Секреты и ложь. Безопасность данных в цифровом мире - Шнайер Брюс

Помните телефонных взломщиков, которые могли болтать по таксофонам и делать бесплатные телефонные звонки? Несомненно, они терроризировали телефонную службу. Но им это было нужно не для того, чтобы делать восьмичасовые звонки в Манилу или Мак-Мурдо. Они хотели знать систему лучше, чем проектировщики, и уметь изменять ее по своему желанию. Понимание того, как работает телефонная система, служило им наградой. Другой пример раннего хакерства – фанаты-радиолюбители.

Ричард Фейнман был хакером, почитайте любую из его книг[13].

Компьютерные хакеры унаследовали эти черты. Скорее даже, они принадлежат к тому же племени, только действуют в новых условиях. Компьютеры и сети, в частности, – это новый ландшафт, который можно исследовать. Сети представляют сложнейшее переплетение многочисленных связей, где новая хакерская технология становится ключом, который может открывать компьютер за компьютером. А за этим – знание, понимание. Как получить доступ? Что и как работает? Почему это вообще работает? Ответы где-то рядом, они ждут, чтобы их обнаружили.

Сегодняшние компьютерные хакеры, как правило, молоды (около двадцати), мужского пола и социально – на задворках общества. Они имеют свою собственную культуру: хакерские имена-прозвища, язык, правила. И, что характерно для любой субкультуры, только маленький процент ее представителей действительно что-то собой представляет. Настоящие хакеры понимают технологию на базовом уровне и ими движет желание расширить свое понимание. Остальные же – бездарные позеры, полностью неспособные ни к чему, или преступники. Иногда их называют ламерами.

Хакеры могут иметь достаточную квалификацию, часто более высокую, чем сами проектировщики системы. Я прослушал большое количество лекций по безопасности, и большинство ораторов, в чьих лекциях есть здравый смысл, – хакеры. Это их страсть. Хакеры смотрят на систему с внешней стороны, с позиции нападающего, а не с внутренней – с позиции проектировщика. Они смотрят на систему, как на организм, как на единое целое. И часто понимают атаки лучше, чем люди, которые разрабатывают системы. Таковы настоящие хакеры.

У хакеров обычно много времени, но мало финансовых средств. Некоторые из них питают отвращение к риску и в высшей степени осторожно балансируют на грани закона, у других нет страха перед наказанием, и они занимаются незаконной деятельностью без мысли о связанном с ней риске.

Имеются хакерские телеконференции, хакерские веб-сайты и хакерские соглашения. Хакеры часто продают способы и автоматизированные средства атак друг другу. Есть различные группы хакеров (или шайки, если вам так больше нравится), но нет никакой иерархии. Вы не сможете нацелить сообщество хакеров на что-то определенное: они пойдут так далеко, как смогут. Часто они будут взламывать что-то лишь потому, что это широко известно, интересно, или потому, что цель «заслуживает» этого.

К сожалению, большинство хакеров совершают незаконные действия. Я не говорю о тех немногих, кто работает в исследовательской среде, кто лабораторно оценивает параметры защиты систем и кто публикует анализ исследований программных продуктов и систем. Я говорю о тех хакерах, которые врываются в пользовательскую сеть, стирают веб-страницы, вызывают аварийные отказы компьютеров, распространяют вирусы и пишут автоматические программы, которые позволяют другим делать то же самое. Эти люди – преступники, и общество должно относиться к ним как к таковым.

Я не куплю систему, защиту которой хакер взломал только затем, чтобы к ней присмотреться, не причинив никаких повреждений. Некоторые системы довольно хрупкие, и даже тот, кто просто присматривается, может нечаянно что-нибудь испортить. А после того, как посторонний побывал внутри системы, вы более не можете быть уверены в ее целостности. Вы не знаете, прикасался или нет непрошеный гость к чему бы то ни было.

Вообразите, что вы приходите домой и на двери своего холодильника находите записку: «Привет. Я заметил, что у вас паршивая блокировка входной двери, так что я вломился. Я ничего не касался. Вы действительно должны улучшить свою систему защиты». Как бы вы чувствовали себя?

Проблемы начинаются с хакеров, которые создают инструменты взлома. Это программы – иногда их называют эксплоитами (exploits), – которые автоматизируют процесс вторжения в системы. Пример – Trin00 – инструмент, создающий отказы в обслуживании. Тысячи серверов были выведены из строя после нападения с помощью этой программы, что потребовало от компаний-владельцев миллионов долларов, уйму времени и усилий для восстановления. Trin00 – одна из причин исследований уязвимости Интернета для такого типа атак и повод для написания научного труда о защите от них. А эти занятия гораздо сложнее, нежели составление программы, автоматизирующей атаку.

Программа Trin00 не предназначена ни для каких других целей, кроме нападения на системы. Владельцы оружия могут рассуждать о самообороне, но интернет-серверы не врываются в наш дом по ночам. А эта программа намного страшнее, потому что однажды написанная, она стала доступной, и любой, кто захочет быть хакером, сможет загрузить ее и напасть на компьютеры в Интернете. При этом ему даже не обязательно знать, как все работает. Атаки с помощью Trin00 были популярны в начале 2000 года, потому что эта программа была доступна. Без этой доступности – даже при наличии описаний уязвимых мест систем – ни один ламер не был бы способен воспользоваться наличием последних.

Конечно, те, кто использует Trin00, чтобы напасть на системы, – преступники. Я также верю, что тот, кто ее написал, тоже преступник. Существует тонкая грань между написанием кода для демонстрации исследовательской работы и публикацией инструментальных средств нападения; между невинным хакерством и хакерством, как преступной деятельностью. Я возвращусь к этому в главе 22.

Большинство организаций с оправданной осторожностью относится к найму хакеров. Есть и исключения – Агентство национальной безопасности, предлагающее стипендию хакерам, желающим работать в Форт Мид; израильская разведка, нанимающая еврейских хакеров из Соединенных Штатов; Вашингтон, предлагающий создать ассоциацию защиты. Некоторые хакеры работают в частных компаниях и профессионально занимаются безопасностью. Недавно ряд консалтинговых компаний попытался оправдать хакеров и представить их в более выгодном свете. Иногда такой подход справедлив, но многим людям бывает тяжело понять отличие этики хакеров от этики преступников.

В апреле 1993 года маленькая группа преступников привезла автоматизированную модель банкомата Fujitsu 7020 на аллею Бэклэнд Хилл в Хартфорде (штат Коннектикут). Машина была специально запрограммирована, чтобы принимать кредитные карты (ATM-карты) от клиентов, записывать номера их счетов и личные идентификационные номера (PIN), а затем сообщать неудачливым клиентам, что выдать деньги невозможно. Несколькими днями позже банда скопировала похищенные номера счетов и личные идентификационные номера на поддельные карты ATM и стала получать по ним наличные деньги в центре Манхэттена. В конечном счете преступники были пойманы, когда банк сопоставил использование поддельных карт с ежедневными записями видеонаблюдения.

Это было умное и практичное нападение, технически более высокоорганизованное, чем большинство банковских преступлений. Один технически продвинутый преступник из Нью-Джерси прикреплял поддельный уличный депозитный ящик к стене банка и убирал его ранним утром. Но более интересное произошло в другом месте. Несколько лет назад автоматизированный кассовый аппарат был украден в Южной Африке… из полицейского управления средь бела дня.

Преступники-одиночки совершают большую часть связанных с компьютером преступлений. Иногда, являясь людьми осведомленными, они замечают недостаток в системе и принимают решение использовать его, иногда же они нападают «снаружи». Обычно у них немного денег, отсутствует доступ и недостаточно хорошо организована экспертиза, и они часто попадаются из-за глупых ошибок. Кто-то может быть достаточно сообразительным, чтобы устанавливать поддельные автоматизированные кассовые аппараты, собирать номера счетов и личные идентификационные номера, но если уж он хвастается своим умом в баре и дает арестовать себя прежде, чем вычистит все регистрационные записи… ну, в общем, сложно испытывать к нему симпатию. Посмотрите на два вызывающих нападения на Интернет в начале 2000 года. Кто-то организовал доступ к десяти тысячам номеров кредитных карт с именами и адресами. Лучшее, что он мог выдумать, – это вымогательство. Кто-то другой установил контроль над большим числом компьютеров, готовых подчиниться его указаниям. Но не смог придумать ничего лучше, чем донимать администраторов этих веб-сайтов.