Criminalitatea informatică în România e predominat reprezentată, in opinia publicului general, de vânzările unor produse fictive sau crearea unor pagini de phishing ale unor site-uri populare cu scopul de a deturna diverse conturi pentru acces la diverse resurse financiare sau nu.

Există, în general, o conceptie gresita despre ce reprezintă termenul de hacking şi se poate discuta foarte mult în jurul acestui subiect, însă pentru acest material o să mă limitez strict la partea din hacking ce se referă la accesul sau folosirea unui sistem public online în alt fel decât acesta a fost conceput.

Nu există software 100% sigur din punct de vedere al securităţii, există întotdeuna vulnerabilităţi, scăpări ale dezvoltatorilor software, care sunt căutate în mod activ de o multitudine de oameni cu diverse scopuri. O parte din aceşti oameni fac audit profesional şi cad în categoria de cercetători pe securitate.

Hacking-ul la acest nivel se face, fie din punct de vedere profesional, ca audit, din pasiune şi pentru portofoliu, sau cu intenţii mai puţin decente care într-un final pot aduce diverse câştiguri sub formă financiară.

Problema este că cei care fac acest lucru pe cont propriu şi fără intenţie maliţioasă cad undeva într-o zonă gri a legalităţii şi intervine riscul ca o persoană bine intenţionatムsă primească, în loc de un "simplu €œmulţumesc" sau de "€œmulţumesc, cu ce am putea să te răsplătim?", o reacţie complet iraţională de genul "Ne vedem la proces".  

Acest lucru descurajează pe cei cu intenţii bune şi lasă o grămadă de găuri de securitate deschise pentru omul negru.

 


Trei exemple inspirate din viaţa reală ale aceleiaşi persoane

Alexandru (nume fictiv) este student la Informatică, a experimentat şi a lucrat cu numeroase limbaje de programare dar s-a oprit la tehnologii web. A prins gustul securităţii informatice şi l-a transformat în hobby. Acum studiază şi aprofundează cunoştinţele în domeniul securităţii informatice, face research şi experimentează. Descoperă şi raportează vulnerabilităţile găsite în servicii online (fie site-uri, sau aplicaţii), unele găsite chiar întâmplător. Socializează, urmăreşte şi menţine legătura cu alţii ce au aceeaşi pasiune, oameni atât din mediul romanesc cat şi din spaţiul cibernetic internaţional, mediu din care îşi trage foarte multe cunoştinţe şi informaţii despre cele mai noi breşe şi probleme de securitate.

  1. Alexandru găseşte vulnerabilităţi într-un serviciu al unui telecom din top 3 folosit în România. Ia legătura cu aceştia, le menţionează faptul că ar dori să mediatizeze vulnerabilităţile găsite după ce acestea sunt rezolvate. Vendorul reacţionează pozitiv şi îşi dă acordul prin e-mail cu privire la condiţia cerută de Alexandru, atâta timp cat nu publică informaţii private ale serviciului în cauză.
  2. Acelaşi Alexandru găseşte câteva vulnerabilităţi într-un alt serviciu al unui alt telecom din acelaşi top 3 din România. Are o abordare similară, are aceleaşi condiţii iar vendorul reacţionează, din nou, pozitiv. Mai mult decât atât, Alexandru se întâlneşte cu Chief Technology Officer şi Information Security Consultant de la acel telecom. Aceştia îşi arată interesul pentru rezolvarea cat mai urgentă a problemelor de securitate şi îl invită în unul din magazine, oferindu-i posibilitatea de a primi GRATUIT un telefon mobil de ultimă generaţie, la alegere.
  3. Din nou, Alexandru descoperă câteva vulnerabilităţi grave într-un serviciu romanesc de VOIP. Foloseşte exact aceeaşi abordare ca în celelalte cazuri, acel mesaj, informaţii clare fără a lăsa loc de interpretări care să ducă în direcţia de black hat. Totuşi, spre surprinderea lui în mesajul primit de la administrator, acesta este jignit cu ameninţări de deschidere a unui proces pe numele lui, cu etichete precum “criminal” samd.
 

Ce trebuie să se înţeleagă este că o vulnerabilitate raportată salvează o companie de la posibile pagube financiare şi oamenii care raportează aceste vulnerabilităţi nu trebuie ameninţaţi ci recompensaţi! 
 

Raportarea vulnerabilitatilor