Джонни Лонг связан с хакерством столько, сколько себя помнит. При этом он, специалист по системной безопасности компании Computer Sciences Corporation, не считает, что занимается чем-то предосудительное. Его непосредственная цель заключается в том, чтобы повышать безопасность компьютерных сетей, находя их уязвимые места. Лонг получил признание во время взлома системы поиска в 2005 году, когда написал Google Hacking for Penetration Testers, первую книгу, рассказывающую о том, как злоумышленники используют возможности Google для доступа к защищенным потокам информации.
Но на этом Лонг, стремясь отстоять репутацию энтузиастов-компьютерщиков, не останавливается. «Христианский хакер», как он себя называет, создал организацию, при посредстве которой хакеры могут вести благотворительную деятельность.
В своей новой книге No Tech Hacking он объясняет, как хакеры, движимые любопытством и полагаясь только на собственные ощущения, могут взломать систему безопасности, не применяя никаких технологий, и что необходимо специалистам по безопасности, чтобы не проиграть эту борьбу.
Расскажите, что такое «нетехнологическое хакерство».
Безопасность — это соревнование «хороших» с «плохими». И те, и другие стремятся к техническому совершенству и расширению своих знаний. Будучи профессиональным хакером вот уже много лет, получая несанкционированный доступ к компьютерным сетям и данным, я понял, что большего успеха могу добиться как раз в тех случаях, когда практически не прибегаю к помощи технологий. Я мог бы потратить неделю, месяц, три месяца, добиваясь доступа в подключенную к Internet сеть организации и пытаясь обойти ее межсетевой экран, или буквально за два дня найти способ просто войти в здание, используя свои навыки взаимодействия с людьми и, так сказать, социального манипулирования, возможно, подделав бейдж или представившись телефонным мастером. Есть огромное количество способов, для которых не нужны высокие технологии.
Для «нетехнологического хакерства» нужны особые навыки общения?
Вы должны совершенно естественно чувствовать себя. Многие считают, что это сродни актерству, когда вам приходится играть определенную роль. Но на самом деле вы просто должны пройти мимо как человек, не замышляющий ничего дурного. Действительно, люди с хорошими навыками социального общения могут снять телефонную трубку и изменить голос или возраст. Но даже этого делать не нужно — вы просто должны чувствовать себя комфортно и убедить себя в том, что находитесь здесь потому, что это обычное для вас место, что ведете разговор, который совершенно естествен для вас.
Расскажите об отношениях со своим коллегой Винсом, о котором вы упоминаете в своей книге. Чему, по вашему мнению, он вас научил в «нетехнологическом хакерстве»?
Винс сыграл в моей жизни важную роль. Он был моим наставником. Но он не давал мне практических советов. Благодаря ему я стал заниматься тем, о чем большинство людей даже не задумываются. Меня всегда считали хакером, потому что я взламывал компьютерные системы, ну а Винс олицетворял собой абсолютно необычные для хакера черты. Нужен особый склад ума, чтобы видеть жизнь под другим углом. Винс не был экспертом по технологиям, однако он прекрасно разбирался в таких вещах, как коммуникации и физическая безопасность. Он мог найти способ проникнуть в здание и демонстративно выйти из него с кучей секретных документов. Если попытаться достать эти документы чисто техническими способами, на это потребовалось бы несколько месяцев. Это было просто поразительно.
Каков самый важный аспект нетехнического хакерства?
Наблюдательность. Нетехнические хакеры знают больше, чем обычный человек. Они замечают детали, они очень проницательны. Безусловно, можно выучить все, что угодно, но это значительно легче сделать, если у вас есть к этому прирожденные способности. Информированность, связанная с нетехническим хакерством, в первую очередь направлена на то, чтобы его предотвратить. Вы приходите на работу и рядом с мусорным контейнером видите кипу бумаг или замечаете открытую дверь, которая должна быть закрыта. Это мелочи. Я не хочу, чтобы наше общество состояло из полных параноиков. Но в то же самое время я могу зайти в аэропорт, пройти через проходные, вытащить фотографии из багажа или снять на видео людей, набирающих шифр на кодовом замке. В наши дни и в наших условиях все это должно замечаться. Но, судя по моему опыту, сейчас на это не обращают внимания.
Сегодня ваши действия направлены на то, чтобы повысить безопасность. Что вами двигало, когда вы решили стать хакером?
Нет, я ни о чем таком не думал. Меня всегда интересовали технологии. Безопасность и хакерство на самом деле были любопытными побочными увлечениями. Это похоже на то, как ребенок разгадывает головоломки или занимается математикой. Для меня хакерство стало средством разгадать интересную головоломку. Но, даже будучи ребенком, я не делал ничего злонамеренного. Но я был не в меру любопытен. Это была лишь неизведанная территория. Когда я поступил в колледж, то следовал традиционным советам и ходил на обычные занятия. Я считал, что хочу стать системным администратором, потому что мне говорили, что я для этого подхожу. Я никогда не представлял, что буду заниматься безопасностью. Это произошло практически случайно. В Computer Sciences Corporation, где я работаю сейчас, пригласили меня на должность системного администратора, но в компании была группа, которая занималась системами безопасности. Когда я понял, что они получают деньги за взлом сетей и другие подобные вещи, мне стало безумно любопытно. Сначала члены этой группы отнеслись ко мне весьма скептически, поскольку я проявлял повышенную заинтересованность и был молод. Я был похож на человека, которому нравится укрощать систему и не нравится корпоративный мир. В конце концов, я создал в CSC группу проникающего тестирования.
Вы расстраиваетесь, когда обнаруживаете уязвимые места? Или радуетесь? Или то и другое?
Я думаю, это происходит так же, как и в любой другой профессии. По прошествии какого-то времени вы привыкаете к этому. Врачи каждый день сталкиваются со страданиями и каждый день вытаскивают людей с того света. В первый раз можно испытать душевное волнение, но когда вы делаете это сотни раз, то наступает момент, когда такие эмоции отходят на второй план и крайне редко что-то вызывает потрясение. Меня уже очень сложно чем-то удивить. Думаю, что сейчас я все это скорее воспринимаю с юмором.
Вы создали организацию, которая позволяет хакерам заниматься благотворительностью. Вам не кажется, что люди искренне не понимают, как хакеры могут делать добрые дела?
В обществе укрепилось негативное представление о хакерах. Многие считают, что это злоумышленники, орудиями преступления которых служат компьютеры, и они называются хакерами, потому что делают все эти злонамеренные вещи. Но движущим мотивом подавляющего большинства специалистов, которых действительно можно назвать хакерами, является любопытство. Они обладают невероятным мастерством. Мы хотим, чтобы свои таланты они направили туда, где в них больше всего нуждаются. К примеру, сотрудничая с организацией, которая помогает сиротам в странах Африки, чьи родители умерли от СПИДа, мы практически спасаем жизни людей и отправляем необходимую помощь туда, где в ней нуждаются.
Вы утверждаете, что даже религиозным сообществам есть чему поучиться у сообщества «этичных» хакеров. Поясните, пожалуйста.
Меня порой поражает, насколько высок уровень терпимости хакерского сообщества. Вам часто приходится работать с людьми, которые действуют из совершенно иных, чем у вас, побуждений. Они исповедуют другую религию и принадлежат к иным расам. В Сети эти различия нивелируются. Все то, на чем мы зацикливаемся в обычной жизни, в этом сообществе исчезает. Здесь я могу оставаться самим собой и мне не нужны никакие оправдания.