כיפה אדומה וטיפוס מעבר לענן (איך להיות האקר)

"פעם היה העולם האמיתי ..." בעוד מאה שנה עם הנחת יסוד זו נספר אגדה שתגרום לנכדינו הגדולים ללכת לישון. נתחיל מלדבר על ילדה קטנה ומתוקה שסבתה נתנה לה שכמיית קטיפה אדומה שלבשה כדי ללכת למחשב לפני שנכנסה ענן דל תחום סייבר. כיפה אדומה רצה להיות אחד האקר...

"כמו כל בני הגזע שלה, היא הייתה זן מעורב: חצי מכונה וחצי חנון. לא היו לה חיי חברה ועשתה הכל לבד, היא הבינה את המספרים שירדו מראש המסכים, היא תמיד לבשה ברדסים ונולדה בידיעה הכל "..

החל מקלישאות וטריוויאליזציות, אגדה זו תלמד את הקטנים שלנו את אותם ערכים שיהפכו אותם למבוגרים אחראיים. אבל אז הילדים יגדלו וישאלו את עצמם שאלות שעלינו להיות מוכנים לענות עליהן בצורה פשוטה דיה להבנה אך מקיפה מספיק כדי למנוע תובנות מביכות.

ואז הקטן, עם הלשון שמציצה מהחורים שהותירו שיני החלב, ישאל: "סבא רבא רבא, מה הם האקרים?"

"הם אלה שמשתמשים בכישורי המחשב שלהם כדי לחקור מחשבים ורשתות מחשבים ולנסות כיצד להרחיב את השימוש בהם. חלקם גרועים והם נקראים כובעים שחורים, 'Black Hat', אחרים טובים וכמובן שנקרא להם כובעים לבנים, או'כובע לבן'¹. הראשונים הם רמאים, נוכלים או גנבים הפורצים מערכות מחשב למטרות זדוניות. לפעמים הם פשוט גונבים נתונים, בפעמים אחרות הם מעשירים את עצמם על חשבון חשבונות השוטפים של בעלי תמימים, ובפעמים אחרות הם פולשים למערכות אוטומטיות לצורך טרור. אלה הגרועים מכולם מכיוון שלפעמים הם מבעירים מפעלים ומזהמים נהרות. פעמים אחרות הם מתרסקים מטוסים² או לגרום לתאונות בקרב המכוניות האוטונומיות שלנו³".

לאחר עצירה קצרה לגימה של מים מתוקים, הסב ממשיך ...

"היינו צריכים לרוץ לכיסוי ובשני העשורים הראשונים של המאה הקודמת (הערה: אני מתייחס למאה ה -2001, זו שעוברת משנת 2100 לספירה לשנת XNUMX לספירה), חברות החלו להגן על עצמן. נוצרו קבוצות לתגובת חירום סייבר⁴ ואכלס אותם במקצועיות הטובה ביותר: ה 'קבוצה כחולהשל אבטחת סייבר. הם אלה המשתמשים במערכות ניטור ועוזרים למנהלים לעדכן את אמצעי אבטחת הרשת והמערכת⁵. כל פעילות מוזרה או חשודה יורטה על ידי הכלים החזקים שלהם⁶ שסורקים מיליארדי חבילות דיגיטליות ומוצאים חריגות שמייצגות רמז לזיהום שהוקמו על ידי כובעים שחורים. אם יש תאונה, הצוותים הכחולים הם הראשונים להתערב. הם עורכים חקירות לזיהוי התוקף וגילוי הפגמים שאפשרו להתמודד עם המכה. הענן הוא מקום בטוח יותר כשהם בעבודה. הם השומרים החמושים של הרשת ".

המציאות היא שלמרבה הצער, לעתים קרובות מדי, עלינו להסתפק בסגירת הרפת כאשר השוורים כבר ברחו. עדיף היה למנוע, אך לשם כך יהיה צורך להיות מסוגל לחזות מראש.

ברור שכדי לחזות את ההתקפה אתה צריך לשלוט בטכניקות של התוקפים. אבל מי יכול לעשות את זה? מדעני המחשב מאומנים להפעיל את מערכותיהם, מנהלים מאומנים להגן עליהם ועל ה משטרת סייבר היא מאומנת להגן, לחקור ולהדחיק. אף אחד מהם לא יודע לתקוף.

אז, בסופו של דבר הבין שכדי לנצח את Black Hat הם היו זקוקים לכמה האקר ששמים את הטכניקות שלהם לשירות הטוב. או אז הופיעו "הכובעים הלבנים".

I כובע לבן הם אלה שמפרים מערכות מחשב במטרה ליידע את בעלי הפגיעות. הם כמו גנבים שנשכרו על ידי בעל הבנק, שכדי לבדוק את מערכות האבטחה, מנסים להיכנס לכספת ולצאת עם סחורה גנובה מדומה. באופן זה, מי שמטלתו לשמור על הקיר מוצק לומד את טכניקות הבנייה הטובות ביותר; המנעולן שבונה את הכספת מצייד אותו בדלת נגד פריצה עם מפתח חסון; השומר בכניסה מתאמן להכיר בהתנהגות חשודה; המשטרה לומדת להתערב כדי לעצור את הפשע לפני שיהיה מאוחר מדי והמנהל מאמץ כללים למזער את הסיכון ולנהל את המשבר. מחוץ למטאפורה, אני כובע לבן לוודא שמתכנתים ומנהלי רשת הפכו את מערכותיהם לחזקות⁷, מפתחות ופרוטוקולים הצפנתיים אינם ניתנים לזמינות⁸, את קבוצה כחולה להכשיר את עצמם לזהות פעילויות זדוניות, מנהלים לומדים לחשב סיכונים, להקצות משאבים ולפתח מדיניות חברה המתאימה לניהול אירועים.

כשאני כובע לבן הם הופכים לחלק מארגון, הם מקימים צוות אדום. הם לומדים ומתעדים את עצמם ברציפות. הם תמיד צריכים להישאר צעד אחד לפני כולם כי ב תחום סייבר לסיים שנייה זהה לסיים אחרון. לשם כך הם מפתחים נהלים דינמיים וגמישים. יש להם שרשרת קצרה מאוד של פיקוד ושליטה כדי למנוע מסודותיהם להגיע למי שאסור לדעת.

אבל זה נפתח לסיכון גדול. שוער היה שואל "Quis custodiet ipsos custodes?" או "מי שולט בבקרים?" התשובה תהיה מורכבת אך לילד אנו מסבירים את זה פשוט⁹. איש אינו יכול לעשות זאת¹⁰. אז, קבוצה אדומה עליו להיות בעל רמות מוסר בלתי מעורערות וליהנות מהביטחון המירבי של המנהיגים.

על מנת לדחות את הזמן בו האור נכבה עוד מעט, נכדינו ישאלו אותנו בהכרח שאלה נוספת: "סבא רבא, איך אתה הופך לכובע לבן?"

נדבר על אגדה שמספרת עליה Black Hat שעוזבים את הצד האפל כדי לחזור לאור, אבל זה אולי היה אפשרי כבר בהתחלה. כיום איש אינו מאשר ברצון את הגנב החוזר בתשובה עצמית לכפות על נעילה משלו, ועם דרישת השוק, ההצעה החלה להתארגן להכשרת אנשי מקצוע בתחום. עם רוח זו הקורסים של האקר אתי. הבעיה היא שההסמכות הללו מבוססות על ידע סמנטי. מם מפורסם קורא: “שמתי 93 צלבים מתוך 100 טוב! זה הופך אותי להאקר אתי! ". צר לי לשבור חלום כל כך יפה אבל לא, למרבה הצער הדברים מורכבים מזה.

ממתי אבטחת סייבר הגיע לבגרות רבה יותר ישנם קורסים ואישורים המובילים ללימוד הבסיס ולהערכת כישוריהם של אנשי מקצוע.

ההסמכה המבוקשת ביותר היא זו שניתנה על ידי ביטחון פוגעני אשר בסוף הקורס מהתבנית המעשית גרידא¹¹ להגיש לבדיקה שנמשכת 24 שעות. זה סוג של משחק גניבת דגלים. זה מתורגל בסביבה וירטואלית שהוכנה במיוחד. בקיצור, עליכם להיות מסוגלים לעקוף את אמצעי האבטחה של מחשבים מרוחקים מסוימים ולקרוא את מחרוזת הקוד הסודי. זו בחינה קשה בה מודגמים כישורים טכניים וחוסן עייפות. אנחנו מתרוצצים נגד הזמן. עם זאת, הקורס נותן רק את הבסיסים ואז, משם והלאה, עליכם להכות בראש ולמצוא את פיתרון החידות. המוטו שלהם הוא "השתדל יותר" או "השתדל יותר". הפילוסופיה היא שיש הכל באינטרנט, אתה רק צריך לדעת למצוא את הפתרון לבעיה¹². זוהי הגישה "לעשות כדי להבין".

מרעיון הפוך לחלוטין, "הבנה על מנת לעשות", הקורסים של SANS (אישורי GIAC) ו- eLearnSecurity. אך הדמיון בין שתי החברות האחרונות מסתיים בכך. הקורסים של SANS¹³ הם מסורתיים יותר. הם בנויים בשני שלבים, אחד חזיתי בנוכחות ואחד מבוסס על מדריכים. לעומת זאת, ה- eLearnSecurity מקוון בלבד. ראשית אתה לומד את התיאוריה דרך אלפי שקופיות המכילות כמה מושגים כל אחד, ואז צופה בסרטונים של מי שעובד עם הכלים המתוארים ולבסוף מתקיימות הסדנאות המעשיות. במקרה של קושי ישנם פורומים פנימיים לחיפוש או לבקשת תשובות.

על ידי כך, נבנה רקע תרבותי המתורגם לשיטת עבודה. נכון שיש הכל באינטרנט אבל יש גם את ההפך מכל, ואם אתה לא מכיר את הכלים הטובים ביותר ואת השיטות הטובות ביותר, כל אחד יכול ללכת לאיבוד בענן.

בכוונתה ללוות את הלומדים בבחירותיהם, ה eLearnSecurity מייעץ לדיי מסלולי אימון, או קורסי הכשרה המאפשרים לאנשי המקצוע של אבטחת סייבר להגיע לבגרות מסוימת. המסלולים המוצעים נעים בין הגנה ארגונית לבין תגובת אירועים (קבוצה כחולה), ל רשת e יישום אינטרנט פנטסטר¹⁴ (קבוצה אדומה).

"בהיותה כיפה קטנה המאוהבת בצבע 'אדום', החליטה שהקורס הראשון שתעבור בו יהיה הסטודנט לבדיקת חדירה. לאחר שקרא וקרא מחדש את כל החומר, הוא החליט לקנות את המעבדות ואת הבחינה כדי לבדוק ולאשר את הכישורים שנרכשו "..

זה לא קורס קל, אבל כל מי שרוצה להתחייב למספר חודשים יכול לצפות בו ולהעביר אותו, לצפות בסרטונים ו הדרכה, נסה סדנאות חינוכיות. הבחינה מתקיימת בסביבה מציאותית ונמשכת שלושה ימים, היא אלמנטרית אך לא ברורה, מאתגרת אך לא מתסכלת. אנחנו ממהרים אבל בלי למהר. יש למצוא דרך להפר א שרת אינטרנט מוגדר כראוי והשתמש ב"דלת "זו כדי לגשת לאזור הפרטי. ברגע שנמצא בתוך ההיקף, מצא פגיעות וחלץ נתונים רגישים.

היא הייתה סטודנטית חרוצה, ובזכות ההערות הרבות שנלקחו, הידע של התיאוריה והמיומנות שניתנו על ידי המבחנים במעבדות, כיפה אדומה קיבלה את ההסמכה היוקרתית הראשונה: היא הפכה ל- eJPT, או ל"מבחן החדירה הצעירה eLearnSecurity Junior " .

היותו עולם העבודה של אבטחת סייבר הוא רעב יותר מהזאב, לאחר מספר ימים החל לקבל הצעות ומצא עבודה. הוא חווה את הפעילות של OSINT¹⁵, היא הרגישה כמו סוכנת מודיעין נגדי¹⁶, מצא מידע רגיש שבלעדי אישור לקוחותיו נגנב. היא בדקה מערכות ורשתות לגבי פגמים ופגיעות. הוא דיווח עליהם לעמיתים של קבוצה כחולה שעשו צעדים בכדי להפוך את חלקם בעולם הווירטואלי לחזק יותר. עם הניסיון שנצבר כגבר צעיר האקר דל קבוצה אדומה (ורצון גדול להסתבך), היא הייתה מוכנה להתחיל באתגרים חדשים ולבצע את תהליך eCPPT ולהיות בודק חדירה מקצועי מוסמך. שם היא תלמד טכניקות חדשות ותשיג יעדים חדשים שיאפשרו לה יום אחד לרכוש הסמכה מ בודק חדירה eXtreme¹⁷.

ואז יום אחד כיפה אדומה הבינה שהיא גדלה, התחתנה עם א האקר חזרו בתשובה ויחד נולדו להם ילדים רבים ... וכולם חיו באושר ועושר.

אבל עכשיו זה מאוחר, אז לישון אחייני היקר ...

_{¹ הבחנה זו נפוצה מאוד אך נחשבת שטחית בעיני מפעילי המגזר.}

_{² טרם אירע מקרה כזה.}

_{³ כלי תקשורת רבים מדווחים על כך במשך שנים.}

_{⁴ צוות תגובת חירום של המחשב.}

_{⁵ זהו פשט, המשימות של קבוצה כחולה הם רבים מספור.}

_{⁶ לדוגמא SIEMs, מידע אבטחה וניהול אירועים: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.}

_{⁷ שלב של התקשות: באופן אידיאלי קוד התכנות צריך להיות נקי מפגיעות (למשל. הצפת מאגר) ומערכות רשת חייבות לכלול כלי הגנה (למשל חומות אש, מדיניות וכו '). למרבה הצער, מסיבות של עלות ויעילות ופונקציונליות, תמיד יש לקבל מידה מסוימת של סיכון.}

_{⁸ הקריפטוגרפיה היא ענף מורכב למדי של המתמטיקה התיאורטית. אבטחה תלויה בגורמים הטרוגניים רבים. סודיות מושלמת קיימת אך היא אינה ישימה בהקשר אמיתי ולכן יש לקבל מידה מסוימת של סיכון שמתמטיקאים יודעים לחשב. פיתוח קודי הצפנה משלך מסוכן אך די שכיח בקרב קריפטוגרפים מתחילים, האקרים יודעים לנצל את הפגמים הללו. למידע נוסף ראו "ג'ונתן כץ, יהודה לינדל - מבוא לקריפטוגרפיה מודרנית - עקרונות ופרוטוקולים - צ'פמן והול".}

_{⁹ מדע המשפט חל על טכנולוגיית המידע והתמחה בסייבר.}

_{¹⁰ גם כאן נעשה פשט, הצוות האדום פועל על פי חוזה מדויק מאוד המגדיר את הגבולות במועד. חריגה מגבולות אלה עלולה להוביל לתוצאות אזרחיות ולעונשים פליליים כבדים.}

_{¹¹ PWK - בדיקת חדירה עם Kali Linux.}

_{¹² הראשונה באישורים נלקחה כדוגמה ביטחון פוגעני, כלומר ה- OSCP (אישורי אישורי אבטחה פוגעניים). ההיצע של חברה יוקרתית זו מועשר בקורסים אחרים יקרי ערך וקשים עוד יותר, כולם מכוונים להכשרה פוגענית, כלומר קבוצה אדומה.}

_{¹³ ה- SANS מציע קורסים יוקרתיים, אך במחיר גבוה מאוד, בכל תחומי אבטחת הסייבר.}

_{¹⁴ קצר מבודד PENetration.}

_{¹⁵ קוד פתוח אינטליגנציה.}

_{¹⁶ בנושא ראו מאמר קודם שלי: "שמי אבטחה, אבטחת סייבר. Google Hacking and Shodan: האינטליגנציה שאתה לא מצפה לה ”.}

_{¹⁷ ההבהרות הבאות נדרשות:}

• _{שום הסמכה לא מוכיחה את יכולתו של מפעיל אבטחת הסייבר, את דרכו של בודק חדירה זה מבוסס בעיקר על ניסיון בשטח;}
• _{ישנם קורסי הכשרה תקפים כמתוארים; הסיפור מבוסס על ניסיונו האישי של המחבר ואין לו שום ערך מדעי;}
• _{מטרת המאמר אינה פרסום ואין קשר בין הכותב, המו"ל והחברות המספקות קורסים ואישורים.}