Искусство вторжения
Шрифт:
Сотрудники газеты проверили лазейку и в течение 48 часов устранили ее. Но руководство Times даже не подумало поблагодарить человека, который привлек их внимание к существующей у них проблеме безопасности. Более ранняя атака группы «Хакерство для девчушек» очень широко освещалась в прессе, но люди, ответственные за нее, никогда не были пойманы. (Не думайте, что я имею какое-то отношение к этой атаке: в то время я уже был в заключении. ожидая суда). Понятно, что после первой атаки сотрудники ИТ-службы Times попали под очень большое давление, чтобы обеспечить в дальнейшем безопасность от хакерских взломов. Безнаказанные путешествия Адриана по их компьютерной сети
Вообще-то, сотрудники Times могли бы проявить благодарность за то, что им дали время устранить зияющие дыры в их системе безопасности, прежде, чем известие о том, что их сеть полностью открыта распространилось в печати. Вероятно, информация об использовании LexisNexis сделала их настолько несговорчивыми. Однако, каковы бы ни были причины, руководство Times сделало то, чего раньше не делала ни одна из жертв Адриана — они обратились в ФБР.
Через несколько м е с я ц е в Адриан услышал, что ФБР и щ е т его и и с —чез. Агенты ФБР начали навещать его семью, друзей и приятелей. все сужая круги, и пытаясь обнаружить, не оставил ли он кому-нибудь из своих приятелей-журналистов каких-то сведений о своем местонахождении. Нескольких журналистов, с которыми Адриан делился информацией, вызвали повестками в суд. «Игра», как написал один из журналистов, «внезапно стала гораздо серьезней».
Адриан объявился через пять дней. Для собственной капитуляции он выбрал одно из своих любимых рабочих мест — кофейню Sturbucks.
После того, как пыль осела, офис Прокурора США по Южному району Нью-Йорка опубликовал пресс-релиз, в котором было сказано, что «за хакерское проникновение на сайт New York Times Адриану Ламо предъявлен иск на триста тысяч долларов». Его бесплатное скачивание информации с сайта LexisNexis, по данным правительства, составило 18% от всех обращений на этот сайт из New York Times с момента проникновения туда Адриана.
Правительство основывало свои расчеты на том, какой должна быть плата для индивидуального пользователя, который не является подписчиком LexisNexis. В этом случае стоимость одного поиска может достигать двенадцати долларов. Если даже проводить расчет на основе этого неразумного предположения, то Адриану пришлось бы делать по двести семьдесят запросов информации ежедневно в течение трех месяцев, чтобы достичь указанной цифры. Кроме того, такие крупные организации, как Times, платят ежемесячную плату за неограниченный доступ к информации LexisNexis, поэтому за все поиски Адриана они не заплатили ни одного дополнительного цента!
По словам Адриана, случай с New York Times является исключением в его хакерской карьере. Он говорит, что получал благодарности, как от excite@home, так и от MCI Worldcom (что было особенно приятно после того, как он подтвердил, что мог сделать переводы с депозитов тысяч сотрудников на свой счет). Адриан не был расстроен, но просто констатировал факт, говоря, что «The New York Times стала единственной компанией, которая захотела видеть меня заключенным».
Чтобы еще усугубить его ситуацию, правительство рекомендовало прежним жертвам Адриана подготовить оценку вреда, которую он нанес им, включая даже те компании, которые поблагодарили его за предоставленную информацию. И это не удивительно: просьба о сотрудничестве со стороны ФБР или государственных следователей является тем, что большинство компаний не может игнорировать, даже если они имеют иное мнение об
УНИКАЛЬНОСТЬ ТАЛАНТА АДРИАНА
Совершенно нетипично для хакера, но Адриан не был знатоком ни одного языка программирования. Его успех базировался на умении анализировать то, как думают люди, как они создают системы. какие процессы используют сетевые и системные администраторы для создания сетевой архитектуры. Хотя, по его словам, у него плохая оперативная память, он выявлял лазейки, пробуя Интернет-приложения компании, чтобы найти доступ в ее сеть, затем он путешествовал по сети, создавая в своем мозгу ее структуру из отдельных кусочков, до тех пор, пока не проникал в один из уголков сети, который. по мнению создателей, был упрятан в темноте недоступности и поэтому защищен от атак.
Вот его собственное описание проникновения сквозь границы защиты в неизведанное:
«Я верю, что есть много общего во всех компьютерных системах, в любой точке планеты. Мы отыскиваем эти общие места среди кажущейся индивидуальности систем. Е с л и вы сможете разгадать смысл этих построений, то это может вам помочь и привести вас в странные места. Хакерство всегда было для меня не столько технологией, сколько религией».
Адриан считает, что если он продуманно поставит перед собой задачу проникновения в определенные участки системы, то скорее всего потерпит неудачу. Если же он раскрепостит свою фантазию, и будет руководствоваться, в основном, интуицией, то он окажется там, где хотел оказаться.
Адриан не считает свой подход уникальным, но говорит, что никогда не встречал другого хакера, который бы преуспел на этом пути. «Одна из причин того, что ни одна из этих компаний, тратящих тысячи и тысячи долларов на выявление вторжений, не обнаружила меня, заключается в том, что я не делаю того, что делают нормальные хакеры. Когда я нахожу сеть, открытую для вторжения, я смотрю на нее так, как это следует делать. Я думаю: „Ну хорошо, у сотрудников есть доступ к информации о пользователях. Е с л и бы я б ы л сотрудником, ч т о бы я попросил систему сделать?“ Для системы тяжело отличить законную активность от незаконной, поскольку вы проходите через тот же интерфейс, что и сотрудники, Э т о т о т же самый трафик».
Однажды Адриан выстроил в голове структуру сети. «Это менее всего связано с числами на экране и гораздо больше с ощущением того, что ты находишься где-то внутри, чувствуя всю ее архитектуру. Это способ видеть, особый взгляд на реальность. Я не могу описать это, но я вижу это в голове. Я замечаю, что и где живет, как все это взаимосвязано и взаимодействует. И множество раз все это приводило меня к тому, что люди называют волшебством».
Во время его интервью на передаче ночных новостей канала NBC в Вашингтоне, ведущий шутливым тоном предложил Адриану попытаться взломать систему NBC. Тот ответил в прямом эфире, что через пять минут на его экране будет конфиденциальная информация этой компании.
Адриан старался смотреть на любую систему с двух точек зрения, как сотрудник и как внешний пользователь. По его мнению, именно этот «бинокулярный» взгляд подсказывает его интуиции, куда двигаться дальше. Он играет роль обычного служащего, выполняющего какую-то задачу, размышляющего и двигающегося вперед в определенном направлении. Его метод работает настолько хорошо, что люди давно перестали относиться к его невероятным успехам, как к случайным удачам.
ПРОСТАЯ ИНФОРМАЦИЯ