Искусство вторжения
Искусство вторжения читать книгу онлайн
Истории, рассказанные в этой книге, демонстрируют, как небезопасны все компьютерные системы, и как мы уязвимы перед подобными атаками. Урок этих историй заключается в том, что хакеры находят новые и новые уязвимости каждый день. Читая эту книгу, думайте не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить ваш подход к проблеме безопасности и приобрести новый опыт.
Если вы профессионал в области информационных технологий или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании. Если же вы не имеете отношения к технике и просто любите детективы, истории о рисковых и мужественных парнях — вы найдете их на страницах этой книги.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Американские знатоки языка фарси опять взялись за работу, используя на этот раз тот же метод, который они применяли раньше для разрушения радиосвязи. Можно представить себе выражение лица какого-нибудь полковника или генерала, когда в его ушах звучал все тот же голос, но уже по телефонной линии: «Привет, это опять „Браво-5“. Как идут дела?»
Они вполне могли добавить и что-то еще более издевательское, типа: «Нам очень не хватало вас, как здорово опять встретиться».
В этот момент у иракских военных просто не оставалось возможностей для современной связи. В качестве последнего средства они стали писать свои приказы на бумаге и посылать пакеты на машинах к полевым командирам, которые писали ответы и посылали машины назад через жаркую и пыльную пустыню в штаб. Самый простейший запрос и ответ отнимали много часов. Практически невозможно стало скоординировать действия нескольких частей, поскольку для этого надо было тщательно рассчитывать одновременную доставку пакетов к каждой из них.
Это был явно неэффективный способ противостоять быстро передвигающимся американским войскам.
Вскоре после того, как началась война в воздухе, перед группой американских летчиков была поставлена задача отслеживать машины, перевозящие приказы между известными местами расположения иракских частей. Летчики начали выслеживать эти машины и выводить их из строя. Буквально через несколько дней иракские водители отказались перевозить пакеты между войсками, поскольку они поняли, что это верная смерть.
Все это означало практически полный выход из строя системы управления и командования в иракской армии. Даже когда центральному командованию Ирака удавалось передать войскам ту или иную команду по радио, рассказывает Майк, «войска приходили в ужас, поскольку они знали, что все то же самое слышат и американские военные, и эта информация будет использована для организации атаки на их расположение, особенно если войска решались ответить на приказ, что означало, что они живы и их тем более надо уничтожать». Чтобы хоть как-то попытаться сохранить жизнь, некоторые иракские подразделения выводили из строя свои уцелевшие устройства связи, чтобы они не могли принимать входящие приказы.
«Короче говоря, — вспоминает Майк с явным удовлетворением, — иракская армия достаточно быстро пришла в состояние хаоса и бездействия на многих участках фронта, поскольку никто не мог — или не хотел — связываться с другими частями».
СЕРТИФИКАТ НА ПОДАРОК В МИЛЛИАРД ДОЛЛАРОВ
Все, что вы прочтете сейчас, прямая цитата из нашего разговора с одним бывшим хакером, который сейчас — уважаемый и процветающий консультант в области безопасности.
«Суть очень проста, приятель. „Почему вы грабите банки, мистер Хор-тон?“. — „Потому что там много денег“.
Я расскажу вам забавную историю. Мы с одним парнем Фрэнком из агентства национальной безопасности — я не буду называть его настоящего имени, потому что он сейчас работает на Microsoft — получили заказ на проверку системы защиты (тест на проникновение) от компании, которая изготавливала цифровые подарочные сертификаты. Я не буду называть и их.
Что же мы там натворили? Думаете, взломали шифр в подарочном сертификате? Ничуть не бывало — тут все было сделано по высшему разряду. Сертификаты был качественно защищены и пытаться взломать их было пустой тратой времени. Что же мы решили атаковать? Мы решили понять, как торговцы «обналичивают» эти сертификаты. Это была своеобразная атака изнутри, поскольку нам было разрешено пользоваться именем и паролем торговца. Мы довольно быстро нашли брешь в его системе, которая позволяла нам исполнять с его компьютера любую команду. Э т о было совершенно детское и несложное занятие, которое не требовало никаких особых талантов и умений, надо было просто хорошо знать, что вы ищете. Я не являюсь ни криптографом, ни математиком. Я просто знаю, какие ошибки обычно делают люди в программных приложениях, и они делают их снова и снова. В той же самой сети, где был расположен центр обналичивания сертификатов, у них было соединение с машиной, которая изготавливала эти сертификаты. Мы влезли в эту машину из компьютера, которому она доверяла. Вместо того, чтобы проникать в корневую директорию, мы просто изготовили сертификат, содержащий тридцать два бита и на нем была указана сумма подарка в долларах.
У меня до сих пор есть этот сертификат на один миллиард и девятьсот миллионов долларов. И это абсолютно законный сертификат. Кто-то сказал, что надо было его оформить в английских фунтах, тогда денег было бы еще больше.
После этого мы пошли на сайт известного магазина Gap и купили пару носков. А расплатились за нее нашим сертификатом, предвкушая неплохую сдачу.
А носки потом можно было бы прикрепить к нашему отчету о проделанной работе».
Но он не сделал этого. Ему не понравилось, как эта историю могут воспринять слушатели, и он продолжил рассказ, чтобы не оставлять неправильного впечатления.
«Может, мои слова звучат, как фантазии какой-то рок-звезды, но все, что вы видите — это путь, которым я прошел, а вы восхищаетесь: „О, господи, как он умен. Он проник в компьютер, а затем оттуда проник в машину, изготавливающую сертификаты и сделал нужный ему сертификат“.
В с е так, н о в ы знаете, насколько «сложно» э т о б ы л о ? Э т о был элементарный перебор попыток: «Давай попробуем так — работает?». Не получилось. «Теперь так — работает?». Опять не получилось. Элементарный метод проб и ошибок. Немного фантазии, настойчивости и удачи. И совсем чуть-чуть умения. Я до сих пор храню эти носки».
ПОКЕРНОЕ ХАКЕРСТВО В ТЕХАСЕ
Игроки в покер обычно думают, что сидя за столом в одном из крупных казино, даже играя в одну из самых популярных игр «Texas Hold'Em», под бдительными глазами охраны, крупье и всевидящих камер наблюдения, они могут полагаться на свое мастерство и удачу и не беспокоиться о том, что их обманут другие игроки.
Сегодня, благодаря Интернету, можно сидеть за покерным столом электронным образом, играя в полном комфорте на своем компьютере на деньги, против таких же игроков, сидящих где угодно, в любых частях света.
Вот тогда и появляется хакер, который находит способ получить для себя огромное преимущество, используя «бота» — электронного робота. Один из хакеров, Рон, говорит, что написал специальную программу — «бот, который играет в математически совершенный покер в режиме онлайн, создавая у противников впечатление, что они играют с обычным человеком». Кроме того, что он зарабатывал приличные деньги в ежедневных играх, он со своим ботом участвовал во многих турнирах с неизменным успехом. «В одном четырехчасовом турнире, где не требовался первоначальный взнос, бот закончил игру на втором месте».
Все складывалось как нельзя лучше, пока Рон не сделал ошибку: он решил выставить свой бот на продажу по цене 99 долларов в год для всех желающих. Слух о программе быстро распространился среди игроков и те, кто часто играл на покерном сайте, стали беспокоиться о том, что они в любой момент могут оказаться за столом с таким ботом. «Это вызвало такое возмущение у посетителей сайта (и озабоченность руководства казино тем, что они потеряют клиентов), что сайт создал специальную программу, которая выявляла присутствие моего бота, а тем, кто его применял, грозил запрет играть на сайте». Пришло время менять стратегию.
«После безуспешных попыток сделать бизнес на технологии бота, я решил весь проект перевести в тайную плоскость. Я модифицировал бот таким образом, чтобы он мог играть на одном из крупнейших покерных сайтов в „командной моде“, так, чтобы два или более ботов за одним столом могли обмениваться информацией о своих скрытых картах, чтобы получать выгоду от этого».
В своем первом электронном письме о своих делах Рон упоминал, что его боты по-прежнему «в работе». Потом он написал нам, попросив сделать официальное заявление: