- Статус
- Offline
- Регистрация
- 22 Ноя 2019
- Сообщения
- 268
- Реакции
- 14
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Эпизод 20: Что бывает, когда хакер встречает хакера?
Вступить в наш чат
Ведущий: Иногда ожидание входа в админку может занять много времени: дни, недели, месяцы. Я слышал, что хакеры иногда создают проблемы на веб-сервере, например, увеличивают нагрузку на ЦП или приводят к сбою приложения. Но зачем это делать? Что ж, если веб-сервер ведет себя проблематично, это приведет к тому, что администратор войдет в систему для устранения неполадок. Когда они это сделают, паф. Они только что попали в ловушку. Но в нашем случае ожидание было не таким долгим.
АНБ: Один из администраторов входит в систему. Мы видим, как это происходит. Мы получаем необходимую информацию и вставляем имплант в аппарат.
Ведущий: Вы только что услышали пятую фазу цепочки киберубийств: монтаж. Мы только что установили имплантат в целевую систему. Имплантат — это ошибка, троян, инструмент удаленного доступа, который позволяет нам в значительной степени завладеть этим компьютером. Для тех из вас, кто знаком с Metasploit…
АНБ: Просто представьте что-то вроде Metasploit на большом количестве стероидов.
Ведущий: Следующим этапом цепочки киберубийств является командование и контроль. Тот факт, что имплантат находится в машине, не означает, что он что-то сделает. Кто-то должен сказать ему, что делать. В этом случае теперь у нас есть возможность удаленного доступа к компьютеру сетевого администратора. Это наша команда и контроль над целевым компьютером. Сейчас мы очень близки к завершению нашей миссии. Нам осталось только взять под контроль компьютер администратора, а затем получить доступ к базе данных и взять нужные нам данные. Поэтому мы немного подождем, прежде чем залезть в компьютер администратора, чтобы не выглядеть подозрительно.
АНБ: Мы ждали около дня, полтора дня, чтобы перейти к интерактивной работе с коробкой, фактически использовать ее в интерактивном режиме. Как только мы использовали его в интерактивном режиме, в то время как другой человек использовал его, мы вошли в систему, когда они были, что обычно так и работает. Мы начали смотреть на скриншоты рабочего стола и увидели открытый браузер и десятки открытых вкладок в браузере. Мы начали просматривать множество скриншотов и просматривать содержимое вкладок. Это был человек, который гуглил это странное поведение Windows.
Ведущий: Компьютер администратора, в который мы проникли, вел себя странно. Он отображал много ошибок, и некоторые программы аварийно завершали работу. Было определенно похоже, что у этого администратора был какой-то вирус.
АНБ: Сначала мы это увидели, подумали, что это странно. Интересно, эти проблемы с его компьютером появились раньше, чем мы там были. На самом деле мы не знали, но у нас было подозрение, что это как-то связано с нами. Без нашего ведома и с того времени, когда мы впервые собрали нашу информацию через открытый источник и когда мы установили имплантат, он обновил свою операционную систему. По сути, он обновил Windows до следующей версии. Обычно в худшем случае ваш имплантат не работает, потому что он несовместим, верно, по какой-то причине. Это несовместимо и не работает, и это отстой, и вы действительно расстроены этим. Я бы предпочел, чтобы это было результатом здесь.
Вместо этого имплантат заработал, поскольку он установился там, где должен был, и начал работать, как и ожидалось. Проблема заключалась в том, что он плохо работал с более новой версией Windows, которая была на этом компьютере, и, к сожалению, начал вызывать очень странное поведение Windows. Это очень странное поведение приняло наихудшую из возможных версий, то есть то, что было хорошо видно пользователю. Теперь, когда мы на коробке и точно знаем, какая это была версия Windows, мы воссоздали ее в нашей собственной лабораторной среде. Я знаю, какая у него версия Windows, и я знаю аппаратное обеспечение. По сути, я перестроил ту же самую машину в нашей среде, бросил на нее наш имплантат и увидел, что наш имплантат вызывает это странное поведение. Это были очень, очень плохие новости для нас, потому что так тебя поймают. Это было ужасно.
С точки зрения политической реакции, такие вещи получаются — уведомления о подобных вещах доходят до самых высоких уровней правительства, потому что, когда вы попадаете в сеть, подобную этой, премьер-министры звонят друг другу. Если бы дела пошли достаточно плохо, нам пришлось бы информировать все руководство агентств и высшее руководство правительства. В этот момент все были очень обеспокоены, потому что мы уже были на веб-сервере. Мы уже проделали большую работу. Мы чувствовали себя довольно комфортно, поэтому мы уже развертывали довольно сложные большие имплантаты в сети. Этот, который вызывал эти проблемы, не был загрузчиком Stage 1.
Это был относительно сложный — на самом деле довольно сложный полнофункциональный имплантат, который мы не могли позволить себе потерять и не могли позволить себе попасть в сеть. Как только мы поняли, что происходит, это снова правительство, так что все тревоги начинают срабатывать. Вы должны начать рассказывать многим людям. Вы должны начать писать много служебных записок и посещать много совещаний, чтобы постараться, чтобы все были в курсе того, что происходит, каковы риски и что мы собираемся делать. Конечно, теперь первый порыв — удалить его или удалить имплант. К сожалению, поскольку он уже вызывал так много проблем со стабильностью, проблема заключалась в том, что если мы попытаемся добраться до него, чтобы удалить его, это может сделать его еще хуже. Мы не знали, так что риск был в том, чтобы ничего не делать, и прямо сейчас он просто думал, что у него технические проблемы, а не проблема с безопасностью, поэтому мы подумали, что все в порядке.
Риск заключается в том, чтобы либо остаться с тем, что у нас есть, и переждать техническую ерунду, надеясь, что он не догадается, что на самом деле это не техническая проблема, а проблема с безопасностью, или мы попытаемся удалить ее и вызвать какие-то другие странные вещи. случиться, что делает это еще хуже. Тогда мы совсем облажались. Решили оставить и не удалять, а принять ту ставку. Ситуация ухудшилась примерно на неделю, потому что мы не только смотрим их в Google в поисках решения проблемы, например, в поисках симптомов, которые он видит в Windows, мы читаем его электронные письма и видим его чаты с ИТ-специалистами, рассказывая им что происходило и вставлять билеты на неприятности. Мы видели беседу с этим ИТ-специалистом, которая была типа: «Привет, не мог бы ты подойти ко мне в 2:00, чтобы взглянуть?» В этот момент все начали очень беспокоиться, больше, чем мы уже были.
Ведущий: В данный момент дела идут не очень хорошо. В офисе очень напряженно и волнительно. Используемый имплантат был дорогим и секретным. Если бы он был обнаружен, это могло бы привести к тому, что его отследили до злоумышленников и потеряли этот дорогой и секретный имплантат. Но на данный момент мы успешно завершили шесть из семи этапов цепочки киберубийств. Остался только один этап, и это выполнение действия над целью. В нашем случае наша цель — использовать компьютер администратора для получения данных из базы данных Oracle, но команда не решается закончить работу.
АНБ: Проблема была в том, что это была большая сеть, и мы знали, какая база данных нам нужна. Мы знали, что существует база данных определенного типа, к которой мы хотели получить доступ, но мы не знали точно, где она находится в сети. В этот момент у нас есть высокий риск быть пойманным. Проблема в том, что мы наблюдаем, как они устраняют неполадки, и если они устраняют неполадки, устраняют неполадки и устраняют неполадки, а затем в какой-то момент выясняют, что здесь что-то действительно не так, и нам нужно позвать людей из службы безопасности и начать присматриваться поближе. Последнее, чего мы хотели бы, — это иметь более широкое присутствие в сети. Даже если это происходит на других машинах в других местах в сети, которые не могут, в тот момент, когда ваше реагирование на инциденты вмешивается и начинает блокировать вещи, мы облажались.
В этот момент мы хотим свести наше присутствие к минимуму, насколько это возможно, без потери доступа. На данный момент этой минимизацией был этот компьютер, на котором у нас возникла проблема, и веб-сервер. Вот оно. Само, очень ясное без даже каких-либо дебатов решение было сидеть, лежать тихо. Ничего не делай. Пусть это происходит, потому что никто не хотел увеличивать профиль риска, пока мы не узнали, чем это обернется.
Ведущий: Команда ждет и наблюдает. Дни проходят. Администраторы пытаются устранить ошибки, которые они видят. Проходит неделя. Он продолжает устранять неполадки, и на второй неделе администратор обращается за помощью к ИТ.
АНБ: Да, на второй неделе приходят ИТ-специалисты и смотрят на компьютер, и мы знаем, что они подходят к рабочему столу человека, потому что мы видим, как они назначают встречи. Мы подошли к этому моменту, когда по характеру заявки на устранение неполадок мы можем сказать, что они зашли в тупик. Они не могут понять, почему. Они не могут понять, что происходит. Они не могут понять причину происходящего. Они не могут определить причину, и она кажется им недетерминированной. Мы знаем, почему это происходит. Я знаю, что делает имплант и почему Windows ведет себя таким образом, но, поскольку они не знают, что там имплант, для них поведение совершенно недетерминировано. Поскольку это недетерминировано, они не могут разработать для него техническое решение.
Окончательное решение, к которому они пришли, заключалось в том, чтобы просто стереть его и начать сначала. Это был причудливый имплантат, но он был просто на уровне пользователя и находился на жестком диске, так что в тот момент, когда они стерли диск и пересняли его, все было в порядке. Они удалили наш имплантат, и мы были в порядке. Это было значительным облегчением. Слава Богу, все кончено, но, черт возьми, нас всех уволят? Это чья-то разумная реакция на подобные события на рабочем месте, когда все пошло не так. По сути, вы отвечаете за ту группу, где что-то пошло не так. Это все было на мне. Знаете, это был момент, когда я, наверное, возьму коробку и соберу свой стол. Но а) это правительство, поэтому никого не увольняют и б) на самом деле это не было результатом. После этого мы провели целую вскрытие, чтобы посмотреть, что произошло, как это произошло, почему это произошло и как это предотвратить.
Постфактум было установлено, что никакой халатности в игре не было. Никто не сделал ничего плохого. Именно это и произошло. Шанс, что мы проведем два месяца исследований, потратим тридцать дней на принятие решений и проведение совещаний, а затем за эти тридцать дней выполним операцию, один из администраторов обновит Windows. Это не супер высокая вероятность того, что это произойдет, и нам просто не повезло. К сожалению, эти две звезды пересеклись на небе, и это произошло. Если бы прошло полгода, и мы не попытались бы повторно обновить нашу информацию и сделать ее более свежей, результат, скорее всего, был бы хорошим, вы слишком долго ждали. Верно, ты должен был это знать. Слишком многое может измениться за шесть месяцев. Но тридцать дней было разумно, потому что опять же, это правительство. Тридцать дней уходит на оформление документов, организацию встреч и просто административные дела.
Тот факт, что это произошло через тридцать дней, тот парень обновил Windows: это считалось приемлемым. Единственным другим последствием было то, что когда мы подошли к этой машине сбоку, должны ли мы были сделать что-нибудь тактически, прежде чем поместить имплантат в эту коробку? Были дебаты по этому поводу. Должны ли мы были захватить учетные данные и просто интерактивно взаимодействовать с этой машиной только для того, чтобы захватить такие вещи, как ее ОС, антивирус и все такое? Это было оперативное решение, которое мы приняли в то время, очень тактическое решение. Но поскольку мы сделали открытый исходный код и знали, что там есть, казалось бы, причин для этого было меньше. Вот оно.
Ведущий: Очистив машину от имплантата, команда может расслабиться, зная, что их прикрытие не будет раскрыто, а их дорогостоящая уловка не будет обнаружена. Как насчет первоначальной цели получить доступ к базе данных?
АНБ: На самом деле у нас никогда не было доступа к базе данных. Не из-за этого, на самом деле просто оказалось, что сеть была настроена таким образом, что наш путь туда был чрезвычайно сложен от того места, где мы находились в сети, до того места, куда нам нужно было добраться. Как и в любой другой бизнес-среде, у нас были конкурирующие требования. В какой-то момент, наверное, через полтора месяца после этого инцидента, после этого небольшого инцидента, мы пришли к тому, что ладно, я знаю, где находится сервер Oracle. Я знаю, кто такие админы, но наша способность добраться до него сложна. Это займет некоторое время. Мы можем это сделать, но хотим ли мы этого?
В то же время у меня было еще три требования, которые я должен был удовлетворить. Эти требования требовали некоторых из тех же людей, которых я сейчас использовал для работы над этим, так что это было похоже на то, что мы делаем? Можем ли мы просто поддаться наживке и уйти или просто пойти ва-банк и пойти на это? Решили отказаться от наживки и уйти. Это происходило все время. Потому что я думаю, что любой хакер, независимо от того, являетесь ли вы представителем ABT национального государства или ребенком в подвале своей мамы, все знают, что это большая удача, что все работает. Только так много мысли и разума входит в это.
В конце концов, это большая удача, и я бы сказал, что по статистике за те годы, что я занимаюсь этим, удачи нет или она заканчивается более чем в половине случаев, потому что это сложно и становится все труднее, потому что люди просто в целом больше осведомлены о кибербезопасности и информационной безопасности. Они немного умнее, этого достаточно, чтобы знать, может быть, не нажимать на ссылку или, может быть, не посещать этот веб-сайт с работы или с вашего рабочего компьютера, и, возможно, не нажимать «ОК», когда появляется сообщение «Flash Needs to Update».
Вступить в наш чат
Ведущий: Иногда ожидание входа в админку может занять много времени: дни, недели, месяцы. Я слышал, что хакеры иногда создают проблемы на веб-сервере, например, увеличивают нагрузку на ЦП или приводят к сбою приложения. Но зачем это делать? Что ж, если веб-сервер ведет себя проблематично, это приведет к тому, что администратор войдет в систему для устранения неполадок. Когда они это сделают, паф. Они только что попали в ловушку. Но в нашем случае ожидание было не таким долгим.

АНБ: Один из администраторов входит в систему. Мы видим, как это происходит. Мы получаем необходимую информацию и вставляем имплант в аппарат.
Ведущий: Вы только что услышали пятую фазу цепочки киберубийств: монтаж. Мы только что установили имплантат в целевую систему. Имплантат — это ошибка, троян, инструмент удаленного доступа, который позволяет нам в значительной степени завладеть этим компьютером. Для тех из вас, кто знаком с Metasploit…
АНБ: Просто представьте что-то вроде Metasploit на большом количестве стероидов.
Ведущий: Следующим этапом цепочки киберубийств является командование и контроль. Тот факт, что имплантат находится в машине, не означает, что он что-то сделает. Кто-то должен сказать ему, что делать. В этом случае теперь у нас есть возможность удаленного доступа к компьютеру сетевого администратора. Это наша команда и контроль над целевым компьютером. Сейчас мы очень близки к завершению нашей миссии. Нам осталось только взять под контроль компьютер администратора, а затем получить доступ к базе данных и взять нужные нам данные. Поэтому мы немного подождем, прежде чем залезть в компьютер администратора, чтобы не выглядеть подозрительно.
АНБ: Мы ждали около дня, полтора дня, чтобы перейти к интерактивной работе с коробкой, фактически использовать ее в интерактивном режиме. Как только мы использовали его в интерактивном режиме, в то время как другой человек использовал его, мы вошли в систему, когда они были, что обычно так и работает. Мы начали смотреть на скриншоты рабочего стола и увидели открытый браузер и десятки открытых вкладок в браузере. Мы начали просматривать множество скриншотов и просматривать содержимое вкладок. Это был человек, который гуглил это странное поведение Windows.
Ведущий: Компьютер администратора, в который мы проникли, вел себя странно. Он отображал много ошибок, и некоторые программы аварийно завершали работу. Было определенно похоже, что у этого администратора был какой-то вирус.
АНБ: Сначала мы это увидели, подумали, что это странно. Интересно, эти проблемы с его компьютером появились раньше, чем мы там были. На самом деле мы не знали, но у нас было подозрение, что это как-то связано с нами. Без нашего ведома и с того времени, когда мы впервые собрали нашу информацию через открытый источник и когда мы установили имплантат, он обновил свою операционную систему. По сути, он обновил Windows до следующей версии. Обычно в худшем случае ваш имплантат не работает, потому что он несовместим, верно, по какой-то причине. Это несовместимо и не работает, и это отстой, и вы действительно расстроены этим. Я бы предпочел, чтобы это было результатом здесь.
Вместо этого имплантат заработал, поскольку он установился там, где должен был, и начал работать, как и ожидалось. Проблема заключалась в том, что он плохо работал с более новой версией Windows, которая была на этом компьютере, и, к сожалению, начал вызывать очень странное поведение Windows. Это очень странное поведение приняло наихудшую из возможных версий, то есть то, что было хорошо видно пользователю. Теперь, когда мы на коробке и точно знаем, какая это была версия Windows, мы воссоздали ее в нашей собственной лабораторной среде. Я знаю, какая у него версия Windows, и я знаю аппаратное обеспечение. По сути, я перестроил ту же самую машину в нашей среде, бросил на нее наш имплантат и увидел, что наш имплантат вызывает это странное поведение. Это были очень, очень плохие новости для нас, потому что так тебя поймают. Это было ужасно.
С точки зрения политической реакции, такие вещи получаются — уведомления о подобных вещах доходят до самых высоких уровней правительства, потому что, когда вы попадаете в сеть, подобную этой, премьер-министры звонят друг другу. Если бы дела пошли достаточно плохо, нам пришлось бы информировать все руководство агентств и высшее руководство правительства. В этот момент все были очень обеспокоены, потому что мы уже были на веб-сервере. Мы уже проделали большую работу. Мы чувствовали себя довольно комфортно, поэтому мы уже развертывали довольно сложные большие имплантаты в сети. Этот, который вызывал эти проблемы, не был загрузчиком Stage 1.
Это был относительно сложный — на самом деле довольно сложный полнофункциональный имплантат, который мы не могли позволить себе потерять и не могли позволить себе попасть в сеть. Как только мы поняли, что происходит, это снова правительство, так что все тревоги начинают срабатывать. Вы должны начать рассказывать многим людям. Вы должны начать писать много служебных записок и посещать много совещаний, чтобы постараться, чтобы все были в курсе того, что происходит, каковы риски и что мы собираемся делать. Конечно, теперь первый порыв — удалить его или удалить имплант. К сожалению, поскольку он уже вызывал так много проблем со стабильностью, проблема заключалась в том, что если мы попытаемся добраться до него, чтобы удалить его, это может сделать его еще хуже. Мы не знали, так что риск был в том, чтобы ничего не делать, и прямо сейчас он просто думал, что у него технические проблемы, а не проблема с безопасностью, поэтому мы подумали, что все в порядке.
Риск заключается в том, чтобы либо остаться с тем, что у нас есть, и переждать техническую ерунду, надеясь, что он не догадается, что на самом деле это не техническая проблема, а проблема с безопасностью, или мы попытаемся удалить ее и вызвать какие-то другие странные вещи. случиться, что делает это еще хуже. Тогда мы совсем облажались. Решили оставить и не удалять, а принять ту ставку. Ситуация ухудшилась примерно на неделю, потому что мы не только смотрим их в Google в поисках решения проблемы, например, в поисках симптомов, которые он видит в Windows, мы читаем его электронные письма и видим его чаты с ИТ-специалистами, рассказывая им что происходило и вставлять билеты на неприятности. Мы видели беседу с этим ИТ-специалистом, которая была типа: «Привет, не мог бы ты подойти ко мне в 2:00, чтобы взглянуть?» В этот момент все начали очень беспокоиться, больше, чем мы уже были.
Ведущий: В данный момент дела идут не очень хорошо. В офисе очень напряженно и волнительно. Используемый имплантат был дорогим и секретным. Если бы он был обнаружен, это могло бы привести к тому, что его отследили до злоумышленников и потеряли этот дорогой и секретный имплантат. Но на данный момент мы успешно завершили шесть из семи этапов цепочки киберубийств. Остался только один этап, и это выполнение действия над целью. В нашем случае наша цель — использовать компьютер администратора для получения данных из базы данных Oracle, но команда не решается закончить работу.
АНБ: Проблема была в том, что это была большая сеть, и мы знали, какая база данных нам нужна. Мы знали, что существует база данных определенного типа, к которой мы хотели получить доступ, но мы не знали точно, где она находится в сети. В этот момент у нас есть высокий риск быть пойманным. Проблема в том, что мы наблюдаем, как они устраняют неполадки, и если они устраняют неполадки, устраняют неполадки и устраняют неполадки, а затем в какой-то момент выясняют, что здесь что-то действительно не так, и нам нужно позвать людей из службы безопасности и начать присматриваться поближе. Последнее, чего мы хотели бы, — это иметь более широкое присутствие в сети. Даже если это происходит на других машинах в других местах в сети, которые не могут, в тот момент, когда ваше реагирование на инциденты вмешивается и начинает блокировать вещи, мы облажались.
В этот момент мы хотим свести наше присутствие к минимуму, насколько это возможно, без потери доступа. На данный момент этой минимизацией был этот компьютер, на котором у нас возникла проблема, и веб-сервер. Вот оно. Само, очень ясное без даже каких-либо дебатов решение было сидеть, лежать тихо. Ничего не делай. Пусть это происходит, потому что никто не хотел увеличивать профиль риска, пока мы не узнали, чем это обернется.
Ведущий: Команда ждет и наблюдает. Дни проходят. Администраторы пытаются устранить ошибки, которые они видят. Проходит неделя. Он продолжает устранять неполадки, и на второй неделе администратор обращается за помощью к ИТ.
АНБ: Да, на второй неделе приходят ИТ-специалисты и смотрят на компьютер, и мы знаем, что они подходят к рабочему столу человека, потому что мы видим, как они назначают встречи. Мы подошли к этому моменту, когда по характеру заявки на устранение неполадок мы можем сказать, что они зашли в тупик. Они не могут понять, почему. Они не могут понять, что происходит. Они не могут понять причину происходящего. Они не могут определить причину, и она кажется им недетерминированной. Мы знаем, почему это происходит. Я знаю, что делает имплант и почему Windows ведет себя таким образом, но, поскольку они не знают, что там имплант, для них поведение совершенно недетерминировано. Поскольку это недетерминировано, они не могут разработать для него техническое решение.
Окончательное решение, к которому они пришли, заключалось в том, чтобы просто стереть его и начать сначала. Это был причудливый имплантат, но он был просто на уровне пользователя и находился на жестком диске, так что в тот момент, когда они стерли диск и пересняли его, все было в порядке. Они удалили наш имплантат, и мы были в порядке. Это было значительным облегчением. Слава Богу, все кончено, но, черт возьми, нас всех уволят? Это чья-то разумная реакция на подобные события на рабочем месте, когда все пошло не так. По сути, вы отвечаете за ту группу, где что-то пошло не так. Это все было на мне. Знаете, это был момент, когда я, наверное, возьму коробку и соберу свой стол. Но а) это правительство, поэтому никого не увольняют и б) на самом деле это не было результатом. После этого мы провели целую вскрытие, чтобы посмотреть, что произошло, как это произошло, почему это произошло и как это предотвратить.
Постфактум было установлено, что никакой халатности в игре не было. Никто не сделал ничего плохого. Именно это и произошло. Шанс, что мы проведем два месяца исследований, потратим тридцать дней на принятие решений и проведение совещаний, а затем за эти тридцать дней выполним операцию, один из администраторов обновит Windows. Это не супер высокая вероятность того, что это произойдет, и нам просто не повезло. К сожалению, эти две звезды пересеклись на небе, и это произошло. Если бы прошло полгода, и мы не попытались бы повторно обновить нашу информацию и сделать ее более свежей, результат, скорее всего, был бы хорошим, вы слишком долго ждали. Верно, ты должен был это знать. Слишком многое может измениться за шесть месяцев. Но тридцать дней было разумно, потому что опять же, это правительство. Тридцать дней уходит на оформление документов, организацию встреч и просто административные дела.
Тот факт, что это произошло через тридцать дней, тот парень обновил Windows: это считалось приемлемым. Единственным другим последствием было то, что когда мы подошли к этой машине сбоку, должны ли мы были сделать что-нибудь тактически, прежде чем поместить имплантат в эту коробку? Были дебаты по этому поводу. Должны ли мы были захватить учетные данные и просто интерактивно взаимодействовать с этой машиной только для того, чтобы захватить такие вещи, как ее ОС, антивирус и все такое? Это было оперативное решение, которое мы приняли в то время, очень тактическое решение. Но поскольку мы сделали открытый исходный код и знали, что там есть, казалось бы, причин для этого было меньше. Вот оно.
Ведущий: Очистив машину от имплантата, команда может расслабиться, зная, что их прикрытие не будет раскрыто, а их дорогостоящая уловка не будет обнаружена. Как насчет первоначальной цели получить доступ к базе данных?
АНБ: На самом деле у нас никогда не было доступа к базе данных. Не из-за этого, на самом деле просто оказалось, что сеть была настроена таким образом, что наш путь туда был чрезвычайно сложен от того места, где мы находились в сети, до того места, куда нам нужно было добраться. Как и в любой другой бизнес-среде, у нас были конкурирующие требования. В какой-то момент, наверное, через полтора месяца после этого инцидента, после этого небольшого инцидента, мы пришли к тому, что ладно, я знаю, где находится сервер Oracle. Я знаю, кто такие админы, но наша способность добраться до него сложна. Это займет некоторое время. Мы можем это сделать, но хотим ли мы этого?
В то же время у меня было еще три требования, которые я должен был удовлетворить. Эти требования требовали некоторых из тех же людей, которых я сейчас использовал для работы над этим, так что это было похоже на то, что мы делаем? Можем ли мы просто поддаться наживке и уйти или просто пойти ва-банк и пойти на это? Решили отказаться от наживки и уйти. Это происходило все время. Потому что я думаю, что любой хакер, независимо от того, являетесь ли вы представителем ABT национального государства или ребенком в подвале своей мамы, все знают, что это большая удача, что все работает. Только так много мысли и разума входит в это.
В конце концов, это большая удача, и я бы сказал, что по статистике за те годы, что я занимаюсь этим, удачи нет или она заканчивается более чем в половине случаев, потому что это сложно и становится все труднее, потому что люди просто в целом больше осведомлены о кибербезопасности и информационной безопасности. Они немного умнее, этого достаточно, чтобы знать, может быть, не нажимать на ссылку или, может быть, не посещать этот веб-сайт с работы или с вашего рабочего компьютера, и, возможно, не нажимать «ОК», когда появляется сообщение «Flash Needs to Update».