"Pewnego razu będąc dzieckiem usiadł z kolegami, żeby zjeść zupę z miski. Dla wszystkich by nie wystarczyło, chłopcy wiec się o zupę pobili. Izaakowi bardzo chciało się jeść, ale był zbyt nieśmiały, żeby się bić, toteż wstał w środku kłótni i nasikał do zupy. A potem siadł i z płaczem ją zjadł.
Ta historia z dzieciństwa Izaaka spodobała się Esterze Wróżce."
Pawi Krzyk, Gina B. Nahai
środa, 30 marca 2016
niedziela, 27 marca 2016
Testy penetracyjne
Niezbyt dawno temu
kilku kierowników i dyrektorów wielkiej firmy konsultingowej IT z
Nowej Anglii zebrało się w pokoju konferencyjnym, żey spotkać się
z dwoma konsultantani. Domyślam się, że szczególną ciekawość
ludzi siedzących wokół stołu wzbudził jeden z konsultantów,
Pieter Zatko, były hajer szeroko znany jako „Mudge”.
Na początku lat
dziewiędziesiątych Mudge wraz z kolegą zapędził zbieraninę
podobnie myślących facetów do pracy w zagraconym magazynie w
Bostonie; grupa miała stać się szanowaną firmą zwaną 10pht albo
żartobliwie 10pht Heavy Industry (przemysł ciężki).(...) Gdy
grupa zaczęła odnosić sukcesy i stała się szerzej znana, Mudge'a
zaczęto prosić o podzielenie się wiedzą. Prowadził zajęcia w
takich miejscach jak, wojskowa szkoła strategii w Monterey, gdzie
wykładał na temat „wojny informacyjnej” - jak niepostrzeżenie
wniknąć do komputerów nieprzyjaciela i zniszczyć serwery oraz
jakie są metody niszczenia danych i tym podobne. (…)
Grupa l0pht
przyciągnęła uwagę mediów, ponieważ jej członkowie napisali
narzędzie (zwane l0phtCrack), które szybko łamało hasze haseł.
Mudge był współautorem l0phtCrack i współzałożycielem strony,
która udostępniała program hakerom i wszystkim zainteresowanym z
początku za darmo, później za grube pieniądze.
Szefowie firmy
konsultingowej (będziemy nazywać ją „Newton”) zadecydowali, że
należy rozszerzyć zakres oferowanych usług przez dodanie
możliwości przeprowadzenia testów penetracyjnych. Zamiast
zatrudnić nowy personel i stopniowo tworzyć nowy dział, szukali
już instniejącej organizacji, którą mogliby kupić i przyłączyć.
Na początku spotkania jeden z przedstawicieli wyłożył karty na
stół: „Chcemy was kupić i włączyć do naszej firmy”. Mudge
pamięta reakcję:
Powiedzieliśmy
coś w tym stylu: No coś, niewiele o was wiemy. Wiedzieliśmy, że
są poważnie zainteresowanie głównie z powodu medialnego
szaleństwa, jakie rozpętało się wokół l0phtCracka.
Po
części dla zyskania na czasie, żeby oswoić się z pomysłem
sprzedania firmy, po części dlatego, że nie chciał od razu
wchodzić w negocjacje, Mudge zagrał na zwłokę:
Powiedziałem:
słuchajcie naprawdę nie wiem, czego się spodziewacie. Może
najpierw za pietnaście tysięcy przeprowadzimy drobiazgowy pen test
w waszej organizacji?
W tym czasie
l0pht nie był nawet firmą robiąca pen testy. Ale powiedziałem im:
Nie macie pojęcia, co potrafimy, w gruncie rzeczy opierając się na
reklamie. Zapłacicie nam pietnaście tysięcy. Jeśli nie spodoba
wams się to,co dostaniecie w zamian, nie będziecie musieli nas
kupować, a pieniądze nie zostaną wyrzucone w błoto, bo
dostaniecie porządny raport z pen testu. My z kolei będziemy mieć
w banku piętnaście tysięcy.
Oczywiście jeśli
spełnimy wasze oczekiwania i będziecie pod wrażeniem, czego się
spodziewamy, wtedy nas kupicie.
Odpowiedzieli:
Jasne, to wspaniale.
A ja pomyślałem:
Co za idioci!
Zdaniem
Mudge'a byli idiotami, ponieważ zamierzali pozwolić grupie l0pht na
włamanie do swoich plików i korespondencji, jednocześnie
negocjując warunki zakupu. Mudge doskonale wiedział, że będzie
mógł zerkać im przez ramię.
Sztukainfiltracji,Kevin Mitnick
Sztukainfiltracji,Kevin Mitnick
Subskrybuj:
Posty (Atom)