Кевин Митник - Искусство вторжения

Американские знатоки языка фарси опять взялись за работу, используя на этот раз тот же метод, который они применяли раньше для разрушения радиосвязи. Можно представить себе выражение лица какого-нибудь полковника или генерала, когда в его ушах звучал все тот же голос, но уже по телефонной линии: «Привет, это опять „Браво-5“. Как идут дела?»

Они вполне могли добавить и что-то еще более издевательское, типа: «Нам очень не хватало вас, как здорово опять встретиться».

В этот момент у иракских военных просто не оставалось возможностей для современной связи. В качестве последнего средства они стали писать свои приказы на бумаге и посылать пакеты на машинах к полевым командирам, которые писали ответы и посылали машины назад через жаркую и пыльную пустыню в штаб. Самый простейший запрос и ответ отнимали много часов. Практически невозможно стало скоординировать действия нескольких частей, поскольку для этого надо было тщательно рассчитывать одновременную доставку пакетов к каждой из них.

Это был явно неэффективный способ противостоять быстро передвигающимся американским войскам.

Вскоре после того, как началась война в воздухе, перед группой американских летчиков была поставлена задача отслеживать машины, перевозящие приказы между известными местами расположения иракских частей. Летчики начали выслеживать эти машины и выводить их из строя. Буквально через несколько дней иракские водители отказались перевозить пакеты между войсками, поскольку они поняли, что это верная смерть.

Все это означало практически полный выход из строя системы управления и командования в иракской армии. Даже когда центральному командованию Ирака удавалось передать войскам ту или иную команду по радио, рассказывает Майк, «войска приходили в ужас, поскольку они знали, что все то же самое слышат и американские военные, и эта информация будет использована для организации атаки на их расположение, особенно если войска решались ответить на приказ, что означало, что они живы и их тем более надо уничтожать». Чтобы хоть как-то попытаться сохранить жизнь, некоторые иракские подразделения выводили из строя свои уцелевшие устройства связи, чтобы они не могли принимать входящие приказы.

«Короче говоря, — вспоминает Майк с явным удовлетворением, — иракская армия достаточно быстро пришла в состояние хаоса и бездействия на многих участках фронта, поскольку никто не мог — или не хотел — связываться с другими частями».

СЕРТИФИКАТ НА ПОДАРОК В МИЛЛИАРД ДОЛЛАРОВ

Все, что вы прочтете сейчас, прямая цитата из нашего разговора с одним бывшим хакером, который сейчас — уважаемый и процветающий консультант в области безопасности.

«Суть очень проста, приятель. „Почему вы грабите банки, мистер Хор-тон?“. — „Потому что там много денег“.

Я расскажу вам забавную историю. Мы с одним парнем Фрэнком из агентства национальной безопасности — я не буду называть его настоящего имени, потому что он сейчас работает на Microsoft — получили заказ на проверку системы защиты (тест на проникновение) от компании, которая изготавливала цифровые подарочные сертификаты. Я не буду называть и их.

Что же мы там натворили? Думаете, взломали шифр в подарочном сертификате? Ничуть не бывало — тут все было сделано по высшему разряду. Сертификаты был качественно защищены и пытаться взломать их было пустой тратой времени. Что же мы решили атаковать? Мы решили понять, как торговцы «обналичивают» эти сертификаты. Это была своеобразная атака изнутри, поскольку нам было разрешено пользоваться именем и паролем торговца. Мы довольно быстро нашли брешь в его системе, которая позволяла нам исполнять с его компьютера любую команду. Э т о было совершенно детское и несложное занятие, которое не требовало никаких особых талантов и умений, надо было просто хорошо знать, что вы ищете. Я не являюсь ни криптографом, ни математиком. Я просто знаю, какие ошибки обычно делают люди в программных приложениях, и они делают их снова и снова. В той же самой сети, где был расположен центр обналичивания сертификатов, у них было соединение с машиной, которая изготавливала эти сертификаты. Мы влезли в эту машину из компьютера, которому она доверяла. Вместо того, чтобы проникать в корневую директорию, мы просто изготовили сертификат, содержащий тридцать два бита и на нем была указана сумма подарка в долларах.

У меня до сих пор есть этот сертификат на один миллиард и девятьсот миллионов долларов. И это абсолютно законный сертификат. Кто-то сказал, что надо было его оформить в английских фунтах, тогда денег было бы еще больше.