fbpx

Sunt Hacker și vreau să ajut companiile din România să fie mai sigure

by | Oct 14, 2019 | LooseByte | 0 comments

TL;DR

  • Mă numesc Alexandru Colțuneac, sunt hacker și co-fondator al companiei LooseByte
  • Am găsit vulnerabilități de securitate marilor companii din lume (Google, Microsoft, Adobe, UBER)
  • Vreau să aduc o schimbare în România și să ajut companiile să înțeleagă nevoia de securitate cibernetică

Salut,

Probabil că și tu crezi că datele tale de pe internet sunt în siguranță, iar securitatea cibernetică nu înseamnă mai mult decât un antivirus instalat pe calculator sau telefon. Și eu credeam la fel, până să descopăr că nu doar noi, utilizatorii, suntem singurii care putem fi victimele unor atacuri cibernetice ale hackerilor.

Intro

Mă numesc Alexandru Colțuneac și sunt un hacker bun.. un pic diferit de individul cu glugă pe cap pe care vi l-ați imaginat tastând într-o cameră întunecată. Încă de mic m-au pasionat calculatoarele și în special felul în care, acei hackeri din serialele și filmele de la televizor reușeau, în câteva apăsări de taste, să ajungă infiltrați în marile companii din lume. Prima parolă pe care am spart-o a fost pe la vreo 7 ani, când, fiind prea mult timp în fața monitorului, părinții mei s-au hotărât să îmi restricționeze accesul la calculator printr-o parolă. N-a ținut însă prea mult, pentru că până să se întoarcă acasă de la serviciu, parola ușor de ghicit fusese aflată iar eu mă aflam din nou în acea lume care mă fascina. Și cred că de acolo a început totul..

Ce făceam în timpul liber

Pe atunci obișnuiam să răscolesc internetul și să caut subiecte care să-mi atragă atenția. Așa m-am alăturat uneia dintre cele mai importante și cunoscute comunități online de hackeri din România. Aici, pasionații de securitate IT – și nu numai – se întâlneau frecvent și dezbăteau subiecte din domeniu sau chiar organizau între ei diferite concursuri de hacking. Mi-a plăcut. De fapt, m-a atras atât de tare ideea de a fura parolele altora încât chiar mi-am creat propriul meu virus, pe care l-am publicat pe internet. Nu a stat mult acolo și asta pentru că mustrările de conștiință m-au făcut să îl șterg într-un timp relativ scurt. Am rămas însă fidel acelui forum și chiar am avut parte de o surpriză.

Când m-am decis să fiu hacker

Într-una din zile, o discuție pornită pe acel forum mi-a atras atenția. În cele câteva rânduri scrise, unul dintre membrii comunității povestea despre cum a găsit o vulnerabilitate în site-ul companiei Yahoo și cât de bucuros a fost când inginerii de acolo i-au răspuns la e-mail. Deși, din lipsă de cunoștințe tehnice nu puteam să înțeleg ce descoperire făcuse, eram fascinat de ideea că cineva, de la o companie atât de mare, chiar vorbise cu el. Am vrut să fac și eu asta, să vorbesc și eu cu cineva important așa că am decis, în inocența momentului și a vârstei, că vreau să fiu hacker și să sparg Google.

Prima mea interacțiune cu o companie mare

Era un domeniu nou pentru mine și nu știam foarte multe, așa că am ales calea ușoară. Am descărcat de pe internet un program automat care căuta vulnerabilități de securitate și căruia i-am dat ca țintă un site al companiei Google. În nici câteva minute de la pornire, el găsise deja o vulnerabilitate. Nu știam ce făcea, dar simțeam entuziasmul și bătăile inimii care îmi sărea din piept. N-am stat foarte mult pe gânduri și m-am hotărât să le scriu un mail: “Salut Google. Mă cheamă Alex și am găsit ceva aici, dar nu știu ce”. Eram convins că sună foarte bine și profi, așa că l-am trimis.

În următoarea zi, pe drumul spre casă de la liceu, am primit o notificare pe telefon: “Email nou de la Google”. L-am deschis nerăbdător și în el scria cam așa: “Felicitări! Ceea ce ai găsit la noi chiar este o vulnerabilitate iar noi dorim să te premiem pentru asta”. Nu îmi venea să cred. Începusem chiar să îl recitesc de mai multe ori convins fiind că pierd ceva pe parcurs.

N-am pierdut însă nimic, din contră, chiar am câștigat în acea zi mult mai mult decât îmi puteam imagina. Tocmai îmi îndeplinisem visul și îmi descoperisem pasiunea.

Primii bani câștigați din hacking

Cu banii primiți de la Google mi-am cumpărat primul meu laptop și odată cu el mi-am propus să găsesc măcar o vulnerabilitate pentru fiecare companie importantă din lume. Am început astfel să învăț cu adevărat ce înseamnă să faci hacking și, în decursul a câțiva ani de muncă, am reușit să bifez nume importante din domeniul IT ca Facebook, Microsoft, Adobe, Ebay, Paypal sau Uber. Dintre toate companiile cu care am colaborat de-a lungul timpului pot spune că Google mi-a fost rămas cea mai de suflet iar astăzi sunt bucuros să mă aflu în Top-ul celor mai buni 10 Hackeri care au ajutat compania.

De ce mi-am deschis propria companie

Prin multe nopți sacrificate și rapoarte de vulnerabilități trimise am reușit să evoluez, atât profesional cât și personal. În decursul acestui proces de învățare am avut șansa să colaborez și să lucrez alături de companii, regăsindu-se în efortul nostru același scop comun: siguranța globală a utilizatorilor.

Pornind de la asta, împreună cu un prieten am pus bazele LooseByte, un nou proiect în sfera de Cyber Security. Activitatea noastră principală constă în auditul de securitate al sistemelor și serviciilor informatice. Ne dorim în acest mod să ajutăm companiile, atât din România cât și din străinătate, să fie securizate și protejate în fața atacurilor cibernetice.

Securitatea cibernetică în România

Cu toate că, la nivel global, companiile au ajuns să considere și să trateze atacurile cibernetice ca amenințări serioase ce pot pune în pericol siguranța și stabilitatea business-ului, în România securitatea cibernetică încă nu prezintă un subiect de interes.

Multe companii își doresc și fac eforturi considerabile pentru a oferi servicii performante care să fie pe placul clienților. De multe ori însă, în procesul de design și implementare a unui serviciu, se trec cu vederea cazurile speciale, adică momentele în care clientul ar putea fi chiar un hacker. Fie că extrage toate datele dintr-o bază de date, accesează informațiile altor clienți sau ia acces la servere, toate acestea sunt cazuri posibile ce pot avea un impact major asupra business-ului. Așa cum s-a dovedit de-a lungul timpului, hackerii știu să profite de aceste oportunități fiind încurajați de dezvoltarea tehnologică și de volumul considerabil de date pe care companiile au ajuns să le dețină.

Potrivit unui raport recent de securitate, 2 din 3 atacuri cibernetice vizează companiile mici și mijlocii iar 60% dintre ele își pot pierde afacerea în următoarele 6 luni, dacă nu adoptă măsuri de securitate potrivite. Hackerii sunt mult mai tentați să atace aceste companii din cauza importanței scăzute pe care acestea o acordă securității cibernetice.

Audit de securitate marca LooseByte

Serviciile pe care le oferim consta în principal în simularea de atacuri cibernetice, cu scopul de a identifica breșe de securitate. Practic, ne punem în postura unor hackeri reali care atacă o anumită companie, dar într-un mod organizat și controlat astfel încât utilizatorii să nu aibă de suferit. 

Avem o abordare tipică unui atacator, adică încercăm să găsim toate informațiile disponibile despre sistemele testate și să identificam eventuale greșeli de proiectare (ca de exemplu vizualizarea fără drept a datelor confidențiale ale unui utilizator, obținerea permisiunilor de administrator, extragerea malițioasă a informațiilor stocate în baza de date). 

Companiile pot înțelege astfel care sunt pericolele la care sunt expuse și capătă o imagine de ansamblu asupra nivelului general de securitate al sistemelor. Prin intermediul detaliilor tehnice prezente în raportul de securitate întocmit ulterior și a pașilor detaliați prezentați, dezvoltatorii pot înțelege mai bine metodele folosite de atacatori și pot implementa măsurile de securitate adecvate.

GDPR și securitatea datelor

În Europa, prin noua lege GDPR, companiile sunt obligate să păstreze datele cu caracter personal ale clienților mult mai atent și să implementeze măsuri eficiente de securitate. În caz contrar, ele sunt pasibile de amenzi sau sancțiuni iar ele pot ajunge chiar și la 4% din cifra de afaceri.

În cazul sistemelor IT, aceste măsuri cuprind evaluarea și testarea măsurilor tehnice de securitate. Orice companie care procesează sau stochează date cu caracter personal prin mijloace informatice – aplicații web, aplicații mobile, servicii de tip cloud – poate avea în vedere o testare de tip Penetration Testing sau Vulnerability Assessment. Totuși, nici rețelele interne sau cele Wi-Fi nu trebuie ignorate, ele putând fi de interes pentru atacatori, în special atunci când permit accesul la baze de date sau servicii de mare risc.

În cazul în care este nevoie, auditul de securitate se poate extinde și către servicii de Secure Code Review prin care inspectăm codul sursă al aplicațiilor în vederea identificării vulnerabilităților de securitate. De asemenea, pentru a forma angajații astfel încât să nu cadă în capcana e-mail-urilor malițioase, organizăm campanii controlate de tip Phishing.

What’s next ?

Cum tehnologia avansează într-un ritm rapid, a investi în securitate devine o necesitate pe care fiecare companie trebuie să o îndeplinească. Pe lângă riscurile financiare, breșele de securitate afectează negativ imaginea companiei diminuându-i astfel credibilitatea.

Dacă sunteți în căutare de soluții de securitate potrivite pentru nevoile companiei dumneavoastră, contactați-ne la contact@loosebyte.com sau utilizând formularul de mai jos. 

We’re here to help!

Follow us on