Коллектив Авторов - Цифровой журнал «Компьютерра» № 224

Дэвид стал изучать код скрипта вручную и обнаружил серьёзную уязвимость. В скрипте был спрятан бэкдор C99Shell, позволяющий удаленному пользователю выполнять произвольные команды на сервере, включая поиск и загрузку файлов. Дополнительно из-за ошибки конфигурации сервера появлялась возможность изменения прав доступа и выполнения атаки на другие узлы университетской сети.

Событие стало поворотным моментом: из разработчика Хелковски превратился в хакера, чья виртуальная шляпа пока сияла девственной белизной. Однако очень скоро ему пришлось выйти за рамки этических методов. Простые уведомления, отправляемые в течение нескольких месяцев администрации университета, не возымели действия. Тогда Дэвид вознамерился доказать им свою правоту и стал собирать доказательства практической осуществимости удалённого взлома.

В феврале этого года он продолжал исследовать университетскую сеть за домашним компьютером. Ему удалось воспользоваться найденной уязвимостью и скопировать из базы данных около трёхсот тысяч записей о студентах, преподавателях и администрации вуза.

Дэвид решается на крайние меры: в знак серьёзности выявленных проблем с настройкой сети он публикует на Reddit номер социального страхования (SSN) президента университета. Это стало роковой ошибкой, поскольку на SSN юридически завязаны многие финансовые документы граждан США, а кража персональных данных широко используется мошенниками и расследуется ФБР.

После демонстрации результатов взлома Хелковски отправляет анонимное письмо сотрудникам недавно учреждённой службы безопасности университета. В нём он вновь подробно описывает найденные проблемы с конфигурацией сервера и надеется на их скорейшее устранение. Вот отрывок из письма: «Из вежливости я даю вам шанс ответить мне лично, иначе буду вынужден поднять шум в интернете… Ваши внутренние идентификаторы перечислены ниже, чтобы привлечь ваше внимание. Если служба безопасности не будет работать над указанной проблемой, то считайте это справедливым предупреждением и последним письмом от меня».

Реакция администрации была удивительной. В открытом письме, опубликованном на следующий день, и в видеообращении президент Уоллес Ло (Wallace Loh) сказал, что университет «стал жертвой изощренной атаки на компьютерную сеть, о чём свидетельствуют присланные записи, содержащие личную информацию».

http://www.youtube.com/watch?v=ELq5TO3ilS0

Несмотря на использование прокси и VPN, к Дэвиду пришли агенты ФБР и стали задавать вопросы. Шестнадцатого марта они получили ордер на обыск и просто вышибли дверь в квартиру. В результате рейда агенты забрали все электронные устройства, но пока не стали арестовывать Дэвида, ограничившись предупреждением о серьёзных последствиях.

До этого инцидента Дэвид вёл совершенно легальную жизнь. Он был хорошим программистом, владеющим многими языками и средствами разработки. Среди увлечений Хелковски было коллекционирование клавиатур, что сыграло забавную роль. Во время обыска к его компьютеру была подключена редкая японская модель. Латинские символы на ней были наклеены не на верхней, а на передней грани каждой клавиши и не соответствовали привычной раскладке. Это ввело агентов ФБР в замешательство и сделало невозможным быстрое копирование данных.

«Я заставил эту клавиатуру работать в Windows, внеся изменения в реестр, — поясняет Дэвид. — Затем я просто запомнил, какая клавиша соответствует каждому символу». В этом Дэвиду помогли его музыкальное образование и уроки игры на фортепьяно. После них сотня кнопок запомнилась сама собой.

В настоящее время против Хелковски выдвинут ряд обвинений в нарушении статей уголовного и гражданского кодекса. Из-за потрясения Дэвид стал выглядеть гораздо старше своих тридцати двух лет. У него появились седые волосы и возникло полное разочарование в государственной системе, где проще закрывать глаза на проблемы и устранять не их, а тех, кто пытается сделать мир безопаснее.

К оглавлению

Опубликовано06 мая 2014

Ещё недавно коллектив молодой компании Oculus VR стоял на Kickstarter «с протянутой рукой», а сейчас создатели шлема виртуальной реальности (ВР) становятсязаконодателями игровой моды. Более того, они наблюдают «эффект просачивания»: венчурные инвестиции в разработчиков виртуального контента потекли рекой, потому что впервые стало очевидно, на чём именно он будет демонстрироваться и на какую прибыль можно рассчитывать. Исполнительный директор Oculus VR Брендан Айриб (Brendan Iribe) комментирует планы по охвату миллиардной игровой аудитории.

«Новые игровые платформы набирают в первые годы до ста миллионов поклонников», — говорит он в интервью изданию TechCrunch. Предел их популярности возникает из-за опасений разработчиков игр. Они думают, что новая платформа может оказаться недолговечной по финансовым причинам, поэтому долго не пишут игр для неё и сохраняют осторожность в дальнейшем.

Возникает типичный самосбывающийся прогноз: крупные фирмы не спешат рисковать, боясь спада популярности очередной игровой платформы, и он действительно наступает — уже из-за малого количества новинок и появления альтернатив.

Похоже, продажа перспективного стартапа Oculus VR компании Facebook была стратегически верным шагом. Общеизвестно, что у владельцев самой крупной в мире социальной сети «глубокие карманы», но сумма сделки в два миллиарда долларов всё равно впечатляет. После её совершения и столь высокой оценки потенциала Oculus Rift вопрос о наличии финансовых резервов отпал сам собой. С каждым днём для шлема ВР находится всё больше удивительных применений.

Шлем виртуальной реальности по-прежнему существует в варианте для разработчиков, но интерес к нему возрос многократно. Его первая версия была доступна для предзаказа целый год и не пользовалась большим спросом. Второму релизу потребовался лишь месяц для достижения такого же объёма предварительных продаж.