Основатель Def Con о роли этой конференции в этическом воспитании юных хакеров
Джефф Мосс: «Многие хакеры, прошедшие старую школу, работают сегодня в крупных корпорациях» |
Джефф Мосс — основатель ежегодного съезда хакеров Def Con, проходящего в Лас-Вегасе начиная с 1993 года, а также BlackHat, конференции профессионалов в области безопасности. Уже в средней школе Мосс стал фрикером и занимался взломом телефонных систем, чтобы получить возможность звонить бесплатно. После окончания школы и двух лет учебы на юридическом факультете университета он переключился на изучение компьютерных технологий, затем работал консультантом по вопросам безопасности и, наконец, полностью посвятил свое время организации конференций. Во время беседы с ним редактор PC World.com Ким Зеттер постаралась затронуть тему состояния безопасности Internet и поговорить о роли, которую Мосс отводит Def Con в этическом воспитании юных хакеров.
Как вы стали хакером?
Как-то раз, когда я еще учился в школе, один приятель позвонил мне из города, находившегося в другом конце страны. Я удивился, как можно позволять себе такие дорогие звонки, он же в ответ лишь рассмеялся и воскликнул: «Ты шутишь, парень?» После чего объяснил принципы работы телефонной системы и рассказал, что нужно делать, чтобы звонить бесплатно.
Почему вы решили прекратить хакерскую деятельность?
Можно, конечно, спокойно наблюдать за тем, как ваши знакомые подвергаются атакам, принимая на себя все новые и новые удары. Но рано или поздно начинаешь понимать, что вести себя так можно лишь на определенном жизненном этапе. Поэтому я практически покончил с этим, еще будучи студентом.
Какие изменения произошли в сообществе хакеров со времени начала проведения Def Con в 1993 году?
Многие устроились на работу. Порой мне становится интересно, чем занимаются мои приятели... и оказывается, что многие из них сегодня возглавляют службы компьютерной безопасности крупных компаний.
Хакерами сейчас движут совсем иные мотивы. Когда я подрастал, представители моего поколения стали первыми, у кого появились настоящие компьютеры. Иметь такой аппарат у себя дома было очень престижно. Сегодня на сцену вышло поколение Nintendo, не мыслящее себя без компьютеров и видеоигр. Для них в этом нет ничего особенного.
И как это отразилось на их мотивации?
Раньше хакеры как бы бросали интеллектуальный вызов обществу. Они чисто интуитивно пытались понять, что и как работает — никаких учебников в то время не было. В наши дни всю необходимую информацию легко можно найти в Сети. Все уже разложено по полочкам, проанализировано и сведено в десяток простых и ясных рецептов. В мои времена тому, кто хотел разобраться во внутренних механизмах технологий, приходилось изучать все самостоятельно или же искать человека, обладающего более глубокими знаниями и готового поделиться ими. Если же ты нарушал некий неписаный свод правил, отношения просто разрывались — вся информация для тебя оказывалась закрытой.
Что подразумевается под нарушением правил?
Допустим, вы научились совершать бесплатные звонки. Но вместо того чтобы созваниваться с друзьями из хакерского сообщества и расширять свои знания, вы начинаете продавать бесплатные звонки всем желающим. Как только речь заходит о личном обогащении... вы переходите в другую, криминальную категорию, и никто больше не желает иметь с вами никаких дел. Люди, запятнавшие себя, немедленно исключались из сообщества. Сегодня это уже не так. Доступной информации слишком много. И хакерское сообщество больше не способно самоочищаться.
Пытаетесь ли вы заниматься воспитанием юных хакеров?
Я не сторонник того, чтобы читать морали. Но если молодые хакеры уважают старых, а старые призывают их творить только добрые дела, значит, многие из молодых вырастут хорошими людьми.
А как вы тогда объясните распространение Back Orifice? Представив этого «троянского коня» на конференции Def Con в 1998 году, члены группы Cult of the Dead Cow стали бесплатно раздавать ее на компакт-дисках всем желающим.
Программное обеспечение Microsoft Systems Management Server выполняет те же действия, что и Back Orifice; для него характерна скрытая установка, оно обеспечивает удаленный доступ к компьютеру, и получить его также может любой желающий. Единственная разница заключается в том, что Microsoft продает свой пакет за 2 тыс. долл., а авторы Back Orifice распространяют бесплатно.
Да, но пакет Microsoft доступен далеко не каждому. Вряд ли 16-летний юноша готов выложить 2 тыс. долл. за SMS. А создатели Back Orifice раздают копии своей программы даром, как леденцы, приговаривая при этом: «Бери и пользуйся».
Нет, я вовсе не хотел сказать, что одобряю подобные действия. Но все же думаю, что технологии здесь ни при чем. Просто на очередном витке развития у них появилось больше функций, которые можно использовать для подготовки атаки. Допустим, вы обнаружили в телефонном коммутаторе уязвимое место и знаете, что теперь при определенных условиях у вас есть возможность звонить бесплатно. Но ведь можно поступить и по-другому, воскликнув: «Эй, ребята, достаточно сделать то-то и то-то, и вам больше не нужно платить за звонки».
То же самое можно сказать и о Loompanics, выпускающей руководства по изготовлению компьютерных «бомб» и книги с изложением алгоритмов различных незаконных действий. В Loompanics отвергают свою причастность к содействию правонарушителям, заявляя: «Да, мы публикуем информацию о том, как можно украсть чужие данные, но надеемся, что она не будет использована в противоправных целях». Разве вы не чувствуете фальши в подобных высказываниях?
Я полагаю, что между техническим отчетом о состоянии средств безопасности, в котором перечислены все обнаруженные к настоящему времени уязвимые места, и программой, с помощью которой можно проникнуть в систему через эти бреши, имеются существенные различия.
Вы можете встретить книгу, изданную под заголовком «Следователю о том, как совершаются кражи данных», и в этом нет ничего плохого. Но если на обложке написано: «Универсальное руководство по похищению информации личного характера», тут уже надо принимать меры. Первая адресована правоохранительным органам, а вторая — преступникам, поэтому одна и та же информация в одном случае может расцениваться как полезная, а в другом — как вредная.
Некоторые хакеры утверждают, что, проникая в системы и описывая их уязвимые места, они тем самым способствуют совершенствованию средств безопасности. Вы с этим согласны?
Я так не считаю. Если вы хотите исследовать возможность проникновения в систему и у ваших друзей имеется достаточное количество компьютеров, нужно объединить их в сеть и взламывать ее день и ночь напролет, никому не мешая. Можно просто имитировать взлом.
Помогают ли хакеры совершенствовать системы безопасности?
Многие хакеры, прошедшие старую школу, работают сегодня в крупных корпорациях, государственных учреждениях или в собственных небольших компаниях. Посмотрите на группу хакеров L0pht, составляющую ныне костяк консультационной компании @Stake. Ее сотрудники готовят доклады для вице-президента и конгресса. Наверное, их работа выгодна стране. Но хакеры, отвлекающие ресурсы Министерства обороны и постоянно взламывающие правительственные сайты, никакой пользы не приносят.
Вы высказали предположение, что ситуация в области безопасности сначала ухудшится, и лишь затем, возможно, дела пойдут на лад.
Сейчас мне кажется, что улучшения уже никогда не произойдет. Дела идут все хуже и хуже.
А если мы обнаружим все уязвимые места и ликвидируем бреши...
Нет-нет, это сражение уже давно проиграно. В старые добрые времена, когда в мире существовало лишь две-три операционные системы, уязвимых мест было гораздо меньше. Сейчас в кратчайшие сроки создаются такие штуки, как ICQ и Napster. Сегодня это никому не известная программа, а завтра это уже Gnutella, установленная на компьютерах всего мира.
Дело в том, что вузы выпускают гораздо больше людей, знающих, как писать программы, но не способных при этом обеспечить надлежащей степени безопасности, чем специалистов, умеющих создавать безопасное программное обеспечение, выявлять ошибки и недочеты и устранять их.
Значит, нам нужна организация типа Управления по контролю за продуктами питания и лекарственными средствами США, которая будет следить за соответствием программ стандартам безопасности?
Это бесполезно, потому что процесс кодирования просто-напросто перенесут за океан.
В течение многих лет несколько производителей предлагают защищенные операционные системы (Trust Operating Systems — TOS). Они соответствуют уровню безопасности B «Оранжевой книги» и способны отразить практически все виды атак, которые только приходят мне на ум. Защищенные операционные системы есть на рынке, но американские корпорации не покупают их.
А почему они их не покупают?
Если вице-президент какой-нибудь компании обедает с ведущим менеджером по продажам из Microsoft и тот расписывает вице-президенту достоинства последних продуктов своей корпорации, именно эти продукты и будут куплены. Решение спускается в технический отдел сверху вниз, вместо того чтобы поручить ИТ-специалистам провести серьезную экспертизу и проинформировать руководство о том, какой программный продукт, на их взгляд, является самым лучшим. Очень часто это оборачивается закупкой не самых лучших программ. Если компания действительно обеспокоена вопросами безопасности, ей следует выбрать одну из специализированных защищенных операционных систем, и о большей части осложнений можно будет забыть.
То же самое происходит и с протоколом FTP. Мы привыкли использовать протокол, разработанный 25-30 лет тому назад, хотя всем известно, что он давно не соответствует современным требованиям безопасности. Даже если просто перенести уже существующие решения из IPX в среду IP, уровень безопасности и надежность средств аутентификации заметно возрастут. Но этим никто не занимается. Вместо того чтобы потратить на перенос пару дней, разработчики ограничиваются получасом работы. В результате мы до сих пор ощущаем на себе последствия такого отношения.
И что же следует делать компаниям?
Если ваши системные администраторы регулярно просматривают журналы регистрации, половина хакерских атак никогда не достигнет цели. Но дело в том, что очень часто эти люди перегружены работой. И даже если они замечают в журнале что-то подозрительное, у них не остается ни сил, ни времени на то, чтобы прояснить ситуацию до конца. Выходом здесь могло бы стать обучение персонала и повышение общего уровня знаний вопросов безопасности. Однако подобные шаги сложны и требуют больших финансовых затрат. Поэтому руководству компании проще купить за 100 тыс. долл. какой-нибудь очередной Magic Firewall 1.0, списать эту сумму на единовременные затраты, развернуть его в своей сети и полагать, что отныне информационная система находится в безопасности.
Но повышается ли сегодня общий уровень безопасности?
Мне кажется, что в последние годы люди начинают осознавать степень своей ответственности. Раньше о безопасности рассуждали только технические специалисты, теперь же об этом говорит даже Опра Уинфри (популярная американская телеведущая. — Прим. перев.). С течением времени люди начинают уделять вопросам безопасности все более серьезное внимание, но нам никогда не удастся полностью и окончательно решить эту проблему.