Поездка в машине Аарона Хигби – это опыт, знакомый только автомеханикам и инженерам. К процессору и двигателю его автомобиля подключено столько внешнего компьютерного оборудования и датчиков, что машину вполне можно принять за «Делориан» из фильма «Назад в будущее». Те из нас, кто знает Аарона уже несколько лет, ничему не удивляются. Хигби редко делает что-то наполовину. Он либо полностью погружен в работу, либо не заинтересован ею. Очевидно, что девиз «Играй жестко или иди домой» имеет огромную роль в его жизни.
Сначала я работал с Хигби над проектом по проникновению, где мы были в команде, нанятой для взлома одного из крупнейших в мире провайдеров кабельного телевидения. Я осветил эту работу в последней главе о тестировании на проникновение, но пропустил часть истории. Мы успешно скомпрометировали не только предполагаемую цель кабельной телевизионной компании, телевизионную приставку, но и всю ее кабельную сеть. И это только за первый день! Хигби стало скучно, поэтому он начал искать слабые места оборудования от вендора. Он манипулировал оборудованием клиента, переключая провода, меняя местами перемычки материнской платы и устанавливая электрические кабели. Аарон продолжал пробовать различные хакнутые конфигурации, и в какой-то момент буквально поджег устройство. Дым повалил из блока, мы поспешили отключить электричество и потушить небольшой пожар. Пришлось подождать несколько минут, пока дым рассеется, чтобы увидеть, выпустят ли пожарные детекторы компьютерного зала токсичный газ и заставят ли нас эвакуироваться.
После того как дым рассеялся, Хигби вернулся и продолжил свой аппаратный взлом, что немало нас удивило. Никто из команды не смог его остановить. В конце концов он случайно спровоцировал пожар в аппаратном блоке, который мы потушить не смогли. Пока мы убегали, он посмеивался и, без моего ведома, снимал все происходящее на мобильный телефон. Через несколько минут видео появилось в Интернете.
Эта история – не пример для подражания. Неразумно делать что-то, что имело хотя бы малейшую возможность вызвать пожар. Но этот анекдот дает вам представление о том, каково было работать с Хигби. Большинство его друзей и коллег запросто могут поделиться с вами похожими историями о нем.
Помимо того, что с Аароном можно интересно и весело поболтать, он стал одним из лучших и преданных тестировщиков на проникновение, которого вы когда-либо встретите. Он вырос в довольно религиозной семье со строгими правилами. Я думаю, что такое воспитание и стало причиной его страсти к жизни и способности заставить всех, включая себя, смеяться. Сегодня он намного более профессионален и по-прежнему вносит свой уникальный вклад в опыт борьбы с хакерами и спамерами.
Позже мы оба покинули ту компанию. Я пошел работать в Microsoft, а Хигби стал соучредителем собственной невероятно успешной фирмы под названием PhishMe (https://phishme.com/). PhishMe специализируется на обучении конечных пользователей противостоянию фишинговым атакам. В частности, она позволяет легко отправлять поддельные, но реалистичные атаки против ваших сотрудников, чтобы увидеть, кто из них может быть обманут в вопросе конфиденциальной информации. Попытки сделать это предпринимались и до создания PhishMe, но она стала одной из компаний, которые сделали это невероятно легким в исполнении. С годами PhishMe расширялась, и теперь там 350 сотрудников, а доход составляет 12 млн долларов. Хотя с финансами у меня все хорошо, у Хигби дела идут лучше.
Я спросил его, как он очутился в сфере ИБ. Он ответил: «Я сел за компьютеры в эпоху BBS [системы доски объявлений], и некоторые из BBS, которыми я хотел воспользоваться, были дорогими междугородними звонками. Так что я начал узнавать о телефонном фрикинге, чтобы совершать звонки бесплатно, и таким образом начал разбираться во взломе. Меня взяли на первую работу в области ИБ в компанию EarthLink. Я занимался электронной почтой. Что бы ни пришло на адрес компании, я это обрабатывал: боролся со спамом, мошенничеством с кредитными картами, нарушением правовых норм и т. д. Мне так понравилось, что я бросил колледж. Родители посчитали, что я совершаю большую ошибку. Они думали, что Интернет был мимолетной причудой».
Я аплодировал Аарону и PhishMe, основанной на анти-фишинге. Многие из его конкурентов расширили сферу своей работы, но не компания Хигби. И это особое внимание к конкретному вопросу, похоже, приносит огромные дивиденды PhishMe и его клиентам. Он заявил: «Некоторые люди не понимают, что PhishMe делает. Они думают, что это пустая трата времени и что вместо того, чтобы пытаться помочь людям справиться с электронной почтой и проблемой фишинга, как это происходит сегодня, мы должны пытаться пропатчить саму электронную почту. Должны попытаться сделать вычисления совершенно безопасными для людей по умолчанию. Идея замечательная, но это своего рода журавль в небе.
Я увидел свое первое фишинговое письмо в 1997 году на EarthLink. Если бы вы сказали мне, что это все равно останется огромной проблемой, что я до сих пор буду зарабатывать на жизнь, борясь с этим, я бы никогда не поверил. Общая проблема заключается в том, что протокол электронной почты сломан, и не похоже, что это будет исправлено в ближайшее время. Через десять лет ее все равно будут взламывать. Многие люди на протяжении долгих лет пытались улучшить систему, но ни одно из дополнений не прижилось. И я не понимаю этого, потому что мы исправили другие протоколы и избавились от некоторых, таких как Telnet. Никто больше его не использует. Вместо этого мы обратились к SSH. Но по какой-то причине сломанный протокол электронной почты продолжает жить, несмотря на огромные проблемы, и до тех пор, пока это так, я хочу помогать компаниям обезопасить себя».
Я поделился своим недоумением по поводу того, что множество организаций не делает больше антифишингового тестирования и обучения, хотя это, вероятно, номер один или два в списке лучших вещей, которые они могут сделать, чтобы уменьшить риск взлома. Хигби сказал: «Часть проблемы в том, что некоторые из людей, проводящих фишинговые тесты, идут во всеоружии и в итоге провоцируют проблемы. Мы не просто проводим тест PhishMe. Мы говорим людям, чтобы они общались со всеми сотрудниками и руководством, и пусть они знают, что мы будем проводить фишинговые тесты в течение следующего года. Нужно меньше тестов и больше образования. Часть того, что мы делаем, – это обучение клиентов тому, как решать проблемы, чтобы все были в плюсе».
Вероятно, лучшее в моем интервью с Хигби – что он кажется таким же радостным и счастливым, как и когда я работал с ним более 10 лет назад. Он сказал, что создание и ведение бизнеса было невероятно напряженным, но он справился и смог сохранить жизнерадостность. Видимо, так же поступают и его сотрудники. Компания PhishMe совсем недавно была признана одним из лучших мест для работы по версии журнала Washington Business Journal и провела ежегодную встречу в Канкуне. И почему я не мог придумать антифишинговую компанию 10 лет назад?..
Информация об Аароне Хигби
Больше информации об Аароне Хигби вы найдете по ссылкам:
• Аарон Хигби в Twitter: https://twitter.com/higbee;
• профиль Аарона Хигби на LinkedIn: https://www.linkedin.com/in/aaron-higbee-6098781;
• блог Аарона Хиги на PhishMe: https://phishme.com/author/aaronh/.
27. Профиль: Бенилд Джозеф
В свои 25 лет Бенилд Джозеф из Бангалора в Индии стал одним из самых молодых людей, о которых мы говорим в этой книге. Но за свою недолгую карьеру, всего за восемь лет (на момент нашего интервью), он составил для себя неплохой послужной список и усердно работает над повышением информационной безопасности своей родины и региона. Он специализируется на безопасности веб-приложений и обнаружил критические уязвимости на многих популярных веб-сайтах, включая AT&T, Sony Music, BlackBerry и Deutsche Telekom. Сказать, что он яркая фигура, – ничего не сказать. В настоящее время он работает главным исполнительным директором проекта Th3 art of h@ckin9, являющегося частью международного проекта по ИТ-безопасности (инициатива при поддержке правительства Индии), а также членом правления Ассоциации по безопасности информационных систем родной страны. Он входит в топ-10 этичных хакеров Индии по версии социального форума Microsoft и был назван одним из восьми самых известных этичных хакеров Индии по версии журнала Silicon India. Джозеф часто пишет и преподает.
Индия – прекрасная развивающаяся страна со множеством ярких людей, но в то же время она только в последние десять или около того лет заметно вошла в эпоху Интернета. Бо́льшая часть населения очень бедна. Зная это, я спросил Джозефа, как он очутился в сфере ИБ. Он сказал: «Я всегда увлекался хакерством, а вот информационная безопасность не была мне интересна. В то время это не было чем-то действительно известным или обсуждаемым в Индии. Мне просто нужно было взломать почтовый аккаунт друга. Я заинтересовался этичным хакерством, чтобы узнать больше о хакерстве в целом. Я даже сказал преподавателю, что пришел на курс не для того, чтобы узнать об этичном хакерстве или информационной безопасности, а для того, чтобы взломать электронную почту моего друга. Я был уверен, что получение сертификатов – пустая трата времени. Но он увидел что-то во мне и научил первым вещам, которые я узнал об этичном взломе и информационной безопасности. Он стал моим наставником. Даже когда я узнал достаточно много об этичном хакерстве, он сказал, что мне предстоит долгий путь, чтобы стать профессионалом в области безопасности. Он бросил мне вызов, и я продолжил учиться».
В настоящее время Джозеф часто работает от имени агентств по борьбе с киберпреступностью и правительства Индии, включая проекты для Бюро по расследованию киберпреступлений (CCIB), Международной целевой группы по киберугрозам (ICTTF) и инициативы форума по кибербезопасности (CSFI). Он соавтор книги CCI, написанной для правоохранительных органов Индии. Бенилд специализируется на тестировании на проникновение веб-приложений и цифровой судебной экспертизе. Неплохо для парня, который просто хотел взломать почту своего друга!