Искусство вторжения - Кевин Митник

Кевин Митник, Вильям Саймон

Искусство вторжения

Предисловие

Все хакеры — и самые молодые и не очень — постоянно соревнуются друг с другом. Один из крупных призов в этом соревновании — возможность похвалиться проникновением на Интернет-сайт моей (Кевина Митника) компании, занимающейся безопасностью, или же на мой сайт.

Другой приз — хакерская история, рассказанная мне или моему соавтору Биллу Саймону так убедительно, чтобы мы, поверив в ее истинность, включили ее в эту книгу.

Все это представляло собой увлекательное занятие, игру умов, которой мы предавались долгое время, проводя многочисленные интервью для написания этой книги. Для большинства журналистов и авторов установление личности говорящего — дело совсем простое: действительно ли это тот человек, за которого себя выдает? Действительно ли он работает на ту компанию. о которой говорит? Действительно ли он занимает в ней тот пост, на который претендует? Есть ли у него документальные подтверждения рассказанной истории, и могу ли я удостовериться в их подлинности? Есть ли заслуживающие доверия свидетели всей его истории или хотя бы ее части?

Для хакеров ответить на эти простые вопросы совсем не так легко. Большинство из людей, чьи истории приведены в этой книге (за исключением тех немногих, кто уже сидит в тюрьме), должны были бы подвергнуться судебному преследованию, если бы их личность была установлена. Поэтому не надо пытаться узнать подлинные имена рассказчиков или искать доказательства изложенных фактов.

Все эти люди поделились своими историями только потому, что полностью доверяли мне. Они знали, что на меня можно положиться, и я их не предам. Именно поэтому, несмотря на весь риск, они рассказали о своих хакерских «достижениях».

Тем не менее, нельзя забывать о том, что рассказчики иногда кое-что преувеличивают, — для большей убедительности, а может быть, и вся история — выдумка, но построена на таких правдивых деталях, что выглядит правдой.

Осознавая, что такой риск есть, в процессе всех интервью я проверял достоверность каждой детали, требуя подробных доказательств тому, что вызывало хоть какое-то подозрение. и требуя повторных рассказов, чтобы удостовериться, что рассказанная второй раз история звучит в точности так же, как и в первый. У меня подозрения вызывало даже то, что рассказчик порой не мог вспомнить важные детали, или же объяснить, как он попал из точки А в точку В.

Если я специально не оговариваю в какой-то части истории, что она выдумана, значит — это правда. Мы с моим соавтором включили в эту книгу только истории тех рассказчиков, кому могли доверять. Тем не менее, мы часто меняли некоторые детали, чтобы защитить не только хакеров, но и их жертвы.

В то же время надо понимать, что производители ПО и оборудования постоянно повышают уровень безопасности, поэтому большинство из описанных здесь «лазеек» в системах безопасности уже устранены. Это может породить иллюзию того, что поскольку они устранены, то читателям и их компаниям не о чем беспокоиться. Однако мораль этих, историй, независимо от того, произошли они шесть месяцев или шесть лет назад, заключается в том, что хакеры находят новые и новые лазейки каждый день. Читая эту книгу, думайте не о том, чтобы изучить конкретные уязвимые места тех или иных устройств. а как изменить ваш подход к проблеме безопасности и приобрести новый опыт.

Думаю, в процессе чтения книги вы испытаете удивление, восторг и даже восхищение фантастическими ухищрениями этих невероятно изобретательных хакеров.

Некоторые из них могут вас шокировать, другие — откроют глаза, а третьи — заставят рассмеяться над находчивостью этих ребят. Если вы профессионал в области информационных технологий (ИТ) или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании. Если же вы не имеете отношения к технике и просто любите детективы, истории о рисковых и мужественных парнях, то все это вы найдете на страницах этой книги.

В каждой из рассказанных историй ее герои постоянно существуют под страхом того, что полицейские или агенты службы безопасности постучат в дверь с наручниками наготове. И довольно часто именно так и происходит.

Для тех, кому повезло, остается возможность попадать в новые истории. Как правило, участники событий, описанных в этой книге, никогда о них не рассказывали. Большинство из приключений, о которых вы прочтете, видят свет впервые.

Глава 1.

Ограбление казино на миллионы долларов

Как только кто-то скажет: «Ни у кого не возникнет желания ввязываться в проблемы, чтобы сделать это», как появятся несколько финских ребятишек, которые как раз и захотят ввязаться в эти проблемы.

В судьбе игрока всегда наступает такой момент, когда нервное напряжение материализуется в нечто реальное, азарт берет верх над осторожностью, и рулетка в казино становится похожа на гору, ждущую, чтобы ее покорили. В такой момент идея обхитрить рулетку или игральный автомат кажется вполне осуществимой.

Алекс Майфилд и три его приятеля сделали то, о чем многие могли бы только мечтать. Как и многие другие хакеры, они начали с простых мысленных упражнений и проверки их на правдоподобность. В конце концов, они победили систему казино и «облегчили» его, по словам Алекса, примерно на миллион долларов.

В начале девяностых годов все четверо работали консультантами в сфере высоких технологий и считали свою жизнь скучной и обычной. «Что такое жизнь: вы работаете, зарабатываете деньги, потом перестаете работать и, наконец — умираете».

Лас-Вегас был от них очень далек, — где-то в кинофильмах и телевизионных шоу. Поэтому, когда им предложили разработать некоторое ПО и затем представить его на выставке в Лас-Вегасе, они с удовольствием согласились. Для каждого из них это был первый визит в Лас-Вегас, причем за чужой счет — кто откажется от этого? Отдельные номера для каждого из них в одном из лучших отелей Лас-Вегаса позволяли Алексу взять с собой жену, а Майку — подружку. Таким образом, две пары плюс Ларри и Марко готовились хорошо провести время в этом «городе греха».

По словам Алекса, они мало что знали об азартных играх и не знали, чего ждать от Лас-Вегаса: « В ы выходите из самолета и видите старушек, играющих в игральные автоматы, и постепенно заражаетесь всем этим»…

…После того как выставка завершилась, они сидели все вместе с двумя своими дамами в игровом зале своего отеля, поигрывали в автоматы и потягивали пиво, когда жена Алекса произнесла роковую фразу:

— Ребята, ведь эти машины построены на основе компьютеров. а вы — специалисты по компьютерам, так почему вы не можете сделать так, чтобы мы выигрывали почаще?

Ребята тут же направились в номер Марка и уселись в кружок, рассуждая о том, как могут быть устроены игральные автоматы.

ИССЛЕДОВАНИЕ

Как говорится, процесс пошел. «Идея буквально втемяшилась в четыре наши головы и, вернувшись домой, мы начали ее обсуждать», — с удовольствием вспоминает Алекс эту креативную стадию всей истории. Очень быстро исследователи утвердились в своих начальных подозрениях: «Действительно, игральные автоматы основаны на компьютерных программах. Поэтому мы стали обдумывать способы взлома этих машин».

Есть люди, которые побеждают игральные автоматы, «заменяя программу», то есть, добираясь до компьютерного чипа в автомате и заменяя ПО на ту версию, которая будет выплачивать им большие выигрыши, чем предусматривает казино. Другие преуспевают в своем мошенничестве при помощи техника, обслуживающего автоматы. Для Алекса с приятелями такое грубое вмешательство в жизнь автомата было похоже на то, «как если бы мы ударили старушку по голове и отобрали у нее кошелек». Они рассматривали свою будущую «схватку» с казино, как своеобразный вызов своему интеллекту и программистским способностям. Кроме того, ни у кого из них не было талантов социального инженера — они были компьютерными специалистами и не знали, как втереться в доверие к сотруднику компании и убедить его реализовать схему изъятия некоторой суммы денег у казино.

Однако, как подступить к проблеме? Вот что вспоминает Алекс: «Мы рассуждали о том, как мы могли бы предсказать возможные последовательности выпавших карт. Или же, о том, как отыскать „черный ход“ (программное обеспечение, дающее возможность несанкционированного доступа к программе), который некоторые программисты могут использовать в своих целях. Все программы пишутся программистами, а программисты такие же люди, как и все мы. Мы думали о том, как можно было бы пробраться через заднюю дверь, нажимая определенный набор клавиш, или же отыскать определенные просчеты программистов, которые можно было бы использовать в своих интересах».