Человека, о котором я хочу рассказать сегодня, в Америке знают многие: за ним гонялись федеральные маршалы, ФБР и полиция, при этом он умудрялся участвовать в прямых эфирах NBC, CNN и, несмотря на свою молодость (ему 26 лет), успел осуществить взломы сетей таких монстров, как AOL, Yahoo, Microsoft, Excite@Home, AT&T Telecom, MCI WorldCom, Intel, Bank of America, CitiBank, Cisco и многих других известнейших компаний, перечислить одни названия которых здесь не представляется возможным. Когда у него спросили, как он выбирал свою жертву для очередного взлома, он отвечал просто: "Я просто шел по списку Fortune 500 сверху вниз". В 23 года про него уже сняли документальный фильм Hackers Wanted, где в качестве очевидцев про его похождения рассказывает Стив Возняк, cооснователь Apple (в сети которой он побывал в 2001 году), Лео Лапорте, основатель крупнейшего блога Digg (на серверах которого он отметился в 2000 году), и другие ветераны IT-индустрии.
Но давайте обо всем по порядку. Первая интересная особенность Адриана Ламо (Adrian Lamo), а нашего героя зовут именно так, в том, что он, возможно, единственный в мире бездомный хакер. Если повезет, он ночует в заброшенных зданиях, в теплую погоду - на скамейках в парках, в холодное время - в молодёжных сквотах. Интернетом пользуется только через публичные хот-споты, в интернет-кафе, барах и других бесплатных местах пользования, коих в Америке навалом. "За свою жизнь я не заплатил и доллара за Интернет", - шутит он. Учебу он бросил уже давно за ненадобностью, с тех пор колесит по Америке, подолгу нигде не задерживаясь. Вместе с тем, несмотря на такой немного легкомысленный образ жизни, за плечами у Адриана успешные проникновения в самые защищенные сети мира.
Вторая особенность Ламо - для проникновения в закрытые интранет-сети компаний он не пользуется ничем, кроме браузера. Это его основной принцип - никаких дополнительных или специализированных хакерских средств: скриптов, эксплоитов, средств автоматизации и автоматического анализа - всё это, как выражается сам Андриан, "лишнее". Как правило, для проникновения в интранет Ламо использует некорректные настройки корпоративных прокси-серверов, а для взлома баз данных в этих закрытых сетях - различные типы SQL-инъекций. Например, когда Адриана Ламо пригласили в 2002 году на вечернее шоу NBC Nightly News, чтобы он в прайм-тайм как приглашенный эксперт прокомментировал чужой взлом какого-то крупного сайта, никто не предполагал, чем это закончится. Поскольку Ламо, несмотря на свой юный возраст, - признанный специалист по безопасности, - интервьюер не преминул, между прочим, спросить его, сможет ли он, например, взломать сеть их телеканала - NBC. Нисколько не конфузясь от такого неожиданного оборота, Ламо ответил: "Раз плюнуть" и, открыв свой ноутбук, вышел во внешний Интернет. Ровно через 5 минут, и всё под объективом камеры, он смог попасть в интранет NBC, успешно миновав все страницы авторизации и получив полный доступ к базе данных канала с личными данными всех экспертов, гостей и сотрудников, на главной странице которой, по злой иронии, заглавными буквами было написано: "All information contained on this Web site is to be held in the strictest confidence". Эта передача так и не вышла в эфир в обозначенный срок - юридический отдел канала категорически запретил её выход, потому что в этом 15-минутном, по сути, обучающем ролике хакер на примере самого NBC подробно показывал, как нужно искать лазейки, ошибки в настройках прокси-серверов и как легко можно попасть почти в любую закрытую сеть извне, используя для этого лишь обычный браузер и совсем немного сообразительности.
Наибольший пик "успехов" Адриана Ламо по количеству взломов и именитости взламываемых компаний пришелся на его 22-летний возраст. Обычно стратегия Андриана была такова: он незаметно и максимально анонимно проникал в интранет-сети компаний, взламывал их базы данных, при этом ничего не модифицируя и не нанося никакого урона, а потом сам списывался с их сетевыми администраторами и подробно излагал проблемы данной конкретной сети, демонстрируя и доказывая наглядно её уязвимости. Обычно это работало как надо, и компании не возбуждали против него судебного преследования. Многие даже были благодарны за бесплатное тестирование и укрепление их сетей, хотя, конечно, большинство компаний относились к этому с едва сдерживаемым раздражением. В большинстве случаев тот же Citibank и прочие просто не хотели широкой огласки того, что какой-то бездомный юнец, у которого даже не было денег на платное подключение к Интернету, из обычного МакДональдса через их бесплатный хот-спот, с помощью обычного Internet Explorer'a проникал в их сверхзащищённую сеть и хозяйничал там абсолютно безнаказанно. Что интересно, среди всех были такие прагматичные компании, которые даже пытались заплатить юному хакеру за проделанное тестирование их сети и подробный отчет обо всех найденных уязвимостях - Адриан всегда отказывался от таких предложений. Не знаю, чем это было мотивировано, но Адриан никогда не брал деньги за хакинг и не сделал в этом своем принципе ни одного исключения, даже для Cisco, которая хотела нанять его инженером по безопасности на полный рабочий день. Понятно, что такая "игра с огнем" с очень серьёзными компаниями была весьма опасна, и это не могло продолжаться вечно...
В конце 2002 года произошёл роковой, и оттого самый громкий взлом в карьере Адриана - как обычно, он успешно проник в интранет-сеть газеты The New York Times. Используя некорректную работу корпоративного прокси-сервера, он вошёл в неё за 5 минут, после чего ему понадобился ещё час, чтобы разделаться с внутренней базой данных газеты, которая хранила море конфидициальной информации. Когда он написал администраторам сети о наличии уязвимостей, они просто напросто не поверили ему, написав: "Кто ты к черту такой и откуда вообще взялся?". Тогда он вернулся обратно и добавил свои личные данные в базу данных газеты в список топ-экспертов по IT-безопасности, с которыми консультируется газета в ходе своей журналисткой работы. Он повторно отправил администраторам письмо, где уже ссылался на своё резюме в их же базе мировых IT-авторитетов, кроме того, он привел в письме личный номер мобильного телефона Джимми Картера, бывшего президента США, взятый из самой защищённой части базы (содержащей контакты с VIP-персонами Америки), чтобы показать местным админам, чего он на самом деле добился. На этот раз поверили, но события приняли неблагоприятный для Адриана оборот - газета подала официальный запрос в ФБР по факту взлома БД и незаконного проникновения в их корпоративную сеть. Его обвиняли в незаконном проникновении, взломе и модификации базы данных, а также хищении из базы более 3000 телефонных номеров мобильников звезд Голливуда, известных актеров и музыкантов, политических лидеров, спортсменов, бизнесменов, а также известных журналистов и писателей Америки.
Расследование и поиск Адриана продолжались 15 месяцев, после чего он решил сам сдаться федеральным маршалам США в Сакраменто, признав свою вину и публично извинившись перед всеми компаниями, которым он неумышленно причинил ущерб. Суд назначил ему штрафную выплату в сумме $65 тыс., 6 месяцев домашнего ареста в доме его родителей, а также 2 года испытательного срока, в течение которых ему в том числе запрещалось подходить к компьютерам на расстояние ближе чем 100 метров.
Интересно, что в процессе суда Ламо снова проявил свой хакерский характер, категорически отказавшись предоставлять ФБР образцы своей крови для добавления его ДНК в единую базу данных спецслужб США. Очень религиозный Ламо прямо в суде цитировал стихи Библии, где Господь рекомендует очень осторожно обращаться с человеческой кровью из-за её весьма специфических свойств (Бытие 9:6). Этот неожиданный оборот в деле молодого хакера снова привлек к нему широкое общественное внимание, и он снова попал на телевидение, теперь уже в новом амплуа - по вопросам религиозно-правового характера. Удивительно, но это длинное противостояние со спецслужбами закончилось победой Адриана: благодаря именно данному инциденту прецедентное законодательство США было изменено - была законодательно добавлена поправка с возможностью взятия образца ДНК простым мазком со щеки, без обязательного взятия крови, как это было раньше.
Адриана в одном из интервью спрашивают, как он, в целом, оценивает безопасность крупных современных корпоративных структур, на что Адриан довольно браво заявляет: "Я могу проникнуть почти в любую корпоративную сеть, подключенную к Интернету, меньше чем за 15 минут. Мой опыт показывает, что чаще всего их высокооплачиваемые сетевые администраторы не знают самых банальных вещей, например, что web-сервер Apache также является и прокси-сервером, факт чего в подавляющем большинстве инсталляций, которые я видел в реальной жизни, просто игнорируется и никак не учитывается... За свою молодую жизнь я видел очень много реализаций DMZ, подавляющее большинство из них, мягко говоря, некорректны... Большинство ошибок настройки сетевых инфраструктур типичны - они повторяются от одной компании к другой. Например, какой-то профессоришка когда-то написал в умной книге дорогого издательства, что нужно делать именно так - с тех пор всё новые и новые поколения леммингов-администраторов воспроизводят это в своей сетевой околорелигиозной практике. Я переписывался с администраторами многих взломанных мною сетей, объясняя им, что так делать не нужно - чаще всего они не верили мне, даже поставленные перед фактом того, что их сеть была успешно взломана. К счастью, я не читал таких умных книг, как они, когда сам учился этому, поэтому у меня нет врожденного табу, чтобы в упор не видеть этих грубых ошибок". Довольно забавно, что Адриан сам не имеет даже законченного среднего образования, не то что высшего - он не сдал выпускные тесты своего родного колледжа и был отчислен, о чем особенно и не сожалеет до сих пор. Когда его спрашивают об образовании, он отшучивается: "Это пустая трата времени". Нужно признать, что Адриан асоциален во всем, и, похоже, это действительно делает его свободным в выборе своей жизни.
Интересно, что у Ламо есть и третья особенность. Его более традиционные коллеги-хакеры очень часто нападают на него и публично называют мошенником и проходимцем. Это отношение даже стало своего рода клише. Многие специалисты, видя его работу в браузере, говорят: "Это слишком просто - любой так может". Один из редакторов известнейшего портала по безопасности SecurityFocus.com ехидно замечает: "Вы очень впечатлены невероятными способностями Ламо? Но я вам говорю, что он не делает ничего необычного. Он не нашёл и не изобрел никаких новых концепций или методик в области компьютерной безопасности. Он просто использует супербанальные и простейшие уязвимости, а также элементарные ошибки в настройках прокси-серверов. Его секрет лишь в одном - этот молодой парень слишком много светится на телевидении". На все выпады в адрес Ламо, которого, повторю, не очень-то любят его коллеги, удачно отвечает Оксблуд Раффиан (Oxblood Ruffian), лидер знаменитой хакерской группы "Культ Мертвой Коровы": "Это похоже на танец. Почти каждый умеет танцевать. Более того, все знают, как это делать. Но только единицы могут танцевать так, как это делает Майкл Джексон".
Как бы там ни было, Адриан Ламо один из самых ярких, известных и молодых хакеров Америки, обладающий своим собственным стилем и даже - философией жизни. Отсидев, Адриан призывает всех своих последователей: не нужно нарушать закон, есть много других способов для творчества, говорит он, куда можно приложить свои способности и креативность, добившись ещё большего, чем это возможно в области криминального ремесла. Сейчас Адриан завязал со своим прошлым. Ныне он известный журналист, получающий престижные награды в области сетевой журналистики, лектор, колесящий по компьютерным конференциям Америки, а также консультант одной из самых известных в мире компаний в области безопасности - @Stake. Но, несмотря ни на что пережитое, в одном он всё же остаётся верен себе: "Есть вещи, которые меня можно заставить делать, только приставив дуло пистолета к моему виску. Я никогда не буду работать полный рабочий день, просиживая всю свою жизнь в каком-нибудь офисе, даже если Microsoft или Cisco устелют пол моего офиса стодолларовыми купюрами. В свои 26 лет я точно понял - это не для меня".
Игорь САВЧУК,
[email protected]
Комментарии
надо это делать для интереса?