Кевин Митник - Искусство вторжения

В нашей предыдущей книге — «Искусство обмана» — мы всячески рекламировали необходимость разработки четкого плана обучения приемам компьютерной безопасности всех сотрудников. Все системы и устройства должны быть тщательно проверены на безопасность еще до того, как будут отправлены в производство.

Я абсолютно уверен в том, что полагаться на один-единственный пароль — это практика прошлого. Более надежные формы безопасной авторизации, использующие определенные типы устройств, таких, как надежные биометрические приборы, или так называемые «токены» — брелоки с изменяемыми цифровыми ключами, должны использоваться в сочетании с мощным персональным паролем — часто обновляемым — для защиты систем и хранимой в них информации. Использование новых, более сильных форм авторизации не гарантирует полную защиту от хакерских атак, но по крайней мере повышает защищенность системы.

Те, кто продолжает полагаться только на обычные пароли, должны проводить специальные тренинги и часто напоминать сотрудникам о том, как сделать их максимально эффективными. Прежде всего, пароли должны содержать как минимум одну цифру плюс один символ вдобавок к буквам, и должны часто меняться.

Следующие шаги заключаются в убеждении сотрудников не полагаться на «ленивую память» и не записывать свои пароли на клочках бумаги, не приклеивать их на монитор своего компьютера, не прятать под клавиатурой, или в других очевидных местах на своем столе, в которые вор обязательно заглянет в первую очередь. Кроме того, правильная практика использования паролей требует не использовать одинаковые или похожие пароли несколькими сотрудниками.

ПОСЛЕСЛОВИЕ

Люди, будьте бдительны. Простейшее изменение паролей на более сложные и часто изменяемые может защитить ваш бизнес от преступников.

Но дело не только в тупости пользователей. Производители ПО всегда ставят на первое место функциональность и совместимость, а безопасность — только после них. Естественно, в руководство для пользователей вставляются подробные указания и инструкции. Хорошо известно старое правило инженеров: «Когда все сломалось, прочти инструкции». Чтобы следовать этому дурному правилу, совсем не надо иметь высшего образования.

Пришло время, когда производители оборудования начинают понимать важность проблемы обеспечения безопасности. И они, и производители ПО наконец-то осознали, что большинство людей не читают документации. А что вы думаете о предупреждении во всех руководствах о необходимости соблюдения правил безопасности или изменении предварительно установленных паролей, когда начинается использование продукта? Более того, как сделать безопасность встроенной в устройство по умолчанию? Microsoft сделал это не так давно, лишь в конце 2004 года появились Windows XP Professional и Home Edition вместе с «Service Pack 2», куда межсетевой экран встроен изначально. Почему же это естественное решение заняло так много лет?

Компании Microsoft и другим производителям операционных систем стоит задуматься об этих ушедших годах. Такое простое изменение во всех продуктах сделало бы все киберпространство более безопасным для всех нас.

Хакерство — это мастерство. Любой может постичь его при помощи самообразования. С моей точки зрения хакерство — это креативное искусство находить умные пути преодоления систем безопасности, — так же, как любители открывать замки стремятся преодолеть все закрытые двери исключительно ради развлечения. Можно заниматься хакерством и без нарушения законов.

Тонкое различие лежит в разрешении, которое дает владелец компьютерной системы хакеру на проникновение в свою систему. Есть много путей хакерства даже с разрешения «жертвы». Некоторые осознанно нарушают закон, но никогда не попадаются. Другие идут на риск и отбывают свой срок в тюрьме. И все скрывают свои истинные имена за своеобразными кличками, онлайновыми разновидностями прозвищ.

Но есть единицы таких, как Адриан Ламо, которые занимаются этим делом, не пряча свою личность, и когда они находят лазейки в системах безопасности некоторых организаций, то сообщают им об этом. Это Робин Гуды в хакерском сообществе. Их надо не заключать в тюрьму, а награждать. Они помогают компаниям проснуться до того, как другой злонамеренный хакер нанесет ей действительно серьезные повреждения.

Список организаций, в компьютерные сети которых (по мнению правительства) проникал Адриан Ламо, выглядит по меньшей мере внушительно. В нем есть Microsoft, Yahoo!, MCI WorldCom, excite@home, телефонные компании SBC, Ameritech и Cingular. И завершающий аккорд — New York Times.

Конечно, Адриан стоил компаниям некоторых денег, но совсем не так много, как утверждали его обвинители.

СПАСЕНИЕ

Адриан Ламо не был паинькой с детства. Однажды ночью, к примеру, он со своими приятелями решил исследовать огромный заброшенный индустриальный комплекс, расположенный на берегу какой-то реки. Никакого четкого плана у них не было, они просто бродили по пустым ветхим корпусам и довольно быстро заблудились. Только к двум часам утра им удалось выбраться из лабиринта. Когда они пересекали неработающую железную дорогу, проходящую вдоль огромных башен завода, Адриан услышал слабый плач. Хотя его друзья очень хотели выбраться оттуда, победило любопытство Адриана.

В поисках источника этих жалобных звуков они пришли к грязному водостоку. В слабом ночном свете они разглядели, что звуки издавал крошечный котенок, который не мог выбраться оттуда и мяукал изо всех сил.

Адриан набрал телефон службы спасения и вскоре фары полицейского джипа ослепили их.

Наши исследователи были одеты, как говорит Адриан, в стиле «городских естествоиспытателей — элегантно, но с толстым слоем грязи поверх костюмов. Подобная форма одежды не вызывает симпатии и доверия у полицейских». Не меньшую подозрительность вызывал и юный возраст ребят, так что «наша встреча вполне могла закончиться арестом», говорит Адриан. В его голове пронеслось несколько сценариев развития событий: они могли подвергнуться долгому допросу с последующим арестом или … у него созрел план.

«Я показал им вниз и сказал: „Послушайте, в водосток провалился котенок. Я уверен, что вы поможете нам“. Через два часа все было закончено, никого из нас не обыскивали и подозрительность рассеялась».

Силами экипажей двух полицейских джипов, а потом еще и машины Общества охраны животных, провалившийся котенок был вытащен из глубокой трубы. Полицейские передали котенка Адриану, который взял его домой, вымыл и назвал «Алиби». Его приятели называли котенка «Драный».