При разговоре о компьютерных хакерах большинство людей вспоминает Кевина Митника. В 1970-е, 1980-е и 1990-е годы он был тем самым хакером. Сочетая методы социальной инженерии с низкоуровневым анализом операционных систем, Митник проворачивал всевозможные возмутительные трюки, хотя причиненный им вред вряд ли может сравниться с масштабом ущерба, наносимого современными APT-атаками и программами-вымогателями.
Он и его «подвиги» были описаны в нескольких книгах, показаны в кино и даже породили своеобразную субкультуру приписывания ему всевозможных эксцентричных хакерских выходок, которых он никогда не совершал. Власти настолько боялись того, что одно слово Митника способно запустить ядерную ракету, что он стал единственным заключенным в США, которому пришлось отбывать наказание в одиночной камере без права доступа к телефону. Если вы когда-либо видели фильм, где главный герой говорит по телефону всего одно слово, которое запускает цепь ужасных киберсобытий, знайте, что эта сцена порождена паранойей, вызванной страхом перед Митником.
Я поместил историю о Кевине в начало этой книги, потому что после совершения множества киберпроступков он посвятил свою жизнь борьбе с компьютерными преступлениями и стал одним из немногих исправившихся «черных шляп», которым я полностью доверяю. Митник написал несколько книг по информационной безопасности (https://www.amazon.com/Kevin-D-Mitnick/e/B001IO9WEW), работает с разными компаниями (в том числе с KnowBe4), управляет собственной консалтинговой фирмой (Mitnick Security Consulting) и стал самым востребованным из известных мне лекторов в сфере ИБ. Он также принимал участие в программе The Colbert Report и даже появлялся в телевизионном шоу Alias. Благодаря Митнику была осознана роль методов социальной инженерии в хакинге и важность защиты от них. В конце концов, если вы хотите остановить преступника, вам не помешает поучиться у того, кто когда-то им был.
Когда я спросил Митника о том, что вызвало у него интерес к хакерству, он сказал: «В детстве я любил магию. Один парень из моей школы показал мне разные трюки с телефоном, в частности, научил тому, как бесплатно звонить по межгороду, как узнать чей-то адрес при помощи одного лишь номера телефона, как переадресовывать звонки и т. д. Он заходил в телефонную будку, набирал номер [телефонной компании], представлялся кем-то другим – и происходило чудо. Тогда я впервые узнал о социальной инженерии, которая показалась мне настоящим волшебством. Я не знал, как это называется. Я знал лишь то, что это весело и интересно, и это захватывало меня все сильнее. Я тратил на это все свое время. Мне наскучила школа, и поскольку по ночам, вместо того чтобы спать, я занимался фрикингом, моя успеваемость начала стремительно ухудшаться».
Я спросил, что думали родители о его хакерских «подвигах». Он ответил: «Ну, поначалу они ничего не знали. Может быть, просто думали, что я вытворяю с телефоном что-то сомнительное. Но моя мать, должно быть, считала, что самое страшное, что можно сделать с телефоном, – это кого-нибудь разозлить. Однако они понятия не имели, чем именно я занимаюсь, пока мама не получила официальное письмо из компании AT&T, уведомляющее об отключении телефонной связи. Она была очень расстроена. Как вы понимаете, это было задолго до появления сотовых телефонов. Домашний стационарный телефон был единственным средством связи. Я попросил ее успокоиться и пообещал все исправить.
С помощью все той же социальной инженерии я восстановил дома телефонную связь. Мы жили в доме № 13. Я позвонил в отдел продаж телефонной компании, представившись жителем дома № 13 “Б”. После трехдневного ожидания, необходимого для регистрации нового адреса в системе, я позвонил в отдел технического обслуживания и попросил установить новый телефон в этом доме. Я даже сходил в магазин и купил там букву Б, чтобы повесить ее на дверь. В ходе телефонного разговора я выдал себя за нового клиента по имени Джим Бонд из Англии. Я сообщил настоящий номер телефона в Англии, который нашел вместе с другой личной информацией, потому что знал, что они не смогут проверить сведения об иностранце. Затем спросил, могу ли я выбрать “красивый номер”, мне дали добро, и я выбрал номер телефона, заканчивающийся на 007. В конце разговора я спросил, можно ли мне использовать сокращение Джим, или им необходимо мое полное имя. Они попросили назвать полное имя, и я сказал, что меня зовут Джеймс. Итак, я был зарегистрирован в AT&T как Джеймс Бонд с номером телефона, заканчивающимся на 007, а у моей матери снова появилась телефонная связь. Представители компании AT&T были в бешенстве, когда моя схема была раскрыта».
В тот момент я понял, что за все интервью он ни разу не упомянул о взломе компьютерных систем. Он говорил только о злоупотреблении телефоном. Я спросил, что подвигло его заняться взломом компьютеров. Он ответил: «Один парень из моей школы узнал, что я занимаюсь телефонным фрикингом, и подумал, что меня заинтересует новый школьный факультатив с углубленным изучением компьютерных наук. Сначала я сказал, что это не мое, но он возразил: “Знаешь, я слышал, телефонные компании начинают использовать компьютеры”. Мне этого было достаточно. Я должен был разобраться в этой теме.
Пришлось пойти к преподавателю, мистеру Крису, и спросить его, могу ли я записаться на факультатив, потому что у меня не было необходимой подготовки (которая тогда предполагала углубленное изучение математики и физики). Кроме того, моя успеваемость ухудшилась из-за постоянного недосыпа. Мистер Крис не хотел меня принимать; тогда я продемонстрировал ему свои навыки фрикинга, назвав его телефонный номер, который не был указан в справочнике, а также номера его детей. Он сказал: “Это волшебство!” и принял меня в группу.
Нашей первой задачей было написание программы на языке Fortran для вычисления последовательности Фибоначчи, которая показалась мне слишком скучной. Я пошел в местный университет в Нортридже и попытался получить доступ к компьютеру. Там использовались те же компьютеры и операционная система, но мне не разрешали проводить за ними более пяти минут. Я попросил руководителя компьютерной лаборатории дать мне больше времени. Он сказал, что я не студент колледжа и вообще не должен там находиться, однако он видел мою заинтересованность в компьютерах, и, чтобы поощрить ее, дал мне для практики логин и пароль своей личной учетной записи. Представляете? Вот так в те дни обращались с компьютерами.
В итоге я узнал о низкоуровневых вызовах операционной системы. На школьном факультативе мы это не изучали. В школе мы все использовали один модем, подключенный к телефонной трубке и акустическому соединителю. Он работал постоянно, и все по очереди вводили свои логины и пароли для получения доступа к терминалу и модему. Я написал низкоуровневую программу, которая оставалась активной в фоновом режиме и записывала все нажатия клавиш.
Настал день, когда ученики мистера Криса должны были показать ему, сколько чисел Фибоначчи вычислили их программы; у меня не было ничего. Мистер Крис отчитал меня перед классом, напомнив о том, как он, на свой страх и риск, разрешил мне посещать занятия, а теперь я даже ничего не могу ему показать. Все присутствующие смотрели на меня. И тогда я сказал: “Вообще-то, я был слишком занят написанием программы для взлома паролей. Ваш пароль – johnco”. Он спросил: “Как ты это сделал?” Я объяснил ему, и он поздравил меня, объявив всему классу о том, что я компьютерный гений. Он совсем не рассердился. Возможно, это был очень плохой урок для меня с точки зрения этики».
Я спросил Митника, что, по его мнению, стоит делать родителям, если они заметили признаки того, что их ребенок занимается вредоносным хакерством. Вот что он посоветовал: «Покажите им законные способы занятия хакерством. Направьте интерес на такие законные и этичные занятия, как посещение конференций по информационной безопасности и участие в конкурсах типа “захват флага”. Родителю стоит бросить ребенку вызов, сказав что-то вроде: “Итак, ты думаешь, что достаточно хорош, чтобы победить в соревновании по захвату флага?” Таким образом родитель применит к ребенку метод социальной инженерии, а тот получит удовольствие от хакерства, не нарушая при этом закон. Например, сегодня я легально взломал корпоративную сеть, и это показалось мне не менее захватывающим, чем те неэтичные и противозаконные вещи, которыми я когда-то занимался. Хотел бы я, чтобы в мое время существовали те законные способы взлома, которые есть сейчас. Жаль, что я не могу вернуться и все исправить. Знаете, чем отличается незаконный взлом от законного? Написанием отчета!»
Я спросил, как Митник, обладающий жизненным опытом «по обе стороны забора», относится к тому, что правительство считает себя вправе следить за частной жизнью граждан. Вот что он на это сказал: «Я думаю, мы все имеем право на частную жизнь. Моя последняя книга “Искусство быть невидимым” (https://book24.ru/product/iskusstvo-byt-nevidimym-kak-sokhranit-privatnost-v-epokhu-big-data-5255267/) как раз о том, как человек может сохранить тайну своей частной жизни. Я думаю, очень трудно сохранять приватность, если вами интересуется кто-то вроде АНБ или правительства, обладающих неограниченными средствами. Если они не могут взломать ваши зашифрованные сообщения, то могут просто использовать одну из многих известных им уязвимостей нулевого дня и взломать ваш компьютер, либо купить такую уязвимость. За 1,5 млн долларов можно купить уязвимость нулевого дня в системе Apple, за полмиллиона – брешь в системе Android и так далее. Если у вас есть средства и ресурсы, вы получите необходимую информацию. В той книге я написал, что владею способом, который позволяет защититься даже от них, но его сложно осуществить и он включает в себя много шагов. Однако я думаю, что это все-таки можно провернуть таким образом, что даже АНБ и любому правительству будет трудно до вас добраться. Я понимаю, что в определенных случаях правительство должно обладать информацией, например когда речь идет о терроризме, но они хотят видеть и слышать всех и вся. И если за вами наблюдают, вы меняете свое поведение, а это означает ограничение свободы. Я не думаю, что свобода возможна без конфиденциальности».
В конце интервью я напомнил Митнику о том, что мы уже встречались на конференции по вопросам ИБ много лет назад, где он собирался выступить в качестве главного докладчика. Проходя мимо, он сказал, что ему нужен USB-накопитель, чтобы перенести свою презентацию на компьютер, находящийся на сцене. У меня был один в кармане, и я предложил его. Кевин уже собирался взять флешку, но, подумав пару секунд, отказался, заявив, что не доверяет чужим USB-ключам. Несколько человек, стоявших поблизости, посмеялись над его паранойей. В конце концов, USB-устройство не может быть вредоносным. Так, по крайней мере, все тогда считали.
Никто, правда, не знал, что я обнаружил способ автоматического запуска любой программы с любого портативного носителя (используя трюк со скрытым файлом desktop.ini, который позднее использовала вредоносная программа Stuxnet), и предложенный мною USB-накопитель как раз содержал демонстрационную версию этого эксплойта. Я не намеревался заражать систему Митника. Просто в то время этот эксплойт был на всех моих USB-накопителях, включая тот, который я предложил ему.
Паранойя Митника уберегла его от обнаруженной мною уязвимости нулевого дня. Этот пример также показывает, насколько трудно обмануть профессионального социального инженера, по-прежнему находящегося на пике формы.