Włamują się do systemów bankowych i jeszcze im za to płacą. "Dobry haker" nie narzeka na nudę

Leszek Tasiemski z F-Secure
Leszek Tasiemski z F-Secure Fot. Piotr Skórnicki / Agencja Gazeta
Kreatywni, inteligentni, a przy tym dysponujący arsenałem sztuczek aktorskich. Ich pasją jest łamanie zabezpieczeń, ale w szczytnym celu. Poznajcie codzienność pentesterów – ludzi, którzy zawodowo szukają dziury w całym.

– Pentester symuluje realny atak hakerski. Korzysta z tych samych narzędzi i technik, które wykorzystują cyberprzestępcy. Jego zadaniem jest złamanie danych systemu informatycznego: wykradnięcie z niego informacji czy unieruchomienie go. Wszystko odbywa się jednak na zlecenie firmy, która chce usprawnić zabezpieczenia – mówi w rozmowie z INN:Poland Leszek Tasiemski, pentester z F-Secure.



– Oznacza to też czasem „fizyczną penetrację”. Naszym celem staje się wejście do budynku, gdzie moglibyśmy podpiąć się pod sieć organizacji lub wykraść nośniki. Wykorzystuje się nawet socjotechniki w celu uzyskania np. haseł od pracowników – tłumaczy. – Chcąc gdzieś się dostać, warto mówić w obcym języku. Jesteśmy wówczas brani za gościa danego przedsiębiorstwa, dlatego nikt nie chce wyjść wobec nas na nieuprzejmego. Moi koledzy z pracy uciekali się czasem do takich trików, jak obwiązywanie sobie ręki bandażem czy temblakiem. Robiąc wrażenie niepełnosprawnych, możemy liczyć, że nie zamkną nam drzwi przed nosem – przekonuje.
Innym rodzajem działania, które stosują pentesterzy, jest przykładowo kontakt z pomocą techniczną danego systemu. Używają różnych argumentów, by podano im hasło do sieci bezprzewodowej lub zresetowano je danemu użytkownikowi. Bywa, że taka metoda okazuje się skuteczna.

Istnieje nawet cała dziedzina nauki, z której pentesterzy czerpią inspiracje. Nazywamy ją inżynierią społeczną – to zestaw technik manipulowania ludzkimi odruchami, żeby uzyskać żądaną reakcję.

Pentesterzy najczęściej spędzają jednak czas pracy za komputerem, choć nie mogą narzekać na nudę. Taka praca wymaga oczywiście wiedzy specjalistycznej, ale kluczowa jest kreatywność i otwartość na nowe rzeczy. – Nawet jeżeli początkowo brakuje komuś doświadczenia czy wiedzy technicznej, ale ma pasję i jest głodny wiedzy, może odnaleźć się w tym zawodzie. Pentesting to coś, czego nie da się nauczyć raz na zawsze. Jeśli ktoś trochę się zapuści, bo np. przez dwa lata nie robił absolutnie nic, by zaktualizować warsztat, to jego wiedza staje się kompletnie bezużyteczna. Pamiętajmy jednak o najważniejszym: bez kreatywności trudno mówić o sukcesie jako pentester – twierdzi.
To właśnie kreatywność, która jest nieodłącznym elementem tego zawodu, przekonały Tasiemskiego. – Zadecydowała ciekawość i częsta zmiana projektów. Jako pentester co dwa tygodnie mam do czynienia z zupełnie nowym projektem i środowiskiem. Cały czas trzeba uczyć się czegoś nowego, poznawać, jak obejść system, z którym nigdy wcześniej nie miało się do czynienia – wyjaśnia.

Zadania stawiane pentesterom do łatwych nie należą. Jak wspomina Leszek Tasiemski, miał kiedyś okazję wraz z kolegą testować aplikację bankową, która umożliwiała realizację transakcji pomiędzy bankami.

– Mieliśmy tydzień na próbę zhakowania systemu. Zaczynaliśmy z poziomu zwykłego pracownika banku bez żadnych administracyjnych dostępów. Poszło na tyle dobrze, że przez próbę dekompilacji (tłumaczenia kodu – przyp. red.) i zmianę różnych parametrów, już pierwszego dnia udało nam się zdobyć dostęp do konta administracyjnego. Następnego zaś mieliśmy dostęp do kont administracyjnych we wszystkich bankach, które działały na tym samym systemie – podsumowuje.
POLUB NAS NA FACEBOOKU
Trwa ładowanie komentarzy...