СОВРЕМЕННОСТЬ
Летом 2004 года Адриан Ламо был приговорен к шести месяцам домашнего заключения и двум годам условного заключения. Суд приговорил его к уплате шестидесяти пяти тысяч долларов в качестве возмещения ущерба его жертвам. Учитывая возможные заработки Адриана и полное отсутствие капиталов (на данный момент он даже не имеет жилья), этот размер компенсации является совершенно губительным. При определении размера компенсации суд должен был бы принимать во внимание целый ряд факторов, включая нынешнюю и будущую возможности обвиняемого расплатиться, а также и реальные потери жертв. Приговор о возмещении ущерба не должен быть уничтожающим. По моему мнению, судья и не задумывался о реальности выплаты такой большой суммы Адрианом, но просто назначил ее в качестве устрашающего послания другим хакерам, поскольку случай Адриана широко освещался в прессе.
Тем временем Адриан занялся собственной реабилитацией, обратив свои таланты на свою собственную жизнь. Он поступил на курсы журналистов в колледже Сакраменто: он начал писать статьи для местной газеты и подрабатывать внештатно для других изданий. «На мой взгляд, журналистика — лучшая карьера, которую я мог бы выбрать, и которая доставляла бы мне удовольствие — в ней есть любознательность, стремление взглянуть на вещи с необычной стороны, желание узнать больше об окружающем нас мире. Совершенно такие же мотивы привели меня к хакерству».
Я надеюсь, Адриан честен со мной и с собой, когда говорит о новом курсе своей жизни.
«Я солгал бы, если б сказал, что могу поверить в полную перемену человека за одну ночь. Я не могу потерять свое любопытство за ночь, но я могу использовать его таким путем, чтобы не наносить ущерба другим людям. Поскольку главное, что я вынес из всего случившегося, — это то, что за сетями стоят реальные люди. Я на самом деле не смогу больше заниматься хакерством и не думать о тех людях, которым придется беспокоиться о моих попытках ночи напролет,
Я думаю, что журналистика и фотография для меня служат интеллектуальным аналогом криминальных действий. Они дают пищу моему любопытству, позволяют мне взглянуть на вещи иначе, дают возможность развиваться в русле законопослушности».
Он рассказал мне и о своих планах работать внештатным автором для Network World. Они уже связывались с ним, и хотели, чтобы он был для них источником информации: он предложил им идею — вместо своих интервью вести у них постоянную колонку. Издатель согласился. Таким образом, вместе с информацией для хакеров появятся его тексты для сетевых администраторов.
«Журналистика — э т о то, чем я хотел бы заниматься. Я чувствую, что могу сделать что-то необычное и это не совсем то, что вы получаете от работы в области безопасности. Безопасность — это такая отрасль индустрии, которая во многом зависит от человеческих страхов и незнания компьютеров и технологий. Журналистика в значительно большей степени имеет отношение к правде.
Хакерство — это уникальное самовыражение человека. Оно включает в себя сосредоточение огромной потенциальной власти в руках одного человека, власти, которой обычно пользуются только правительство или крупный бизнес. Мысль о том, что несколько подростков могут отключить энергосистему страны приводит в ужас представителей правительства. И это вполне понятно».
Он не считает себя хакером, взломщиком или атакующим. «Я хотел бы процитировать Боба Дилана: „Я не проповедник и не торговец. Я просто делаю то, что делаю“. Я счастлив, когда люди понимают или хотя бы стремятся понять это».
Адриан говорит, что ему предлагали хорошие должности в военных и государственных учреждениях. Он отказался от этих предложений. «Многим людям нравится заниматься сексом, но далеко не каждый готов зарабатывать этим».
В этом весь Адриан — думающий хакер.
АНАЛИЗ
Что бы вы ни думали о позиции и действиях Адриана Ламо, хотелось бы думать, что вы согласитесь со мной по поводу несправедливости определения нанесенного им вреда федеральными органами.
Я знаю из своего опыта, как правоохранительные органы вычисляют предположительную сумму ущерба в хакерских случаях. Первый способ — получить сведения от компаний, которые переоценивают свои потери в надежде заставить хакера раскошелиться и не доводить дело до суда. В процессе разбирательства адвокат и прокурор обычно сходятся на несколько меньшей сумме: по федеральным законам, чем больше ущерб, тем более долгий срок заключения ожидает хакера.
В случае, произошедшем с Адрианом, Прокурор США проигнорировал тот факт, что именно от него компании узнавали о собственной уязвимости. Каждый р а з он з а щ и щ а л компании, указывая им на ту или иную прореху в их системе безопасности, и ожидал, пока они ликвидируют проблему, чтобы лишь потом опубликовать новость о своем удачном взломе. Да, он нарушал закон, но он действовал (во всяком случае, в ставших известными случаях) абсолютно этично.
КОНТРМЕРЫ
Подход, используемый атакующими, в том числе и Адрианом, заключается в запуске запроса «Кто это», что может помочь отыскать немало ценной информации, содержащейся в четырех NIC (Network Information Center — центр сетевой информации), покрывающих различные географические районы мира. Большинство информации в этих базах данных является общедоступными сведениями, которые может узнать любой пользователь приложения «Кто это» или посещающий Интернет-сайт, предлагающий подобные услуги, или заходящий на сайт nytimes.com.
Предоставляемая информация может содержать имя, адрес электронной почты, физический адрес и телефонный номер административных и технических контактов для этого домена. Эта информация вполне может использоваться для атак с использованием методов социальной инженерии (см. Главу 10, «Социальные инженеры — как они работают и как их остановить»). Кроме того, это может навести на мысль о структуре адресов электронной почты и имен пользователей в компании. Например, если адрес электронной почты одного из сотрудников Times выглядит, как [email protected] , естественно предположить, что и многие другие сотрудники Times используют свое имя для адресов электронной почты, а также и для подписи.
Как видно из истории атаки Адрианом газеты The New York Times, он так же получил ценную информацию об IP-адресах и сетевых блоках газеты, что легло в основу успеха его атаки.
Чтобы ограничить утечку информации, любой компании было бы полезно хранить список телефонов компании только на ее телефонной станции, а не делать его доступным всем желающим. Сотрудники в приемной компании, отвечающие на телефонные звонки, должны проходить специальную подготовку, чтобы они могли быстро распознавать атаки социальных инженеров. Кроме того, в качестве адреса электронной почты следует приводить адрес издательства, а не список личных адресов сотрудников.
Более того: сегодня компаниям позволено не обнародовать свою контактную информацию и имя домена — они не должны теперь предоставляться любому желающему по первому требованию. По специальному запросу список адресов вашей компании может быть засекречен, что затруднит проникновение атакующих.
Еще одна полезная мысль высказана в приведенной истории: следует использовать горизонтально разделенные DNS. Это означает, что нужно организовать внутренний DNS-сервер. который определяет имена пользователей во внутренней сети, в то время как внешний DNS-сервер будет содержать имена для использования внешними пользователями.
В качестве другого метода разведки хакер запрашивает DNS, чтобы выяснить, на каких операционных системах работают компьютеры компании, а также чтобы получить информацию о структуре всего домена. Эта информация очень полезна при координации усилий в ходе дальнейшей атаки. База данных DNS может содержать сведения обо всех узлах сети (HINFO — Host Information). Сетевой
