În cazul în care eşti pasionat de securitate IT, nu se poate să nu fi auzit de Kevin Mitnick, considerat drept cel mai căutat hacker din istoria Statelor Unite ale Americii, asta până la data arestării sale (1995). Despre faptul că Mitnick deţine o firmă de consultanţă în domeniul securităţii informatice, se ştia de mult timp, însă nu şi despre noua ramură a acesteia, cea care se ocupă cu vânzarea vulnerabilităţilor pe bani mulţi, asta până când, săptămâna trecută, celebrul hacker a răspândit vestea.
Lui Kevin Mitnick i-a fost atribuită titulatura de cel mai căutat hacker din Statelor Unite ale Americii, din cauza faptului că între anii 1992 şi 1995 a accesat fără drept mai multe sisteme informatice, obţinând parolele necesare, cu ajutorul tehnicilor de inginerie socială, mărturisire făcută chiar de către acesta, în cartea pe care a lansat-o în anul 2002, denumită “The Art of Deception”. Ingineria socială, atunci când discutăm despre securitate IT, înseamnă manipularea oamenilor în a-ţi oferi ei de bună voie informaţiile necesare, fără a fi nevoit să deţii cunoştinţe avansate în domeniul tehnologiei inteligente, tocmai de aceea mulţi se simt ofensaţi atunci când cei care apelează la astfel de tehnici sunt denumiţi hackeri.
După ce şi-a petrecut cinci ani de zile în închisoare, pentru faptele sale, Kevin Mitnick nu a avut voie nici să beneficieze material de pe urma relatării celor întâmplate în acest caz, în sensul că preţ de şapte ani de zile a fost obligat de către instanţă să nu aibă vreun câştig bănesc de pe urma unor eventuale filme sau cărţi pe care le-ar publica în legătură cu activitatea sa infracţională, acest lucru făcând parte din înţelegerea avută cu magistraţii.
Dorind probabil să recupereze timpul pierdut, în ultimele şase luni Kevin Mitnick a colectat prin firma sa o serie de vulnerabilităţi critice, o parte descoperite chiar de către compania lui, altele cumpărate de la diverşi cercetători din domeniul securităţii IT, unele pe care doreşte să le vândă cu nici mai mult, nici mai puţin de 100,000 de dolari. O sumă cam mare ar spune unii, însă atunci când te numeşti Kevin Mitnick, probabil nici clienţii nu întârzie să apară.
Către cine va vinde vulnerabilităţile? Probabil, către oricine va oferi suma cerută. El spune că nu le va trimite agenţiilor guvernamentale, cum ar fi NSA, deoarece pe acolo sunt oameni care i-au cauzat neplăceri în trecut, nici unor ţări cum ar fi Siria, însă, în acelaşi timp, a precizat şi faptul că nu va întreba motivele pentru care le doresc cei ce le cumpără, pentru că oricum nu le-ar afla. Acesta a mai spus şi că înainte de a discuta despre vânzarea unor vulnerabilităţi, respectivii clienţi vor fi analizaţi cu atenţie, pentru a vedea dacă este oportun a se lucra cu ei.
Afirmaţiile lui Kevin Mitnick par că se bat cap în cap, mai ales că am învăţat în această viaţă că oamenii pot spune multe, iar atunci când este vorba despre bani mulţi, realitatea poate să difere faţă de ceea ce am transmis noi iniţial.
În articolul respectiv, de pe Wired, se precizează faptul că a vinde astfel de vulnerabilităţi nu este o treabă ilegală, ci mai degrabă ţine de moralitate.
Eu spun că este ilegală, pentru că nu poţi vinde vulnerabilităţile descoperite într-un soft, altora decât dezvoltatorilor acestuia. Companiile care se ocupă cu aşa ceva, lucrează sub contract cu firmele care le angajează să le testeze aplicaţiile, respectând nişte clauze de confidenţialitate foarte bine definite.
În situaţia în care companiile din domeniul securităţii IT, sau cercetătorii individuali, descoperă vulnerabilităţi într-un program, pe cont propriu, fără să fie angajaţi de nimeni, ei raportează acele breşe de securitate tot firmelor dezvoltatoare, nu altora. Aşa procedează companiile sau persoanele serioase.
Evident, nu mă îndoiesc de faptul că există şi unii care vând pe sub mâna astfel de vulnerabilităţi, către tot felul de state, guverne, agenţii, însă nu se laudă cu acest lucru, precum Kevin Mitnick.
Este ca şi cum i-ai spune unui om că îi dai cheia unui apartament, unul care îşi dorea acea cheie, altul decât proprietarul acestuia, precizându-i şi unde se află imobilul, însă, în acelaşi timp, încercând să te speli pe mâini, susţinând că tu nu ai ştiut ce va face cu ea, nici nu ai întrebat.
Surse de documentare: Naked Security, Wired, Wikipedia