Искусство вторжения

ОглавлениеДобавить в закладки К обложке

Все, что вы прочтете сейчас, прямая цитата из нашего разговора с одним бывшим хакером, который сейчас — уважаемый и процветающий консультант в области безопасности.

«Суть очень проста, приятель. „Почему вы грабите банки, мистер Хор-тон?“. — „Потому что там много денег“.

Я расскажу вам забавную историю. Мы с одним парнем Фрэнком из агентства национальной безопасности — я не буду называть его настоящего имени, потому что он сейчас работает на Microsoft — получили заказ на проверку системы защиты (тест на проникновение) от компании, которая изготавливала цифровые подарочные сертификаты. Я не буду называть и их.

Что же мы там натворили? Думаете, взломали шифр в подарочном сертификате? Ничуть не бывало — тут все было сделано по высшему разряду. Сертификаты был качественно защищены и пытаться взломать их было пустой тратой времени. Что же мы решили атаковать? Мы решили понять, как торговцы «обналичивают» эти сертификаты. Это была своеобразная атака изнутри, поскольку нам было разрешено пользоваться именем и паролем торговца. Мы довольно быстро нашли брешь в его системе, которая позволяла нам исполнять с его компьютера любую команду. Э т о было совершенно детское и несложное занятие, которое не требовало никаких особых талантов и умений, надо было просто хорошо знать, что вы ищете. Я не являюсь ни криптографом, ни математиком. Я просто знаю, какие ошибки обычно делают люди в программных приложениях, и они делают их снова и снова. В той же самой сети, где был расположен центр обналичивания сертификатов, у них было соединение с машиной, которая изготавливала эти сертификаты. Мы влезли в эту машину из компьютера, которому она доверяла. Вместо того, чтобы проникать в корневую директорию, мы просто изготовили сертификат, содержащий тридцать два бита и на нем была указана сумма подарка в долларах.

У меня до сих пор есть этот сертификат на один миллиард и девятьсот миллионов долларов. И это абсолютно законный сертификат. Кто-то сказал, что надо было его оформить в английских фунтах, тогда денег было бы еще больше.

После этого мы пошли на сайт известного магазина Gap и купили пару носков. А расплатились за нее нашим сертификатом, предвкушая неплохую сдачу.

А носки потом можно было бы прикрепить к нашему отчету о проделанной работе».

Но он не сделал этого. Ему не понравилось, как эта историю могут воспринять слушатели, и он продолжил рассказ, чтобы не оставлять неправильного впечатления.

«Может, мои слова звучат, как фантазии какой-то рок-звезды, но все, что вы видите — это путь, которым я прошел, а вы восхищаетесь: „О, господи, как он умен. Он проник в компьютер, а затем оттуда проник в машину, изготавливающую сертификаты и сделал нужный ему сертификат“.

В с е так, н о в ы знаете, насколько «сложно» э т о б ы л о ? Э т о был элементарный перебор попыток: «Давай попробуем так — работает?». Не получилось. «Теперь так — работает?». Опять не получилось. Элементарный метод проб и ошибок. Немного фантазии, настойчивости и удачи. И совсем чуть-чуть умения. Я до сих пор храню эти носки».

ПОКЕРНОЕ ХАКЕРСТВО В ТЕХАСЕ

Игроки в покер обычно думают, что сидя за столом в одном из крупных казино, даже играя в одну из самых популярных игр «Texas Hold'Em», под бдительными глазами охраны, крупье и всевидящих камер наблюдения, они могут полагаться на свое мастерство и удачу и не беспокоиться о том, что их обманут другие игроки.

Сегодня, благодаря Интернету, можно сидеть за покерным столом электронным образом, играя в полном комфорте на своем компьютере на деньги, против таких же игроков, сидящих где угодно, в любых частях света.

Вот тогда и появляется хакер, который находит способ получить для себя огромное преимущество, используя «бота» — электронного робота. Один из хакеров, Рон, говорит, что написал специальную программу — «бот, который играет в математически совершенный покер в режиме онлайн, создавая у противников впечатление, что они играют с обычным человеком». Кроме того, что он зарабатывал приличные деньги в ежедневных играх, он со своим ботом участвовал во многих турнирах с неизменным успехом. «В одном четырехчасовом турнире, где не требовался первоначальный взнос, бот закончил игру на втором месте».

Все складывалось как нельзя лучше, пока Рон не сделал ошибку: он решил выставить свой бот на продажу по цене 99 долларов в год для всех желающих. Слух о программе быстро распространился среди игроков и те, кто часто играл на покерном сайте, стали беспокоиться о том, что они в любой момент могут оказаться за столом с таким ботом. «Это вызвало такое возмущение у посетителей сайта (и озабоченность руководства казино тем, что они потеряют клиентов), что сайт создал специальную программу, которая выявляла присутствие моего бота, а тем, кто его применял, грозил запрет играть на сайте». Пришло время менять стратегию.


-= 134 =-
Регистрация.
Забыли пароль?
Логин
Пароль
Запомнить меня