Xakep #305. Многошаговые SQL-инъекции
Правительственные организации США все больше внимания уделяют кибернетической безопасности и взаимодействию с «белыми» хакерами. После десятилетия закрытости и усиления мер безопасности, спецслужбам страны кажется стало понятно, что совместная работа с экспертами и лидерами в такой непростой области гораздо выгоднее, чем отрицание их участия в обеспечении безопасности критических компьютерных инфраструктур.
Так генерал Кейт Александр, командующий U.S. Cyber Command и директор Агентства национальной безопасности США, пожалуй одной из самых влиятельных спецслужб в США и в мире, поставил вопрос ребром во время своего основного доклада на конференции RSA, которая состоялась в феврале.
«Обеспечение безопасности сети нашей страны — это командный вид спорта», — открыто заявил он хакерам и специалистам по компьютерной безопасности. «Для выполнения этого нам нужно работать всем вместе. Нам нужна ваша помощь».
То, что еще несколько лет назад казалось странным и невозможным в современных условиях становится нормой. Все в той же конференции, например, выступили такие значимые персоны государства, как бывший директор Министерства национальной безопасности Майкл Чертофф, бывший директор Агентства национальной безопасности и директор национальной разведки Майк МакКоннелл, Джеймс Льюис, директор программы политики в сфере технологий в Центре стратегических и международных исследований. Все это время они достаточно удачно завоевывают доверие и внимание таких закрытых по своей природе специалистов, как хакеры.
Лидеры разведок и спецслужб призывают хакеров на службу — нонсенс? Вовсе нет. Очевидно, что США отчаянно нуждаются в компетентных кадрах и проверенных «местных» специалистах, способных обеспечить лучшую защиту промышленности и финансовым институтам. Сейчас, когда работа практически всех предприятий завязана на компьютерные сети и программы управления, обеспечение их безопасности — критически важная задача, и это понимают руководители государства.
Как результат — участие глав и ведущих специалистов АНБ, Минобороны и Министерства госбезопасности в компьютерных конференциях, конкурсы для молодежи и начинающих, бонусы для ИТ-специалистов, желающих идти на государственную службу.
Например, корпорация Northrop Grumman выступила главным спонсором шестых ежегодных соревнований в области кибербезопасности Mid-Atlantic Collegiate Cyber Defense Competition (CCDC). Место действия – лаборатория прикладной физики на территории университета Джона Хопкинса в городе Лаурэль, Мерилэнд. Соревнование предоставляет возможность студенческим командам из колледжей и университетов побороться с «красными» хакерами, которые пытаются взломать их сети.
Northrop Grumman — одна из крупнейших американских военно-промышленных компаний, работающая в области электроники и информационных технологий, авиакосмической отрасли, судостроении. Она строит атомные авианосцы, новейшие самолеты, занимается военной электроникой.
Northrop — и студенты старших классов и колледжей? Да, именно так.
«Подготовка завтрашних рабочих ресурсов является главным приоритетом для Northrop Grumman», — сообщила Диана Миллер, операционный директор Northrop Grumman Cybersecurity Group и программный директор CyberPatriot. «Такие соревнования дают студентам реальную возможность протестировать свои навыки в области сетевой защиты и посмотреть, как их действия непосредственно влияют на работу компании, и насколько важно защищать компьютерные ресурсы. Они также обеспечивают компаниям, таким как наша, замечательную возможность отобрать лучшие и самые яркие таланты».
Америка озабочена кибернетической безопасностью и будущим своих сетей, последовательно развивая и направляя свою молодежь на службу страны. А что же Россия? К сожалению пока подобного энтузиазма в нашей стране не наблюдается. Пошли бы российские хакеры на конференцию, организованную, например, ФСБ? Пока, очевидно, нет. Однако это не значит, что ее не следует организовывать. Планомерно уделяя внимание развитию информационной безопасности наши спецслужбы, так же, как американские, могут шаг за шагом укреплять свой имидж в глазах киберсообщества и специалистов. И в конце концов они могут превратиться из «страшилки для хакеров» в партнеров тем, кто хочет работать на законном основании и обеспечивать безопасность уже наших сетей.