Чтение онлайн

на главную

Жанры

Искусство вторжения
Шрифт:

Именно это и произошло, Адриан называет случившееся спортивным термином «нокаут» или «чистая победа». Кто-то из системных администраторов Times поместил это приложение в одну из директорий, которая позволяла сделать то, что называется «SQL-запрос в свободной форме». SQL (Structured Query Language — структурированный язык запросов) — это язык для общения с большинством баз данных. После запроса появляется специальное диалоговое окно, которое позволяет Адриану ввести SQL-команды без авторизации, то есть он получает возможность проводить виртуальный поиск по всем базам данных системы и получать или изменять информацию по своему усмотрению.

Он

определил, что компьютер, на котором были расположены почтовые сервера, использовал программы Lotus Notes. Хакеры знают, что более старые версии Notes дают возможность пользователю просматривать все базы данных в системе, и как раз эта часть сети Times использовала такую старую версию. База данных Lotus Notes, в которую проник Адриан, заставила его «сильно заволноваться, поскольку в ней содержались все сведения о каждом сотруднике, включая их заработную плату и номера социальных страховок». «Там содержалась информация о подписчиках. а также о тех, кто обращался в газету с жалобами или просьбами о помощи».

На вопрос о том, какая операционная система работала в Times, Адриан отвечает, что он не знает. «Я не анализировал сеть с этой точки зрения», — объясняет он.

«Дело не всегда заключается в технологии, чаще всего все бывает связано с людьми и с тем, как они конфигурируют сети. Большинство людей совершенно предсказуемы. Я часто обнаруживал, что люди строят сети одним и тем же образом, снова и снова.

Многие сайты электронной коммерции д е л а ю т э т у ошибку. Они предполагают, что все люди будут пользоваться сайтом одним и тем же образом. Никто не думает о том, что пользователь выйдет за пределы установленного пути».

Из-за этой предсказуемости опытный атакующий может разместить заказ на Интернет-сайте, пройти через весь процесс покупки до той точки, где его информация проверяется, затем вернуться и изменить биллинговую информацию. Он получает товары; кто-то другой получает счет на оплату этих товаров. (Хотя Адриан объяснил всю процедуру в деталях, он специально просил не приводить ее полного описания, что может дать возможность другим повторить ее).

Его мысль заключалась а том, что системные администраторы даже не пытаются поставить себя на место атакующих, что сильно облегчает жизнь последних. Именно это объясняет успех следующих шагов Адриана в его проникновении в компьютерную сеть Times. Внутренняя поисковая машина не должна была проводить поиск по всему сайту, но она делала это. Он обнаружил программу, которая предоставляла SQL-форму, дающую ему контроль над базами данных, включая написание запросов для извлечения информации. Ему еще надо было узнать имена баз данных в этой системе, в поисках тех, что представляли бы интерес. Именно таким образом он нашел очень интересную базу данных: она содержала таблицу имен и паролей для всех сотрудников The New York Times.

Оказалось, что большинство паролей представляют собой последние четыре цифры номера социальной страховки сотрудника. При этом компания даже не позаботилась использовать различные пароли для доступа в области, содержащие особенно важную информацию — один и тот же пароль пользователя действовал в любом месте системы. И, как подсказывает ему опыт, Адриан считает, что и сегодня пароли в Times не более безопасны, чем они были в момент его атаки.

«В конце концов, я смог войти в Интернет и получить доступ к дополнительной информации. Я смог войти на страницу новостей под именем

редактора новостей, используя его пароль».

Он обнаружил базу данных, где были перечислены все люди, задержанные в США по обвинению в терроризме, включая и тех, чьи имена не были известны общественности. Продолжая свои исследования, он обнаружил базу данных всех тех, кто когда-либо написал хоть одно слово для первой страницы Times. В ней содержались тысячи имен с адресами, телефонами и номера страховок. Он начал искать имя «Кеннеди» и обнаружил несколько страниц информации. В базе данных содержалась контактная информация о знаменитостях и прочих выдающихся людях от профессоров Гарварда до Роберта Редфорда и Джека Николсона.

Адриан добавил в этот список свое имя и номер мобильного телефона (с кодом северной Калифорнии номер выглядел так «505-НАСК»). Он был уверен, что газета никогда не сможет определить, что список был изменен, и втайне надеялся, что какой-нибудь репортер или редактор захочет с ним пообщаться, поэтому он написал в графе профессия «компьютерное хакерство/безопасность и интеллектуальные коммуникации».

Да, действия Адриана можно считать неадекватными, может даже непростительными. Лично мне они кажутся не только безопасными, но и забавными. Меня до сих пор возбуждает идея Адриана позвонить от имени газеты какой-нибудь знаменитости: «Добрый день. это г-н Джексон? Это такой-то из газеты The New York Times». После чего можно было попросить его высказаться о чем-то или же написать шесть сотен слов о состоянии компьютерной безопасности или на какую-нибудь не менее актуальную тему и на следующий день увидеть свой текст на первой странице самой влиятельной в стране газеты.

Можно еще долго рассказывать сагу «Адриан и The New York Times», но, к сожалению, дальше рассказ становится печальным. То, о чем пойдет речь, не было необходимым, это не характерно для Адриана, но именно это привело к серьезным проблемам. После проникновения в базу данных он обнаружил, что у него есть доступ к подписке Times на услуги компании LexisNexis — онлайновым платным услугам по предоставлению новостной информации.

Как указано в правительственном обвинении, он создал пять отдельных аккаунтов и сделал более трех тысяч запросов.

После трех месяцев «путешествий» по закромам LexisNexis, в течение которых The New York Times оставалась в полном неведении, что ее база данных взломана, Адриан решил перейти к практике в стиле Робин Гуда, чем характеризовались все его предыдущие атаки на другие компании. Он связался с известным Интернет-журналистом (как и я, бывшим хакером) и рассказал о лазейке, которую он использовал для проникновения в компьютерную систему The New York Times — при этом он предварительно получил согласие, что журналист не будет публиковать информацию о взломе, пока предварительно не свяжется с Times и не дождется, что они устранят проблему.

Журналист рассказал мне, что когда он связался с Times, переговоры пошли совсем не таким путем, как ожидали они с Адрианом. Руководство Times, по его словам, не заинтересовалось тем, что он говорил им, не захотело воспользоваться информацией, которую он предложил, не захотело общаться непосредственно с Адрианом, чтобы познакомиться с деталями и пожелало решать проблему самостоятельно. Представитель Times даже не захотел узнать, какой способ доступа был применен и согласился записать подробности только после того, как журналист настоял на этом.

Поделиться:
Популярные книги

Действуй, дядя Доктор!

Юнина Наталья
Любовные романы:
короткие любовные романы
6.83
рейтинг книги
Действуй, дядя Доктор!

Убийца

Бубела Олег Николаевич
3. Совсем не герой
Фантастика:
фэнтези
попаданцы
9.26
рейтинг книги
Убийца

Краш-тест для майора

Рам Янка
3. Серьёзные мальчики в форме
Любовные романы:
современные любовные романы
эро литература
6.25
рейтинг книги
Краш-тест для майора

Найди меня Шерхан

Тоцка Тала
3. Ямпольские-Демидовы
Любовные романы:
современные любовные романы
короткие любовные романы
7.70
рейтинг книги
Найди меня Шерхан

Мастер...

Чащин Валерий
1. Мастер
Фантастика:
героическая фантастика
попаданцы
аниме
6.50
рейтинг книги
Мастер...

Полковник Империи

Ланцов Михаил Алексеевич
3. Безумный Макс
Фантастика:
альтернативная история
6.58
рейтинг книги
Полковник Империи

Протокол "Наследник"

Лисина Александра
1. Гибрид
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Протокол Наследник

Магия чистых душ

Шах Ольга
Любовные романы:
любовно-фантастические романы
5.40
рейтинг книги
Магия чистых душ

Бальмануг. Невеста

Лашина Полина
5. Мир Десяти
Фантастика:
юмористическое фэнтези
5.00
рейтинг книги
Бальмануг. Невеста

Идеальный мир для Лекаря 15

Сапфир Олег
15. Лекарь
Фантастика:
боевая фантастика
юмористическая фантастика
аниме
5.00
рейтинг книги
Идеальный мир для Лекаря 15

Газлайтер. Том 16

Володин Григорий Григорьевич
16. История Телепата
Фантастика:
боевая фантастика
попаданцы
аниме
5.00
рейтинг книги
Газлайтер. Том 16

Охота на эмиссара

Катрин Селина
1. Федерация Объединённых Миров
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Охота на эмиссара

Live-rpg. эволюция-5

Кронос Александр
5. Эволюция. Live-RPG
Фантастика:
боевая фантастика
5.69
рейтинг книги
Live-rpg. эволюция-5

Неестественный отбор.Трилогия

Грант Эдгар
Неестественный отбор
Детективы:
триллеры
6.40
рейтинг книги
Неестественный отбор.Трилогия