Кевин Митник - Искусство вторжения

Да, действия Адриана можно считать неадекватными, может даже непростительными. Лично мне они кажутся не только безопасными, но и забавными. Меня до сих пор возбуждает идея Адриана позвонить от имени газеты какой-нибудь знаменитости: «Добрый день. это г-н Джексон? Это такой-то из газеты The New York Times». После чего можно было попросить его высказаться о чем-то или же написать шесть сотен слов о состоянии компьютерной безопасности или на какую-нибудь не менее актуальную тему и на следующий день увидеть свой текст на первой странице самой влиятельной в стране газеты.

Можно еще долго рассказывать сагу «Адриан и The New York Times», но, к сожалению, дальше рассказ становится печальным. То, о чем пойдет речь, не было необходимым, это не характерно для Адриана, но именно это привело к серьезным проблемам. После проникновения в базу данных он обнаружил, что у него есть доступ к подписке Times на услуги компании LexisNexis — онлайновым платным услугам по предоставлению новостной информации.

Как указано в правительственном обвинении, он создал пять отдельных аккаунтов и сделал более трех тысяч запросов.

После трех месяцев «путешествий» по закромам LexisNexis, в течение которых The New York Times оставалась в полном неведении, что ее база данных взломана, Адриан решил перейти к практике в стиле Робин Гуда, чем характеризовались все его предыдущие атаки на другие компании. Он связался с известным Интернет-журналистом (как и я, бывшим хакером) и рассказал о лазейке, которую он использовал для проникновения в компьютерную систему The New York Times — при этом он предварительно получил согласие, что журналист не будет публиковать информацию о взломе, пока предварительно не свяжется с Times и не дождется, что они устранят проблему.

Журналист рассказал мне, что когда он связался с Times, переговоры пошли совсем не таким путем, как ожидали они с Адрианом. Руководство Times, по его словам, не заинтересовалось тем, что он говорил им, не захотело воспользоваться информацией, которую он предложил, не захотело общаться непосредственно с Адрианом, чтобы познакомиться с деталями и пожелало решать проблему самостоятельно. Представитель Times даже не захотел узнать, какой способ доступа был применен и согласился записать подробности только после того, как журналист настоял на этом.

Сотрудники газеты проверили лазейку и в течение 48 часов устранили ее. Но руководство Times даже не подумало поблагодарить человека, который привлек их внимание к существующей у них проблеме безопасности. Более ранняя атака группы «Хакерство для девчушек» очень широко освещалась в прессе, но люди, ответственные за нее, никогда не были пойманы. (Не думайте, что я имею какое-то отношение к этой атаке: в то время я уже был в заключении. ожидая суда). Понятно, что после первой атаки сотрудники ИТ-службы Times попали под очень большое давление, чтобы обеспечить в дальнейшем безопасность от хакерских взломов. Безнаказанные путешествия Адриана по их компьютерной сети наверняка уязвили чье-то самолюбие, нанесли урон чьим-то репутациям, чем и можно объяснить бескомпромиссность сотрудников газеты, узнавших, что он пользовался их непреднамеренной добротой в течение месяцев.

Вообще-то, сотрудники Times могли бы проявить благодарность за то, что им дали время устранить зияющие дыры в их системе безопасности, прежде, чем известие о том, что их сеть полностью открыта распространилось в печати. Вероятно, информация об использовании LexisNexis сделала их настолько несговорчивыми. Однако, каковы бы ни были причины, руководство Times сделало то, чего раньше не делала ни одна из жертв Адриана — они обратились в ФБР.

Через несколько м е с я ц е в Адриан услышал, что ФБР и щ е т его и и с —чез. Агенты ФБР начали навещать его семью, друзей и приятелей. все сужая круги, и пытаясь обнаружить, не оставил ли он кому-нибудь из своих приятелей-журналистов каких-то сведений о своем местонахождении. Нескольких журналистов, с которыми Адриан делился информацией, вызвали повестками в суд. «Игра», как написал один из журналистов, «внезапно стала гораздо серьезней».

Адриан объявился через пять дней. Для собственной капитуляции он выбрал одно из своих любимых рабочих мест — кофейню Sturbucks.

После того, как пыль осела, офис Прокурора США по Южному району Нью-Йорка опубликовал пресс-релиз, в котором было сказано, что «за хакерское проникновение на сайт New York Times Адриану Ламо предъявлен иск на триста тысяч долларов». Его бесплатное скачивание информации с сайта LexisNexis, по данным правительства, составило 18% от всех обращений на этот сайт из New York Times с момента проникновения туда Адриана.