Wynajmij hakera

Czy wiecie, że na Wasze polecenie haker włamie się do wskazanego celu i spróbuje pozyskać wrażliwe informacje?

Zacznijmy jednak od samego początku.

Cyberprzestępcy – zwani czarnymi kapeluszami – przyjmują zlecenia włamania się na porządku dziennym. Miejscem, w którym odbywa się handel tego typu usługami to Darknet. Jest to ciemna strona Internetu, niedostępna z poziomu standardowej przeglądarki, gdzie można nabyć narkotyki czy broń (a w tym materiały wybuchowe) i to wymieniając jedynie te mniej szokujące produkty, które dostępne są w omawianym miejscu.

Czysto teoretycznie, jeśli chcielibyśmy stworzyć nową tożsamość (pozyskać dane czy nabyć dokumenty, które by ją potwierdziły), to Darknet byłby odpowiednim miejscem, gdzie powinniśmy skierować naszą uwagę. Jako ciekawostkę warto w tym miejscu dodać, że z drugiej strony wiele ofert tego typu, to pułapki zastawione na naiwne osoby przez darknetowych oszustów. Bez względu jednak na rodzaj ogłoszenia to, aby dostać się do Darknetu potrzebujemy skorzystać z funkcjonalności, jaką oferuje sieć TOR.

Podstawową funkcją sieci TOR jest zapobieganie analizowania ruchu sieciowego. Dzięki wielowarstwowemu szyfrowaniu – korzystanie z przeglądarki TOR ma skutkować pełną anonimowością użytkowników, co poza pewnymi wyjątkami ma zazwyczaj miejsce. Aktualnie rozwojem oprogramowania TOR zajmuje się organizacja non-profit o nazwie TOR Project, jednak początkowo podmiotem za to odpowiedzialnym były laboratoria Marynarki Wojennej Stanów Zjednoczonych.

Skoro omówiliśmy już czym jest Darknet i sieć TOR, to pozostając przy wątku związanym z wynajmowaniem hakerów – warto wspomnieć czym jest Projekt Merciless.

Okazuje się, że tłem dla pierwszego Mundialu na Bliskim Wschodzie była szeroko zakrojona operacja wywiadowcze przeciwko urzędnikom FIFA. Szwajcarskie źródła podają, że Katarczycy do jej zorganizowania skorzystali z pomocy byłych agentów CIA, a na operacje hakerskie wydali $387 milionów. Na dodatek, jakby tego było mało, to w cały proces podobno zaangażowane były najwyższe szczeble katarskiego rządu.

Temat wywiadu to jednak nie tylko nielegalne szpiegowanie celów. Istnieje bowiem pojęcie białego wywiadu, który polega na zdobywaniu informacji z ogólnie dostępnych źródeł (ang. Open-Source Intelligence). Dla wszystkich zainteresowanych białym wywiadem chciałbym nadmienić, że w firmie Cybernite w swojej ofercie posiadamy szkolenie adresowane do wszystkich chcących poznać podstawowe sposoby korzystania z otwartych źródeł w celu zdobywania informacji. Zaraz obok innych tematów związanych z poszerzaniem świadomości dotyczącej zagrożeń w cyberprzestrzeni.

Do specjalistów mogących najbardziej skorzystać z OSINTowego szkolenia będą zaliczać się:

• Przedsiębiorca– uzyskując informacje na temat swojego kontrahenta
• Manager – zdobywając informacje na temat konkurencji, rynku czy produktu
• Handlowiec – pozyskując unikalne leady wspierające proces sprzedażowy
• HR/Rekruter – sprawdzając pracowników oraz kandydatów do pracy
• Finansista – poznając potencjalny cel inwestycyjny czy dłużnika

Uwaga: należy każdorazowo sprawdzić czy w danym przypadku korzystanie z białego wywiadu będzie zgodne z przepisami.

Wracając jednak do czarnych kapeluszy, to poszczególni członkowie bardziej rozbudowanych grup, mogą specjalizować się w konkretnych etapach ataku:

• zbieraniu informacji przy rekonesansie
• wykorzystaniu socjotechniki
• technicznym przełamywaniu zabezpieczeń
• poszerzaniu uprawnień w ramach infrastruktury IT
• eksfiltracji danych
• procesie negocjacji wysokości okupu

Oczywiście wszystkiego wymienione zadania może zrealizować również samotny wilk.

Pytanie tylko w jakim zakresie i ile zadań jednocześnie będzie on w stanie zrealizować?

Analogiczny zestaw umiejętności obserwujemy nie tylko po ciemnej, ale również po jasnej „stronie mocy”. Różnica polega tylko na tym, że w przypadku białych kapeluszy (tak bowiem nazywa się etycznych hakerów), atak odbywa się na zamówienie atakowanego. Zakładając, że przeprowadzenie takiej operacji będzie wiązało się z brakiem negatywnych skutków dla zamawiającego.

W swojej najprostszej formie wynajęcie etycznego hakera może być dokonane przez serwisy freelancerskie, takie jak UpWork. Natomiast w przypadku bardziej profesjonalnych usług, kierowanych do biznesu, częstą praktyką jest przeprowadzenie testu penetracyjnego, który wielowymiarowo sprawdzi czy do danej firmy można się włamać.

Koszt takiego projektu, to zazwyczaj od kilku do kilkunastu tysięcy złotych dla biznesu średniej wielkości, aż do dziesiątek, a nawet setek tysięcy w odniesieniu do dużych podmiotów.

[Zainteresowanych tego typu usługami zachęcam do bezpośredniego kontaktu]