Кевин Митник - Искусство вторжения

После проникновения во внутреннюю сеть он обнаружил и другие уровни безопасности, где для проникновения на Интернет-сайты нужны были пароли. Некоторые люди, я уверен, сочли бы удивительным, насколько внимательным старается быть атакующий типа А д —риана, и как много времени он готов провести в своих попытках проникновения и сеть компании. Через два месяца Адриан наконец решил, что пришла пора приступать к делу.

Он получил доступ к системе управления кадрами WorldCom, где узнал список имен и номеров социальной страховки для всех 86000 сотрудников. Обладая этой информацией и датой рождения человека (которую можно найти на сайте anybirthday.com), он получал возможность поменять пароль сотрудника, а также доступ к такой приватной информации, как заработная плата и контактные телефоны. Он мог даже добраться до депозитов сотрудников и переводить их заработную плату на свой счет. Он не соблазнился такой возможностью, но знал, что «куча народу не задумываясь разрушила бы город, чтобы получить несколько сотен тысяч долларов».

ВНУТРИ MICROSOFT

Во время наших бесед Адриан ожидал приговора за несколько компьютерных преступлений: он рассказал историю, за которую его не судили, но она была включена в информацию, собранную следователями. Однако, не желая себе дополнительных сроков заключения, он чувствовал, что должен быть особенно осторожным, рассказывая историю о Microsoft. Надо держать язык за зубами. объяснял он, и везде где только можно вставлял слова «как мне приписывают».

«Я могу рассказать, что мне приписывают. По их словам, я обнаружил (как мне приписывают) Интернет сайт, на который можно входить без авторизациии, на нем не было указания, что это секретный сайт и на нем не было ничего, кроме функции поиска».

Даже этому «королю» программирования не всегда удается держать свои компьютеры в безопасности.

Введя имя, Адриан (как ему приписывают!) обнаружил детальный список онлайн-заказов пользователей. По словам представителей правительства, говорит Адриан, этот сайт содержал информацию о заказах и их выполнении для всех, кто когда-либо заказывал что-нибудь на Интернет-сайте Microsoft, там же содержалась информация о тех случаях, когда кредитные карточки не были приняты к оплате. Совершенно недопустимо было, чтобы такая информация вышла за пределы компании.

Адриан объяснил детали взлома системы безопасности Microsoft журналисту из The Washington Post, которому он доверял, выдвинув свои обычные условия, что ничего не будет опубликовано до тех пор, пока брешь не будет устранена. Журналист передал все детали в компанию Microsoft, где сотрудники ИТ-службы решили не воспринимать это послание как предупреждение. «Microsoft решил выдвинуть обвинение», —говорит Адриан. «Они оценили ущерб в большую сумму — сто тысяч долларов». Потом они передумали. Адриану было сказано, что компания Microsoft «потеряла этот счет». Обвинение во взломе сайта осталось, но без какой-либо суммы в долларах. (Из онлайновых архивов газеты The Washington Post следует, что издатель не счел все произошедшее достаточно интересным для публикации в газете, несмотря на то, что мишенью взлома была компания Microsoft, а всю информацию добыл их собственный сотрудник. Можно только удивляться такому решению).

ГЕРОЙ , НО НЕ СВЯТОЙ : ПРОНИКНОВЕНИЕ В NEW YORK TIMES

Однажды Адриан сидел и читал New York Times, когда его озарила мысль, что можно найти пути для взлома компьютерной сети газеты. «У меня уже был доступ в The Washington Post», вспоминает он, но признает, что попытку нельзя назвать плодотворной, поскольку «там не нашлось ничего достаточно интересного».

Казалось, что Times представляет более сложную проблему для взломщика, поскольку они гораздо более остро воспринимают проблему безопасности в связи со ставшим широко известным несколько лет назад случаем хакерства, когда группа под названием H4G («Хакерство для девчушек») проникла на сайт газеты. Взломщики критиковали автора раздела «Технологии» в Times Джона Маркоффа за его статьи обо мне, статьи, которые внесли свой вклад в очень жесткое отношение ко мне со стороны Министерства юстиции.

Адриан вышел «на старт» и приступил к работе. Вначале он посетил Интернет-сайт и обнаружил, что тот находится на аутсорсинге, его поддерживают не сотрудники газеты, а некая сторонняя компания (ISP — Internet service provider). Это распространенная практика: суть ее в том, что даже проникнув на Интернет-сайт компании, хакер не получит доступа к его внутренней корпоративной сети. Для Адриана это означало лишь то, что придется поработать чуть старательнее, чтобы отыскать путь внутрь.