Кевин Митник - Искусство обмана

Нэд сел за компьютер одного из сотрудников и включил его. Пока он включал его, он установил устройство, которое ему дали, на порт USB, достаточно маленькое, чтобы носить в связке ключей, и, тем не менее способное умещать до 120 мегабайт информации. Он подключился к сети, используя логин и пароль секретарши сотрудника, приклеенный на бумажке к дисплею. Менее чем за 5 минут, Нэд скачал все файлы с таблицами и документами с рабочего компьютера и сетевых папок партнера, и уже направлялся к дому.

Сообщение от Митника

Промышленные шпионы и компьютерные взломщики иногда физически проникают в цель. Они не используют лом, чтобы пройти, социальные инженеры используют искусство обмана, чтобы повлиять на человека с другой стороны двери, который откроет дверь для него.

Когда а впервые познакомился с компьютерами в старших классах школы, нам приходилось подключаться к одному центральному миникомпьютеру DEC PDP 11, расположенному в пригороде Лос-Анджелеса, который использовали все школы Л.А. Операционная система на компьютере называлась RSTS/E, и эта была первая операционная система, с которой я научился работать.

В то время, в 1981 году, DEC устраивали ежегодную конференцию для своих пользователей, и в этом году конференция пройдет в Л.А. В популярном журнале для пользователей этой операционной системы было объявление о новой разработке по безопасности, Lock-11. Этот продукт продвигали с хорошей рекламной кампанией, где говорилось нечто вроде: «Сейчас 3:30 утра, и Джонни с другого конца улицы нашел ваш номер дозвона, 555-0336, с 336й попытки. Он внутри, а вы в пролете. Покупайте Lock-11». Продукт, как говорилось в рекламе, был «хакероустойчивым». И его собирались показать на конференции.

Я жаждал посмотреть на разработку. Друг старшеклассник, Винни, являвшийся моим партнером по хакингу в течение нескольких лет, впоследствии ставший государственным информатором против меня, разделял мой интерес к новому продукту DEC, и воодушевил меня на поход на конференцию с ним.

Деньги на линии

Мы пришли и обнаружили большой переполох в толпе около презентации Lock-11. Похоже, что разработчики ставили деньги на то, что никто не сможет взломать их продукт. Звучит как вызов, перед которым я не смог устоять.

Мы направились прямо к стенду Lock-11, и обнаружили, что руководят там разработчики проекта; я узнал их, и они узнали меня – даже в юности у меня уже была репутация фрикера и хакера из-за большого рассказа в LA Times о моем первом контакте с властями. В статье рассказывалось, как я благодаря одним диалогам вошел посреди ночи в здание Pacific Telephone (телефонная компания – прим. переводчика), и вышел с компьютерными руководствами, прямо перед носом у их охраны. ( Похоже, что Times хотели напечатать сенсационный рассказ, и в своих целях напечатали мое имя; я был еще несовершеннолетним, и статья нарушала не только традиции, а возможно даже закон о сокрытии имен несовершеннолетних, обвиненных в правонарушении.)

Когда Винни и я подошли, это вызвало интерес у обеих сторон. С их стороны был интерес, потому что они узнали во мне хакера, о котором читали, и были немного шокированы, увидав меня. Интерес с нашей стороны вызвало то, что у каждого из трех разработчиков, стоявших там, был чек на $100, торчавший из значка участника конференции. В сумме приз для любого, кто сможет взломать их систему, составлял $300 – и это показалось большой суммой денег для пары тинэйджеров. Мы с трудом могли дождаться того, чтобы начать.

Lock-11 был спроектирован по признанному принципу, полагавшемуся на два уровня безопасности. У пользователя должен был быть верный идентификационный номер и пароль, но и вдобавок этот идентификационный номер и пароль будут работать, только если они введены с уполномоченного терминала, подход называемый terminal-based security (безопасность, основанная на терминалах) . Чтобы победить систему, хакеру бы понадобилось не только знание идентификационного номера и пароля, но и пришлось бы ввести информацию с правильного компьютера. Метод был хорошо признанным, и изобретатели Lock-11 были убеждены, что он будет держать плохих парней подальше. Мы решили преподать им урок, и заработать триста баксов.

Знакомый парень, который считался гуру в RSTS/E, уже подошел к стенду раньше нас. Несколько лет назад, он был одним из тех парней, кто озадачил меня взломом внутреннего компьютера разработчиков DEC, после чего его сообщники выдали меня. Теперь он стал уважаемым программистом. Мы узнали, что он пытался взломать программу безопасности Lock-11, незадолго до того, как мы пришли, но не смог. Этот инцидент дал разработчикам еще большую уверенность, что их продукт действительно безопасен.