Czy działania hackerów są obecnie trudniejsze, gdy przeciw nim stoi cała nowoczesna technologia zabezpieczeń?

To bardzo ciekawe pytanie. Z jednej strony są firmy, które tworzą nowe, lepsze narzędzia zabezpieczeń, z drugiej strony hackerzy tworzący nowe eksploity i narzędzia służące do prób włamań. Nawet jeśli takie oprogramowanie kosztuje później 50 tys. USD, dla przestępczości zorganizowanej jest to raczej niewielki koszt. Więc ataki są trudniejsze, ale... dla amatorów.

Czy ludzie są niedostatecznie wyszkoleni?

Podczas audytów bezpieczeństwa najbardziej dziwiło mnie, że mało moich klientów w ogóle zajmowało się socjotechniką. Interesowali się podatnością systemów, sieci, czasami także telefonią VoIP, ale niewielu przykładało wagę do technik manipulacji ludźmi. Nie wiem, czy przyczyną jest niewiedza, czy może przeświadczenie, że socjotechnika zawsze działa, więc po co sprawdzać?

Czy manipulacja ludźmi jest prostsza w firmach, gdzie następuje duża rotacja personelu?

Oczywiście, że nowi pracownicy nie zawsze są szkoleni, a czasem jest to ich praca tymczasowa, więc niewątpliwie im większa rotacja personelu, tym socjotechnik ma prostsze zadanie. Zauważyłem ciekawą zależność dotyczącą agencji pracy tymczasowej. Gdy firma szuka pracownika na stałe, przy rekrutacji dokonuje sprawdzenia jego przeszłości i często oferty byłych hackerów są odrzucane. Ale tej samej polityki nie stosuje się, gdy zatrudniany jest pracownik kontraktowy. To bardzo ułatwia działanie zawodowym intruzom, gdyż mogą posiadać swojego człowieka wewnątrz organizacji.

Jak wygląda zagrożenie szpiegostwem przemysłowym?

Jest to poważne zagrożenie. Gdy przegląda się strony cybercrime.gov, gdzie publikowane są informacje o przestępstwach komputerowych, szpiegostwo przemysłowe bardzo często się tam pojawia. Przykładem jest niedawny, opisany tam wypadek, gdy obywatel USA sprzedawał poufne dokumenty Chińczykom.

Kevin Mitnick był najbardziej poszukiwanym hackerem w USA, unikał kary przez lata. W końcu został ujęty i skazany. Po zwolnieniu zaproponowano mu współpracę przy zabezpieczeniu amerykańskich systemów rządowych. Obecnie jest ekspertem w sprawach bezpieczeństwa.