У моего сына как-то спросили в школе: «Кем работает твоя мама?» Он сказал — медсестрой. А когда спросили про папу, он ответил: «Мой папа крадет вещи, но это нормально, потому что ему за это платят!» Как видите, работать в красной команде — это не самая обыкновенная карьера. Я расскажу о том, как пришел к ней, с самого начала, и это объяснит многое из того, чем мы занимаемся.
Вот я на DEF CON в 1996 году [показывает фотографию лохматого молодого человека в футболке и джинсах, в руках стакан с прохладительным напитком, рядом несколько товарищей]. Теперь это крупнейшая конференция по безопасности во всем мире: в Вегас на нее приезжает 38 тысяч человек. В 1996 году нас было около ста человек.
На заднем плане на этом снимке можно разглядеть людей, которые используют RadioShack Pocket Dialer, чтобы бесплатно звонить с таксофона. Устройство издавало в трубку звуки, идентичные звуковым командам, которые аппарат передавал телефонной станции. Компьютер на том конце думал, что пользователь положил в монетоприемник четвертак (точнее, пять монет по пять центов одну за другой — и опытные операторы могли по отсутствию задержек между сигналами на слух заметить неладное). Я, конечно, таким не занимался — у меня хороший моральный компас, и это очень важно в моей работе.
Но в целом люди, которые были на той конференции, теперь заправляют современным бизнесом наступательной безопасности. Мы находим бреши в защите до того, как это сделают злоумышленники.
Люди иногда спрашивают меня, зачем я занимаюсь тем, чем занимаюсь. Взгляните на эту фотографию. Знаете, что это?
Это Commodore 64, на котором работает Twitter. Такого приложения, как несложно догадаться, на Commodore 64 не было, когда он продавался в магазинах. Зачем делать такие вещи? Чтобы доказать, что они возможны!
Хакерство и наступательная безопасность в целом — это когда ты используешь вещи так, как их использовать не предполагалось. Например, заставить веб-приложение дать нам доступ к базе данных. Или взломать замок и проникнуть в здание (да, моя команда ломает замки!). Мы постоянно пытаемся заставить организации, сети, приложения, домашние гаджеты и даже автомобили сделать что-то, для чего они не предназначались.
White Hat, Grey Hat, Black Hat — это все не просто названия, это стили жизни. То есть моральный компас — это не просто сознательный выбор, это что-то, с чем ты живешь. И наш способ усиления безопасности немного не такой, как у остальной индустрии. Все занимаются улучшением механизмов безопасности, моя же команда сосредоточена на проникновении, и для этого нужен другой образ мышления. Но моральные приоритеты должны быть теми же. И цели у нас — те же.
X-Force Command Cyber Tactical Operation Center
Из всего показанного на IBM Security Summit, пожалуй, наиболее примечателен был грузовик под названием IBM X-Force Command Cyber Tactical Operation Center (C-TOC). Это мобильный командный центр, спроектированный по военному образцу.