Новые усовершенствования в системах безопасности сами по себе не смогут защитить вас от плохих парней. Вы всегда должны на шаг опережать их
Таким Кевин Митник был изображен на выпущенном в 1992 году Министерством юстиции плакате о его розыске
“Все они идиоты, - рассказывал мне Кевин Митник, когда я собирал информацию для книги о его знаменитых проникновениях в сети компаний. - Они подключают рабочие станции к Internet, а затем запускают программу шифрования на Unix-машине, так что я просто вхожу через "черный ход" и узнаю пароль”.
Победы хакеров могут вызвать у вас скептическое отношение к последним достижениям в компьютерной безопасности. Конечно, шифрование, брандмауэры, программы обнаружения атаки и цифровые идентификаторы - это полезные средства, но я не из тех, кто рассчитывает на чудесное лекарство. Еще один бывший кракер, Кевин Троумен, сказал мне недавно: “Если люди используют шифрование, это не делает их умнее”.
Двух парней, носящих одно и то же имя, разделяют восемь лет тюрьмы, но они в чем-то очень похожи. Они помогли мне узнать, что думает другая сторона. Звонить мне поздно ночью из телефона-автомата Кевин Митник начал больше двух лет назад, когда скрывался от ФБР и малоизвестного “волшебника” компьютерной безопасности Цутому Шимомура. Кевин Поулсен, возможно, менее известен, но не менее интересен. Обвиненный во всех преступлениях, от шпионажа до манипуляций с радиовикторинами, - он выиграл два автомобиля Porsche, - Поулсен недавно отбыл пятилетний срок в федеральной тюрьме.
Осенью прошлого года в федеральном обвинительном акте содержались лишь намеки на преступления Митника. С тех пор я нашел некоторые корпорации, которые, как предполагается, стали его жертвами, и составил более четкую картину. В действительности целью хакера были такие промышленные гиганты, как Motorola и NEC. У них что, была плохая система компьютерной безопасности? Вовсе нет. Преподал ли Митник этим многонациональным корпорациям некоторые очень важные уроки? Да.
Главные преступления, приписываемые Митнику, - это незаконное присвоение ПО, принадлежащего звездам мира высоких технологий - Motorola, Nokia, Fujitsu, Novell и NEC. Представители правительства в частных беседах говорят, что эти компании потеряли 80 млн. долл. Некоторые компании, правда, заявляют, что правительство преувеличивает, а Митник, по-видимому, занимался этим в основном ради острых ощущений. Однако опасность очевидна. Хакер, обладающий мастерством Митника и работающий на конкурентов или иностранные правительства, легко мог бы с помощью таких атак похитить секреты стоимостью в миллионы долларов.
Как Митник это делал? Источник в Motorola утверждает, что хакер применил прием, который сейчас кажется устаревшим. Он установил анализатор пакетов для определения паролей. Кроме того, он использовал то, что называется “социальными технологиями”. Чтобы выудить у фирмы Motorola информацию, необходимую для совершения кражи, Митник звонил в компанию и выдавал себя за руководителя. “Он действительно переместил фрагмент кода, - подтверждает официальный представитель Motorola. - То есть похитил исходные тексты”. Сейчас в компании установлены новые правила, касающиеся сообщения информации по телефону.
К счастью для Motorola, компания не обнаружила “признаков злоупотребления или мошенничества”. Другими словами, Митник не причинил вреда ее компьютерам и, насколько можно судить, не планировал продавать исходные тексты ее программ. В защиту Motorola можно сказать, что в то время анализаторы пакетов еще были новинкой, а Митник оказался талантливым социальным технологом. У последующих жертв было меньше оснований для оправдания.
Несколько месяцев спустя атаке подвергся еще один ведущий производитель сотовых телефонов. “К тому времени уже все знали об анализаторах пакетов”, - рассказал один из сотрудников фирмы, ставшей жертвой хакера. Похоже, о них не знали только сотрудники этой фирмы. Но ей повезло. Хотя Митник позаимствовал исходные тексты программ, которые управляют работой сотовых телефонов и других устройств беспроводной связи, его, по-видимому, не интересовали деньги или разрушение.
С технической точки зрения слабости защиты от атак Митника нет оправдания, поскольку продукты для борьбы с ними уже были широко доступны. Однако часто существует временной разрыв между появлением новейших методов проникновения в сеть и моментом, когда компании исправляют ошибку. Существует бессчетное число списков рассылки в Internet и узлов World Wide Web, где еженедельно помещаются сообщения о новых ошибках операционных систем, которые могут обеспечить доступ в ОС. Поддержание безопасности - это быстро движущаяся цель.
Хакеры изучают уязвимые места компьютерных систем более тщательно и обмениваются информацией оперативнее, чем большинство профессионалов компьютерной безопасности. Если вы не залатаете брешь в течение нескольких дней, вы можете оказаться следующей жертвой.
Так хочется надеяться, что готовые пакеты шифрования и другие технические новшества позволят устранить этот риск. Но затем я вспоминаю рассказы Митника о том, как часто компании делают ошибки при развертывании таких средств, например, просто забывают удалить расшифрованные сообщения, и надежда исчезает. С этим связана и другая, более тонкая проблема. Часто оказывается, что чем больше технологий покупает корпорация, тем надежнее становится ее аура неуязвимости - аура, сквозь которую просто обожают проникать такие люди, как Кевин Митник.
Необходимость выйти в Internet и Web создает еще одну дилемму. Возможно, Web - это будущее, однако общее отсутствие безопасности в ней отбрасывает нас в эпоху хакерского Дикого Запада. В течение последних нескольких месяцев подверглись нападению и были покрыты посторонними надписями Web-узлы ВВС США, Министерства юстиции и ЦРУ. Фотографии полуобнаженных телезвезд из шоу “Друзья” - это совсем не те образы, которые Минюст хочет представить публике.
Соблазнительно думать, что технология и жесткая линия правительства в отношении хакеров позволят избавить наши сети от преступлений. Однако задумайтесь над тем, что недавно сообщил конгрессу директор ЦРУ. Хакеры-террористы, предупредил он, могут нанести телекоммуникационной и информационной инфраструктуре страны удар, обладающий разрушительной силой ядерной атаки.
Помните Кевина Поулсена? Он написал программу, которая работала на компьютерах телефонной компании Pacific Bell и сообщала ему почти о всех прослушиваемых ФБР телефонах в штате Калифорния. Он нашел телефоны, прослушиваемые по подозрению в организации массовых беспорядков, по делам о незаконном обороте наркотиков и национальной безопасности. Он также мог по своему желанию прослушивать переговоры любого человека. И это всего лишь мальчишка без диплома об окончании средней школы и без политических целей. Представьте себе, что могут сделать действительно опасные преступники.
Джонатан Литтман
Джонатан Литтман - независимый автор из Милл-Вэйли (шт. Калифорния), выступает с лекциями о проблемах компьютерной безопасности. Ему принадлежат книги “Игра беглеца” и выходящая вскоре “Часовой: сломанная жизнь и преступления хакера-рецидивиста Кевина Поулсена”.
