Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Шрифт:
Roger A. Grimes
Hacking the Hacker: Learn From the Experts Who Take Down Hackers
All rights reserved. This translation published under license with the original publisher John Wiley & Sons, Inc.
Об авторе
Роджер Граймс борется со злонамеренными компьютерными хакерами уже свыше трех десятилетий (с 1987 года). Он получил десятки сертификатов информационной безопасности (включая CISSP, CISA, MCSE, CEH и Security+), а также успешно сдал очень трудный экзамен дипломированных бухгалтеров (CPA), хотя это не имеет ничего общего с ИБ. Роджер создал и обновил курсы информационной безопасности, был инструктором
Благодарности
Я хотел бы поблагодарить Джима Минатела, давшего зеленый свет книге, которую я обдумывал на протяжении 10 лет, и Келли Тэлбот, лучшего редактора, с которой я сотрудничал на протяжении 15 лет. Келли отлично справляется с проблемами, не повышая голоса. Я хочу поблагодарить компанию Microsoft, моего лучшего работодателя за последние 10 лет. Спасибо Брюсу Шнайеру за его негласное покровительство надо мной и всеми в этой отрасли. Мое почтение Брайану Кребсу за его большое расследование и за то, что он приоткрыл завесу тайны крупного бизнеса, каковым уже стала киберпреступность. Спасибо Россу Гринбергу, Биллу Чесвику и другим авторам, которые настолько интересно писали об информационной безопасности, что я решил построить на этом карьеру. Наконец, я не был бы тем, кто есть сегодня, без моего брата-близнеца Ричарда Граймса, лучшего писателя, подтолкнувшего меня к написанию книги более 20 лет назад. Всем специалистам по ИБ респект за помощь от имени всех нас.
Предисловие
Роджер Граймс работает в сфере информационной безопасности почти три десятилетия, и я, к моему удовольствию, знаком с ним 15 лет. Это один из немногих избранных профессионалов среди моих знакомых, у кого безопасность в крови – интуитивное понимание предмета, которое в сочетании с колоссальным опытом поимки плохих парней и устранения уязвимостей в системах безопасности превращает его в идеального автора этой книги. Роджер впервые начал писать в журнал InfoWorld в 2005 году, когда по электронной почте раскритиковал автора статей по безопасности, причем настолько убедительно, что мы сразу же попросили его внести свой вклад в публикацию. С тех пор он написал сотни статей в InfoWorld, каждая из которых демонстрирует любовь к теме, а также понимание с точки зрения психологии как злонамеренных хакеров, так и людей, которые противостоят им. В своей еженедельной журнальной колонке «советника по безопасности» Роджер демонстрирует уникальный талант сосредоточиваться на значимых вопросах, а не преследовать эфемерные угрозы или новые технологии. У него было стойкое стремление к убеждению специалистов по информационной безопасности и их руководителей уделять ей больше внимания, несмотря на склонность многих организаций пренебрегать основами и переключаться на последние технологичные решения. В этой книге Роджер описывает этичных хакеров в сфере ИБ, которые повлияли на ситуацию. Их неустанные усилия помогают удерживать линию обороны против растущей армии злоумышленников, чьи цели с годами сместились от деструктивных воздействий в сторону кражи ценной интеллектуальной собственности и миллионов долларов у финансовых учреждений и их клиентов. Мы в неоплатном долгу перед ними. Упоминая о таких людях, как Брайан Кребс, Дороти Деннинг и Брюс Шнайер, Роджер отдает должное потраченным ими усилиям, формируя увлекательный сборник, который и развлекает, и информирует одновременно. Эту книгу важно прочесть всем, кто интересуется информационной безопасностью, и людям, которые стремятся нас обезопасить.
Введение
Цель этой книги – раскрыть мир специалистов по информационной безопасности (ИБ), некоторых из лучших хакеров, защитников конфиденциальных данных, преподавателей и писателей. Я надеюсь, что вы прочитаете ее с большим удовольствием от осознания усилий, которые потребовались, чтобы реализовать фантастический мир компьютеров, в котором мы живем сегодня. Без добрых людей на светлой стороне, воюющих против злоумышленников, компьютеры, Интернет и все, что с ними связано, были бы невозможны. Эта книга – ода специалистам по ИБ.
Я хочу призвать всех, кто собирается сделать карьеру в области информационных технологий, подумать о карьере в сфере информационной безопасности. Я также хочу призвать всех начинающих хакеров, особенно тех, кто переживает насчет этичности применения своих знаний, сделать карьеру в этой области. Я противостоял вредоносным хакерам и их творениям. Я смог исследовать каждый интерес в области хакинга, который у меня был, этичным и законопослушным способом. И десятки тысяч других. Информационная безопасность – одна из самых востребованных и высокооплачиваемых отраслей в любой стране. Это стало моим призванием и может стать вашим.
Книга разделена на главы, в которых кратко описывается реализация определенного способа атаки, а затем приводится один или два профиля специалистов по ИБ, преуспевших в этой области. Я попытался выбрать лучших из множества легенд, светил и даже некоторых относительно скромных специалистов, которые достигли блестящих успехов, даже если они не очень известны обывателям. Я попытался сформировать сочетание опыта ученых, разработчиков, преподавателей, лидеров, писателей и частных практиков, живущих в Соединенных Штатах и во всем мире. Я надеюсь, что читатели, заинтересованные в карьере специалиста ИБ, смогут так же мотивировать себя, как и я, чтобы сделать сферу ИТ значительно безопаснее для всех нас.
Да пребудет с вами сила!
1. Что ты за хакер?
Много лет назад я переехал в дом с прекрасным гаражом. В нем было очень удобно парковаться и даже хранить лодку и небольшой фургон. Сооружение было построено из отличных прочных досок. Электрику провели профессионалы, а качественные окна выдерживали порывы ветра скоростью 70 метров в секунду. Большую часть интерьера создал профессиональный плотник из ароматного красного кедра. Я неспособен и гвоздь забить, не то что собрать мебель, но даже мне было понятно, что он знает свое дело, думает о качестве и уделяет внимание деталям.
Через несколько недель после новоселья пришел чиновник и сказал, что гараж, построенный много лет назад, не имеет нужных документов, и придется снести незаконную постройку, иначе мне грозят крупные штрафы за каждый день просрочки исполнения постановления. Я позвонил в ведомство, чтобы утрясти вопрос, ведь гараж возвели задолго до моего переезда, и продавался он как часть недвижимости. Безрезультатно. Его нужно было немедленно снести. Штрафные санкции за один день превышали сумму, которую я мог выручить за отделку, если бы аккуратно ее снял. Проще говоря, в целях экономии, чем быстрее я демонтирую гараж, тем лучше.
Я достал кувалду и за несколько часов превратил сооружение в груду деревянных обломков и прочего мусора. В процессе я думал о том, что строителю, вероятно, потребовались недели, если не месяцы, чтобы возвести гараж, а я уничтожил его творение своими варварскими руками гораздо быстрее.
Вопреки распространенному мнению, злонамеренный взлом – это скорее кувалда стропальщика, чем тонкий инструмент ремесленника.
Если вы уверены, что сможете стать хакером, вам придется решить, будете вы стремиться к защите общего блага или довольствоваться низменными целями. Вы хотите быть скрывающимся, преступным хакером или праведным, опытным специалистом по ИБ? Эта книга – доказательство, что лучшие хакеры работают во благо. Они практикуются, развиваются интеллектуально, и им не нужно скрываться от правоохранительных органов. Они могут работать в центре сферы информационной безопасности, приводить в восхищение коллег и получать хорошие деньги. Эта книга о порой невоспетых героях, которые делают нашу невероятную цифровую жизнь возможной.
Примечание. Хотя термины «хакер» или «взлом» могут означать человека или деятельность как с хорошими, так и с плохими намерениями, в основном их используют в негативном ключе. Я понимаю, что хакеры могут быть разными, но во имя экономии бумаги впредь буду использовать эти слова без оговорок, подразумевая либо отрицательный, либо положительный их оттенок. Вникайте в смысл текста, чтобы понимать намерения, в связи с которыми упоминаются термины.