Искусство вторжения - Кевин Митник
Шрифт:
Интервал:
Закладка:
Вообще-то, сотрудники Times могли бы проявить благодарность за то, что им дали время устранить зияющие дыры в их системе безопасности, прежде, чем известие о том, что их сеть полностью открыта распространилось в печати. Вероятно, информация об использовании LexisNexis сделала их настолько несговорчивыми. Однако, каковы бы ни были причины, руководство Times сделало то, чего раньше не делала ни одна из жертв Адриана — они обратились в ФБР.
Через несколько м е с я ц е в Адриан услышал, что ФБР и щ е т его и и с —чез. Агенты ФБР начали навещать его семью, друзей и приятелей. все сужая круги, и пытаясь обнаружить, не оставил ли он кому-нибудь из своих приятелей-журналистов каких-то сведений о своем местонахождении. Нескольких журналистов, с которыми Адриан делился информацией, вызвали повестками в суд. «Игра», как написал один из журналистов, «внезапно стала гораздо серьезней».
Адриан объявился через пять дней. Для собственной капитуляции он выбрал одно из своих любимых рабочих мест — кофейню Sturbucks.
После того, как пыль осела, офис Прокурора США по Южному району Нью-Йорка опубликовал пресс-релиз, в котором было сказано, что «за хакерское проникновение на сайт New York Times Адриану Ламо предъявлен иск на триста тысяч долларов». Его бесплатное скачивание информации с сайта LexisNexis, по данным правительства, составило 18% от всех обращений на этот сайт из New York Times с момента проникновения туда Адриана.
Правительство основывало свои расчеты на том, какой должна быть плата для индивидуального пользователя, который не является подписчиком LexisNexis. В этом случае стоимость одного поиска может достигать двенадцати долларов. Если даже проводить расчет на основе этого неразумного предположения, то Адриану пришлось бы делать по двести семьдесят запросов информации ежедневно в течение трех месяцев, чтобы достичь указанной цифры. Кроме того, такие крупные организации, как Times, платят ежемесячную плату за неограниченный доступ к информации LexisNexis, поэтому за все поиски Адриана они не заплатили ни одного дополнительного цента!
По словам Адриана, случай с New York Times является исключением в его хакерской карьере. Он говорит, что получал благодарности, как от [email protected], так и от MCI Worldcom (что было особенно приятно после того, как он подтвердил, что мог сделать переводы с депозитов тысяч сотрудников на свой счет). Адриан не был расстроен, но просто констатировал факт, говоря, что «The New York Times стала единственной компанией, которая захотела видеть меня заключенным».
Чтобы еще усугубить его ситуацию, правительство рекомендовало прежним жертвам Адриана подготовить оценку вреда, которую он нанес им, включая даже те компании, которые поблагодарили его за предоставленную информацию. И это не удивительно: просьба о сотрудничестве со стороны ФБР или государственных следователей является тем, что большинство компаний не может игнорировать, даже если они имеют иное мнение об обсуждаемой проблеме.
УНИКАЛЬНОСТЬ ТАЛАНТА АДРИАНА
Совершенно нетипично для хакера, но Адриан не был знатоком ни одного языка программирования. Его успех базировался на умении анализировать то, как думают люди, как они создают системы. какие процессы используют сетевые и системные администраторы для создания сетевой архитектуры. Хотя, по его словам, у него плохая оперативная память, он выявлял лазейки, пробуя Интернет-приложения компании, чтобы найти доступ в ее сеть, затем он путешествовал по сети, создавая в своем мозгу ее структуру из отдельных кусочков, до тех пор, пока не проникал в один из уголков сети, который. по мнению создателей, был упрятан в темноте недоступности и поэтому защищен от атак.
Вот его собственное описание проникновения сквозь границы защиты в неизведанное:
«Я верю, что есть много общего во всех компьютерных системах, в любой точке планеты. Мы отыскиваем эти общие места среди кажущейся индивидуальности систем. Е с л и вы сможете разгадать смысл этих построений, то это может вам помочь и привести вас в странные места. Хакерство всегда было для меня не столько технологией, сколько религией».
Адриан считает, что если он продуманно поставит перед собой задачу проникновения в определенные участки системы, то скорее всего потерпит неудачу. Если же он раскрепостит свою фантазию, и будет руководствоваться, в основном, интуицией, то он окажется там, где хотел оказаться.
Адриан не считает свой подход уникальным, но говорит, что никогда не встречал другого хакера, который бы преуспел на этом пути. «Одна из причин того, что ни одна из этих компаний, тратящих тысячи и тысячи долларов на выявление вторжений, не обнаружила меня, заключается в том, что я не делаю того, что делают нормальные хакеры. Когда я нахожу сеть, открытую для вторжения, я смотрю на нее так, как это следует делать. Я думаю: „Ну хорошо, у сотрудников есть доступ к информации о пользователях. Е с л и бы я б ы л сотрудником, ч т о бы я попросил систему сделать?“ Для системы тяжело отличить законную активность от незаконной, поскольку вы проходите через тот же интерфейс, что и сотрудники, Э т о т о т же самый трафик».
Однажды Адриан выстроил в голове структуру сети. «Это менее всего связано с числами на экране и гораздо больше с ощущением того, что ты находишься где-то внутри, чувствуя всю ее архитектуру. Это способ видеть, особый взгляд на реальность. Я не могу описать это, но я вижу это в голове. Я замечаю, что и где живет, как все это взаимосвязано и взаимодействует. И множество раз все это приводило меня к тому, что люди называют волшебством».
Во время его интервью на передаче ночных новостей канала NBC в Вашингтоне, ведущий шутливым тоном предложил Адриану попытаться взломать систему NBC. Тот ответил в прямом эфире, что через пять минут на его экране будет конфиденциальная информация этой компании.
Адриан старался смотреть на любую систему с двух точек зрения, как сотрудник и как внешний пользователь. По его мнению, именно этот «бинокулярный» взгляд подсказывает его интуиции, куда двигаться дальше. Он играет роль обычного служащего, выполняющего какую-то задачу, размышляющего и двигающегося вперед в определенном направлении. Его метод работает настолько хорошо, что люди давно перестали относиться к его невероятным успехам, как к случайным удачам.
ПРОСТАЯ ИНФОРМАЦИЯ
Однажды ночью в одной из кофеен Sturbucks, где мы как-то пили с ним, Адриану пришлось навострить уши. Он сидел там за чашечкой кофе, когда к кофейне подъехал автомобиль и из него вышли пять человек. Они присели за соседний столик, он слышал их разговор; быстро стало ясно, что они работают в правоохранительных органах, он был уверен, что они из ФБР.
«Они беседовали около часа, совершенно не обращая внимания на то, что я сижу, не притрагиваясь к своему кофе. Разговор был абсолютно нейтральный — кому что нравится или не нравится. Есть такая шутка, что о мощи организации можно судить по размеру визитных карточек и нагрудных „бейджей“, которые носят ее сотрудники. У сотрудников Ф Б Р очень маленькие „бейджи“, тогда как у сотрудников рыбного департамента — просто огромные. Поэтому, на самом деле можно говорить об обратной пропорциональности. Эти ребята так забавлялись…»
Выходя из кофейни, агенты бросили на него беглый взгляд, как будто они только что заметили молодого человека, уставившегося в чашку холодного кофе и возможно услышавшего то, что не предназначалось для его ушей.
В следующий раз Адриан смог при помощи одного-единственного звонка отыскать важную информацию об AOL (America On-Line — крупнейший Интернет-провайдер США. прим. переводчика). Их ИТ-система была прекрасно защищена, но он отыскал лазейку, когда позвонил в компанию, которая производила и прокладывала все кабели для AOL. Адриан утверждал, что обладает всеми картами прокладки кабелей. «Они поняли, что если вы додумались позвонить им, то с вами можно иметь дело». Хакер мог бы вызвать такие нарушения, которые могли стоить AOL миллионы долларов из-за простоев и ремонтных работ.
Звучит устрашающе. Адриан и я пришли к единому мнению, что можно только удивляться тому, как беззаботно люди относятся к информации.
СОВРЕМЕННОСТЬ
Летом 2004 года Адриан Ламо был приговорен к шести месяцам домашнего заключения и двум годам условного заключения. Суд приговорил его к уплате шестидесяти пяти тысяч долларов в качестве возмещения ущерба его жертвам. Учитывая возможные заработки Адриана и полное отсутствие капиталов (на данный момент он даже не имеет жилья), этот размер компенсации является совершенно губительным. При определении размера компенсации суд должен был бы принимать во внимание целый ряд факторов, включая нынешнюю и будущую возможности обвиняемого расплатиться, а также и реальные потери жертв. Приговор о возмещении ущерба не должен быть уничтожающим. По моему мнению, судья и не задумывался о реальности выплаты такой большой суммы Адрианом, но просто назначил ее в качестве устрашающего послания другим хакерам, поскольку случай Адриана широко освещался в прессе.
