Кевин Митник - Искусство вторжения

«Еще в начале девяностых годов Эстония начала внедрять у себя инфраструктуру электронных банков, ATM и Интернет-банкинг. Это очень современные технологии. На самом деле эстонские компании предоставляют компьютерные технологии и услуги другим европейским странам».

Вы, может, вообразили себе некий хакерский рай — повсеместный Интернет и неадекватное отношение к безопасности? По словам Юхана, дело обстоит совсем не так.

«Что касается Интернет-безопасности, то здесь все обстоит хорошо, благодаря тому, что размеры страны и коммуникаций невелики. Для поставщиков услуг здесь очень удобно внедрять новые технологии. Что касается финансового сектора, я думаю, что на возможность налаживания связей с Америкой повлиял и тот факт, что здесь никогда не было традиции использования банковских чеков, с помощью которых вы привыкли расплачиваться в магазинах».

По его словам, очень мало эстонцев вообще имело представление о том, что это такое: «большинство людей имеют счета, но не представляют себе, как выглядит банковский чек». Совсем не потому, что их не интересуют финансовые проблемы, а потому, что, по крайней мере, в этой сфере они находятся впереди Америки, объясняет Юхан.

«У нас никогда не было развитой банковской инфраструктуры. Уже в начале девяностых годов мы начали внедрять электронный и Интернет-банкинг. Подавляющее большинство населения и предпринимателей переводят деньги друг другу при помощи Интернет-банкинга».

По европейской терминологии, они пользуются кредитными или банковскими карточками.

«Гораздо удобнее расплачиваться при помощи банковской карточки или Интернет-банкинга, поэтому у людей нет причин пользоваться чеками. В отличие от Америки, почти каждый здесь использует Интернет для осуществления банковских операций и оплаты своих счетов».

БАНК PEROG I E

Юхан серьезно занимается компьютерами, начиная с десяти лет, но он не считает себя хакером, а лишь офисным работником, серьезно думающим о безопасности. Общаться с ним очень легко: английский язык он начал учить со второго класса школы. Ему посчастливилось много путешествовать и учиться за рубежом, что дало ему возможность и дальше совершенствовать свой английский.

Не так давно в Эстонии была очень суровая зима, почти с полярной погодой: всюду намело сугробы, температура опускалась до минус 25 градусов по Цельсию. Стояли такие морозы, что даже местные жители, которые привыкли к холодным зимам, не выходили из дома без особой необходимости. Для любителей компьютеров это был прекрасный повод безвылазно сидеть перед своими мониторами в поисках чего-нибудь поистине достойного их внимания.

Одним из них был Юхан, Он набрел на Интернет-сайт, который мы будет называть банком Perogie. Этот сайт выглядел вполне достойной мишенью.

«Я зашел в интерактивный раздел часто задаваемых вопросов и ответов — F A Q — в котором можно было задавать вопросы. У меня е с т ь привычка листать страницы Интернет-сайтов — без особой цели, просто ради любопытства».

Он заметил, что файловая система организована так. как это принято в Unix-системах, Это сразу же очертило круг атак, которые он мог проводить. Просматривая коды источников некоторых Интернет-страниц, он обнаружил скрытые переменные, которые указывали на определенное имя файла. Когда он попытался изменить значение этой скрытой переменной, «стало ясно, что никто не спрашивает у него никакой авторизации. Это означало, что для банковского сервера нет никакой разницы — приходит ли к нему запрос с Интернет-сайта банка или с обычного компьютера».

Он изменил параметры спрятанного элемента, указывающего на файл паролей, что позволило ему вывести этот файл паролей к себе на экран. Он обнаружил, что пароли не «замаскированы», что означает, что стандартная зашифрованная форма каждого пароля была видна на экране. Таким образом он смог скопировать зашифрованные пароли и пропустить их через свой «взламы-ватель» паролей.

Этот «взламыватель» был хорошо известной программой с забавным названием «Джон Потрошитель» (John the Ripper), который Юхан запускал, используя стандартный английский словарь. Почему английский, а не эстонский? «Здесь в качестве паролей обычно используются английские слова». Немаловажно и то, что многие эстонцы неплохо владеют английским языком.

«Взламыватель» паролей работал всего 15 минут на его компьютере — пароли были совсем простые, английские слова с несколькими цифрами, добавленными в конце. Один из этих паролей был настоящей драгоценностью: это был корневой пароль, который давал ему привилегии администратора. Более того: