Zdaniem Jacoby’ego, media niesłusznie przedstawiają hakerów jako superbohaterów, posiadających nadludzkie zdolności, które pozwalają im przełamać wszystkie zabezpieczenia dowolnej organizacji. Twierdzi on, że ataki często przeprowadzane są bez użycia skomplikowanych rozwiązań. Zamiast nich, wykorzystywana jest inżynieria społeczna, a ostatecznym celem jest człowiek.

Hakowanie po szwedzku

W ramach eksperymentu, Jacoby postanowił przeprowadzić symulowany atak na jedną z szwedzkich instytucji państwowych. Posiada ona liczący 30 osób dział IT oraz około 1500 aktywnych użytkowników, korzystających z wewnętrznej sieci. Instytucja ta ma dostęp do wrażliwych danych pochodzących między innymi z sektora zdrowia, energetycznego oraz edukacji. Choć jej budynki strzeżone są przez pracowników wyspecjalizowanej firmy oraz posiadają monitoring, dostanie się do jednego z nich, zajęło zaledwie trzy minuty. Jacoby wykorzystał chwilę, gdy ktoś wychodził z budynku i udając, że rozmawia przez telefon, po prostu wszedł przez otwarte drzwi. Jak twierdzi, rzadko zdarza się, by ktokolwiek przeszkadzał osobie prowadzącej rozmowę. W tym przypadku okazało się to prawdą.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Choć kolejne kroki przedstawiciela Kaspersky Lab wydają się nieprawdopodobne, to zostały udokumentowane i przedstawione na fotografiach. Przemieszczając się po budynku, Jacoby szybko odkrył otwarte pomieszczenie, w którym ustawione były ogólnodostępne drukarki. Za jedną z nich znajdował się przełącznik, do którego Jacoby postanowił się wpiąć. W tym samym pomieszczeniu umieścił także uprzednio skonfigurowany mikrokomputer Raspberry Pi, na którym naklejona została samoprzylepna kartka ze słowami „Nie dotykać. Dział IT”. Efekt był łatwy do przewidzenia – urządzenie nie zostało przez nikogo ruszone do zakończenia eksperymentu. W innej części budynku znaleziony został niezabezpieczony skaner, mający dostęp do całej sieci organizacji z uprawnieniami do zapisu i odczytywania plików. Jacoby uzyskał także dostęp do laptopa, którego użytkownik zalogowany był do wewnętrznej sieci organizacji. Aby to zrobić... poprosił osobę siedzącą samotnie w jednym z pomieszczeń o możliwość skorzystania z komputera. Bez żadnych pytań otrzymał maszynę.

W ramach swojego eksperymentu, Jacoby odkrył także szereg niepokojących zjawisk. Znajdowały się wśród nich:

- dane dostępowe zapisane w otwartym tekście

- brak jakiekolwiek reakcji na nieznaną osobę poruszającą się po budynku

Czy hakerzy muszą więc posiadać nadludzkie zdolności? Jak pokazuje Jacoby, w wielu przypadkach wystarczy im zwykła pewność siebie. Twierdzi on, że brak poszanowania dla podstawowych reguł bezpieczeństwa sprawia, że nawet zabezpieczenia warte dziesiątki milionów dolarów, nie są w stanie zabezpieczyć państwa wielkości Szwecji przed prostym atakiem.