Cuộc đời của một hacker mũ trắng

Кӯшиш Кунед, Ки Асбоби Моро Барои Бартараф Кардани Мушкилот Санҷед

Các hacker có đạo đức làm việc để phơi bày các rủi ro bảo mật. Điều đó không có nghĩa là các công ty luôn thích họ.

Câu chuyện này là một phần của một nhóm các câu chuyện có tên là Công nghệ

Công nghệ mới đang biến đổi các thành phố và xã hội như thế nào, từ những ứng dụng mới nhất đến những tiến bộ trong năng lượng tái tạo, máy tính, giao thông vận tải và hơn thế nữa.

Logo Highlight by Vox

Các tin tặc đã mất một ngày để đột nhập vào ổ khóa thông minh được sử dụng để bảo vệ cửa trước của mọi người. Nhưng phá và xâm nhập không phải là mục tiêu - tin tặc muốn truy cập vào trung tâm thông minh kiểm soát khóa này và những người khác tương tự như nó trên toàn cầu. Hai ngày sau, họ đến.

Khi Charles Dardaman, một hacker 20 tuổi và đam mê trò chơi điện tử sống ở Dallas, và bạn của anh ta là Jason Wheeler, một chuyên gia bảo mật thông tin, mở trung tâm, họ tìm thấy mật khẩu quản trị được mã hóa cứng trên thẻ nhớ của nó. Điều này có giá trị hơn nhiều so với việc chỉ đột nhập vào ổ khóa thông minh. Các trung tâm thông minh, giống như các trung tâm do công ty công nghệ Zipato sản xuất, kiểm soát nhiều loại tiện ích từ khóa đến bộ điều nhiệt và hệ thống an ninh. Có được quyền truy cập của quản trị viên vào trung tâm giống như nhận được chìa khóa chính cho bất kỳ ngôi nhà nào sử dụng công nghệ của Zipato. Dardaman nói: Nếu tôi đang tấn công mạng của ai đó, tôi coi đó là tôi thắng và tôi vào được, hoặc tôi đã thua. Lần này, anh ấy đã thắng.

Nhưng Dardaman không theo đuổi những thứ của mọi người. Trên thực tế, anh ta và Wheeler ngay lập tức thông báo cho Zipato về vụ vi phạm.

Dardaman và Wheeler là những tin tặc có đạo đức - những người đột nhập vào hệ thống để kiếm sống để giúp công nghệ an toàn hơn. Những tin tặc mũ trắng này khác biệt với tin tặc tội phạm ở chỗ họ sẽ không làm bất cứ điều gì bất hợp pháp. Nhiều người làm việc cho các cơ quan chính phủ hoặc tập đoàn, trong khi những người khác hoạt động ngoài các phòng thí nghiệm tại nhà, chỉ thích hack cho vui.

Nhưng điều đó không có nghĩa là tất cả các vụ hack của họ đều được ủy quyền nghiêm ngặt. Trong khi Dardaman và Wheeler dành cả ngày làm việc để đột nhập vào các công ty đã yêu cầu họ kiểm tra các lỗ hổng của họ, họ dành cả đêm và cuối tuần để theo đuổi các dự án phụ không chính thức.

Một trong những thử nghiệm cuối tuần đó là vụ hack Zipato, lấy cảm hứng từ một chuyên gia bảo mật thông tin đồng nghiệp Lesley Carhart , khi phát hiện chủ nhà chuyển toàn bộ khu chung cư sang ổ khóa thông minh vào đầu năm nay, cô đã quyết định bắt đầu tìm kiếm một ngôi nhà mới.

Dardaman và Wheeler đột nhập vào trung tâm để chứng minh sự e ngại của Carhart là có cơ sở. Họ đã đưa báo cáo cho TechCrunch , và tin tức này ngay lập tức lan truyền. Dardaman giải thích rằng các công ty đang đưa công nghệ nhà thông minh ra ngoài mà không có bảo mật vì họ không nghĩ rằng sẽ có ai kiểm tra.

Loại hack đạo đức này có thể có những tác động thực sự đến sự an toàn của mọi người.

Vào năm 2015, tin tặc đã có thể cướp xe Jeep từ xa trong khi ai đó đang lái xe, khiến Chrysler phải thu hồi 1,4 triệu xe. Tin tặc từ nhóm mũ trắng Anonymous Calgary Hivemind đột nhập vào camera an ninh của Nest năm ngoái để cảnh báo mọi người về lỗ hổng bảo mật - khiến chủ nhà sợ hãi và buộc Nest phải đặt lại mật khẩu và khuyến khích người dùng áp dụng xác minh hai yếu tố. Đầu năm nay, các hacker có đạo đức đã tiết lộ rằng lỗ hổng bảo mật trong cấy ghép tim Medtronic có thể cho phép kẻ tấn công thay đổi cài đặt cấy ghép của bệnh nhân trong chừng mực Cách 20 feet . Cục Quản lý Thực phẩm và Dược phẩm hiện đang làm việc với Medtronic để khắc phục các lỗ hổng bảo mật do báo cáo của tin tặc.

Những tin tặc này nhận thức được cách hầu hết mọi người liên kết nghề của họ với tội phạm. Mọi người nói về hack cuộc sống hoặc hack du lịch và không có hàm ý tiêu cực nào, một tin tặc nói dây điện và yêu cầu không được xác định bằng tên thật của họ. Nhưng đặt ‘máy tính’ với nó và nó trở thành hình người trùm đầu đáng sợ này. Những người thợ khóa không được hỏi, 'Tại sao bạn không bị trộm?'

Nhưng mối quan hệ giữa các tin tặc có đạo đức và các công ty mà họ xâm nhập có thể không dễ dàng. Trong khi một số tổ chức hoan nghênh kiến ​​thức, những người khác coi tin tặc là kẻ thù và hầu như không phân biệt giữa mũ trắng và tội phạm mạng. Đối với nhiều công ty, việc nộp phạt sẽ rẻ hơn so với thực hiện quyền bảo mật, wirefall nói thêm. Một số tin tặc nói rằng nếu không có quy định đầy đủ, sự chú ý của giới truyền thông và áp lực của công chúng có thể là cách tốt nhất để thực thi bảo mật.

Đối với Dardaman, tội phạm hack không bao giờ là một lựa chọn. Tôi muốn một cuộc sống bình thường, anh ấy nói. Và 401 (k).

Vào mùa hè giữa năm học trung học và đại học, anh ấy bắt đầu viết các bản cheats cho trò chơi điện tử Minecraft và yêu thích các khía cạnh giải quyết câu đố của hack hợp pháp. Đến khi tốt nghiệp đại học với tấm bằng công nghệ thông tin, anh biết mình sẽ là một hacker có đạo đức.

Ngày nay, Dardaman làm việc tại Bắt đầu quan trọng , một công ty ký hợp đồng với các tin tặc có đạo đức cho các tập đoàn và ngân hàng lớn. Công ty là một phần của ngành bảo mật thông tin đang phát triển đang nỗ lực để ngăn chặn làn sóng tấn công mạng đang gia tăng.

Lĩnh vực này bắt đầu phát triển vào đầu những năm 2000 để đối phó với các vi phạm dữ liệu ban đầu và sự ra đời của phương tiện truyền thông xã hội và bán lẻ trực tuyến. Trong những ngày đó, không có gì lạ khi mọi người chuyển từ hack tội phạm thành hack mũ trắng sau khi bị chính phủ bắt. Giờ đây, những người như Dardaman có thể tham gia các khóa học đạo đức về hack trong trường học và nhận chứng chỉ trực tuyến về an ninh mạng.

Hầu hết các hợp đồng của Dardaman có thời hạn từ một đến hai tuần. Thông thường, một công ty sẽ không cho đội bảo mật của họ biết Dardaman đang ở đó, cho phép anh ta di chuyển xung quanh mạng của họ một cách lặng lẽ, quan sát cách mọi thứ hoạt động và tìm đường sâu hơn vào hệ thống. Nhưng trò chơi mèo vờn chuột chỉ kéo dài vài ngày.

Ông nói thêm, mục tiêu là vào cuối tuần mà tôi cực kỳ quan tâm, lưu ý rằng động thái cuối cùng của ông thường là giành quyền truy cập miền vào máy chủ của công ty để đặt báo động cho nhóm bảo mật. Nếu họ không bắt được tôi vào cuối tuần, họ nên đánh giá lại các công cụ bảo mật của mình.

Khi rảnh rỗi, Dardaman tấn công công nghệ nhà thông minh - những thiết bị có thể được kích hoạt bằng giọng nói hoặc điều khiển từ xa bằng cảm biến hoặc kết nối Internet - vì anh ta tin rằng mọi người không hiểu đầy đủ về các rủi ro bảo mật.

ĐẾN 2018 hack trên Guardzilla camera an ninh cho phép anh ta có quyền truy cập vào thông tin được lưu trữ trên thiết bị của người dùng. (Anh ấy lưu ý rằng anh ấy không thực sự truy cập thông tin, vì điều đó sẽ rất bất hợp pháp.)

Không có cách nào tốt hơn để bảo vệ hệ thống của bạn ngoài việc kiểm tra nó như một kẻ thù, Phillip Wylie, một nhà kiểm tra thâm nhập tại US Bank và là giáo sư đạo đức hack tại Richland College cho biết. Đây là cách mà một quốc gia hoặc một kẻ tấn công hay tội phạm mạng sẽ cố gắng xâm nhập vào hệ thống.

Giống như Dardaman, Wylie bị lôi cuốn vào những câu đố về tinh thần, sự phấn khích khi đột nhập vào một hệ thống khép kín. Trước khi gia nhập Ngân hàng Hoa Kỳ, anh ấy đã làm việc như một nhà tư vấn, thực hiện các bài kiểm tra thâm nhập hoặc các cuộc tấn công mạng được ủy quyền, trên các ứng dụng web. Một lần, anh ta tìm thấy một lỗ hổng nghiêm trọng cho phép anh ta có quyền truy cập vào cơ sở dữ liệu cốt lõi của khách hàng. Mật khẩu là 'password1', anh ấy nói. Anh ấy đã sử dụng một công cụ có tên là John the Ripper để vào bên trong (anh ta mất tất cả 30 giây). Tôi có thể thêm người dùng vào hệ thống đó; Tôi có thể tắt máy chủ, hủy cơ sở dữ liệu, xóa hồ sơ…

Nhưng không phải tất cả các tin tặc đều ở đó chỉ để phơi bày các rủi ro bảo mật. Jane Manchun Wong , một nhà khoa học máy tính 23 tuổi ở Hồng Kông, dành thời gian rảnh rỗi để thiết kế ngược các ứng dụng để tìm hiểu những tính năng nào sắp ra mắt tiếp theo. Những thứ tôi tìm thấy là thông tin công khai, Wong nói. Nó đang ẩn bên trong điện thoại của mọi người. Việc trích xuất nó không phải là bất hợp pháp chỉ vì nó khó tìm.

Vào tháng 4, cô ấy đã tiết lộ thông tin rằng Instagram sẽ cố gắng ẩn số lượt thích trên ảnh cho một số người dùng nhất định. Khi tôi lần đầu tiên đăng về điều đó, Instagram đã cố gắng nói rằng, ' Chúng tôi không thử nghiệm điều này. “Nhưng mã tồn tại - đó là điểm mấu chốt, cô ấy nói. Cuối tháng đó, Instagram thông báo rằng trên thực tế nó sẽ bắt đầu kiểm tra việc ẩn lượt thích cho một số người dùng ở bảy quốc gia.

Tuy nhiên, các mục tiêu lớn hơn của Wong đều giống nhau. Khi cô ấy tìm thấy dữ liệu người dùng bị rò rỉ trong mã, cô ấy báo cáo nó với công ty để họ có thể khắc phục vi phạm tiềm ẩn. Cô ấy cũng làm điều đó vì niềm vui, nói rằng cô ấy thích khía cạnh giải câu đố.

Trong một phỏng vấn với BBC Wong giải thích, Kể từ khi tôi bắt đầu nhận được một số quan tâm và các công ty bắt đầu theo dõi các tweet của tôi, nhiều công ty đã cải thiện tính bảo mật ứng dụng của họ. Đó là một trong những quan điểm của tôi khi làm điều này ... các công ty sẽ cải thiện bảo mật ứng dụng của họ để khó bị xâm nhập hơn.

Các vụ hack của Wong đã thực sự thu được lợi nhuận sự chú ý của phương tiện truyền thông . Khi cô ấy công bố tin tức về Instagram, gần như toàn bộ internet đã nổ tung. Wong lưu ý rằng các công ty không thích những gì cô ấy đang làm, nhưng họ không thể làm gì nhiều để giữ cô ấy im lặng.

Hầu hết các tin tặc mũ trắng nói họ không cố gắng làm cho công ty trông xấu đi. Thông thường, họ sẽ thông báo riêng cho một tổ chức và cho họ khoảng 90 ngày - một định mức được thúc đẩy bởi Dự án số 0 của Google - để vá bất kỳ lỗ hổng bảo mật nào. Dardaman, người tuân thủ quy tắc đạo đức nghiêm ngặt này, cho biết nếu họ phản hồi và sửa lỗi thì thật tuyệt. Nếu họ nói rằng họ sẽ không sửa chữa nó, tôi sẽ công bố báo cáo sớm. Nếu họ cố gắng kéo nó ra trong sáu tháng, tôi sẽ chỉ bỏ nó - không có lý do gì để không làm như vậy. Nếu đó là một vấn đề thực sự, thì bạn có thể khắc phục nó trong khung thời gian đó.

Wong cũng sẵn sàng làm việc với các công ty mà cô ấy hack. Năm ngoái, cô phát hiện ra Facebook đang làm việc trên một thư viện javascript để làm cho các ứng dụng web nhanh hơn. Khi cô bắt đầu đưa ra những gợi ý về dự án trên Twitter, một nhân viên của Facebook đã liên hệ và yêu cầu cô không tiết lộ chi tiết vì họ dự định công bố vào năm sau - và cô đã đồng ý. Vào tháng 5, cô ấy rất vui khi biết rằng họ đã phát hành mã nguồn mở của dự án.

Nhưng nhiều tin tặc nói rằng họ cảm thấy có trách nhiệm phải thông báo cho người dùng về các lỗi bảo mật. Khi các công ty nổi giận với họ vì để lộ các lỗ hổng tiềm ẩn, họ đặt câu hỏi liệu tổ chức có đang coi trọng vấn đề bảo mật hay không. Wylie cho biết, nếu ai đó tìm thấy lỗ hổng và báo cáo nó và nhà cung cấp nói rằng họ sẽ báo cáo chúng cho cơ quan thực thi pháp luật, đó là một vấn đề, Wylie nói, mặc dù cuối cùng đây chỉ là những mối đe dọa trống rỗng. Bạn sẽ rất vui khi nhận được một bài kiểm tra bút miễn phí.

Đối với trường hợp của trung tâm thông minh Zipato, công ty đã phản hồi ngay sau khi nhận được báo cáo, đồng thời hứa sẽ khắc phục các sai sót trong thời gian sớm nhất. Họ không muốn nghe tin tức từ tôi, Dardaman cười nói. Nhưng họ đã sửa nó.

Vài tuần sau, khi việc đó đã được thực hiện xong, anh ấy đã công bố bản báo cáo.