Несмотря на то, что я не разделяю хакеров на гениальных, хороших и плохих, все они имеют несколько общих черт. Одна из них – широкое интеллектуальное любопытство и готовность пробовать новое за пределами данных интерфейсов или границ. Они не боятся идти своим путем. Компьютерные хакеры, как правило, таковы и по жизни, взломщики всевозможного за пределами компьютеров. Они относятся к тому типу людей, которые, столкнувшись с системой безопасности в аэропорту, размышляют о том, как пронести оружие, которого у них нет, мимо детекторов. Они выясняют, можно ли подделать дорогие билеты на концерт, даже если не собираются посещать его. А покупая телевизор, задаются вопросом, можно ли получить доступ к его операционной системе, чтобы что-нибудь там изменить. Покажите мне хакера, и я покажу вам того, кто постоянно ставит под сомнение статус-кво и все исследует.
Примечание. В какой-то момент моя собственная гипотетическая схема пронесения оружия через охрану аэропорта строилась на использовании инвалидных колясок с оружием или взрывчаткой, спрятанными внутри металлического каркаса. Инвалидные кресла часто провозят мимо охраны аэропорта, не подвергая тщательному досмотру.
Следующее после любопытства важное качество хакера – настойчивость. Каждый хакер – и хороший, и плохой – проходил через пытку, когда ты долгими часами пытаешься снова и снова заставить что-то работать. Злоумышленники ищут бреши в защите. Одна ошибка специалиста по ИБ, по сути, сводит на нет всю защиту. Специалист по ИБ должен быть идеальным. Все компьютеры и программное обеспечение должны быть пропатчены, каждая конфигурация проверена на отсутствие уязвимостей, и каждый конечный пользователь отлично обучен. По крайней мере, в идеальном мире. Специалисты по ИБ знают, что применяемые средства защиты не всегда работают или применяются в соответствии с инструкциями, поэтому выстраивают уровни «глубокоэшелонированной обороны». И злоумышленники, и специалисты по ИБ ищут слабые места, только с противоположных сторон баррикад. Обе стороны участвуют в непрерывной войне со многими столкновениями, победами и поражениями. Самые стойкие выходят победителями.
Я всю свою жизнь был хакером. Мне платили за то, чтобы я вламывался куда-либо (на что у меня были юридические полномочия). Я взламывал пароли, сети, писал вредоносные программы и при этом ни разу не нарушил закон и не преступил границ этики. Это не значит, что никто из знакомых не пытался меня на это соблазнить. На протяжении многих лет друзья просили меня взломать мобильный телефон супруга, уличенного в измене; заместители хотели получить доступ к электронной почте начальства; а также люди без ордера требовали «вскрыть» компьютер одного злого хакера, чтобы предотвратить его дальнейшие взломы. На ранней стадии вы должны решить, кто вы и какова ваша этика. Я решил, что буду хорошим хакером («в белой шляпе»), а «белые шляпы» не совершают незаконных или неэтичных действий.
Хакеры, которые участвуют в незаконной и неэтичной деятельности, называются «черными шляпами». Хакеры, которые зарабатывают на жизнь законным образом в сфере ИБ, но в духе «Бойцовского клуба» тайно промышляют взломами, известны как «серые шляпы». Мое представление о кодексе чести предусматривает лишь два варианта. Для меня «серых шляп» не существует. Ты либо делаешь незаконные вещи, либо нет. Ограбь банк, и я назову тебя грабителем, каковой бы ни была твоя цель.
Однако «черные шляпы» могут стать «белыми». Это происходит сплошь и рядом. Вопрос в том, станет ли хакер «белым», прежде чем ему придется сесть за решетку. Кевин Митник – один из самых известных арестованных хакеров в истории (см. главу 5), который после выхода из тюрьмы начал карьеру в сфере ИБ на всеобщее благо. Роберт Т. Моррис, написавший и выпустивший первого компьютерного червя, чуть не уничтожившего Интернет (https://ru.wikipedia.org/wiki/Червь_Морриса), в итоге стал членом Ассоциации вычислительной техники (https://awards.acm.org/award_winners/morris_4169967.cfm) за «вклад в компьютерные сети, распределенные и операционные системы».
Раньше грань между легальным и нелегальным взломом была не столь четкой. Более того, многие ранние «злые» хакеры получили статус супергероев. Даже я не мог открещиваться от некоторых из них. Джон Дрейпер (ник Capitan Crunch) свистел в игрушечный свисток, обнаруженный им в коробке кукурузных хлопьев Cap’n Crunch, чтобы сымитировать тон частотой 2600 Гц. Таким образом он мог бесплатно звонить по межгороду. Многие хакеры, которые публиковали приватную информацию «во имя общественного блага», часто становились известными. Но, за некоторыми исключениями, я никогда не придерживался чрезмерно идеализированного взгляда на хакеров-злоумышленников. У меня была довольно четкая позиция, что люди, которые делают несанкционированные вещи с чужими компьютерами и данными, совершают преступление.
Много лет назад, впервые заинтересовавшись компьютерами, я прочитал книгу Стивена Леви «Хакеры: герои компьютерной революции». На заре эры персональных компьютеров Леви написал занимательную историю о хакерах, хороших и плохих, воплощающих хакерский идеал. Бо́льшая часть книги посвящена людям, которые улучшили мир с помощью компьютеров, но в ней также упоминаются и те, кто сегодня был бы арестован за свою деятельность. Некоторые из этих хакеров полагали, что цель оправдывает средства, и следовали свободе морали, воплощенной, по словам Леви, «хакерской этикой». Главным среди этих верований была философия о том, что каждый компьютер может быть доступен по любой законной причине, что вся информация должна быть свободной, и не следует доверять властям. Это был романтический взгляд на хакерство, хотя он не скрывал сомнительных этических и юридических вопросов. На самом деле все вокруг вновь расширили границы.
Ради автографа я отправил Стивену Леви экземпляр его книги (мне тоже стали присылать мои книги на подпись после того, как я выпустил восемь предыдущих). Леви публиковал свои статьи и редактировал чужие в нескольких крупных журналах, включая Newsweek, Wired и Rolling Stone. Кроме того, он написал еще шесть книг по вопросам информационной безопасности. Леви пишет и по сей день. Его книга «Хакеры: герои компьютерной революции» открыла для меня поразительный мир хакерства.
Позже другие книги, такие как Flu-Shot Росса Гринберга (давно не издается) и Computer Viruses, Worms, Data Diddlers, Killer Programs, and Other Threats to Your System Джона Макафи (https://www.amazon.com/Computer-virusesdiddlers-programs-threats/dp/031202889X) познакомили меня со стратегиями борьбы со злонамеренными хакерами. Я настолько ими впечатлился, что всерьез задумался о карьере борца с этими угрозами.
Позже я узнал, что специалисты по ИБ – самые умные хакеры. Я не хочу сводить всех злонамеренных хакеров под одну гребенку посредственности. Каждый год редкие гениальные хакеры обнаруживают что-то новое. Но подавляющее большинство «черных шляп» довольно посредственны и просто повторяют то, что работает уже на протяжении двадцати лет. Среднестатистический хакер-злоумышленник не имеет достаточного таланта в программировании, чтобы написать простое приложение типа «Блокнот», а тем более самостоятельно проникнуть куда-то, взломать ключи шифрования или самолично успешно подобрать пароли – без помощи других хакеров, которые реально талантливы и успешны на протяжении многих лет.
Ирония в том, что умные люди в компьютерном мире, о которых я знаю, – это не злые хакеры, а специалисты по ИБ. Они должны знать все, что делает хакер, предугадывать то, что он может совершить, и выстроить качественную оборону. Мир специалистов по ИБ полон кандидатов наук, магистрантов и успешных предпринимателей. Теперь хакеры редко меня впечатляют. А вот специалисты по ИБ – всегда.
Обычно специалисты по ИБ открывают для себя новый способ взлома, чтобы предотвратить атаки такого рода, и умалчивают о своем достижении. Это сродни министерству обороны, и предоставление злоумышленникам новых способов взлома до того, как оборона будет возведена, никому не облегчит жизнь. Это их образ жизни: выяснить новый способ взлома и помочь с латанием бреши, прежде чем она будет обнаружена кем-то еще. Такое случается гораздо чаще, чем обратное (например, злонамеренный хакер обнаруживает новую уязвимость).
Я был свидетелем тому, как специалисты по ИБ находят новый способ взлома, но из-за высоких затрат или недостатка времени уязвимость не закрывается немедленно, и какой-нибудь хакер получает звание «первооткрывателя». К сожалению, специалисты по ИБ не всегда получают славу и признание, когда выполняют свою повседневную работу.
Я тридцать лет изучал приемы работы как вредоносных хакеров, так и специалистов по ИБ, и мне стало ясно, что специалисты впечатляют сильнее. Вредоносные хакеры даже рядом не стояли. Если вы хотите показать всем, насколько хорошо разбираетесь в компьютерах, не раскрывайте новый способ взлома – лучше покажите новую стратегию обороны. Не требуется особого ума, чтобы что-то по-новому сломать. Это в основном требует лишь настойчивости. Но человек должен быть особенным и одаренным, чтобы построить то, что может выдержать непрерывные атаки в течение длительного времени.
Если вы хотите произвести впечатление на мир, не сносите гараж. Вместо этого создайте код, который сможет выдержать кувалду хакера-взломщика.