Мы странно встретились...
Специалист по взлому компьютерных системВстречи бывают разными. Бандитские "стрелки" и научные симпозиумы, дружеские пирушки и любовные свидания. Организаторы международного съезда хакеров поименовали свою "тусовку" DefCon, иногда, наверное для солидности, добавляя слово конференция. Интересно, что свое название DefCon получила от военного термина Defense Condition, определяющего степень близости страны к вступлению в ядерную войну.
Почему устроители созвали эту конференцию в середине лета в одном из самых фантастических городов мира - Лас-Вегасе, наверное, непонятно и им самим. Скорее всего это традиция, бог весть откуда взявшаяся и неизвестно кем придуманная, хотя подобная встреча состоялась уже в пятый раз. Да и сами хакеры, кракеры и другие "специалисты" - люди, мягко говоря, нетрадиционные. Они всячески пытаются подчеркнуть свое отличие от других, часто придумывая себе отталкивающие клички и одеваясь в черное. Хотя в действительности это застенчивые юноши (средний возраст хакеров около 20 лет) - представители интеллектуальной элиты. Несмотря на то что их "работа" требует максимальной секретности, хакеры периодически собираются на конференции, чтобы "и других посмотреть, и себя показать".
На этот раз,, эта "нетрадиционность" дорого обошлась жителям Лас-Вегаса, , в первую очередь персоналу отеля, в котором разместились "делегаты". Помимо разных ужасов, о которых служащие теперь рассказывают друзьям и знакомым, показательна одна "шалость" гостей. Буквально через несколько часов после начала конференции была взломана телефонная система отеля и по рукам пошла инструкция, объясняющая, каким образом можно бесплатно позвонить по "межгороду".
Вряд ли теперь городские власти Лас-Вегаса согласятся принимать у себя столь беспокойных гостей, а организаторы DefCon все больше склоняются к мысли о заочном, при помощи электронных средств, проведении подобных встреч.
Ведь этим "специалистам" тоже нужно встречаться и "обмениваться опытом".
Естественно, DefCon всегда привлекает обилием разговоров на "специальные" темы. Как вам, например, "Возможности взлома Novell NetWare" или "Использование встроенных приложений для микроконтроллеров"? Но на пятой конференции "вскрылись" новые течения. Особенно интересовал всех участников вопрос, можно ли не идти по пути, по которому уже прошли их предшественники, поскольку в подавляющем большинстве случаев, в силу специфики выбранного "хобби", они вынуждены изучать лабиринты компьютерных систем самостоятельно.
Вообще же неприятие подобного рода "мастеров" во всем мире контрастировало на конференции с атмосферой самолюбования и самовосхищения. Одни, как, например, Кэролин Мейнел, поддерживающая список рассылки "Happy Hacker", необыкновенно убедительно твердили, что для того чтобы стать хакером, не обязательно нарушать закон. Другие, столь же убежденные в своих словах, заверяли, что хакеры - это не те, кто взламывает компьютеры других: это, мол, просто люди, берущие что-то у других и возвращающие взятое даже в лучшем состоянии, чем прежде. Ну, прямо все сплошь Деды Морозы и Волшебные Феи.
Но, впрочем, надо отдать должное этому сообществу. Наибольшим уважением здесь пользуются мастерство и изящество решения, а не размах и тяжесть последствий. Ни в коей мере не пытаясь оправдать их, подумайте, что, возможно, появление хакеров обусловлено естественным желанием людей (вспомните сломанные в детстве куклы и машинки) разобраться, "как же это работает", и потребностью продемонстрировать другим, а тем более признанным в этой области специалистам, как много они знают.
И напоследок хочу привести слова Брюса Шнейера, автора "Прикладной криптографии": "Математика совершенна. Компьютеры плохи. Сети идиотские. Люди еще хуже. Но мы должны понять, где граница наших возможностей".
В ожидании новых ошибок
Шарон Махлис Computerworld, СШАПо мнению хакеров и консультантов, посетивших конференцию в Лас-Вегасе, администраторам Windows NT стоит подготовиться к новой волне "дыр" в защите, которые обнаружатся в операционной системе в следующем году.
Однако причина кроется не в том, что NT в принципе опаснее других. Unix тоже когда-то прошла через все эти трудности. Но поскольку NT сравнительно новая система и при этом привлекает большое внимание в сообществе хакеров, администраторам необходимо неусыпно следить за всеми выявляемыми ошибками и выпускаемыми исправлениями.
По мнению консультанта CyberSafe Доминика Брезински, для защиты от внешних атак администраторам следует отключить все функции операционной системы, которые им не нужны.
Для выяснения, что именно можно отключить за ненадобностью, а какие функции необходимы для работы вашей системы, вероятно, придется немного поэкспериментировать. Однако перекрыть все возможные каналы доступа очень важно для отражения атак извне. Например, администраторы могут отключить службы Simple TCP/IP, которые иногда используются хакерами при проникновении в систему.
Если это допустимо, разместите различные службы, такие как серверы World Wide Web и, к примеру, серверы имен доменов, на отдельных машинах. Программные функции, как лекарства, могут иметь опасное побочное воздействие.
Например, пользователю, которому в одном и том же каталоге предоставляется право на чтение и запуск, ничто не мешает скопировать файл в свой персональный каталог, провести необходимые изменения и вернуть его на прежнее место, хотя теоретически у него нет разрешения на запись этого файла.
Несмотря на наличие графического интерфейса, по мнению некоторых специалистов по NT, это ОС столь же сложна, как и Unix, и требует большого опыта и внимательного к себе отношения.
Брезински, считающий себя "классическим" хакером, который жаждет знаний, но избегает криминала, критикует корпорацию Microsoft за медленное реагирование на некоторые сообщения об ошибках в программе и недостаток справочной информации для администраторов, так что они в результате даже не знают, какие службы можно отключать.
По словам Брезински, NT удобна в качестве однопользовательского сервера, но не обеспечивает достаточного уровня конфиденциальности в многопользовательском варианте. Это происходит отчасти из-за того, что программная совместимость с Windows 95 помешала реализовать надежную защиту в многопользовательском режиме.
Конфискация компьютеров и другие методы борьбы с хакерами
Шарон Махлис Computerworld, СШАБывшему хакеру Мэтту Уиллису было 15, когда его арестовало ФБР. Там ему был предъявлен ультиматум: или ты бросаешь это дело, или мы конфискуем твой компьютер и все средства связи впридачу. Нанесенный удар оказался посильнее, чем угроза попасть в тюрьму.
"Это для меня было все равно что смерть, - серьезно говорит Уиллис, которому сейчас 23. - Поэтому я перешел на сторону 'светлых сил'".
Согласно надписи на визитной карточке Уиллис сейчас подвизается в качестве "специалиста по информационной безопасности". Применение своим знаниям он находит в компаниях, которые поручают ему найти уязвимые места их сетей. "Я путешественник, который должен проникать в самые труднопроходимые места. Не представляю для себя большего счастья, - заявил он на ежегодном съезде хакеров DEF CON, прошедшем в июле. - Люди меня приглашают для того, чтобы я отвел от них опасность".
Как показывает опыт Уиллиса, компании тратят очень много времени на обеспечение "безопасности по периметру", при этом не уделяя должного внимания "ослабленному центру... Все системы, о которых, казалось бы, нечего беспокоиться, могут оказаться в опасности". Например, шифрование обеспечивает защиту проходящих по Internet транзакций, однако при этом "конечные пункты (настольные системы, подключенные к сети) могут стать объектом нападения".
На DEF CON собрались 1000 "признанных" хакеров, многие из которых щеголяли раскрашенными во все цвета радуги прическами, колечками, вставленными в разнообразные части тела, и даже трехмерной татуировкой (под татуировку на коже с целью придания формы была имплантирована металлическая пластинка). В ходе обмена информацией по проблемам компьютерной безопасности Уиллис, по его собственному признанию, старался служить всем примером для подражания.
"Каждый когда-то был глупым подростком, - считает Уиллис. - Им приятно видеть хакера, которому удалось благополучно выкрутиться".
Для специалистов по информационным системам, перед которыми стоит задача обезопасить корпоративные системы, стремление "глупых подростков" продемонстрировать, чему они успели научиться, может оказаться чревато серьезными проблемами.
С появлением графических интерфейсов пользователя потенциальным хакером становится любой ребенок, которому достаточно загрузить необходимое инструментальное средство, чтобы атаковать систему в любой точке земного шара.
Вместе с тем опытные хакеры утверждают, что системный администратор значительно осложнит жизнь "киберпроказникам", если будет соблюдать элементарные правила, а также следить за сообщениями об ошибках, найденных в программном обеспечении, и вовремя устанавливать исправленные модули.
"Следите за появлением новых заплаток и старайтесь получить их как можно скорее", - рекомендует коренастый "любитель компьютеров", весь в татуировках, представившийся нам как Биффсоко. С его точки зрения, администраторы систем часто допускают элементарные ошибки, в частности не прячут файлы с паролями или оставляют возможность доступа к важнейшей информации через анонимные протоколы передачи файлов: нужные им сведения хакеры могут получить безо всякого пароля. Друг Биффсоко, хакер Имэджинос, добавляет, что ему частенько удается найти копии ключевых файлов, достать которые оказывается не столь сложно, как оригиналы.
По мнению Уиллиса, каковы бы не были новые технические средства, оказывающиеся в руках хакеров, простейший способ взломать систему - это воспользоваться чьей-то оплошностью, например паролем, который легко угадать.
Опыт Уиллиса показывает, что зачастую администраторы сетей не делают ничего, чтобы построить защиту от возможного нападения, жалуясь на то, что им не хватает на это времени и ресурсов. "Они пасуют перед опасностью. Что ж, у них есть неплохое оправдание, - разводит руками Уиллис. - У многих людей, которым повсюду мерещатся хакеры, попросту опускаются руки. По крайней мере им следует объяснить, на какой риск они идут".
С хакером судись по правилам
Как известно, количество преступлений, связанных с использованием компьютеров, в особенности хакерство, неуклонно растет. Подобные проступки не просто причиняют беспокойство - они противозаконны. Если от действий хакеров страдает компания, она может прибегнуть к помощи закона, при условии соблюдения определенных правил. Независимая журналистка Джули Борт обратилась за консультацией к одному из самых уважаемых в США специалистов в этой области. Уильям Дж. Портанова - главный компаньон Delehant&Portanova, юридической фирмы, специализирующейся по гражданским и уголовным делам, связанным с технологией. Прежде чем открыть частную практику, Портанова был старшим советником по судебным процессам Министерства юстиции США, а последние четыре года занимал пост координатора по законодательству в области компьютеров и телекоммуникаций.
На Ваш взгляд опытного обвинителя, каковы первоочередные меры, защиты компании от компьютерных преступлений?
Во-первых, зачастую люди, которые могут причинить наибольший ущерб, работают в самой компании. Это верно как для небольших фирм, так и для крупных международных корпораций. Чтобы тщательно подобрать служащих и затем сохранить доброжелательное отношение каждого из них, может потребоваться длительное время. Во-вторых, необходимо решить, следует ли вам обращаться в полицию, причем заранее, не дожидаясь, пока что-нибудь произойдет. Поговорите об этом с руководством и предложите соответствующий план.
Кроме того, руководителям нетехнического профиля нужно втолковать, что происшествия возможны, даже если системы обслуживаются хорошими операторами, и нельзя быть готовым ко всему. Лишь единицы могут охватить все разнообразие возможных вторжений. Однако многим операторам систем неприятно сообщать начальству о том, что произошло вторжение, поскольку они не хотят признавать свою некомпетентность. Поэтому нередко они просто закрывают брешь, надеясь, что хакер убрался прочь.
Многие компании - возможно, большинство - придерживаются негласной политики в любом случае избегать судебного разбирательства. Зачем обращаться к закону?
Для многих важнее всего чувство общественного долга. Но, помимо этого, если хакер проник в систему и оператор только закрывает брешь, весьма вероятно, что злоумышленник повторит попытку, ведь вторжение не имело для него нежелательных последствий. Почему бы еще раз не позабавиться за ваш счет, если он ничем не рискует?
К тому же в прошлом хакеры должны были проявлять недюжинную изобретательность, а теперь им вовсе не нужно обладать особыми способностями. Поэтому чем больше облегчается их задача, тем чаще они будут предпринимать попытки взлома. Сейчас есть программы, с помощью которых можно взломать систему, лишь выбрав объект и щелкнув мышью. Я могу назвать имена нескольких Web-узлов, обратившись к которым, стоит только щелкнуть мышью по нужной программе незаконного доступа к системе, чтобы загрузить ее и запустить ее еще одним щелчком.
Если компания хочет обратиться в суд, что она должна сделать, чтобы увеличить шансы выиграть процесс?
Необходимо принять решение о методе контроля. Имеется множество действительно хороших программ, с помощью которых можно получить информацию о том, кто входил в систему, где он побывал и какие действия совершил. Существуют также программы мониторинга в реальном времени, позволяющие следить за вводом данных с клавиатуры. С юридической точки зрения гражданин вправе вести мониторинг в реальном времени, чтобы защищать свою собственность. Представитель правоохранительных органов не может делать этого без специального постановления суда.
Конечно, если кто-то намерен вести мониторинг, то по целому ряду причин необходимо, чтобы при включении компьютера пользователя на экране отображалось предупреждение: "Такие-то операции контролируются, или могут контролироваться, в любое время". Полезными могут быть и контрольные журналы, если хакер не изменил их, чтобы замести следы.
После того как произошел взлом, необходимо завершить работу с файлом, содержащим информацию о происшествии. Дальнейшие действия исключительно важны. Сохраните файл в том виде, каким он был сразу после взлома. Если этого не сделать, то вы рискуете отпугнуть любого представителя правоохранительных органов или заставить прокурора отказаться от ведения дела.
В идеале необходимо снять и сохранить в первоначальном виде жесткий диск. Если невозможно сохранить оригинал, то обязательно сделайте безупречную копию, но не прибегайте к команде Copy. Большое значение имеет отметка времени и даты. Все знают, что их можно изменить, настроив компьютер на другую дату, однако нужно принять все меры, чтобы зеркальную копию можно было считать равноценной оригиналу. Сделайте копию оригинального диска или его зеркальной копии для передачи полиции или адвокатам, но храните опечатанный (в буквальном смысле слова) оригинал или его зеркальную копию в таком месте, контролировать которое можете только вы. В итоге, когда вас вызовут в суд давать свидетельские показания, не возникнет сомнений, что оригинал или его зеркальная копия, которую вы представили в суд, находится точно в том состоянии, в котором она была в момент подготовки. На языке юристов этот процесс называется "идентификация улик".
Кроме того, как только вы заметите что-то подозрительное, запускайте распечатку с экранов, поскольку к тому времени, когда вы доберетесь до других цифровых записей, хакер, возможно, уже изменит контрольный файл.
Это особенно важно при мониторинге в реальном времени, если можно наблюдать за последовательностью действий злоумышленника.
Каким образом следователи устанавливают личность хакера?
Что происходит и кто это делает - разные вещи. Ключ к установлению личности нередко дают цифровые записи. Например, часто информация о конкретном человеке хранится у оператора Internet, и можно узнать, через какого провайдера он действовал. Разумеется, существуют программы-"обезличиватели", которые блокируют информацию подобного рода. Однако на деле множество людей даже не используют их, поэтому при наличии возможности обратиться к последнему оператору, то можно проследить цепочку в обратном направлении до исходного сервера, установить, кто проник в систему, узнать его имя и адрес и отправляться вышибать дверь.
Есть ли у компаний выбор, если они обнаружат, что вторжение является частью кампании шпионажа со стороны других корпораций? В каких случаях фирма может возбуждать гражданские, а не уголовные иски?
В соответствии с гражданским кодексом, если кто-то ворует продукты, знания, информацию, защищенную авторским правом, или коммерческие секреты, это считается присвоением интеллектуальной собственности. Существует также уголовное законодательство в отношении хищения интеллектуальной собственности. Однако, поскольку правоохранительные органы по горло заняты судебным преследованием убийц, им нелегко найти оправдание для траты времени на дела, связанные с интеллектуальной собственностью. Не забывайте, цель уголовного преследования - наказание преступника. Цель гражданского законодательства по существу заключается в том, чтобы восстановить положение, в котором был потерпевший прежде, чем стал жертвой. Это означает вернуть его собственность и затем конфисковать у злоумышленника его достояние, дабы возместить причиненный ущерб.
Во многих случаях предпочтительнее гражданские процедуры. Выбирая тот или иной подход, вы можете повлиять на свою судьбу.