Пират виртуального мира

Пират виртуального мира

«Перевоспитавшийся» хакер Кевин Митник решает новые головоломки. Теперь он защищает компании от былых коллег.

Когда-нибудь историю жизни Кевина Митника превратят в киносценарий. Не знаю, как назовут фильм, но жанр будет, конечно, детектив. Что-то вроде «Пиратов Карибского моря». Только вместо «сундука мертвеца» – промышленные секреты и счета в банках, а вместо каравелл под черными парусами – сверхмощные компьютеры с выходом в глобальную Сеть. Хакеры – герои нашего времени, овеянные романтикой не меньше, чем морские разбойники прошлого. Увидеть живьем Кевина Митника – все равно что пообщаться с одноногим Сильвером или капитаном Воробьем. Такой необыкновенный случай представился участникам конгресса Interop Moscow, который этим летом впервые прошел в России. Его выступление слушали затаив дыхание и задержали дорогого московского гостя на целый час. А мне к тому же повезло взять у знаменитого хакера небольшое интервью.

Милый лжец

На лекцию господин Митник вышел так, как выходит к публике актер, уверенный в своей популярности. Кстати, в кино суперхакер действительно снимался, когда вышел из тюрьмы после пятилетней отсидки и должен был выполнять жестокое предписание властей – не пользоваться компьютером, не работать техническим консультантом и даже не писать о компьютерных технологиях без специального разрешения. Похоже, что о прошлом Кевин Митник не слишком сожалеет. Впрочем, он рассказывает о нем так, словно взломы самых известных компаний совершал не он, а скажем, его младший братик – хулиган, но такой милашка: «Я когда-то был шутником, любил разыгрывать, любил проделки. Я помню случай, когда я получил доступ к компьютеру телефонной компании. Я нашел возможность проникнуть в телефонный справочник Род-Айленда. И когда кто-то запрашивал информацию, они выходили на меня. Представляете? Мне 17 лет всего было. Мне понравилась эту шутка. Но самый лучший розыгрыш получился с Макдональдсом. Я связался с частотой, на которой переговаривались водители, и ловил все их сообщения. Представляете, звонил и говорил: «Такой-то клиент просит доставить обед…». Много шутил, в общем».

Одну историю из своей буйной молодости 43-летний Митник рассказал подробно, но не потому, что хотел похвастаться своей ловкостью, а в назидание тем, кто может попасться на удочку его коллег-хакеров: «Еще в 1992 году я скрывался от ФБР, от правительства и от прочих правоохранительных органов США. Я работал в Денвере в юридической компании под именем Эрик Вайс. Почему Эрик Вайс? Потому что это реальное имя Гарри Гудини. Мой друг занимался телефонами «Моторола», и я как хакер хотел узнать, что там за технология. Я решил, что это очень передовая технология. Это было 15 лет назад, не забывайте. Однажды я пораньше ушел из офиса и позвонил в «Моторолу» по телефону бесплатной информации. Я сказал: «Привет, я Эрик. Мне нужен менеджер проекта по продаже сотовых телефонов». Мне ответили: «Этим занимается такой-то отдел в Иллинойсе». Я попросил: «Дайте мне телефон этого отдела». Позвонил туда, опять объяснил: «Я Эрик, мне нужен менеджер проекта по распространению мобильных телефонов». Меня отфутболивали к разным сотрудникам раз восемь и в конце концов направили к нужному человеку. Но менеджер оказалась в отпуске, мне вежливо рассказали: «Она вернется через две недели, но если вы хотите, чтобы вам помогли, звоните Алише». Конечно, я позвонил Алише! И сказал: «Я Эрик из Департамента по распространению телефонов. Такая-то уехала в отпуск?» – «Да, уехала». «Какая жалость! Прежде чем уезжать, она мне должна была выслать код источника». – «И как, выслала?» – «Нет, она мне ничего не выслала, может быть, вы мне поможете?» – «Да, а какая версия нужна?» – «Я говорю: давайте новую версию». «Хорошо, сейчас гляну в систему». Я помог Алише разобраться с системой, дал ей свой IP-адрес и сказал: «Попытайтесь связаться с ним». Она связалась два или три раза, но что-то не срабатывало. Алиша забеспокоилась: «Эрик, здесь что-то с безопасностью. Я сейчас поговорю с нашим советником по безопасности». Она выяснила, что надо использовать определенный прокси-сервер. Я сказал: «Хорошо, давайте». И прежде чем я дошел до дома, у меня уже был на компьютере код исходника и все остальное, просто благодаря тому, что я сделал несколько звонков. Как видите, достаточно найти человека, у которого есть информация, и раскрутить его».

К чести Кевина Митника, он тут же признался, что и сам бывает обманут. Последний такой случай произошел с ним буквально накануне лекции, когда хакер возвращался из Петербурга, где тоже читал лекцию в рамках своего нынешнего визита в Россию. Кевин и его сотрудница наняли носильщика, чтобы перенести вещи. У поезда парень сгрузил чемоданы и подбежал к иностранцу с вопросом: «Где деньги?». Митник спросил: «Вам еще не заплатили?» – «Нет». Носильщик получил свои 500 рублей, исчез. И тут же выяснилось, что коллега Митника уже заплатила пройдохе такую же сумму». Вот потому знаменитый американец и повторяет назидательно: «Люди считают: со мной это не случится, я не такой дурак, чтобы выдавать пароль! Я не буду пристегиваться в машине, потому что я хороший водитель. Аварии случается только с другими!».

Добрый советчик

Собственно, лекции Кевин Митник читает с одной целью – предупредить людей об опасности и вооружить знаниями против мошенников. Звучит странно, ведь мы знаем, что сам лектор недавно был «в стане врага». Но с другой стороны, все логично: никто не станет сомневаться в компетентности главы Mitnick Security Consulting.

Похоже, Кевина просто шокирует доверчивость его сограждан: «Как думаете, сколько людей согласились отдать свой пароль после телефонного звонка якобы от Налоговой службы США? 25 из ста. На рождество системные администраторы, пользователи, сотрудники компании выдали свои пароли за мелкие сувениры. Из 10 человек семь отдали свои пароли. Вы можете создавать систему безопасности, и ничего не помогает. Люди совсем не чувствуют опасности! Социальная инженерия проще, чем несанкционированные попытки доступа. Обычно преступник находит кого-то из компании, побуждает его войти в систему и проникает туда же вслед за обманутым сотрудником. И хакер почти ничем не рискует, он даже не платит за связь. Глупость и доверчивость – качества, которыми страдают многие сотрудники компаний. Социальный инженеринг – это самая большая проблема в нашем гиперпространстве. Необходимы какие-то технологии, которые защищают все звенья цепи».

Митник рассказал о наиболее распространенных способах атаки и даже продемонстрировал опыт с сотовым телефоном. Оказывается, наши мобильники совершенно беззащитны перед настоящим специалистом своего дела. Похоже, американские власти были правы, когда не позволяли Кевину Митнику в тюрьме пользоваться даже невинным лэптопом без модемной связи. А если разрешали поработать на компьютере, сразу его уничтожали.

Разнообразные виды социальной инженерии – конек Митника. Он приводит примеры один за другим. Бойтесь, если вам звонит якобы сотрудник вашей же компании и хочет создать вашу учетную запись! Бойтесь, вы получили по электронной почте сообщение с приложением якобы от Windows, вам предлагается это приложение установить. Как только ваши данные входят в систему, вы уже раскрыли свои координаты! Бойтесь и такой «шутки»: «Вы можете также получить е-mail с гиперссылкой на сайт какой-то компании, в услугах которой, как известно хакеру, вы нуждаетесь. Стоит нажать на ссылочку – и специальная программа связывает вас с атакующим».

Вот какой мудрый совет дает Кевин Митник бизнесменам, которые хотят избежать взлома: «Я бы рекомендовал следующее. Компании по-разному разрабатывают свою политику безопасности. Одни создают ее с помощью своих сотрудников, другие нанимают кого-то со стороны. Во втором случае есть опасность, что у людей не будет мотивации следовать правилам. Если же сотрудники компании будут сами разрабатывать правила безопасности, то они начнут более тщательно их выполнять. Они будут думать так: «Раз я участвовал в этом деле, то должен это как-то применять в своей работе». Таким образом, вы сможете изменить вашу корпоративную культуру и мотивировать ваш персонал. Подумайте об этом. Это ведь важно для вашей компании, правда? Если вы наказываете своих сотрудников за невыполнение правил, это, конечно, тоже способ, но это не так показательно. Нужно, чтобы люди видели, что их работа приносит реальную пользу. И тогда результат будет намного лучше».

Этичный хакер

Мне почему-то казалось, что Митник не захочет давать мне интервью. Вот если бы со мной был оператор с камерой… Но он посмотрел мне в глаза, минуту поразмышлял и сказал, что поговорит, вот только минут пять побеседует по телефону. Пять минут превратились в час, но неважно, потому что вот он, Кевин Митник, и я задаю ему первый вопрос:

– Почему вы выбрали эту профессию?

– Я начал изучать эту сферу много лет назад в качестве фрикера (телефонного хулигана. – О.Р.) и хакера. Я действовал в одиночку, мне было интересно совершенствовать свою технику, воруя различные секреты, взламывая барьеры безопасности. Сейчас мне, как профессионалу в этой области, нравится помогать моим клиентам из сферы бизнеса, университетам, правительственным организациям защищать себя от компьютерного взлома, потому что я действительно специалист, я знаю, как используются технологии взлома, как работают взломщики. Между прочим, многие люди, работающие сегодня в области компьютерной безопасности, по своей сути являются «этичными хакерами», то есть используют свои «преступные» навыки, чтобы зарабатывать деньги вполне честным способом, который одобряет общество.

– Как вы думаете, чтобы стать специалистом по информационным технологиям, нужно иметь какие-то особые черты характера, таланты?

– Да нет, особый характер не требуется, ведь существует масса различных отраслей компьютерной безопасности – дизайн, инфраструктура, оценка надежности систем безопасности. Востребованы самые различные навыки в конкретных вопросах. Если вы любите компьютеры, то сами приобретаете различные навыки, повышаете свою квалификацию.

– Так требуется талант или навыки?

– И то и другое. При этом хакинг – это образ мышления, это способность определять наличие слабых мест в системе компьютерной безопасности. Да, это образ мышления.

– Хакер – это человек, который любит риск, опасность?

– Да, взлом – это риск, это своего рода приключение, и опасность вполне реальна. Это – добровольное принятие вызова, здесь есть интрига… Да.

– Что вам нравится в этом деле – уход от скучной действительности?..

– Ну да, конечно! Это волнующе, интересно и развлекательно... Однако в последнее время хакерство имеет тенденцию становиться все более угрожающим для общества. Кстати, недавно я был в Боготе, это Колумбия, и зашел на пару минут в магазин, торгующий компьютерами. Там я увидел эту женщину (Митник показал на мониторе своего лэптопа фотографию), у которой на шее была вот эта штука. Вот вам и представление людей о безопасности. Знаете, что это такое?

– Нет.

– Это телефон, на дисплее которого высвечивается пароль доступа в течение 60 секунд. Любой может его увидеть и узнать пароль, ведь телефон висит у нее на шее и дисплей прекрасно всем виден. Ну, не глупо ли?

– Да уж… Это опасно.

– Разумеется. Как можно выжить в этом мире при таком легкомысленном отношении?

– Вы считаете людей глупыми?

– Нет, просто недостаточно осторожными… Неосторожными! Люди не глупы, они беспечны.

– Наш мир опасен – войны, конфликты, терроризм и тому подобное. И сфера IT – лишь отражение того, что происходит в обществе. Это зеркало, вы не находите?

– Ну, в чем-то да…Что-то вроде поля боя, где надо отстреливаться. Здесь тоже нет никаких правил. Это как «Дикий Дикий Запад» в американской истории… Это опасная работа, это опасная сфера деятельности, где вы должны защищать себя, чтобы не стать жертвой.

– Так, может быть, людям не надо пользоваться Интернетом, вообще компьютерами, раз это так опасно?

– Я так не думаю. Вы знаете, масса людей на рубеже 21 века не делали покупок – потому что боялись. Феномен Миллениума, знаете ли… Я не боюсь, поскольку я человек квалифицированный и знаю как справиться с компьютерными мошенниками. И могу другим предложить мою помощь…

Я открыла рот, чтобы задать следующий вопрос. Но у Кевина заверещал телефон. «СМСка пришла, – виновато сообщил он мне. – Вы простите, но мне надо идти». И ушел со свежим номером «Системного администратора» под мышкой. Вдруг пригодится?

Оксана Родионова, фотографии предоставленны организаторами Interop Moscow