بيعتبر Jayson E. Street مختبر اختراق محترف اكتشف ثغرات أمنيّة وساعد في إصلاحها بكثير من البنوك حول العالم. بس كمان الأشخاص المحترفة متله بيعملوا أغلاط عويصة.
يوم من الايام، وظّفت بنك ببيروت Street لينفّذ تدريب أمني. وهيدا التدريب بيعتبر تجربة عن اختراق امني بيهدف لتطوير أمن المؤسّسة ويعلّم الموظفين عن المخاطر وكيف فيهن يتجنبوها.
كيف صارت
“مش ضروري اتجاوز جدار أو برنامج حماية الشركة إذا فيني اتجاوز موظّف الاستقبال”.
Jayson E. Street
تنفهم على المزبوط شو بيعمل Street وكيف بيعملها، لازم نرجع كم سنة لورا قبل ما يفسد شغله ببنك ببيروت.
بـ2013، قدر Street إن يقوم بمهمّة ببنك ببيروت.
كان لازم يختبر أمان 3 فروعة من بنك ويطلّع الـuser ID والـpassword والـsmartcard والكومبيوتر والشبكة.
كانت إحدى التقنيات الرئيسية اللي استعملها Street بهيدي الوظيفة ان يبرز صلاحيته كرمال يوثقوا في – أو حتى يتجاهلوا كليًا – موظفين البنك والمدراء التنفيذيين. كيف؟
مثالاً، وقتا فات على الفرع الأول من الفروع الثلاثة، بكلّ ثقة، راح مباشرة على مكتب المدير، وتجاوز المدراء التنفيذيين، ونطر قدام الباب لفترة بلا ما يفوت عند المدير، ورجع بعدين على مكتب المدير التنفيذي، وكأنه بيعرف بالضبط وين رايح.
هونيك، خبر المدير التنفيذي أن لازم يلقي نظرة على الكمبيوتر لأنه عم يعمل تدقيق (audit)، وكب كم كلمة تقنيّة تيصدقه.
سمح له المدير التنفيذي، اللي ربط تلقائيًا وصوله من اتجاه مكتب المدير بالصلاحية والشرعية، بتوصيل USB Rubber Ducky (USB مبرمجة للهاك؛ قادفيها تسبب كتير أضرار) بالكمبيوتر.
ومع إن كانت الـRubber Ducky مبرمجة بس لتفتح مذكرّة – بما إن السرقة منها حقيقيّة – عرّض Street آمان البنك لخطر. بس كان بعدو مبلش.
من بعد ما شافوا بمكتب المدير والمدير التنفيذي، صار الهاكر عنده صلاحية أكبر.
قدر بالآخر يخترق كومبيوتر اثنين من المدراء وكل الصرّافين بس بدقيقتين ونصف.
من بعد ما سرق البنك، جمّع كل الموظفين وخرهن شو عمل.
فسّرلن كيف نسرقوا بلا ما حدا منن ينتبه ورجع علّمن على الطرق تيتجنّبوا هالمشكلة بالمستقبل.
رجع راح Street على غير فروعة من البنك وتصرّف بنفس الطريقة وقدر إن يطلّع الـuser ID والـpassword والـsmartcard والكومبيوتر والشبكة. ومتل العادة صدم الكلّ.
بس في مرّة ما زبطت معه
بعد كم سنة، رجع إجا Street عبيروت وتواصل مع البنك اللي بدو يأدّي فيها مهمته. وخبّر قصته بحلقة من Darknet Diaries.
وقتا وصل، كان بدو يفوت على الحمّام. حسب خبرته، طلع على الطابق التاني ولاقا الحمّام.
وقتا نزل، شاف شخصين عم يشتغلوا بمكتب. فات لعندن وقلّون إن بيشتغل مع شركة مايكروسوفت وفرجاهن بطاقة مزيّفة وبلّش يشتغل.
شكّ الـRubber Ducky بالكومبيوتر وكان خلّص شغله بما إن بكفّي يسحب كلّ المعلومات اللي بحاجة إلها من كومبيوتر واحد.
بس كان بدو إن يشاركوا كلّ الموظفين بالتدريب تيتعلموا أكثر وأسرع. فبلّش يخترق كلّ الكومبيوتر.
وهو وعم يشتغل، قرّب واحد منه وسألوا شو عم يعمل. فسّرلوا Street إن هو بيشتغل بميكروسوفت وبعتوا ليعمل تدقيق.
ورجع فرجا الإيمايل اللي بعتو مدير المالية تبع البنك على الـiPad. وبالحقيقة، كان الإيمايل ببرهن صلاحيته مع إن كان مزيّف.
فقال هيدا الشخص لـStreet إن الإيمايل ما بكفّي وهو بحاجة لموافقة المشرف. فراح فرجي نفس الإيمايل على الـiPad. بس ما كان متوقّع يسمع الحكي اللي طلع من المشرف.
“هيدا الإيمايل للبنك اللي حدنا”. “شو عم تعمل هون وشو شكات بالكومبيوتر؟”
بهيدي اللحظة، فهم Street إن سرق البنك الغلط. تلبك وما قدر يقول شي غير: “ما لازم كون هون”.
صار واقف Street بمكتب مدير البنك وحواليه مجموعة موظّفين كتير معصبين.
جربّ يشرحلن الوضع وإم الـUSB ما فيها شي وكان عم يعمل تدرب وإذا نبّشوا عإسمه على Google بلاقوا. بس ما مشي الحال.
ففكّر إن إذا بشكّ الـRubber Ducky بكومبيوتر المدير بصدقوا.
عملها طلعت عالشاشة مفكّرة. بس وقتا شاف تعابير وجّ الناس اللي حواليه، عرف إن غلّط.
بالنسبة إلهن، اخترق Street كومبيوتر تاني.
بهيدا الوقت، كان المدير اللي بعت ورا Street عم بنبشّ عليه لأنّه تأخّر على الموعد.
فوقتا لقيوا، فسّروا للناس بالبنك شو صار.
بس اضطروا يبعتوا Street على المكتب الرئيسي تيتأكّدوا إن الآدات اللي استعملها نضيفة. بس نقلوا لهونيك، كان بعده ملبّك.
ضلّوا بالمكتب الرئيسي 4 ساعات، نصون كان بالاستجواب والنصّ التاني كان عم يعمل التدريب للموظّفين.
لحسن حظّه، فلّ Jayson E. Street من لبنان من دون عقوبة.
ورجع بالآخر عمل التمرين بالبنك الأساسيّة بكلّ نجاح.