Кевин Митник - Искусство вторжения

Их держали в заключении без возможности выхода под залог в течение трех с половиной месяцев, затем их освободили до окончательного вынесения приговора под целый набор строгих ограничений. Дон оказался прав: в этот раз никакого снисхождения не было.

ВРЕМЯ ДЕЙСТВОВАТЬ

Мэтта послали о т с и ж и в а т ь срок в S h e r i d a n C a m p в Орегоне, а Кос-та отправился в Федеральную тюрьму Boron Camp в Орегоне, «Мы попали в федеральные тюрьмы, поскольку наши преступления попадали под действие федеральных законов», — говорит Коста. Тем не менее, это еще не были «трудные времена» для обоих. Коста : «Я знаю, что это был почти что „дом отдыха“. Представьте себе тюрьму, в которой есть бассейн. Посреди пустыни это было очень кстати. Там даже не было загородки, а только желтая линия на пляже. В этом милом месте отсиживали свой срок три бывших сенатора. Е щ е со мной был парень, который организовал известную сеть ресторанов».

Boron был единственной федеральной тюрьмой с пляжем и Коста позднее узнал, что после передачи известной тележурналистки Барбары Уолтерс этот бассейн прекратил свое существование. Я могу согласиться с тем, что не надо тратить деньги налогоплательщиков на постройку бассейнов при строительстве новых тюрем, но я не согласен с тем, что имеет смысл разрушать уже имеющиеся.

В тюрьме Sheridan Мэтт обнаружил среди заключенных одного бывшего сотрудника компании Boeing. «Он попал туда за какие-то финансовые махинации на работе». Это выглядело очень забавно.

Косту и других заключенных тюрьмы Boron часто везли полчаса по пустыне в чадящем тюремном автобусе на близлежащую базу военно-воздушных сил Edwards для интеллектуальной деятельности. «Они впустили меня в военный ангар с VAX-сервером. А ведь мне не разрешалось даже приближаться к компьютеру». Он предупредил сержанта. «Я рассказал ему всю мою историю, а он сказал мне „Плюнь на это и работай“. Коста незамедлительно вошел в военный компьютер: „Каждый день я тусовался на IRC-сайтах и беседовал с кем хотел, находясь при этом в тюрьме. Я перегрузил себе Doom очень быстро. Это было просто прекрасно!“

Однажды Косте поручили чистить секретные коммуникации, наполненные очень чувствительной электроникой. «Я просто не мог поверить, что они разрешат нам делать это».

С одной стороны, их пребывание в тюрьме выглядит сказкой или шуткой. На самом деле это было не так. Каждый месяц в тюрьме был вычеркнутым из жизни временем, когда они не могли учиться, не могли заботиться о близких людях и быть с теми, с кем им хотелось быть рядом. Каждое утро заключенный начинал с раздумий о том, придется ли ему сегодня сражаться, чтобы защитить себя или свою собственность. И следственный изолятор и тюрьма — это ужасные места.

ЧТО ОНИ ДЕЛАЮТ СЕГОДНЯ

После освобождения оба наших героя стали жить обычной жизнью. Мэтт сегодня работает в большой компании в Сан-Хосе разработчиком приложений на языке Java. У Косты своя компания и он занят «установкой систем наблюдения и аудио систем для бизнеса». Он нашел работу, которая ему по душе; люди, измученные своими делами, должны ему завидовать, потому что, по его словам, он «наслаждается каждой минутой своей жизни».

АНАЛИЗ

Кажется удивительным, что в сегодняшнем мире хакеры по-прежнему запросто проникают на многие корпоративные сайты. Зная все эти истории о взломе компьютерных систем, в сочетании с постоянно растущими заботами о безопасности, с появлением специально обученных обеспечению безопасности людей — в штате или привлекаемых в качестве консультантов — не только в больших, но и в малых компаниях, можно только удивляться тому, как у пары подростков хватило мастерства для того, чтобы проникнуть в компьютеры суда, крупной сети отелей и такой компании, как Boenig Aircraft.

Одна из причин, почему это случилось, как я думаю, заключается в том, что многие хакеры следуют по пути, по которому шел и я, проводя массу времени за изучением компьютерных систем, операционных систем, программных приложений, сетевых технологий и много другого. Большинство из них самоучки, причем многие обучались путем эффективного процесса «обмена знаниями». Некоторые из молодых людей настолько преуспели в своих занятиях, что им вполне можно было бы присвоить степень кандидата хакерских наук. Если бы такие уважаемые университеты США, как Массачусе-тский технологический институт, или Калифорнийский технологический институт, присуждали такие степени, то я могу назвать не так много имен людей, которые могли бы сидеть в экзаменационной комиссии.

Никто не знает, сколько консультантов по безопасности раньше были хакерами (включая некоторых из тех, чьи истории приведены на этих страницах). Взлом систем безопасности требует определенного склада ума, который способен тщательно анализировать пути для реализации этого взлома. Тот, кто пытается работать в этой сфере только на основе знаний, полученных в теории, быстро понимает, что ему требуется практический опыт, чтобы он смог успешно конкурировать с «консультантами», которые начали свое обучение в возрасте восьми-десяти лет.

Как это ни трудно признавать, правда состоит в том. что всем, работающим в области безопасности, надо многому учиться у хакеров, которые могут выявить слабости системы и наиболее эффективные и экономичные способы ее взлома. Да, они нарушают закон своими действиями, но они делают важное дело. На самом деле очень многие профессионалы в сфере безопасности в прошлом были хакерами.

Некоторые прочтут эти строки и подумают, что бывший хакер Кевин Митник просто-напросто защищает современных хакеров. Однако. правда заключается в том, что многие хакерские атаки служат благородной цели выявления слабостей в системе безопасности компаний. Если хакер не причиняет никаких повреждений, проводя свою атаку или запускает атаку «отказа в предоставлении услуги», испытывают ли компании ущерб от такой атаки или выгоду, поскольку их оповещают об их уязвимости?

КОНТРМЕРЫ

Обеспечение адекватного управления конфигурацией — это важный процесс, который нельзя игнорировать. Даже если вы правильно сконфигурировали все оборудование и ПО в процессе установки системы и своевременно вносите все необходимые обновления в систему безопасности, неправильная конфигурация всего одного элемента может создать брешь в системе защиты. Каждая компания должна иметь установленную процедуру обучения, тренировки и постоянного напоминания, буквально внедрения ощущения важности безопасности для ИТ-персонала, который будет устанавливать новые компьютеры и новое ПО, а также для телекоммуникационного персонала, устанавливающего телефоны, а вдобавок к этому создать структуру постоянных проверок всех аспектов безопасности.