Кевин Митник - Искусство вторжения

«Журналистика — э т о то, чем я хотел бы заниматься. Я чувствую, что могу сделать что-то необычное и это не совсем то, что вы получаете от работы в области безопасности. Безопасность — это такая отрасль индустрии, которая во многом зависит от человеческих страхов и незнания компьютеров и технологий. Журналистика в значительно большей степени имеет отношение к правде.

Хакерство — это уникальное самовыражение человека. Оно включает в себя сосредоточение огромной потенциальной власти в руках одного человека, власти, которой обычно пользуются только правительство или крупный бизнес. Мысль о том, что несколько подростков могут отключить энергосистему страны приводит в ужас представителей правительства. И это вполне понятно».

Он не считает себя хакером, взломщиком или атакующим. «Я хотел бы процитировать Боба Дилана: „Я не проповедник и не торговец. Я просто делаю то, что делаю“. Я счастлив, когда люди понимают или хотя бы стремятся понять это».

Адриан говорит, что ему предлагали хорошие должности в военных и государственных учреждениях. Он отказался от этих предложений. «Многим людям нравится заниматься сексом, но далеко не каждый готов зарабатывать этим».

В этом весь Адриан — думающий хакер.

АНАЛИЗ

Что бы вы ни думали о позиции и действиях Адриана Ламо, хотелось бы думать, что вы согласитесь со мной по поводу несправедливости определения нанесенного им вреда федеральными органами.

Я знаю из своего опыта, как правоохранительные органы вычисляют предположительную сумму ущерба в хакерских случаях. Первый способ — получить сведения от компаний, которые переоценивают свои потери в надежде заставить хакера раскошелиться и не доводить дело до суда. В процессе разбирательства адвокат и прокурор обычно сходятся на несколько меньшей сумме: по федеральным законам, чем больше ущерб, тем более долгий срок заключения ожидает хакера.

В случае, произошедшем с Адрианом, Прокурор США проигнорировал тот факт, что именно от него компании узнавали о собственной уязвимости. Каждый р а з он з а щ и щ а л компании, указывая им на ту или иную прореху в их системе безопасности, и ожидал, пока они ликвидируют проблему, чтобы лишь потом опубликовать новость о своем удачном взломе. Да, он нарушал закон, но он действовал (во всяком случае, в ставших известными случаях) абсолютно этично.

КОНТРМЕРЫ

Подход, используемый атакующими, в том числе и Адрианом, заключается в запуске запроса «Кто это», что может помочь отыскать немало ценной информации, содержащейся в четырех NIC (Network Information Center — центр сетевой информации), покрывающих различные географические районы мира. Большинство информации в этих базах данных является общедоступными сведениями, которые может узнать любой пользователь приложения «Кто это» или посещающий Интернет-сайт, предлагающий подобные услуги, или заходящий на сайт nytimes.com.

Предоставляемая информация может содержать имя, адрес электронной почты, физический адрес и телефонный номер административных и технических контактов для этого домена. Эта информация вполне может использоваться для атак с использованием методов социальной инженерии (см. Главу 10, «Социальные инженеры — как они работают и как их остановить»). Кроме того, это может навести на мысль о структуре адресов электронной почты и имен пользователей в компании. Например, если адрес электронной почты одного из сотрудников Times выглядит, как hilda@nytimes.com, естественно предположить, что и многие другие сотрудники Times используют свое имя для адресов электронной почты, а также и для подписи.

Как видно из истории атаки Адрианом газеты The New York Times, он так же получил ценную информацию об IP-адресах и сетевых блоках газеты, что легло в основу успеха его атаки.

Чтобы ограничить утечку информации, любой компании было бы полезно хранить список телефонов компании только на ее телефонной станции, а не делать его доступным всем желающим. Сотрудники в приемной компании, отвечающие на телефонные звонки, должны проходить специальную подготовку, чтобы они могли быстро распознавать атаки социальных инженеров. Кроме того, в качестве адреса электронной почты следует приводить адрес издательства, а не список личных адресов сотрудников.

Более того: сегодня компаниям позволено не обнародовать свою контактную информацию и имя домена — они не должны теперь предоставляться любому желающему по первому требованию. По специальному запросу список адресов вашей компании может быть засекречен, что затруднит проникновение атакующих.