Половину своей жизни 24-летний Себастьян Шрайбер занимается вопросами информационной безопасности. Основатель и глава компании SySS работает "этичным" хакером. На московской конференции в рамках IDC IT Security roadshow он показывал, как можно использовать для атак поисковик Google, карты памяти USB, а также как через Bluetooth заразить "трояном" телефон Nokia.
Себастьян, как получилось, что вы стали "этичным" хакером?
Все началось в 1994 году, когда дома появился первый в семье компьютер. Это был Commandor 64, сейчас не все уже помнят такие. Когда я освоил все его возможности, то принялся искать способы заставить компьютер делать то, для чего он не предназначен. Например, весьма увлекательно было обходить систему защиты на старых играх, чтобы добавить себе оружия или жизни. С этого момента моим увлечением стала информационная безопасность и все возможные способы взлома или обмана систем компьютерной защиты. Однако ничего нелегального я не совершал, наверное, потому что мой отец — судья. Под его влиянием мне просто не пришло в голову пойти на откровенный криминал.
После школы я поступил в университет Тюбингена, изучал информатику, менеджмент, бизнес, физику, математику. Все это, конечно, интересно, но оказалось, что информационной безопасностью заниматься там невозможно. В университете преподают только академическую сторону этого вопроса, так сказать, сухую теорию, до практики же, чтобы можно было "пощупать своими руками", дело не доходит. И я принялся убеждать своих профессоров, что необходимо проводить хоть какие-то тесты на взлом систем безопасности. Вы не поверите, но мне пошли навстречу, фактически выдали индульгенцию на выполнение хакерских атак. Тут-то я и развернулся в университетской сети. Там было столько разных программ, операционных систем, серверов, подсетей — целый зоопарк. Потом отправился на стажировку в Нью-Джерси, занимался тем же самым и в свободное от учебы и науки время немного подрабатывал на НР, выполнял их задания в области защиты информации. В это время на меня вышли люди из IBM с просьбой протестировать их систему на взлом. Однако мой личный контракт с НР не позволял оказывать услуги другим компаниям, тем более IBM. Пришлось разорвать контракт с НР и зарегистрировать компанию SySS, которая предлагает услуги тестирования корпоративных систем информационной безопасности, иными словами попытки легального взлома. И в первый же день существования компании у меня было два крупных клиента — IBM и HP. Еще три года у меня ушло на то, чтобы получить свой университетский диплом. Было непросто: с одной стороны, академическое образование нужно было завершить, а с другой — мне было гораздо интереснее заниматься своим бизнесом. Сейчас у меня в компании 12 сотрудников, и мы предлагаем только одну услугу — проверку "на вшивость" корпоративных систем инфобезопасности. У нас несколько сотен клиентов, среди них Mercedes, SAP, Microsoft, Kodak, Lufthansa, Bosch, GE, Siemens, много, не всех имею право называть. Ну и, конечно, НР — тут ничего не меняется.
И как вы оцениваете уровень информационной безопасности ваших клиентов?
Компании разные, большие и маленькие, одни сами занимаются ИТ, для других ИТ просто инструмент. Но за десять лет практики я усвоил, что уровень ИТ-безопасности совершенно непредсказуем. Встречаются маленькие фирмы, защищенные настолько, что это уже выходит за рамки здравого смысла, и крупные корпорации, совершенно не занимающиеся своими системами информационной безопасности. И наоборот — так что от размера ничего не зависит. Не зависит ничего и от сферы деятельности компании. Есть банки с сильной защитой и банки весьма уязвимые. Когда у нас появляется новый клиент, мы никогда не можем заранее предположить, придется ли нам долго стараться, чтобы взломать их систему, или у клиента будут сплошные дыры в инфобезопасности.
От кого исходит самая большая угроза информационной безопасности компании: от ее нелояльных сотрудников, злонамеренных хакеров или беспечных менеджеров?
Я бы выделил три основные угрозы. Первая связана с веб-технологиями. Когда мы выполняем тест на проникновение для интернет-магазинов, порталов и прочих интернет-компаний, то успешно взламываем около 85% таких систем. Вторая проблемная технология — беспроводные сети. Любая использующая эту технологию компания старается защитить свою сеть, но при внимательном рассмотрении (я не говорю уже про агрессивные атаки) всегда выясняется, что имеющейся защиты недостаточно. Третья угроза — инсайдеры. Во всех компаниях, особенно крупных, всегда найдутся молодые стажеры, чем-то недовольные или не прошедшие испытательный срок, но имеющие права доступа к базам данных, отчетности, информации, сетям. Какими бы пуленепробиваемыми файерволами или гениальными программистами компания не обладала, защититься от инсайдеров ей ничто и никто не поможет. Мы, кстати, тоже. Компания с такими внутренними проблемами — не наш клиент. Впрочем, иногда может быть и нашим. Дело в том, что мы не только тестируем системы, но и по заказу ловим злоумышленников. Причем заказы принимаем и от госорганов, и от коммерческих организаций. Расскажу одну историю на эту тему. В одной крупной компании произошла утечка конфиденциальной финансовой информации, которая сразу же попала на популярные форумы в интернете. Мы вычислили IP-адрес того, кто запостил эту информацию. Вредителем оказался сотрудник компании. Его, конечно, немедленно уволили, но никто так и не понял, по глупости он это сделал или по заказу со стороны. Сам он заявил, что таким образом хотел добиться всемирной известности и признания.
Как всегда, ключевую роль играет человеческий фактор. Еще можно представить себе идеальный компьютер, который очень сложно взломать, но поведение человека всегда будет непредсказуемым. В больших компаниях непременно найдутся отщепенцы, которые целенаправленно будут пытаться взламывать информационные системы и торговать данными. Поэтому я рекомендовал бы компаниям вести сбалансированную кадровую политику и осторожно относиться к выдаче прав доступа. Другое дело, что даже абсолютно лояльные сотрудники совершают ошибки, не со зла, а по незнанию — глупость тоже непредсказуема. Так что инвестиции в компьютерную грамотность сотрудников оправданны: никогда не помешает лишний раз объяснить сотрудникам важность политики информационной безопасности и показать, чего делать не стоит.
А насколько оправданно применение систем наблюдения за сотрудниками?
Это зависит от менталитета, принятых в обществе поведенческих норм. В Германии, например, использование систем KeyLog запрещено, равно как и снятие моментальных скриншотов с мониторов сотрудников, даже установка видеокамер наблюдения в рабочих помещениях считается незаконной. В США же все с точностью до наоборот: можно прослушивать телефонные разговоры, копировать электронную почту сотрудников, вести видеосъемку — все это абсолютно легально. Не могу сказать, помогают ли драконовские меры. Наверно, наличие в компании системы типа "Большого брата" идет на пользу информационной безопасности, но нельзя пренебрегать и морально-этическими нормами: даже на работе у сотрудника должна быть хоть какая-то личная жизнь.
Где же, на ваш взгляд, проходит граница разумной достаточности в области информационной безопасности?
Да, защита информации — занятие бесконечное и, конечно, стоит денег. Сложно сказать, где баланс между разумными рисками и безумными затратами. Я твердо знаю только, что ни одна система, тем более система информационной безопасности, не может быть бесхозной. Следовательно, ее уровень зависит от менеджмента компании, ее бизнес-задач и практикуемой системы управления. На стыке этих элементов и должна проводиться оценка рисков и необходимых затрат. Имеется множество нормативных документов, рекомендаций, описывающих системы безопасности, есть стандарты ISO. Всем этим можно пользоваться и весьма успешно. Но у нашей компании другой подход. Не менеджерский и не программистский. Мы не считаем затраты, не оцениваем потенциальные убытки и не оперируем вероятностями наступления того или иного события. Мы практики, и наша задача — понять и показать клиентам, насколько их система защищена от известных нам атак. Если мои сотрудники не могут взломать систему клиента, значит все у него в порядке. А если могут, скажем, за три дня, значит уровень защиты недостаточный. Зачем выдумывать риски, оценивать затраты на их предупреждение и потом еще приглашать сторонних специалистов для аудита, если есть один параметр, которого более чем достаточно для оценки состояния системы информационной безопасности,— как быстро мы эту систему вскрыли. Мы не спорим с клиентами, даже ничего не обсуждаем с ними. Просто показываем: вот так ломается, а так — нет. Конечно, мы выдаем заключение об уровне защищенности компании и рекомендации. Советы бывают двух типов: тактические, например, изменить пароль на более сложный, или правила для файерволов, или установить определенный патч. И стратегические: изменить процедуру генерации паролей, повысить компетенцию программистов по SQL и т.д. Если компания следует нашим советам, мы даже даем гарантию, что она будет защищена в ближайшие 6-8 месяцев, пока не появятся новые угрозы. Мы блюдем свою независимость, никаких партнерских соглашений с вендорами у нас нет, так что стараемся избегать ситуаций, когда требуется рекомендовать конкретные продукты. Иногда, правда, заказчики буквально заставляют "показать пальцем", тогда мы выдаем список из пяти продуктов с подходящими параметрами — пусть выбирают.
С вашей дальнейшей карьерой все ясно? Хакеры неистребимы?
Я регулярно езжу на хакерские конвенции — надо же быть в курсе того, какие появляются новые типы атак, вирусы, технологии. По-своему эти люди гениальны, на мой же взгляд, все они психи. Я ни за что не возьму на работу человека с биографией взломщика — никогда не знаешь, что от него ждать. Кто-то с криминальными наклонностями от рождения, кто-то хочет разбогатеть, но для большинства хакерство — хобби. Им просто прикольно взламывать системы. Некоторые, например, получают кайф, гоняя на автомобилях с нарушением правил, а эти с тем же эмоциональным подъемом ломают компьютерные сети. Основная черта их характера — неудовлетворенное эго и, как следствие, желание прославиться. Так что на ближайшие двадцать лет я себе занятие нашел. Не отрицаю, что меня могут перекупить, и есть серьезные предложения. Но пока я отказываюсь, поскольку ценю свою независимость и люблю свою работу.
|
Себастьян Шрайбер (Sebastian Schreiber) 1984 — Родился в Тюбингене (Германия) 2000 — Поступил в университет Тюбингена 2003 — Зарегистрировал компанию SySS GmbH 2006 — Окончил университет Тюбингена |