Искусство вторжения

Саймон Вильям Л.

Юхан жаловался: «Когда люди хотят узнать что-то об Эстонии, они иногда спрашивают: „Есть ли у вас врачи? Есть ли у вас университет?“ А ведь 1 мая 2004 года Эстония стала членом Евросоюза». Многие эстонцы, по его словам, работают изо всех сил, чтобы перебраться из старых квартир советских времен в небольшие собственные коттеджи в тихом пригороде. Они мечтают о том моменте, когда смогут сесть за руль «надежной иномарки». На самом деле, у многих уже есть автомобили и все больше людей перебираются в собственные дома, «ситуация улучшается каждый год». И в технологическом смысле страна также не является отсталой, как объясняет Юхан.

«Еще в начале девяностых годов Эстония начала внедрять

у себя инфраструктуру электронных банков, ATM и Интернет-банкинг. Это очень современные технологии. На самом деле эстонские компании предоставляют компьютерные технологии и услуги другим европейским странам».

Вы, может, вообразили себе некий хакерский рай — повсеместный Интернет и неадекватное отношение к безопасности? По словам Юхана, дело обстоит совсем не так.

«Что касается Интернет-безопасности, то здесь все обстоит хорошо, благодаря тому, что размеры страны и коммуникаций невелики. Для поставщиков услуг здесь очень удобно внедрять новые технологии. Что касается финансового сектора, я думаю, что на возможность налаживания связей с Америкой повлиял и тот факт, что здесь никогда не было традиции использования банковских чеков, с помощью которых вы привыкли расплачиваться в магазинах».

По его словам, очень мало эстонцев вообще имело представление о том, что это такое: «большинство людей имеют счета, но не представляют себе, как выглядит банковский чек». Совсем не потому, что их не интересуют финансовые проблемы, а потому, что, по крайней мере, в этой сфере они находятся впереди Америки, объясняет Юхан.

«У нас никогда не было развитой банковской инфраструктуры. Уже в начале девяностых годов мы начали внедрять электронный и Интернет-банкинг. Подавляющее большинство населения и предпринимателей переводят деньги друг другу при помощи Интернет-банкинга».

По европейской терминологии, они пользуются кредитными или банковскими карточками.

«Гораздо удобнее расплачиваться при помощи банковской карточки или Интернет-банкинга, поэтому у людей нет причин пользоваться чеками. В отличие от Америки, почти каждый здесь использует Интернет для осуществления банковских операций и оплаты своих счетов».

БАНК PEROGIE

Юхан серьезно занимается компьютерами, начиная с десяти лет, но он не считает себя хакером, а лишь офисным работником, серьезно думающим о безопасности. Общаться с ним очень легко: английский язык он начал учить со второго класса школы. Ему посчастливилось много путешествовать и учиться за рубежом, что дало ему возможность и дальше совершенствовать свой английский.

Не так давно в Эстонии была очень суровая зима, почти с полярной погодой: всюду намело сугробы, температура опускалась до минус 25 градусов по Цельсию. Стояли такие морозы, что даже местные жители, которые привыкли к холодным зимам, не выходили из дома без особой необходимости. Для любителей компьютеров это был прекрасный повод безвылазно сидеть перед своими мониторами в поисках чего-нибудь поистине достойного их внимания.

Одним из них был Юхан, Он набрел на Интернет-сайт, который мы будет называть банком Perogie. Этот сайт выглядел вполне достойной мишенью.

«Я зашел в интерактивный раздел часто задаваемых вопросов и ответов — F A Q — в котором можно было задавать вопросы. У меня е с т ь привычка листать страницы Интернет-сайтов — без особой цели, просто ради любопытства».

Он заметил, что файловая система организована так. как это принято в Unix-системах, Это сразу же очертило круг атак, которые он мог проводить. Просматривая коды источников некоторых Интернет-страниц, он обнаружил скрытые переменные, которые указывали

на определенное имя файла. Когда он попытался изменить значение этой скрытой переменной, «стало ясно, что никто не спрашивает у него никакой авторизации. Это означало, что для банковского сервера нет никакой разницы — приходит ли к нему запрос с Интернет-сайта банка или с обычного компьютера».

Он изменил параметры спрятанного элемента, указывающего на файл паролей, что позволило ему вывести этот файл паролей к себе на экран. Он обнаружил, что пароли не «замаскированы», что означает, что стандартная зашифрованная форма каждого пароля была видна на экране. Таким образом он смог скопировать зашифрованные пароли и пропустить их через свой «взламы-ватель» паролей.

Этот «взламыватель» был хорошо известной программой с забавным названием «Джон Потрошитель» (John the Ripper), который Юхан запускал, используя стандартный английский словарь. Почему английский, а не эстонский? «Здесь в качестве паролей обычно используются английские слова». Немаловажно и то, что многие эстонцы неплохо владеют английским языком.

«Взламыватель» паролей работал всего 15 минут на его компьютере — пароли были совсем простые, английские слова с несколькими цифрами, добавленными в конце. Один из этих паролей был настоящей драгоценностью: это был корневой пароль, который давал ему привилегии администратора. Более того:

«Есть один сервис удаленного банкинга (не думаю, что надо упоминать его имя здесь), аккаунт которого я обнаружил. Получалось так, что на этом сервере расположена система, реализующая эту услугу».

Он не стал развивать свой успех в этом направлении, объясняя, что «получение паролей — это тот предел, где я останавливаюсь». Благоразумие — вот девиз его игры.

«Я мог попасть в передрягу. В конце концов, я работаю в бизнесе информационной безопасности. У меня были свои резоны не причинять никому вреда.

В с е складывалось слишком хорошо, чтобы быть правдой. Я стал подозревать, что это ловушка (вроде горшка с медом) для заманивания людей, подобных мне, чтобы потом наказывать их. Поэтому я доложил об этом своим начальникам, а они передали информацию о моей находке в банк».

Его открытие не повредило взаимоотношениям ни с его работодателем, ни с банком, наоборот. Его компании предложили продолжить исследования дальше и предложить решение для того, чтобы залатать эту дыру. Компания Юхана поручила эту работу ему, полагая, что он может закончить то, что уже начал.

«Меня удивило то, что события развивались именно так, поскольку ситуация с Интернет-безопасностью в Эстонии обстоит гораздо лучше, чем в любом другом месте. Это не мой личный вывод, а мнение многих людей, которые приехали сюда из самых разных мест. Поэтому я с удивлением обнаружил эту лазейку, и то, как легко мне удалось добраться до очень секретной информации».

ЛИЧНОЕ МНЕНИЕ

После подобных опытов Юхан пришел к выводу, что в собственных интересах компании, в систему которой проник хакер, не наказывать его. а наоборот — работать с ним вместе, чтобы устранить возникшие проблемы — стратегия типа: «если движение нельзя остановить, надо попытаться его возглавить». К сожалению, правительственные организации не так относятся к этой проблеме, как доказал случай с задержанием Адриана Ламо (описан в Главе 5), заключенного под стражу, несмотря на тот факт, что он (в большинстве случаев) предоставлял услуги компаниям, сообщая им об их уязвимости. Наказание — это всегда решение, при принятии которого проигрывают обе стороны, особенно если компания не получает информации о тех лазейках, которые использовал хакер при проникновении в ее сеть.