Одна из причин, почему это случилось, как я думаю, заключается в том, что многие хакеры следуют по пути, по которому шел и я, проводя массу времени за изучением компьютерных систем, операционных систем, программных приложений, сетевых технологий и много другого. Большинство из них самоучки, причем многие обучались путем эффективного процесса «обмена знаниями». Некоторые из молодых людей настолько преуспели в своих занятиях, что им вполне можно было бы присвоить степень кандидата хакерских наук. Если бы такие уважаемые университеты США, как Массачусе-тский технологический институт, или Калифорнийский технологический институт, присуждали такие степени, то я могу назвать не так много имен людей, которые могли бы сидеть в экзаменационной комиссии.
Никто не знает, сколько консультантов по безопасности раньше были хакерами (включая некоторых из тех, чьи истории приведены на этих страницах). Взлом систем безопасности требует определенного склада ума, который способен тщательно анализировать пути для реализации этого взлома. Тот, кто пытается работать в этой сфере только на основе знаний, полученных в теории, быстро понимает, что ему требуется практический опыт, чтобы он смог успешно конкурировать с «консультантами», которые начали свое обучение в возрасте восьми-десяти лет.
Как это ни трудно признавать, правда состоит в том. что всем, работающим в области безопасности, надо многому учиться у хакеров, которые могут выявить слабости системы и наиболее эффективные и экономичные способы ее взлома. Да, они нарушают закон своими действиями, но они делают важное дело. На самом деле очень многие профессионалы в сфере безопасности в прошлом были хакерами.
Некоторые прочтут эти строки и подумают, что бывший хакер Кевин Митник просто-напросто защищает современных хакеров. Однако. правда заключается в том, что многие хакерские атаки служат благородной цели выявления слабостей в системе безопасности компаний. Если хакер не причиняет никаких повреждений, проводя свою атаку или запускает атаку «отказа в предоставлении услуги», испытывают ли компании ущерб от такой атаки или выгоду, поскольку их оповещают об их уязвимости?
КОНТРМЕРЫ
Обеспечение адекватного управления конфигурацией — это важный процесс, который нельзя игнорировать. Даже если вы правильно сконфигурировали все оборудование и ПО в процессе установки системы и своевременно вносите все необходимые обновления в систему безопасности, неправильная конфигурация всего одного элемента может создать брешь в системе защиты. Каждая компания должна иметь установленную процедуру обучения, тренировки и постоянного напоминания, буквально внедрения ощущения важности безопасности для ИТ-персонала, который будет устанавливать новые компьютеры и новое ПО, а также для телекоммуникационного персонала, устанавливающего телефоны, а вдобавок к этому создать структуру постоянных проверок всех аспектов безопасности.
В нашей предыдущей книге — «Искусство обмана» — мы всячески рекламировали необходимость разработки четкого плана обучения приемам компьютерной безопасности всех сотрудников. Все системы и устройства должны быть тщательно проверены на безопасность еще до того, как будут отправлены в производство.
Я абсолютно уверен в том, что полагаться на один-единственный пароль — это практика прошлого. Более надежные формы безопасной авторизации, использующие определенные типы устройств, таких, как надежные биометрические приборы, или так называемые «токены» — брелоки с изменяемыми цифровыми ключами, должны использоваться в сочетании с мощным персональным паролем — часто обновляемым — для защиты систем и хранимой в них информации. Использование новых, более сильных форм авторизации не гарантирует полную защиту от хакерских атак, но по крайней мере повышает защищенность системы.
Те, кто продолжает полагаться только на обычные пароли, должны проводить специальные тренинги и часто напоминать сотрудникам о том, как сделать их максимально эффективными. Прежде всего, пароли должны содержать как минимум одну цифру плюс один символ вдобавок к буквам, и должны часто меняться.
Следующие шаги заключаются в убеждении сотрудников не полагаться на «ленивую память» и не записывать свои пароли на клочках бумаги, не приклеивать их на монитор своего компьютера, не прятать под клавиатурой, или в других очевидных местах на своем столе, в которые вор обязательно заглянет в первую очередь. Кроме того, правильная практика использования паролей требует не использовать одинаковые или похожие пароли несколькими сотрудниками.
ПОСЛЕСЛОВИЕ
Люди, будьте бдительны. Простейшее изменение паролей на более сложные и часто изменяемые может защитить ваш бизнес от преступников.
Но дело не только в тупости пользователей. Производители ПО всегда ставят на первое место функциональность и совместимость, а безопасность — только после них. Естественно, в руководство для пользователей вставляются подробные указания и инструкции. Хорошо известно старое правило инженеров: «Когда все сломалось, прочти инструкции». Чтобы следовать этому дурному правилу, совсем не надо иметь высшего образования.
Пришло время, когда производители оборудования начинают понимать важность проблемы обеспечения безопасности. И они, и производители ПО наконец-то осознали, что большинство людей не читают документации. А что вы думаете о предупреждении во всех руководствах о необходимости соблюдения правил безопасности или изменении предварительно установленных паролей, когда начинается использование продукта? Более того, как сделать безопасность встроенной в устройство по умолчанию? Microsoft сделал это не так давно, лишь в конце 2004 года появились Windows XP Professional и Home Edition вместе с «Service Pack 2», куда межсетевой экран встроен изначально. Почему же это естественное решение заняло так много лет?
Компании Microsoft и другим производителям операционных систем стоит задуматься об этих ушедших годах. Такое простое изменение во всех продуктах сделало бы все киберпространство более безопасным для всех нас.
Хакерство всегда было для меня не столько технологией, сколько религией
Адриан Ламо
Хакерство — это мастерство. Любой может постичь его при помощи самообразования. С моей точки зрения хакерство — это креативное искусство находить умные пути преодоления систем безопасности, — так же, как любители открывать замки стремятся преодолеть все закрытые двери исключительно ради развлечения. Можно заниматься хакерством и без нарушения законов.
Тонкое различие лежит в разрешении, которое дает владелец компьютерной системы хакеру на проникновение в свою систему. Есть много путей хакерства даже с разрешения «жертвы». Некоторые осознанно нарушают закон, но никогда не попадаются. Другие идут на риск и отбывают свой срок в тюрьме. И все скрывают свои истинные имена за своеобразными кличками, онлайновыми разновидностями прозвищ.
Но есть единицы таких, как Адриан Ламо, которые занимаются этим делом, не пряча свою личность, и когда они находят лазейки в системах безопасности некоторых организаций, то сообщают им об этом. Это Робин Гуды в хакерском сообществе. Их надо не заключать в тюрьму, а награждать. Они помогают компаниям проснуться до того, как другой злонамеренный хакер нанесет ей действительно серьезные повреждения.
Список организаций, в компьютерные сети которых (по мнению правительства) проникал Адриан Ламо, выглядит по меньшей мере внушительно. В нем есть Microsoft, Yahoo!, MCI WorldCom, [email protected], телефонные компании SBC, Ameritech и Cingular. И завершающий аккорд — New York Times.
Конечно, Адриан стоил компаниям некоторых денег, но совсем не так много, как утверждали его обвинители.
СПАСЕНИЕ
Адриан Ламо не был паинькой с детства. Однажды ночью, к примеру, он со своими приятелями решил исследовать огромный заброшенный индустриальный комплекс, расположенный на берегу какой-то реки. Никакого четкого плана у них не было, они просто бродили по пустым ветхим корпусам и довольно быстро заблудились. Только к двум часам утра им удалось выбраться из лабиринта. Когда они пересекали неработающую железную дорогу, проходящую вдоль огромных башен завода, Адриан услышал слабый плач. Хотя его друзья очень хотели выбраться оттуда, победило любопытство Адриана.
В поисках источника этих жалобных звуков они пришли к грязному водостоку. В слабом ночном свете они разглядели, что звуки издавал крошечный котенок, который не мог выбраться оттуда и мяукал изо всех сил.
Адриан набрал телефон службы спасения и вскоре фары полицейского джипа ослепили их.
Наши исследователи были одеты, как говорит Адриан, в стиле «городских естествоиспытателей — элегантно, но с толстым слоем грязи поверх костюмов. Подобная форма одежды не вызывает симпатии и доверия у полицейских». Не меньшую подозрительность вызывал и юный возраст ребят, так что «наша встреча вполне могла закончиться арестом», говорит Адриан. В его голове пронеслось несколько сценариев развития событий: они могли подвергнуться долгому допросу с последующим арестом или … у него созрел план.
