le recomand pe cele integrate în browser. Și pentru informațiile sensibile, fă-ți macar un backup.
