Quali sono alcuni hackers che gli hackers conoscono ma la maggior parte delle persone no?

Sono un hacker condannato. Sono stato accusato nel distretto meridionale di New York per un'accusa CFAA (Computer Fraud and Abuse). Ho lavorato con il governo su altri casi di hacking informatico contro le aziende.

L'hacking informatico sembra difficile ma il 90% del "computer hacking" è facilmente prevenibile e non è sofisticato.

1. Se avete un sito web, siete esposti. Molti siti web hanno portali amministrativi solo per i dipendenti. Questi sono facilmente "violabili" semplicemente avendo un insider che fornisce le credenziali di accesso. Soluzione: Avere un buon sistema di auditing in tempo reale per monitorare l'attività alla vostra area amministrativa. Limitare l'accesso alle aree di amministrazione tramite IP e/o VPN. Avere una buona politica di username e password (cioè forzare un cambio di password spesso, cancellare gli account degli ex-dipendenti, monitorare attentamente l'attività di login, assicurarsi che il codice di programmazione non lasci mai la vostra struttura).
2. I programmatori sono come tutti gli altri - pigri. Invece di creare sistemi sicuri cercano di fare il loro lavoro velocemente e lasciano porte aperte - involontariamente. Per esempio, URL pubblicamente accessibili che la direzione potrebbe/vuole/dovrebbe tenere chiuse al personale non autorizzato. Per esempio, un programmatore può aggiungere qualcosa come "p=123" a un URL per garantire l'accesso a chiunque abbia un browser web; comodo per i dipendenti ma debole e violabile. Per esempio, questo URL è cattivo: http://www.mywebsite/personnel-file.php?id=1&p=123. Gli hacker trovano questi URL pubblici attraverso numerosi mezzi. Assicurati che la tua azienda non abbia questo tipo di codice nei suoi sistemi.
3. La maggior parte degli hacker usa VPN come Private Internet Access (PIA). Questi sono meglio indicati come anonimizzatori. Gli hacker usano gli anonimizzatori per nascondere la loro identità. Se qualcuno accede al tuo sito web tramite un Anonymizer, hai un ladro che bussa silenziosamente alla tua porta, giorno e notte, cercando un modo per entrare. Infatti, scrivono programmi software per fare il "bussare".

Un'importante società statunitense è stata recentemente hackerata e non lo sapeva nemmeno. Probabilmente non l'avrebbero mai saputo se l'FBI non li avesse contattati. Nel frattempo, segreti commerciali, elenchi di clienti e altri dati di valore sono stati scaricati dalla porta sul retro, molto silenziosamente.

Come ti piacerebbe essere il CEO di una società che riceve la seguente chiamata:

FBI: "Ho bisogno di parlare con il vostro CEO"

Rappresentante dell'azienda: "Chi parla?"

FBI: "Sono l'agente XYZ dell'FBI."

CEO: "Sì, come posso aiutarla."

FBI: "Siete stati violati. Sfortunatamente l'hacking sta continuando proprio in questo momento e attraverso la cooperazione di una delle nostre fonti siamo arrivati a scoprire una violazione del sistema che si è verificata negli ultimi sei mesi, forse di più."

CEO: "È uno scherzo?"

FBI: "No, non lo è e richiediamo la vostra piena collaborazione per i prossimi mesi per arrestare chiunque sia coinvolto in questo schema di hacking. Nel frattempo, mantenete il silenzio. Sarò nel vostro ufficio domani alle 7 del mattino. Siate presenti. Per rimediare al vostro problema di sicurezza, utilizzeremo tempo prezioso sia da parte del governo che della vostra azienda."

Quella chiamata è avvenuta. Il CEO di un'azienda ha l'ULTIMA responsabilità di rendere sicura la propria infrastruttura tecnologica. Se scelgono di non farlo, sono colpevoli quasi quanto gli stessi hacker. Soprattutto perché sono stati avvertiti numerose volte di mettere fuori uso i sistemi di sicurezza deboli. Una cosa è non sapere di avere un problema ed essere violati. Un'altra è essere pienamente consapevoli che i vostri sistemi sono formaggio svizzero e non fare nulla.

Questo dovrebbe anche essere un avvertimento per tutti i consigli di amministrazione. I vostri team di gestione devono prendere sul serio la sicurezza. Quando il 90% dei vostri problemi sono evitabili con poche settimane di lavoro, il CEO non ha scuse. Tuttavia, la maggior parte dei membri del consiglio sono nelle tasche dei CEO e incarnano il seguente errore di selezione del management:

"Sceglierò sempre una persona pigra per fare un lavoro difficile perché troverà un modo facile per farlo."

Ultimo consiglio: non assumete ex-banchieri per dirigere aziende tecnologiche. Questa è una ricetta per il disastro.