Кевин Митник - Искусство вторжения

Плохая новость заключается в том, что безопасность во многих банках и других финансовых организациях не так хороша, как думают об этом люди, ответственные за нее. Следующие истории иллюстрируют это утверждение.

В ДАЛЕКОЙ ЭСТОНИИ

Мы расскажем о том, что любой человек, даже не хакер, может проникнуть в банк. Это плохая новость как для банков, т а к и для любого из нас.

Я никогда не был в Эстонии, может даже никогда и не попаду туда. Это название ассоциируется у нас с древними замками, окруженными темными лесами и колоритными крестьянами — в общем, с такими местами, куда путешественнику не следует отправляться без достаточного запаса осиновых колов и серебряных пуль. Это невежественное представление (укрепившееся благодаря малобюджетным фильмам ужасов, снятым в лесах и замках Восточной Эстонии) совсем не соответствует действительности.

На самом деле все обстоит иначе. Эстония гораздо более современная страна, чем я представлял себе. Я узнал это от хакера по имени Юхан. который живет там. Двадцатитрехлетний Юхан живет в центре города, один в просторной четырехкомнатной квартире с «действительно высокими потолками и красивыми стенами».

Эстония, как я узнал, — совсем небольшая страна с населением 1,3 миллиона человек (это примерно население такого города, как Филадельфия), расположенная между Россией и Финским заливом. Таллинн, столицу Эстонии, до сих пор уродуют унылые коробки многоквартирных домов, неряшливые памятники тому, как канувшая в Лету Советская империя пыталась дать своим гражданам максимально экономичное жилье.

Юхан жаловался: «Когда люди хотят узнать что-то об Эстонии, они иногда спрашивают: „Есть ли у вас врачи? Есть ли у вас университет?“ А ведь 1 мая 2004 года Эстония стала членом Евросоюза». Многие эстонцы, по его словам, работают изо всех сил, чтобы перебраться из старых квартир советских времен в небольшие собственные коттеджи в тихом пригороде. Они мечтают о том моменте, когда смогут сесть за руль «надежной иномарки». На самом деле, у многих уже есть автомобили и все больше людей перебираются в собственные дома, «ситуация улучшается каждый год». И в технологическом смысле страна также не является отсталой, как объясняет Юхан.

«Еще в начале девяностых годов Эстония начала внедрять у себя инфраструктуру электронных банков, ATM и Интернет-банкинг. Это очень современные технологии. На самом деле эстонские компании предоставляют компьютерные технологии и услуги другим европейским странам».

Вы, может, вообразили себе некий хакерский рай — повсеместный Интернет и неадекватное отношение к безопасности? По словам Юхана, дело обстоит совсем не так.

«Что касается Интернет-безопасности, то здесь все обстоит хорошо, благодаря тому, что размеры страны и коммуникаций невелики. Для поставщиков услуг здесь очень удобно внедрять новые технологии. Что касается финансового сектора, я думаю, что на возможность налаживания связей с Америкой повлиял и тот факт, что здесь никогда не было традиции использования банковских чеков, с помощью которых вы привыкли расплачиваться в магазинах».

По его словам, очень мало эстонцев вообще имело представление о том, что это такое: «большинство людей имеют счета, но не представляют себе, как выглядит банковский чек». Совсем не потому, что их не интересуют финансовые проблемы, а потому, что, по крайней мере, в этой сфере они находятся впереди Америки, объясняет Юхан.

«У нас никогда не было развитой банковской инфраструктуры. Уже в начале девяностых годов мы начали внедрять электронный и Интернет-банкинг. Подавляющее большинство населения и предпринимателей переводят деньги друг другу при помощи Интернет-банкинга».

По европейской терминологии, они пользуются кредитными или банковскими карточками.

«Гораздо удобнее расплачиваться при помощи банковской карточки или Интернет-банкинга, поэтому у людей нет причин пользоваться чеками. В отличие от Америки, почти каждый здесь использует Интернет для осуществления банковских операций и оплаты своих счетов».

БАНК PEROG I E

Юхан серьезно занимается компьютерами, начиная с десяти лет, но он не считает себя хакером, а лишь офисным работником, серьезно думающим о безопасности. Общаться с ним очень легко: английский язык он начал учить со второго класса школы. Ему посчастливилось много путешествовать и учиться за рубежом, что дало ему возможность и дальше совершенствовать свой английский.

Не так давно в Эстонии была очень суровая зима, почти с полярной погодой: всюду намело сугробы, температура опускалась до минус 25 градусов по Цельсию. Стояли такие морозы, что даже местные жители, которые привыкли к холодным зимам, не выходили из дома без особой необходимости. Для любителей компьютеров это был прекрасный повод безвылазно сидеть перед своими мониторами в поисках чего-нибудь поистине достойного их внимания.

Одним из них был Юхан, Он набрел на Интернет-сайт, который мы будет называть банком Perogie. Этот сайт выглядел вполне достойной мишенью.

«Я зашел в интерактивный раздел часто задаваемых вопросов и ответов — F A Q — в котором можно было задавать вопросы. У меня е с т ь привычка листать страницы Интернет-сайтов — без особой цели, просто ради любопытства».

Он заметил, что файловая система организована так. как это принято в Unix-системах, Это сразу же очертило круг атак, которые он мог проводить. Просматривая коды источников некоторых Интернет-страниц, он обнаружил скрытые переменные, которые указывали на определенное имя файла. Когда он попытался изменить значение этой скрытой переменной, «стало ясно, что никто не спрашивает у него никакой авторизации. Это означало, что для банковского сервера нет никакой разницы — приходит ли к нему запрос с Интернет-сайта банка или с обычного компьютера».

Он изменил параметры спрятанного элемента, указывающего на файл паролей, что позволило ему вывести этот файл паролей к себе на экран. Он обнаружил, что пароли не «замаскированы», что означает, что стандартная зашифрованная форма каждого пароля была видна на экране. Таким образом он смог скопировать зашифрованные пароли и пропустить их через свой «взламы-ватель» паролей.

Этот «взламыватель» был хорошо известной программой с забавным названием «Джон Потрошитель» (John the Ripper), который Юхан запускал, используя стандартный английский словарь. Почему английский, а не эстонский? «Здесь в качестве паролей обычно используются английские слова». Немаловажно и то, что многие эстонцы неплохо владеют английским языком.

«Взламыватель» паролей работал всего 15 минут на его компьютере — пароли были совсем простые, английские слова с несколькими цифрами, добавленными в конце. Один из этих паролей был настоящей драгоценностью: это был корневой пароль, который давал ему привилегии администратора. Более того: