Экзаменационные оценки по текущей успеваемости:
Можаев - 4
Чтобы улучшить оценку, нужно пересдать "устный ответ по теме": полностью ответить одну их устных тем (какая попадётся в билете); темы указаны в файле "Syllabus".
Качин -4
Чтобы улучшить оценку, нужно пересдать письменный пересказ текста, написанного на русском языке. Текст заранее не известен, время на выполнение - 40 мин.
Пересдать можно 11, 13, 18 мая по расписанию или на экзамене.
У остальных оценки определятся после сдачи задолженностей.
понедельник, 10 мая 2010 г.
оценки за пересказ 4.05
Два файла с пересказом не подписаны. Они проверены и подгружены
http://sites.google.com/site/cyberglukk/Home/fake-torrent-trackers
Просьба авторам идентифицировать свои работы.
http://sites.google.com/site/cyberglukk/Home/fake-torrent-trackers
Просьба авторам идентифицировать свои работы.
перевод абзаца №12, выполнен А.Федотовым 4.05
12. NetworkMiner is also useful for reassembling and extracting files from captured network traffic. Examples of protocols from which NetworkMiner can perform file reassembly are HTTP, FTP and SMB. By loading the pcap files from The Honeynet Project!s "Scan of the Month 28" (sotm28) (tinyurl.com/5quoav) into NetworkMiner you will be able to examine not only what the attacker did, but also the contents of the files he downloaded to the compromised machine. By selecting the "files" tab and right clicking a file you get a context menu which allows you to open the file or the parent folder. By looking at NetworkMiner!s files tab after loading the pcap files from sotm28, one will see that after gaining control of the machine, the attacker started out by using ftp in order to download wget to the compromised machine. The attacker was then able to use wget to download other applications such as psyBNC, which often is used as a backdoor into a compromised machine or to allow someone to remotely control the machine as a part of a botnet. The file reassembly functionality in NetworkMiner also allows you to view any webpage which has been retrieved across the monitored network.Therefore, by rightclicking an html file you will be able to open an offline version of that particular web page. Apart from the normal file transfer protocols, NetworkMiner is one of the few applications that also support reassembly of files transferred with the TFTP protocol. TFTP is a lightweight file transfer protocol that is often used by bootloaders of embedded systems in order to retrieve executable firmware images (such as a kernel and a file system) from a remote server. The TFTP protocol might be used by an attacker to replace the firmware of your printers, routers, switches, WiFi access points and even firewalls with a special purpose built firmware. This firmware might, for example, be designed to monitor your network traffic and report data such as captured user credentials to the attacker. This implies that you should not fully trust your firewalls unless you have the ability to see which traffic is entering and leaving your firewall.
СетевойСапер также очень полезен при повторной сборке и извлечении файлов из пойманного сетового траффика. Примеры протоколов, из которых СетевойСапер может производить повторный сборка файлов это ГТПП, ФПП и ССК. Загрузив в СетовойСапера пшапочные файлы из Проекта Медоваясети "Скан месяца 28" (см28) (мелкийуэрэл.ком/5офтарк), вы сможете не только узнать, что атакующий натворил, но и получить содержимое файлов, которые он загрузил на скомпроментивизировавонную машину. Перейдя на вкладку "Файло" и правощелкнув на нужый файл, вы получите контекстное меню, которое позволит вам открыть файл или родительский каталог. Разглядывая СетевойСаперную вкладку "Файло" после загрузки в СетевойСапера пшапочных файлов с см28, вы увидите, что получив контроль над машиной, атакующий использовал протокол фпп для загрузки на скомпромезиварованную машину вполучай. После этого атакующий получил возможность использовать вполучай, чтобы загружать другие приложения, такие как псиБФС, который часто используется как задняя дверь на скомпрозимероватированную машину или для разрешения кому-нибудь удаленно управлять машиной как частью попрошайкасети. Функция повторной сборки файлов СетевойСапера также позволяет вам просматривать любые паутиностраницы, переданные по следимой сети. Следовательно, правощелкнув по ГТРС файлу, вы сможете открыть автономную версию этой паутиностраницы. СетевойСапер это одно из немногих приложений, которое окромя обычного протокола передачи файлов поддерживает БФПП. БФПП это легковесный протокол передачи файлов который часто используется ботинкозагрузчиками встроенных систем для получения исполняемых образов встроенного ПО (таких как зерно и файловая система) с удаленного сервера. БФПП может быть использован атакующим для замены встроенного ПО ваших типографов, штурманов, переключателей, точек доступа Ра-Ве и даже огненнаястен с встроенным для особых целей ПО. Это встроенное ПО может быть, например, разработано для слежения за вашей сетью, например, и передачи таких данных, как, например, захваченные мандаты, например, атакующему, например, например. Это значит, что вы не должны доверять своим огненнаястенам, есле у вас нет возможности смотреть за траффиком, входящим и выходящим из вашей огненнаястены.
СетевойСапер также очень полезен при повторной сборке и извлечении файлов из пойманного сетового траффика. Примеры протоколов, из которых СетевойСапер может производить повторный сборка файлов это ГТПП, ФПП и ССК. Загрузив в СетовойСапера пшапочные файлы из Проекта Медоваясети "Скан месяца 28" (см28) (мелкийуэрэл.ком/5офтарк), вы сможете не только узнать, что атакующий натворил, но и получить содержимое файлов, которые он загрузил на скомпроментивизировавонную машину. Перейдя на вкладку "Файло" и правощелкнув на нужый файл, вы получите контекстное меню, которое позволит вам открыть файл или родительский каталог. Разглядывая СетевойСаперную вкладку "Файло" после загрузки в СетевойСапера пшапочных файлов с см28, вы увидите, что получив контроль над машиной, атакующий использовал протокол фпп для загрузки на скомпромезиварованную машину вполучай. После этого атакующий получил возможность использовать вполучай, чтобы загружать другие приложения, такие как псиБФС, который часто используется как задняя дверь на скомпрозимероватированную машину или для разрешения кому-нибудь удаленно управлять машиной как частью попрошайкасети. Функция повторной сборки файлов СетевойСапера также позволяет вам просматривать любые паутиностраницы, переданные по следимой сети. Следовательно, правощелкнув по ГТРС файлу, вы сможете открыть автономную версию этой паутиностраницы. СетевойСапер это одно из немногих приложений, которое окромя обычного протокола передачи файлов поддерживает БФПП. БФПП это легковесный протокол передачи файлов который часто используется ботинкозагрузчиками встроенных систем для получения исполняемых образов встроенного ПО (таких как зерно и файловая система) с удаленного сервера. БФПП может быть использован атакующим для замены встроенного ПО ваших типографов, штурманов, переключателей, точек доступа Ра-Ве и даже огненнаястен с встроенным для особых целей ПО. Это встроенное ПО может быть, например, разработано для слежения за вашей сетью, например, и передачи таких данных, как, например, захваченные мандаты, например, атакующему, например, например. Это значит, что вы не должны доверять своим огненнаястенам, есле у вас нет возможности смотреть за траффиком, входящим и выходящим из вашей огненнаястены.
четверг, 29 апреля 2010 г.
текст для письменного пересказа к 4 мая
Человек — самое слабое звено в ИБ
PC Week/RE №3 (705) 2 — 8 февраля 2010
Автор: Валерий Васильев, Дмитрий Сергеев
24.12.2009
О том, что самым слабо защищенным звеном в любом процессе или системе является человек, известно с докомпьютерных времен. Поэтому среди прочих кибер-криминальных ситуаций преобладают те, в которых как компонент информационной системы атаке подвергается именно он — человек. Атакуя его, кибер-преступники активно используют приемы социальной инженерии: согласно данным корпорации Symantec почти 70% успешных атак связаны с нею.
“Плохие парни” давно поняли, что вместо того чтобы искать уязвимости в коде и “железе”, гораздо эффективнее использовать человеческие слабости, будь перед ними рядовой пользователь или искушенный системный администратор. Знание психологии и личная изобретательность при таких атаках зачастую играют более важную роль, нежели глубокие технические познания. Некоторые эксперты вообще определяют социальную инженерию как “метод атак без использования технических средств”, хотя на самом деле так случается редко, и к средствам коммуникации — телефону, электронной почте и т. п. — хакеры прибегают повсеместно.
Риски и потери
Конечной целью атак, в которых используются приемы социальной инженерии, сегодня является материальная выгода преступников. Стремление к сомнительной славе крутого взломщика уже несколько лет как уступило место в криминальной кибер-среде жажде наживы. Коммерциализация кибер-преступности приносит “черным” хакерам богатые плоды. Так, согласно данным корпорации Symantec, ущерб организаций и частных лиц от успешных компьютерных атак составил в 2008 г. около 600 млрд. долл. Чаще всего крадут пароли доступа к информационным системам, коммерческую и техническую информацию (например, о том, как строится защита компании, — политики и процедуры организации ИБ, версии используемых программных продуктов, данные об ИТ-инфраструктуре и т. п.).
Сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Среди главных связанных с кибер-преступностью рисков для компаний можно назвать следующие: затраты на восстановление потерянной информации и выведенного из строя оборудования; оплату претензий со стороны клиентов, пострадавших от утечек информации; иски со стороны регулирующих органов; снижение инвестиционной привлекательности; удар по репутации. Схожим образом страдают от кибер-атак и частные граждане, которые тоже несут прямые и косвенные финансовые убытки и моральные потери. Проводимые два раза в год исследования Unisys Security Index обновляют так называемый индекс безопасности, в основе которого лежат представления рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период. Организаторы недавних очередных исследований для определения текущего Unisys Security Index установили, что число респондентов, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не выходящих в Сеть; иными словами, почти каждый пользователь Интернета считает его опасным, и прежде всего он боится утечки своих идентификационных данных.
Приемы социальной инженерии в ИБ
Теми, на кого обрушиваются психологические атаки компьютерных злоумышленников, движут обычные человеческие свойства: беспечность, жадность, страх, любопытство… Никак не претендуя на полноту описания, остановимся на самых главных и наиболее новых приемах криминальных социальных инженеров, использующих упомянутые выше качества.
По-прежнему активно применяется фишинг. Только через Интернет и электронную почту фишеры умудряются выливать на наши головы мутные потоки своей “информации”. Однако не стоит думать, что отключив компьютер от сети, вы избавите себя от фишеров — помните о телефоне и даже о простом, не опосредованном какими-либо техническим средствами, общении.
На крючки фишеров попадаются не только “чайники”. Например, системному администратору могут предложить прибегнуть к “тайным” знаниям и изменить ключи в реестре ОС Windows “для повышения её быстродействия” или воспользоваться утилитами для автоматизации этого процесса. С помощью этого метода авторы вредоносного ПО производят перенастройку системы безопасности ОС и внедряют в неё троянские программы.
Набирает популярность фарминг, когда посредством зловредного ПО пользователь перенаправляется на мошеннические сайты, где их поджидают фишинговые ловушки. Фарминг зачастую связан с кражами репутации — подменой добропорядочных информационных ресурсов зловредными. Исследователи Cisco зафиксировали в 2008 г. 90%-ный рост количества атак, исходящих из добропорядочных доменов Интернета.
Достаточно большой популярностью пользуются рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Включенные в эти письма ссылки вели на подставные сайты, распространяющие вредоносный код. Там пользователям под разными предлогами предлагалось ввести свои персональные данные — параметры доступа к банковским счетам, логины и пароли платного интернет-сервиса и т. п. Подобным фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.; в России это были Альфа-банк и платежная система “Яндекс.Деньги”.
Пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.
Прогноз компании Cisco говорит о том, что в текущем году социальный инжиниринг станет более изощренным и целенаправленным. По оценкам Cisco, сегодня целенаправленный фишинг составляет не более 1% от общего числа фишинг-атак, однако его доля будет расти по мере того, как преступники станут делать спам все более персонализированным и настроенным на нормальное общение конкретного пользователя.
По данным Microsoft Security Intelligence Report v7, в первой половине 2009 г. наблюдался всплеск распространения ложного антивирусного ПО, также известного как “Rogue Security Software”. Для этого используются вредоносные программы, известные под названием “scareware” (ПО для запугивания). Его применяют также для оповещения о ложных заражениях вирусами в надежде вынудить пользователя скачать поддельный антивирус, который в лучшем случае окажется бесполезным, а в худшем сразу установит на компьютер вредоносный код или снизит общий уровень безопасности системы для последующих атак.
Чтобы вынудить людей загружать фальшивые программы, мошенники размещают на веб-сайтах объявления, играющие на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких объявлений предупреждают: “Если вы видите эту надпись, значит, ваш компьютер подвергается угрозе заражения вирусом”. Далее пользователю предлагается перейти по некоторой ссылке, чтобы просканировать компьютер или установить программу для удаления “вируса”.
Закачанные и установленные фальшивые ИБ-программы обходятся доверчивым пользователям в 30—100 долл. Однако мошенническая операция не заканчивается установкой ложного антивируса. Некоторые из этих программ сразу внедряют в систему вредоносный код, который делает компьютер уязвимым для других угроз; некоторые требуют от пользователя понизить действующий уровень безопасности для своей бесконфликтной “работы по защите компьютера” и уже после этого вводят в систему вредоносное ПО или блокируют доступ к веб-сайтам производителей настоящих антивирусов.
Никакие программные или аппаратные средства, даже самые лучшие, не спасают от фишинга — выручает только комплексный подход к ИБ.
Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусов стараются создавать для своих программ заслуживающий доверие интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают опасений. Многие легальные сайты, хотя и не имеют связи с мошенниками, демонстрируют информацию об их ПО в качестве рекламы. Некоторые мошеннические сайты используют реальные системы онлайновой оплаты кредитными карточками, а их жертвам направляются электронные сообщения о поступлении платежа, в которых содержится информация о серийном номере продукта и коде сервисного обслуживания.
Согласно исследованиям Symantec пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Сообщается, что 93% фальшивых антивирусов распространяются через специально созданные для этого веб-сайты, 52% из них продвигаются через интернет-рекламу.
Защита от атак, использующих социальную инженерию
Защита от атак, основанных на социальной инженерии, по мнению специалистов Microsoft, одна из самых сложных задач обеспечения ИБ. Они полагают, что здесь не помогут сами по себе никакие программные или аппаратные средства, даже самые лучшие, а выручит только комплексный подход.
По оценкам SANS Institute, среднее время нахождения незащищенного компьютера в Интернете до заражения сегодня измеряется минутами, поэтому ИБ-специалисты рекомендуют как обязательный, базовый компонент комплексного подхода использовать известные технологии, такие как контроль сетевого трафика на уровне провайдерских и корпоративных шлюзов; репутационная фильтрация сайтов, файлов и приложений (которую сегодня предлагают ведущие ИБ-вендоры); современный (разумеется, не фальшивый) антивирус на рабочей станции, обеспечивающий комплексную защиту от вредоносного ПО конечной точки сети.
Данные, полученные компанией Deloitte в финансовом сегменте, хорошо согласующиеся с исследованиями в других отраслях, свидетельствуя о том, что среди прочих угроз безопасности главной для себя компании считают утечки данных, причем произошедшие по вине персонала, а не из-за внешних атак. Именно поэтому рынок средств обнаружения и предотвращения утечек данных (DLP) развивается сегодня темпами, опережающими среднеотраслевые по ИТ, и в контуре защиты этими системами пользуются наиболее зрелые в области ИБ компании.
DLP-системы защищают как от злонамеренного инсайда, так и от непреднамеренного нарушения корпоративных политик ИБ. Но поскольку на долю последних, согласно данным Gartner, приходится 80—90% утечек, компаниям есть прямой резон пересмотреть организацию корпоративной ИБ, сосредоточив на этой проблеме дополнительные усилия. Для этого прежде всего следует классифицировать обращающуюся в компании информацию (что является обязательным стартовым этапом внедрения DLP-технологии), наладить ролевой доступ персонала к информационным ресурсам и поддерживать его системами строгой идентификации и аутентификации пользователей. Стоит также помнить, что сохранность конфиденциальной информации, как считают специалисты по вопросам ИБ, на 80% зависит от правильного подбора, расстановки и воспитания персонала, а это — прямые задачи кадровой службы компании.
from: http://www.pcweek.ru/themes/detail.php?ID=121717
PC Week/RE №3 (705) 2 — 8 февраля 2010
Автор: Валерий Васильев, Дмитрий Сергеев
24.12.2009
О том, что самым слабо защищенным звеном в любом процессе или системе является человек, известно с докомпьютерных времен. Поэтому среди прочих кибер-криминальных ситуаций преобладают те, в которых как компонент информационной системы атаке подвергается именно он — человек. Атакуя его, кибер-преступники активно используют приемы социальной инженерии: согласно данным корпорации Symantec почти 70% успешных атак связаны с нею.
“Плохие парни” давно поняли, что вместо того чтобы искать уязвимости в коде и “железе”, гораздо эффективнее использовать человеческие слабости, будь перед ними рядовой пользователь или искушенный системный администратор. Знание психологии и личная изобретательность при таких атаках зачастую играют более важную роль, нежели глубокие технические познания. Некоторые эксперты вообще определяют социальную инженерию как “метод атак без использования технических средств”, хотя на самом деле так случается редко, и к средствам коммуникации — телефону, электронной почте и т. п. — хакеры прибегают повсеместно.
Риски и потери
Конечной целью атак, в которых используются приемы социальной инженерии, сегодня является материальная выгода преступников. Стремление к сомнительной славе крутого взломщика уже несколько лет как уступило место в криминальной кибер-среде жажде наживы. Коммерциализация кибер-преступности приносит “черным” хакерам богатые плоды. Так, согласно данным корпорации Symantec, ущерб организаций и частных лиц от успешных компьютерных атак составил в 2008 г. около 600 млрд. долл. Чаще всего крадут пароли доступа к информационным системам, коммерческую и техническую информацию (например, о том, как строится защита компании, — политики и процедуры организации ИБ, версии используемых программных продуктов, данные об ИТ-инфраструктуре и т. п.).
Сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Среди главных связанных с кибер-преступностью рисков для компаний можно назвать следующие: затраты на восстановление потерянной информации и выведенного из строя оборудования; оплату претензий со стороны клиентов, пострадавших от утечек информации; иски со стороны регулирующих органов; снижение инвестиционной привлекательности; удар по репутации. Схожим образом страдают от кибер-атак и частные граждане, которые тоже несут прямые и косвенные финансовые убытки и моральные потери. Проводимые два раза в год исследования Unisys Security Index обновляют так называемый индекс безопасности, в основе которого лежат представления рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период. Организаторы недавних очередных исследований для определения текущего Unisys Security Index установили, что число респондентов, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не выходящих в Сеть; иными словами, почти каждый пользователь Интернета считает его опасным, и прежде всего он боится утечки своих идентификационных данных.
Приемы социальной инженерии в ИБ
Теми, на кого обрушиваются психологические атаки компьютерных злоумышленников, движут обычные человеческие свойства: беспечность, жадность, страх, любопытство… Никак не претендуя на полноту описания, остановимся на самых главных и наиболее новых приемах криминальных социальных инженеров, использующих упомянутые выше качества.
По-прежнему активно применяется фишинг. Только через Интернет и электронную почту фишеры умудряются выливать на наши головы мутные потоки своей “информации”. Однако не стоит думать, что отключив компьютер от сети, вы избавите себя от фишеров — помните о телефоне и даже о простом, не опосредованном какими-либо техническим средствами, общении.
На крючки фишеров попадаются не только “чайники”. Например, системному администратору могут предложить прибегнуть к “тайным” знаниям и изменить ключи в реестре ОС Windows “для повышения её быстродействия” или воспользоваться утилитами для автоматизации этого процесса. С помощью этого метода авторы вредоносного ПО производят перенастройку системы безопасности ОС и внедряют в неё троянские программы.
Набирает популярность фарминг, когда посредством зловредного ПО пользователь перенаправляется на мошеннические сайты, где их поджидают фишинговые ловушки. Фарминг зачастую связан с кражами репутации — подменой добропорядочных информационных ресурсов зловредными. Исследователи Cisco зафиксировали в 2008 г. 90%-ный рост количества атак, исходящих из добропорядочных доменов Интернета.
Достаточно большой популярностью пользуются рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Включенные в эти письма ссылки вели на подставные сайты, распространяющие вредоносный код. Там пользователям под разными предлогами предлагалось ввести свои персональные данные — параметры доступа к банковским счетам, логины и пароли платного интернет-сервиса и т. п. Подобным фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.; в России это были Альфа-банк и платежная система “Яндекс.Деньги”.
Пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.
Прогноз компании Cisco говорит о том, что в текущем году социальный инжиниринг станет более изощренным и целенаправленным. По оценкам Cisco, сегодня целенаправленный фишинг составляет не более 1% от общего числа фишинг-атак, однако его доля будет расти по мере того, как преступники станут делать спам все более персонализированным и настроенным на нормальное общение конкретного пользователя.
По данным Microsoft Security Intelligence Report v7, в первой половине 2009 г. наблюдался всплеск распространения ложного антивирусного ПО, также известного как “Rogue Security Software”. Для этого используются вредоносные программы, известные под названием “scareware” (ПО для запугивания). Его применяют также для оповещения о ложных заражениях вирусами в надежде вынудить пользователя скачать поддельный антивирус, который в лучшем случае окажется бесполезным, а в худшем сразу установит на компьютер вредоносный код или снизит общий уровень безопасности системы для последующих атак.
Чтобы вынудить людей загружать фальшивые программы, мошенники размещают на веб-сайтах объявления, играющие на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких объявлений предупреждают: “Если вы видите эту надпись, значит, ваш компьютер подвергается угрозе заражения вирусом”. Далее пользователю предлагается перейти по некоторой ссылке, чтобы просканировать компьютер или установить программу для удаления “вируса”.
Закачанные и установленные фальшивые ИБ-программы обходятся доверчивым пользователям в 30—100 долл. Однако мошенническая операция не заканчивается установкой ложного антивируса. Некоторые из этих программ сразу внедряют в систему вредоносный код, который делает компьютер уязвимым для других угроз; некоторые требуют от пользователя понизить действующий уровень безопасности для своей бесконфликтной “работы по защите компьютера” и уже после этого вводят в систему вредоносное ПО или блокируют доступ к веб-сайтам производителей настоящих антивирусов.
Никакие программные или аппаратные средства, даже самые лучшие, не спасают от фишинга — выручает только комплексный подход к ИБ.
Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусов стараются создавать для своих программ заслуживающий доверие интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают опасений. Многие легальные сайты, хотя и не имеют связи с мошенниками, демонстрируют информацию об их ПО в качестве рекламы. Некоторые мошеннические сайты используют реальные системы онлайновой оплаты кредитными карточками, а их жертвам направляются электронные сообщения о поступлении платежа, в которых содержится информация о серийном номере продукта и коде сервисного обслуживания.
Согласно исследованиям Symantec пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Сообщается, что 93% фальшивых антивирусов распространяются через специально созданные для этого веб-сайты, 52% из них продвигаются через интернет-рекламу.
Защита от атак, использующих социальную инженерию
Защита от атак, основанных на социальной инженерии, по мнению специалистов Microsoft, одна из самых сложных задач обеспечения ИБ. Они полагают, что здесь не помогут сами по себе никакие программные или аппаратные средства, даже самые лучшие, а выручит только комплексный подход.
По оценкам SANS Institute, среднее время нахождения незащищенного компьютера в Интернете до заражения сегодня измеряется минутами, поэтому ИБ-специалисты рекомендуют как обязательный, базовый компонент комплексного подхода использовать известные технологии, такие как контроль сетевого трафика на уровне провайдерских и корпоративных шлюзов; репутационная фильтрация сайтов, файлов и приложений (которую сегодня предлагают ведущие ИБ-вендоры); современный (разумеется, не фальшивый) антивирус на рабочей станции, обеспечивающий комплексную защиту от вредоносного ПО конечной точки сети.
Данные, полученные компанией Deloitte в финансовом сегменте, хорошо согласующиеся с исследованиями в других отраслях, свидетельствуя о том, что среди прочих угроз безопасности главной для себя компании считают утечки данных, причем произошедшие по вине персонала, а не из-за внешних атак. Именно поэтому рынок средств обнаружения и предотвращения утечек данных (DLP) развивается сегодня темпами, опережающими среднеотраслевые по ИТ, и в контуре защиты этими системами пользуются наиболее зрелые в области ИБ компании.
DLP-системы защищают как от злонамеренного инсайда, так и от непреднамеренного нарушения корпоративных политик ИБ. Но поскольку на долю последних, согласно данным Gartner, приходится 80—90% утечек, компаниям есть прямой резон пересмотреть организацию корпоративной ИБ, сосредоточив на этой проблеме дополнительные усилия. Для этого прежде всего следует классифицировать обращающуюся в компании информацию (что является обязательным стартовым этапом внедрения DLP-технологии), наладить ролевой доступ персонала к информационным ресурсам и поддерживать его системами строгой идентификации и аутентификации пользователей. Стоит также помнить, что сохранность конфиденциальной информации, как считают специалисты по вопросам ИБ, на 80% зависит от правильного подбора, расстановки и воспитания персонала, а это — прямые задачи кадровой службы компании.
from: http://www.pcweek.ru/themes/detail.php?ID=121717
четверг, 22 апреля 2010 г.
текст для контрольного чтения и перевода
(на всякий случай, если кто-нибудь не скопировал)
Network Forensics Analysis
A network’s physical layer is deceptively quiet. Hub lights blink in response to network traffic, but do little to convey the range of information that the network carries. Analysis of the individual traffic flows and their content is essential to a complete understanding of network usage. Many tools let you view traffic in real time, but real-time monitoring at any level requires significant human and hardware resources, and doesn’t scale to networks larger than a single workgroup. It is generally more practical to archive all traffic and analyze subsets as necessary. This process is known as reconstructive traffic analysis, or network forensics.1 In practice, it is often limited to data collection and packetlevel inspection; however, a network forensics analysis tool (NFAT) can provide a richer view of the data collected, allowing you to inspect the traffic from further up the protocol stack.
The IT industry’s ever-growing concern with security is the primary motivation for network forensics. A network that has been prepared for forensic analysis is easy to monitor, and security vulnerabilities and configuration problems can be conveniently identified. It also allows the best possible analysis of security violations. Most importantly, analyzing a complete record of your network traffic with the appropriate reconstructive tools provides context for other breach-related events. For example, if your analysis detects a user account and its Pretty Good Privacy (PGP, www.pgp.com/index.php) keys being compromised, good practice requires you to review all subsequent activity by that user, or involving those keys.
Given that firewalls and intrusion-detection systems (IDSs) are well-established tools for network security, what is NFAT’s role? Will it replace these tools or complement them? A typical IDS attempts to detect activity that violates an organization’s security policy by implementing a set of rules describing preconfigured patterns of interest. These rules are both a strength and a weakness: An IDS can detect certain incidents reliably, but no rule set can detect all possible intrusions. A typical firewall allows or disallows traffic to or from specific networks, machine addresses, and port numbers, but protocols that circumvent portbased security are increasingly common. Consider Yahoo Messenger (www.venkydude.com/ articles/yahoo.htm), which will move to port 23 (well known as the Telnet3 port) if its default port (5050) is blocked. Thus, it could circumvent a firewall’s block of port 5050. An NFAT, on the other hand, would identify the connection on port 23 as Yahoo Messenger by its content. An NFAT synergizes with IDSes and firewalls in two ways: It preserves a long-term record of network traffic, and it allows quick analysis of trouble spots identified by the other two tools. Access to an NFAT lets you decide what traffic is of interest post hoc (for example, the last two weeks’ worth of e-mail sent by an employee who has disappeared and whose machine has been wiped clean) and to analyze that traffic quickly and efficiently.
As an essential complement to existing security systems, an NFAT must perform three tasks well. It must capture network traffic; it must analyze the traffic according to the user’s needs; and it must let system users discover useful and interesting things about the analyzed traffic.
Network Forensics Analysis
A network’s physical layer is deceptively quiet. Hub lights blink in response to network traffic, but do little to convey the range of information that the network carries. Analysis of the individual traffic flows and their content is essential to a complete understanding of network usage. Many tools let you view traffic in real time, but real-time monitoring at any level requires significant human and hardware resources, and doesn’t scale to networks larger than a single workgroup. It is generally more practical to archive all traffic and analyze subsets as necessary. This process is known as reconstructive traffic analysis, or network forensics.1 In practice, it is often limited to data collection and packetlevel inspection; however, a network forensics analysis tool (NFAT) can provide a richer view of the data collected, allowing you to inspect the traffic from further up the protocol stack.
The IT industry’s ever-growing concern with security is the primary motivation for network forensics. A network that has been prepared for forensic analysis is easy to monitor, and security vulnerabilities and configuration problems can be conveniently identified. It also allows the best possible analysis of security violations. Most importantly, analyzing a complete record of your network traffic with the appropriate reconstructive tools provides context for other breach-related events. For example, if your analysis detects a user account and its Pretty Good Privacy (PGP, www.pgp.com/index.php) keys being compromised, good practice requires you to review all subsequent activity by that user, or involving those keys.
Given that firewalls and intrusion-detection systems (IDSs) are well-established tools for network security, what is NFAT’s role? Will it replace these tools or complement them? A typical IDS attempts to detect activity that violates an organization’s security policy by implementing a set of rules describing preconfigured patterns of interest. These rules are both a strength and a weakness: An IDS can detect certain incidents reliably, but no rule set can detect all possible intrusions. A typical firewall allows or disallows traffic to or from specific networks, machine addresses, and port numbers, but protocols that circumvent portbased security are increasingly common. Consider Yahoo Messenger (www.venkydude.com/ articles/yahoo.htm), which will move to port 23 (well known as the Telnet3 port) if its default port (5050) is blocked. Thus, it could circumvent a firewall’s block of port 5050. An NFAT, on the other hand, would identify the connection on port 23 as Yahoo Messenger by its content. An NFAT synergizes with IDSes and firewalls in two ways: It preserves a long-term record of network traffic, and it allows quick analysis of trouble spots identified by the other two tools. Access to an NFAT lets you decide what traffic is of interest post hoc (for example, the last two weeks’ worth of e-mail sent by an employee who has disappeared and whose machine has been wiped clean) and to analyze that traffic quickly and efficiently.
As an essential complement to existing security systems, an NFAT must perform three tasks well. It must capture network traffic; it must analyze the traffic according to the user’s needs; and it must let system users discover useful and interesting things about the analyzed traffic.
вторник, 20 апреля 2010 г.
вопросы для диалога к 22.04
Forensics Applied to Computer Networks
Программно-техническая экспертиза компьютерных сетей
Задание:
Письменно составьте 8 вопросов к тексту ниже. При составлении нельзя дублировать вопросы, вынесенные в подзаголовки.
Introduction
Applying forensic methods on the Ethernet layer is done by eavesdropping bit streams with tools called monitoring tools or sniffers. The most common tools on this layer is Wireshark (formerly known as Ethereal).
Wireshark is a free and open-source packet analyzer. It is used for network troubleshooting, analysis, software and communications protocol development, and education.
What is Wireshark?
Wireshark® is the world's most popular network protocol analyzer. It has a rich and powerful feature set and runs on most computing platforms including Windows, OS X, Linux, and UNIX. Network professionals, security experts, developers, and educators around the world use it regularly. It is freely available as open source, and is released under the GNU General Public License version 2.
It is developed and maintained by a global team of protocol experts, and it is an example of a disruptive technology (передовая/прорывная технология).
What's up with the name change? Is Wireshark a fork?
In May of 2006, Gerald Combs (the original author of Ethereal) went to work for CACE Technologies (best known for WinPcap). Unfortunately, he had to leave the Ethereal trademarks behind.
This left the project in an awkward position. The only reasonable way to ensure the continued success of the project was to change the name. This is how Wireshark was born.
Wireshark is almost (but not quite) a fork. Normally a "fork" of an open source project results in two names, web sites, development teams, support infrastructures, etc. This is the case with Wireshark except for one notable exception -- every member of the core development team is now working on Wireshark. There has been no active development on Ethereal since the name change. Several parts of the Ethereal web site (such as the mailing lists, source code repository, and build farm) have gone offline.
from:
1. http://en.wikipedia.org/wiki/Network_forensics
2. http://www.wireshark.org/faq.html
Программно-техническая экспертиза компьютерных сетей
Задание:
Письменно составьте 8 вопросов к тексту ниже. При составлении нельзя дублировать вопросы, вынесенные в подзаголовки.
Introduction
Applying forensic methods on the Ethernet layer is done by eavesdropping bit streams with tools called monitoring tools or sniffers. The most common tools on this layer is Wireshark (formerly known as Ethereal).
Wireshark is a free and open-source packet analyzer. It is used for network troubleshooting, analysis, software and communications protocol development, and education.
What is Wireshark?
Wireshark® is the world's most popular network protocol analyzer. It has a rich and powerful feature set and runs on most computing platforms including Windows, OS X, Linux, and UNIX. Network professionals, security experts, developers, and educators around the world use it regularly. It is freely available as open source, and is released under the GNU General Public License version 2.
It is developed and maintained by a global team of protocol experts, and it is an example of a disruptive technology (передовая/прорывная технология).
What's up with the name change? Is Wireshark a fork?
In May of 2006, Gerald Combs (the original author of Ethereal) went to work for CACE Technologies (best known for WinPcap). Unfortunately, he had to leave the Ethereal trademarks behind.
This left the project in an awkward position. The only reasonable way to ensure the continued success of the project was to change the name. This is how Wireshark was born.
Wireshark is almost (but not quite) a fork. Normally a "fork" of an open source project results in two names, web sites, development teams, support infrastructures, etc. This is the case with Wireshark except for one notable exception -- every member of the core development team is now working on Wireshark. There has been no active development on Ethereal since the name change. Several parts of the Ethereal web site (such as the mailing lists, source code repository, and build farm) have gone offline.
from:
1. http://en.wikipedia.org/wiki/Network_forensics
2. http://www.wireshark.org/faq.html
суббота, 17 апреля 2010 г.
вторник, 13 апреля 2010 г.
письменный перевод - до 20 апреля
Задание:
1. Переведите текст на английский язык.
2. Напишите (на английском языке), насколько данное описание области "Computer forensics" совпадает с точкой зрения, представленной в предыдущем файле.
Обычно перед экспертом ставятся вопросы:
- о наличии на исследуемых объектах информации, относящейся к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
- о возможности (пригодности) использования исследуемых объектов для определённых целей (например, для доступа в сеть);
- о действиях, совершённых с использованием объектов;
- о свойствах программ для ЭВМ, в частности, о принадлежности их ко вредоносным;
- об идентификации найденных электронных документов, программ для ЭВМ, пользователей компьютера.
Следующие вопросы не должны относиться к данному виду экспертизы, их включение в постановление представляется ошибочным:
- о лицензионности/контрафактности экземпляров программ, записанных на исследуемых объектах;
- о правомерности действий, произведённых с использованием исследуемых объектов;
- о стоимости компьютеров, носителей, лицензий на содержащиеся там программы;
- о переводах найденных текстов, интерфейсов программ, переписки и т. п.
from: http://ru.wikipedia.org/wiki/
письменная работа к 15.04 - отсылать в блог не обязательно
Выберите персонаж и составьте небольшой текст о его способностях и о том, чего он не может делать.
Нужно использовать не только модальные глаголы, но и их синонимы.
понедельник, 12 апреля 2010 г.
"Should" - рекомендации, проверенные работы
четверг, 8 апреля 2010 г.
аудиторный текст, по которому нужно подготовить диалог к 13 апреля
from http://www.hackronomicon.com/?page_id=25
Заполните пропуски в тексте следующими словами и выражениями так, чтобы они подходили по смыслу.
1. engineering
2. security advocate
3. underground
4. exploit
5. information
6. the system
7. unauthorized
8. telephone
9. profited
10. access
11. computer fraud
12. punchcards
13. Outlaw
Kevin David Mitnick
Kevin David Mitnick (born August 6, 1963) is a computer security consultant, digital (1) ... hero, and convicted criminal who also happens to be the most talked about and well known computer hacker in the good ole U.S. of A.
In 1979 Mitnick traversed his first computer network gaining (2) ... access to the Ark, which was a computer system of Digital Equipment Corporation (DEC). He used a phone number that a friend had given him to gain (3) ... to the system. The Ark was used for developing DEC’s RSTS/E operating system software. After gaining access to the DEC computer network he explored (4) ... and then copied some of software that was stored on it. This was later the reason for his conviction.
Hack the bus?
Kevin's problem solving skills were already in use in the real world at the age of 12 years old. His very first (5) ... was not on a phone or a computer network but rather the Los Angeles public transportation.
The Problem: Getting around the city costs money.
The Solution: At the time Los Angeles bus system used (6) ... so he went out and bought his own punch. He then could get free bus rides anywhere he wanted to go within the LA area.
Kevin excelled in the use of Social (7) ... . He was amused at the fact that he was able to infiltrate organizations by pretending to be a part of them. This allowed him to not only blend in but it also allowed him to gain valuable (8) ... such as internal company information, passwords, user accounts, and modem phone numbers.
During his high school days Kevin was introduced to phone phreaking. He was able to manipulate (9) ... systems for free long distance phone calls anywhere.
In 1989 Kevin vanished while on probation and quickly became “America’s Most Wanted Computer (10) ... ”. He some how managed to elude local police departments, U.S. Marshalls and FBI agents for more than two years.
In 1994 he broke into a computer system that belonged to Tsutomu Shimomura in San Diego, California. Tsutomu a computer (11) ... took it upon himself to track down Kevin Mitnick. This chase lead Tsutomu on a cross-country chase that ended in the arrest of Kevin Mitnick by FBI agents in Raleigh, North Carolina (February15th 1995.)
Kevin was charged with 23 counts of access device fraud. After a plead of guilty to one count his case was moved to Los Angeles, California. He was also charged with 25 counts of access device, wire, and (12) ... .
On March 16, 1999, Mitnick pleads guilty to five of these counts and two additional counts from the Northern District of California. He was then sentenced to 46 months and three years probation, to be served in addition to eight months for his North Carolina plea and 14 months for his probation violation.
He was released from prison on January 21, 2000, being eligible for early release after serving almost 60 months of his 68 month sentence.
Shimomura and John Markoff have reportedly (13) ... handsomely for the story of the chase and apprehension of Kevin Mitnick. You can find the story in the following books:
Takedown by Tsutomu Shimomura with John Markoff
The Fugitive Game by Jonathan Littman
The Cyberthief and the Samurai by Jeff Goodell
Kevin is currently operating a security consulting firm:
Mitnick Security Consulting, LLC is a full-service information security consulting firm. Founded by Kevin Mitnick, Mitnick Security Consulting offers a comprehensive range of services to help businesses protect their valuable assets.
http://www.kevinmitnick.com/
Заполните пропуски в тексте следующими словами и выражениями так, чтобы они подходили по смыслу.
1. engineering
2. security advocate
3. underground
4. exploit
5. information
6. the system
7. unauthorized
8. telephone
9. profited
10. access
11. computer fraud
12. punchcards
13. Outlaw
Kevin David Mitnick
Kevin David Mitnick (born August 6, 1963) is a computer security consultant, digital (1) ... hero, and convicted criminal who also happens to be the most talked about and well known computer hacker in the good ole U.S. of A.
In 1979 Mitnick traversed his first computer network gaining (2) ... access to the Ark, which was a computer system of Digital Equipment Corporation (DEC). He used a phone number that a friend had given him to gain (3) ... to the system. The Ark was used for developing DEC’s RSTS/E operating system software. After gaining access to the DEC computer network he explored (4) ... and then copied some of software that was stored on it. This was later the reason for his conviction.
Hack the bus?
Kevin's problem solving skills were already in use in the real world at the age of 12 years old. His very first (5) ... was not on a phone or a computer network but rather the Los Angeles public transportation.
The Problem: Getting around the city costs money.
The Solution: At the time Los Angeles bus system used (6) ... so he went out and bought his own punch. He then could get free bus rides anywhere he wanted to go within the LA area.
Kevin excelled in the use of Social (7) ... . He was amused at the fact that he was able to infiltrate organizations by pretending to be a part of them. This allowed him to not only blend in but it also allowed him to gain valuable (8) ... such as internal company information, passwords, user accounts, and modem phone numbers.
During his high school days Kevin was introduced to phone phreaking. He was able to manipulate (9) ... systems for free long distance phone calls anywhere.
In 1989 Kevin vanished while on probation and quickly became “America’s Most Wanted Computer (10) ... ”. He some how managed to elude local police departments, U.S. Marshalls and FBI agents for more than two years.
In 1994 he broke into a computer system that belonged to Tsutomu Shimomura in San Diego, California. Tsutomu a computer (11) ... took it upon himself to track down Kevin Mitnick. This chase lead Tsutomu on a cross-country chase that ended in the arrest of Kevin Mitnick by FBI agents in Raleigh, North Carolina (February15th 1995.)
Kevin was charged with 23 counts of access device fraud. After a plead of guilty to one count his case was moved to Los Angeles, California. He was also charged with 25 counts of access device, wire, and (12) ... .
On March 16, 1999, Mitnick pleads guilty to five of these counts and two additional counts from the Northern District of California. He was then sentenced to 46 months and three years probation, to be served in addition to eight months for his North Carolina plea and 14 months for his probation violation.
He was released from prison on January 21, 2000, being eligible for early release after serving almost 60 months of his 68 month sentence.
Shimomura and John Markoff have reportedly (13) ... handsomely for the story of the chase and apprehension of Kevin Mitnick. You can find the story in the following books:
Takedown by Tsutomu Shimomura with John Markoff
The Fugitive Game by Jonathan Littman
The Cyberthief and the Samurai by Jeff Goodell
Kevin is currently operating a security consulting firm:
Mitnick Security Consulting, LLC is a full-service information security consulting firm. Founded by Kevin Mitnick, Mitnick Security Consulting offers a comprehensive range of services to help businesses protect their valuable assets.
http://www.kevinmitnick.com/
среда, 7 апреля 2010 г.
пересказ к 13 апреля
from http://citcity.ru/15688/
6 августа 1963 года в Норт Хиллз, США родился Кевин Дэвид Митник (Kevin David Mitnick), которому было суждено стать хакером № 1. Его мать Шелли Джэфф не занималась воспитанием сына, она была официанткой и постоянно пропадала на работе. А отец Адам Митник покинул семью, когда Кевину едва исполнилось три года.
Митник-младший, предоставленный сам себе, с детства начал проявлять свои способности незаконного использования благ, недоступных для бедного мальчишки. Примером для подражания был дядя, умевший заговаривать зубы кому угодно, дабы заполучить желаемое (впоследствии племянник и основоположник современной социальной инженерии назовет его первым и лучшим социальным инженером).
Кевин легко подделывал проездные билеты на автобус и путешествовал по Лос-Анджелесу, изучив его вдоль и поперек. Вторым увлечением будущей звезды хакинга были фокусы, которые он, подсмотрев у какогонибудь известного мага, долгими и упорными тренировками доводил до автоматизма.
В 70-е годы, пока персональные компьютеры не получили должного распространения, телефон являлся верхом совершенства в технологических коммуникациях. И все первые хакеры планеты в начале своего «творческого пути» занимались фрикингом (phreaking), то есть звонили по телефону совершенно бесплатно. С 12 лет и Митник вошел в когорту фрикеров. Знакомство с Роско, с которым они вскоре будут наводить ужас на все телефонные и компьютерные компании США, оказалось знаковым событием в жизни тинэйджера. Вместе со Сьюзан Сандер, подружкой Роско, умело использующей свои прелести для получения необходимой информации, и Стивом Роудсом они образуют «закрытый клуб по интересам» и вскоре становятся самыми известными хакерами тихоокеанского побережья.
Изучение «фишек» фрикеров напоминало освоение фокусов, и Митник взялся за овладение этим искусством со всей тщательностью, а желание быть лучшим в той деятельности, какой бы он ни занимался, скоро сделало его одним из лучших фрикеров, и он уже слегка подшучивал над своими старшими товарищами.
Самая распространенная шутка из арсенала Митника — перевод стационарного телефона в разряд уличного таксофона. И когда незадачливый приятель снимал трубку, чтобы позвонить, вежливый голос оператора говорил: «Пожалуйста, опустите 20 центов».
С появлением компьютеров новая страсть охватила юношу — теперь он часами просиживал в школьных классах, изучаю современную технику.
От телефонов к компьютерам
В 1980-м Кевин совершил свой первый хакерский «подвиг»: взломал базу данных собственной школы, получив неограниченный доступ ко всей информации, касающейся учебной деятельности, в том числе к «табели о рангах» по успеваемости. Он в одночасье мог стать круглым отличником, но не сделал этого, а лишь заслужил признание в нарождающейся хакерской среде.
Что примечательно, еще много раз в своей жизни Кевин Митник будет иметь неограниченные возможности, но не воспользуется ими — он не хотел незаконной славы и пиратского богатства!
На компьютерных курсах, которые Митник окончил после школы, он нашел уязвимость в операционной системе и получил доступ ко всем привилегиям в сети. Никто так и не понял, как ему это удалось, однако за обнаруженное вторжение его поставили перед выбором: либо работа по устранению существующих уязвимостей, либо «детская школа милиции». Надо ли говорить, что Кевин выбрал первое.
Тогда же он взял себе ник Кондор, по одноименному фильму Сиднея Поллака с Робертом Редфордом в главной роли. Кондор легко манипулировал телефонами и людьми на экранах кинотеатров, таким же образом Кевин манипулировал компьютерными системами в жизни.
Ни разу не воспользовавшись своими умениями для обогащения, Кевин не мог себе позволить даже недорогой компьютер, поэтому прибегал к любой возможности, чтобы выйти в компьютерную сеть. Например, магазин «Радио Шеек», где можно было поработать на TRS-80 любому желающему, правда, ограниченное время. Со своими навыками Митнику не составляло труда убедить персонал магазина разрешать ему пользоваться этими машинами от открытия до закрытия магазина.
Через год, значительно продвинувшись в хакинге, он проник в компьютерную систему североамериканских сил ПВО в Колорадо. Генералы лишь погрозили пальчиком, оставив безнаказанным этот инцидент.
Хоть власти и не придавали должного значения всем «подвигам» мальчишки, среди «коллег» Митник получил признание и снискал определенную славу.
Дальше — больше. В 1982-м он совершил громкую кражу учебных материалов по COSMOS’у и MicroPort’у у Pacific Bell. «Заболтав» охранника, Кевин с друзьями проник в главное здание компании, хотя было уже далеко за полночь, и с полными мешками техдокументации по телефонам преспокойно покинул его. В расплату за это Митник получил три месяца в калифорнийском центре для трудных подростков и год условно. А через пару недель после освобождения взломал пентагоновскую сеть ARPANet, спустя некоторое время ставшую общедоступной и общеобразовательной.
К тому моменту за Кевином числилось уже достаточно много грешков, которые по совокупности «тянули» на строгое наказание, но, кроме подозрений, властям нечего было ему предъявить: Митник очень хорошо умел заметать следы.
Кевина и компанию сдала Сьюзан Сандер. Своими хакерскими навыками она произвела неизгладимое впечатление на членов комиссии ФБР, и те согласились закрыть глаза на ее прегрешения в обмен на доказательства вины более матерых хакеров — Роско и Митника. В итоге первому дали три месяца тюрьмы, второму, тогда еще несовершеннолетнему, — трехмесячные же психологические курсы.
В «Радио Шеек» Митника больше не пускали, и Кевин нашел себе доступный компьютер в Южнокалифорнийском университете, где выдавал себя за студента. Подделать студенческий билет оказалось не сложнее, чем автобусные проездные. Там он и попался, взломав секретную военную сеть. Взяли его с поличным, недолгий суд и шесть месяцев тюрьмы стали расплатой за «любопытство».
Выйдя из тюрьмы, он устроился в фирму Great American Merchandising, где выполнял непыльную работу, быстро справившись с которой, начинал свои новые исследования «запрещенных» сетевых ресурсов. Когда подозрительные коллеги обратились в соответствующие органы, Митника уже и след простыл. Нашелся он только через год, предварительно удалив весь компромат на себя в анналах полиции, и преспокойно поступил в летние компьютерные классы, где и женился на смуглянке Бонни Вителло, администраторе известной телефонной компании GTE, пообещав ей, что «больше никогда…».
Таким образом, с 1982 по 1987 год Митник целиком и полностью окунулся в заурядную семейную жизнь в провинциальном калифорнийском городке Thousand Oaks.
Но в 1988-м «не вынесла душа поэта», и он принялся за старое и снова попался. За кражу различного программного обеспечения из Santa Cruz Operation он получил три года условно. А затем вновь был заключен под стражу за скачивание новой операционной системы VMS у Digital Equipment Corporation в Пало-Альто. И здесь не обошлось без предательства, его «сдал» самый близкий друг и соратник по хакерству Ленни Ди Чикко, взамен купив себе свободу.
Кевин провел год в тюрьме, из них целых восемь месяцев в одиночной камере. Кроме того, прошел принудительное лечение у психиатра, который так отозвался о своем пациенте: «Хакинг дает Кевину чувство самоуважения, которого ему не хватает в реальной жизни. Алчность и стремление навредить тут ни при чем… Он словно большой ребенок, играющий в «Темницы и драконов».
Его освободили под гласный надзор с требованием никогда не приближаться к компьютерам с модемом. Но из базы данных суда в Санта-Круз вдруг исчезли все материалы по аресту Митника, быстро опустел и счет судьи, занимавшегося данным делом… Однако доказательств, что это дело рук Кевина так и не нашлось.
После заключения Митник вроде бы снова «одумался»: начал оказывать услуги по ITбезопасности, сел на диету, чуть не став вегетарианцем и сбросив около 45 кг.
К тому времени Кевин уже стал одним из самых известных хакеров и на него начали вешать всех «собак»: все киберпреступления пытались приписать его гению, шла ли речь о взломах сетей Пентагона и ФБР или о проникновении в телефонные компании. ФБР даже устроила обыск в его квартире в Калабасасе (штат Калифорния), ему инкриминировали взлом компьютеров в калифорнийском Департаменте транспортных средств, от которого на имя Митника пришел счет на $1 млн. Кевин не нашел ничего лучшего, чем сбежать и исчезнуть из поля зрения назойливых «опекунов» на целых два года.
Его объявили в федеральный розыск, но он легко обзавелся новыми документами, что при его талантах всегда было несложно. Арестовали даже похожего на него человека, но самого найти не смогли.
С 1992 по 1994 год он преспокойно проживал в Сиэтле под именем Брайана Меррилла, работая компьютерным техником в одной из больниц. «Это был очень тихий, совершенно обычный человек, — сказала Шерри Скотт, секретарь отдела, в котором работал Митник. — Он никогда не говорил о своей личной жизни. Просто приходил и занимался своим делом».
Есть мнение, что травля Митника, устроенная властями, лишь подтолкнула его к новым взломам, и он уже не сдерживал себя.
«Почерк» Митника был уже хорошо изучен, и соответствующие инстанции четко определили причастность Кевина к вторжениям в компьютерные сети таких небезызвестных компаний, как Motorola, Nokia, McCaw Cellular Communication Inc., Sun Microsystems и др. Он едва не был пойман после удачной кражи первой версии программы защиты компьютерных сетей SATAN (Security Administrator Tool for Analysing Networks) Дэна Фармера. Создатель «дьявола» выследил Митника и обратился к властям за помощью в поимке хакера. Но тот успел вовремя ретироваться. В результате полиции досталось несколько сотовых телефонов, большое количество спецлитературы по компьютерам и телефонам, а также… сканер «полицейской волны», с помощью которого Кевин элементарно отслеживал все действия копов.
Битва гигантов
В конце 1994-го Митник, известный не только ювелирными, точно рассчитанными, но и «кавалерийскими» атаками, явно был одним из лучших профессионалов IT. Но с кем еще можно потягаться силами?! Специалисты из телефонных компаний и правительственных органов, «сидящие» на окладе, — пройденный этап. Кевин нашел себе достойного противника в лице Цутомы Шимомуры, признанного специалиста по IT-безопасности. Началось грандиозное противостояние, теперь ставшее классическим.
В то время Шимомура активно сотрудничал со спецслужбами и так же, как Билл Гейтс, любил «есть хлеб своей собаки», поэтому расставлял ловушки для хакеров не столько для того, чтобы их поймать, сколько, чтобы лишний раз протестировать собственноручно разработанную систему безопасности.
Однажды, отправившись в отпуск покататься на горных лыжах в Неваду, Шимомура не отключил от сети свой сверхзащищенный компьютер в Солана-Бич (Калифорния). Там содержалась даже «домашняя работа» самурая над секретными военными заказами.
На самом деле это тоже было всего лишь приманкой, ни одному специалисту не позволили бы заняться такой работой «на дому». Митник все прекрасно знал, но это был именно тот случай, когда азарт превзошел элементарную осторожность.
Все изменения, происходившие на компьютере Шимомуры, строго фиксировались в log’ах и отслеживались на удаленном компьютере его коллеги по работе, также американца японского происхождения в Сан-Диего (San Deigo Supercomputer Center).
И мышеловка сработала! Предвкушая добычу, Шимомура срочно возвратился из своего отпуска. Хоть Цутома и не знал, с кем имеет дело, он сразу понял, что это проделки отнюдь не шаловливого ребенка (Митник оставил для него оскорбительные голосовые сообщения), а опытного хакера, успевшего скачать немало секретного кода и разложить его на редко используемых аккаунтах компании The Well (калифорнийского интернет-провайдера). По горячим следам вычислить хакера не удалось, и Шимомура так бы и забыл недоразумение, если бы Кевин вновь не напомнил о себе.
27 декабря он прислал Шимомуре еще несколько эскапад в его адрес, разумеется, голосом, до неузнаваемости обработанным на компьютере. Текст был примерно следующим: «Damn you (это лучше не переводить). Моя техника — самая лучшая… Разве ты не знаешь, кто я… Я и мои друзья… Мы убьем тебя!»
Оскорбленный до глубины души Шимомура, следуя лучшим традициям «бушидо», поклялся отомстить хакеру, поставившему под вопрос компетентность одного из самых уважаемых самураев IT-безопасности. Первое, что сделал Шимомура, — восстановил весь ход атаки. Техника действительно была на грани фантастики.
Митник проник в компьютер Университета Лайолы в Чикаго, имевший доступ к домашнему ПК Шимомуры. Как известно, когда операционная система получает запрос на доступ, она посылает на компьютер-отправитель сообщение, подтверждающее получение. Митник вел сеанс «слепой» игры, и не мог видеть этих сообщений, так как находился в совершенно другом месте, но все-таки сумел разгадать номера последовательностей и приписать соответствующие номера дальнейшим своим запросам, получив таким образом доступ к ПК Шимомуры. (Теоретическая возможность этого была предсказана Стивом Белловином из Bell Labs еще в 1989 году, однако атака Митника — первый известный случай практического применения данной техники.)
Но кто этот неуловимый хакер, владеющий действительно впечатляющей техникой взлома? Найденные на аккаунтах The Well тысячи номеров кредитных карт, украденных из NetCom Inc., стали хорошим аргументом для ФБР, чтобы вмешаться в эту междоусобную войну.
В списке подозреваемых имя Кевина Митника значилось одним из первых. Подвела его страсть к мобильникам: на тех же аккаунтах нашли программы по манипулированию сотовыми телефонами, что было косвенным свидетельством причастности Митника. Фрикерское прошлое оставляет неизгладимый след на всю оставшуюся жизнь…
Шимомура с лихвой воспользовался всем предоставленным ему административным ресурсом. Спецслужбам удалось выделить зону поиска, из которой Кевин выходил на связь, и полиция занялась патрулированием этого района.
Началась серьезная охота на «зверя». К выполнению операции даже прикомандировали скандально известного журналиста Джона Маркоффа, который вскоре напишет книгу «Киберпанк» с Митником в главной роли, а затем и снимет фильм об ужасном хакере. Совместно с Шимомурой они неплохо погреют руки на истории Митника, заработав около миллиона долларов, а Митник — пять лет тюрьмы… и ни цента больше!
В отличие от задержания завзятых гангстеров арест киберпреступника не сопровождается жаркими перестрелками и стремительными погонями. Арест главного хакера «всех времен и народов» не стал исключением из правил и также прошел довольно буднично: в День всех влюбленных 1995 года некий судья Уоллас Диксон дал свое согласие на обыск квартиры № 202 в Player Club в городке Ралейх, занятую неким Гленном Томасом Кейзом. 15 февраля Шимомура дал отмашку спецслужбам: «Наш дружок на связи. Можно стучать!», в 1.30 ночи в квартиру постучали, имея на руках ордер. Дверь открылась. «Ба! Да это же Митник! — радостно воскликнули агенты. — Взять его!» Так Кевин в очередной раз оказался за решеткой.
Шимомура с Митником сошлись лицом к лицу на предварительном слушании все в том же Ралейхе. Поверженный Митник, искоса глядя на Шимомуру, в лучших традициях Голливуда произнес: «Приветствую тебя, Цутома. Я восхищен твоим искусством…» Самурай лишь гордо кивнул, топтать побежденного врага не в правилах бушидо, но от славы скромного супергероя не отказался — все-таки он американец, хоть и японского происхождения.
Суд
Процесс над Кевином Митником стал самым громким по делу хакеров, и властям необходимо было вынести такое решение, чтобы другим не повадно было. Так всегда происходит в жизни — показательный суд оказывается самым строгим.
Кевину было предъявлено 23 обвинения в мошенничестве с использованием компьютеров.
Надо ли говорить, что никакого доступа к компьютерам и средствам связи Кевин «под стражей» не имел, ведь эти повседневно-безобидные вещи в руках известного хакера (а точнее, в глазах властей) превращались в «смертельное» оружие, но и этого было мало: ему ограничили даже доступ в библиотеку с бумажными книгами. По сути дела, лишенный возможности толком защищаться, Митник сдался и 4 апреля 1999 года признал себя виновным, согласившись сотрудничать с обвинением.
По своей суровости приговор превзошел все ожидания, даже убийцы получали более мягкое наказание. Но ведь Кевин никого не убивал, однако был опаснее любого прирожденного убийцы. В случае с Митником власти столкнулись с киберпреступлением, известным им только по фантастическим рассказам. А все новое пугает сильнее самого страшного, но известного.
В своей книге «Игра вне закона» Джонатан Литтман очень точно заметил: «Жажду наживы власти еще могут понять. Но хакер, который пользуется своим могуществом ради чистого удовольствия… выходит за пределы их понимания».
И Кевин надолго оказался в тюремной камере, без компьютера и телефона. И когда у него умер отец, ему даже пришлось писать служебные записки на пользование телефоном, чтобы связаться с семьей.
Даже Шимомура был недоволен таким решением суда: «Я рассчитывал, что правительство США найдет более изящное решение».
Лос-анджелесский изолятор № 89950-012 на время пребывания там Митника стал самым известным и самым охраняемым в мире: здесь содержался преступник, которого прокурор предлагал упрятать от общества на два века!
На деле Митника срочно начали богатеть как частные инвесторы, вроде Маркоффа, так и целые институты. Например, в юридической практике, во-первых, был создан прецедент наказания киберпреступника; вовторых, Митник стал единственным федеральным заключенным в истории США, которому отказали даже в рассмотрении слушания по поводу освобождения под залог.
Впрочем, обвинители хакера обогатились и в буквальном смысле слова, окружной прокурор Лос-Анджелеса Бак Блумкер стал беллетристом от «дела Митника», написав книгу «Захватывающие компьютерные преступления».
Хакер на пенсии
В конце января 2001 года 36-летний Митник вышел из тюрьмы. За время его заключения был организован фонд FREE KEVIN, который внес необходимую сумму в качестве залога для досрочного освобождения знаменитого хакера.
Но свободу Кевин обрел лишь чисто физически, тут же став пожизненным рабом своих недавних жертв: по условиям досрочного освобождения он будет ежемесячно перечислять $125 на счета Fujitsu, Motorola, Pacific Bell, Sun Microsystems, San Diego Supercomputer Center и других компаний, не преминувших заявить, что они стали невинными жертвами злостного хакера и требуют соответствующих «аннексий и контрибуций».
Хорошенькая компенсация получается за «…весь нанесенный мною материальный ущерб, сводившийся к стоимости телефонных звонков, которые я делал за счет телефонных компаний, расходам на устранение обнаруженных мною дыр в защите и нескольким случаям, когда компаниям пришлось переустановить операционные системы и приложения из страха, что я устроил в их софте лазейки и буду бродить по их корпоративным сетям. А ведь если бы я не нашел этих дыр, компании продолжали бы с ними жить и понесли бы гораздо большие потери».
Тем не менее деньги вернуть все-таки придется, и здесь не грех воспользоваться собственной популярностью и до сих пор неутраченными навыками. Только став известным, Митник решил зарабатывать деньги на собственной славе и опыте.
А ведь еще недавно весь мир был у него в руках, он мог бы стать богаче Билла Гейтса, достаточно было только засунуть руку в «карманы» миллионов людей, но он этим не воспользовался. Тогда ему нужно было лишь чувствовать свое могущество. И это в обществе, где всем правят деньги. Какую надо иметь выдержку, чтобы, находясь в комнате с «сокровищами всего мира», не тронуть ни гроша? Пройти мимо миллионов и удовлетвориться только осознанием самого факта, что «я могу это сделать»! Действительно, компьютерные гении — не типичные люди.
«Мною двигало чисто детское любопытство. Я мог зайти в ваш дом, перелистать книги из вашей библиотеки, заглянуть в ваш холодильник, но я никогда ничего не брал…» — говорил Кевин.
Таким образом он зашел в «дом» небезызвестного режиссера Джорджа Лукаса и пролистал новый сценарий «Звездных войн», первым узнав о том, что всем еще только предстояло увидеть много месяцев спустя. Лукас об этом даже не узнал бы, если бы Кевин честно не признался в содеянном.
Раньше на толстого очкарика, согбенно просиживавшего днями у компьютера, никто не обращал внимание, кроме тех, кому он перешел дорогу. Зато теперь, каждое его слово было на вес золота. Даже свое возвращение в on-line он отметил с большим размахом и хорошим заработком. В январе 2003 года канал TechTV организовал трансляцию этого знаменательного события, пригласив также основателя Napster Шона Фэннинга и одного из основателей Apple Стива Возняка, также не менее Митника увлеченных компьютерами, однако всю жизнь олицетворявших «светлую сторону» IT. Впрочем, достоверно известно, что Woz (прозвище С. Возняка) был фрикером…
Тогда Митник перешел на их сторону, а именно на защиту людей от таких личностей, к которым сам принадлежал еще вчера.
Вместе с Алексом Каспером он создал компанию Defensive Thinking («Оборонное мышление», недавно переименованную в Mitnick Security Consulting), консалтинговую компанию по IT-безопасности.
«Кто-то заработал на моем прошлом миллионы, — говорит Кевин. — Я же получил пять лет тюрьмы. Defensive Thinking для меня — шанс реабилитироваться перед обществом, оказывая клиентам помощь в построении надежных и безопасных информационных систем. При этом остается возможность заниматься любимым делом: изучать тонкости вычислительных систем и человеческой психологии».
Главная проблема информационной безопасности, по мнению Митника, в пресловутом человеческом факторе, говоря о котором, все как-то сразу забывают, что люди — это еще и главный ресурс государств и корпораций. Он приводит смелую статистику, утверждая, что «если бы люди просто перезванивали по указанному хакером телефону, это решило бы проблему безопасности на 80%». В деле безопасности, по мнению Митника, доверять нельзя никому: «Верить можно только Богу. Все остальные — под подозрением».
Митник стал публичной фигурой, он добровольно влез в шкуру своего недавнего визави Шимомуры, и теперь ему придется ежедневно доказывать свою профпригодность, а уж желающих сразиться с величайшим хакером «всех времен и народов» найдется немало. Но и на старуху бывает проруха. Так, 30 января 2003 года хакер BugBear добавил собственную страницу на сайт Defensive Thinking, содержащую белых медвежат с надписью: “Welcome back to freedom, Mr. Kevin, it was fun and easy to break into your box” («Добро пожаловать на свободу, мистер Кевин, было забавно и легко взломать ваш ящик»). Конечно, со времени последнего «общения» Митника с компьютером прошло много времени, и технологии хакерских атак стали гораздо изощренней, поэтому Кевин отреагировал, как обычно, мол, всему виной человеческий фактор: один из его сотрудников не установил необходимые исправления для Microsoft IIS, но теперь все в порядке… Через несколько дней взлом повторился с тем же успехом… Сейчас взломы аффилированных с Митником сайтов происходят с завидной регулярностью, а Кевин похоже уже смирился с ролью не устранителя «дыр» в системе защиты, а человека, который объясняет, почему это стало возможным и что он здесь совсем не виноват.
Несмотря на то, что Митнику было запрещено использовать свою историю для личного заработка до 2010 года, в октябре 2002-го он выпустил книгу в соавторстве с Вильямом Саймоном “The Art of Deception” («Искусство обмана»). Причем вполне возможно, за вымышленными историями скрываются собственные «случаи из жизни» главного хакера. Кстати, вступление к книге написано самим Стивом Возняком.
Еще один интересный момент, к этой книге была написана глава, которая представляет собой краткую автобиографию Митника. Опубликовать ее «в бумаге» Кевин не решился, памятуя о вышеуказанном запрете 2010 года. Впрочем, все это только сработало на легенду Митника. Разумеется, статья была найдена и опубликована…
Позже вышла и вторая книга Митника “Art of Intrusion” («Искусство вторжения»). Говорят, Кевин честно заплатил по $500 хакерам, поделившимся с ним своими самыми громкими взломами.
Если верить пословице, что «лучшие полицейские — бывшие воры», то, возможно, Митника ждет успех на новом поприще. Одно можно сказать точно: Кевин многому способен научить специалистов по IT-безопасности.
И вновь возникает вопрос: кто же станет следующим королем? Алгоритм в принципе мы уже знаем: для этого надо иметь внушительный список побед, но не воспользоваться ими в корыстных целях, победить самого Митника (желающих бросить ему вызов, как когда-то он Шимомуре, найдется предостаточно) и… обязательно — попасться!
Заключение
Но настоящая история Митника будет написана только в 2010 году, и наверняка им самим. Именно в 2010 году истекает запрет на использование своей истории жизни в коммерческих целях…
Собственно, хакер — это главным образом человек (что уже само по себе звучит гордо!), поставивший целью сделать любую информацию открытой для любого интересующегося.
Напрашивается интересная аналогия с идеей «открытого общества», принадлежащей Джорджу Соросу. В данном случае серьезная финансовая поддержка свержению правящего режима, которое, по мнению только одного финансового воротилы, является антидемократическим, организация «раскрашенных» революций, и все якобы на легитимных условиях. Хотя что может быть более незаконным, чем революции и перевороты?!
С другой стороны, хакеры проповедуют то же самое «открытое общество», но с использованием своих знаний и опыта вместо денег, ведь кредо хакера: “Information must be free” (информация должна быть доступной)… По всему видно, что интеллект является плохим заменителем денежных знаков.
Грустный вывод напрашивается: отсутствие денег легко может поставить ваши действия вне закона, даже если они логически обоснованы.
6 августа 1963 года в Норт Хиллз, США родился Кевин Дэвид Митник (Kevin David Mitnick), которому было суждено стать хакером № 1. Его мать Шелли Джэфф не занималась воспитанием сына, она была официанткой и постоянно пропадала на работе. А отец Адам Митник покинул семью, когда Кевину едва исполнилось три года.
Митник-младший, предоставленный сам себе, с детства начал проявлять свои способности незаконного использования благ, недоступных для бедного мальчишки. Примером для подражания был дядя, умевший заговаривать зубы кому угодно, дабы заполучить желаемое (впоследствии племянник и основоположник современной социальной инженерии назовет его первым и лучшим социальным инженером).
Кевин легко подделывал проездные билеты на автобус и путешествовал по Лос-Анджелесу, изучив его вдоль и поперек. Вторым увлечением будущей звезды хакинга были фокусы, которые он, подсмотрев у какогонибудь известного мага, долгими и упорными тренировками доводил до автоматизма.
В 70-е годы, пока персональные компьютеры не получили должного распространения, телефон являлся верхом совершенства в технологических коммуникациях. И все первые хакеры планеты в начале своего «творческого пути» занимались фрикингом (phreaking), то есть звонили по телефону совершенно бесплатно. С 12 лет и Митник вошел в когорту фрикеров. Знакомство с Роско, с которым они вскоре будут наводить ужас на все телефонные и компьютерные компании США, оказалось знаковым событием в жизни тинэйджера. Вместе со Сьюзан Сандер, подружкой Роско, умело использующей свои прелести для получения необходимой информации, и Стивом Роудсом они образуют «закрытый клуб по интересам» и вскоре становятся самыми известными хакерами тихоокеанского побережья.
Изучение «фишек» фрикеров напоминало освоение фокусов, и Митник взялся за овладение этим искусством со всей тщательностью, а желание быть лучшим в той деятельности, какой бы он ни занимался, скоро сделало его одним из лучших фрикеров, и он уже слегка подшучивал над своими старшими товарищами.
Самая распространенная шутка из арсенала Митника — перевод стационарного телефона в разряд уличного таксофона. И когда незадачливый приятель снимал трубку, чтобы позвонить, вежливый голос оператора говорил: «Пожалуйста, опустите 20 центов».
С появлением компьютеров новая страсть охватила юношу — теперь он часами просиживал в школьных классах, изучаю современную технику.
От телефонов к компьютерам
В 1980-м Кевин совершил свой первый хакерский «подвиг»: взломал базу данных собственной школы, получив неограниченный доступ ко всей информации, касающейся учебной деятельности, в том числе к «табели о рангах» по успеваемости. Он в одночасье мог стать круглым отличником, но не сделал этого, а лишь заслужил признание в нарождающейся хакерской среде.
Что примечательно, еще много раз в своей жизни Кевин Митник будет иметь неограниченные возможности, но не воспользуется ими — он не хотел незаконной славы и пиратского богатства!
На компьютерных курсах, которые Митник окончил после школы, он нашел уязвимость в операционной системе и получил доступ ко всем привилегиям в сети. Никто так и не понял, как ему это удалось, однако за обнаруженное вторжение его поставили перед выбором: либо работа по устранению существующих уязвимостей, либо «детская школа милиции». Надо ли говорить, что Кевин выбрал первое.
Тогда же он взял себе ник Кондор, по одноименному фильму Сиднея Поллака с Робертом Редфордом в главной роли. Кондор легко манипулировал телефонами и людьми на экранах кинотеатров, таким же образом Кевин манипулировал компьютерными системами в жизни.
Ни разу не воспользовавшись своими умениями для обогащения, Кевин не мог себе позволить даже недорогой компьютер, поэтому прибегал к любой возможности, чтобы выйти в компьютерную сеть. Например, магазин «Радио Шеек», где можно было поработать на TRS-80 любому желающему, правда, ограниченное время. Со своими навыками Митнику не составляло труда убедить персонал магазина разрешать ему пользоваться этими машинами от открытия до закрытия магазина.
Через год, значительно продвинувшись в хакинге, он проник в компьютерную систему североамериканских сил ПВО в Колорадо. Генералы лишь погрозили пальчиком, оставив безнаказанным этот инцидент.
Хоть власти и не придавали должного значения всем «подвигам» мальчишки, среди «коллег» Митник получил признание и снискал определенную славу.
Дальше — больше. В 1982-м он совершил громкую кражу учебных материалов по COSMOS’у и MicroPort’у у Pacific Bell. «Заболтав» охранника, Кевин с друзьями проник в главное здание компании, хотя было уже далеко за полночь, и с полными мешками техдокументации по телефонам преспокойно покинул его. В расплату за это Митник получил три месяца в калифорнийском центре для трудных подростков и год условно. А через пару недель после освобождения взломал пентагоновскую сеть ARPANet, спустя некоторое время ставшую общедоступной и общеобразовательной.
К тому моменту за Кевином числилось уже достаточно много грешков, которые по совокупности «тянули» на строгое наказание, но, кроме подозрений, властям нечего было ему предъявить: Митник очень хорошо умел заметать следы.
Кевина и компанию сдала Сьюзан Сандер. Своими хакерскими навыками она произвела неизгладимое впечатление на членов комиссии ФБР, и те согласились закрыть глаза на ее прегрешения в обмен на доказательства вины более матерых хакеров — Роско и Митника. В итоге первому дали три месяца тюрьмы, второму, тогда еще несовершеннолетнему, — трехмесячные же психологические курсы.
В «Радио Шеек» Митника больше не пускали, и Кевин нашел себе доступный компьютер в Южнокалифорнийском университете, где выдавал себя за студента. Подделать студенческий билет оказалось не сложнее, чем автобусные проездные. Там он и попался, взломав секретную военную сеть. Взяли его с поличным, недолгий суд и шесть месяцев тюрьмы стали расплатой за «любопытство».
Выйдя из тюрьмы, он устроился в фирму Great American Merchandising, где выполнял непыльную работу, быстро справившись с которой, начинал свои новые исследования «запрещенных» сетевых ресурсов. Когда подозрительные коллеги обратились в соответствующие органы, Митника уже и след простыл. Нашелся он только через год, предварительно удалив весь компромат на себя в анналах полиции, и преспокойно поступил в летние компьютерные классы, где и женился на смуглянке Бонни Вителло, администраторе известной телефонной компании GTE, пообещав ей, что «больше никогда…».
Таким образом, с 1982 по 1987 год Митник целиком и полностью окунулся в заурядную семейную жизнь в провинциальном калифорнийском городке Thousand Oaks.
Но в 1988-м «не вынесла душа поэта», и он принялся за старое и снова попался. За кражу различного программного обеспечения из Santa Cruz Operation он получил три года условно. А затем вновь был заключен под стражу за скачивание новой операционной системы VMS у Digital Equipment Corporation в Пало-Альто. И здесь не обошлось без предательства, его «сдал» самый близкий друг и соратник по хакерству Ленни Ди Чикко, взамен купив себе свободу.
Кевин провел год в тюрьме, из них целых восемь месяцев в одиночной камере. Кроме того, прошел принудительное лечение у психиатра, который так отозвался о своем пациенте: «Хакинг дает Кевину чувство самоуважения, которого ему не хватает в реальной жизни. Алчность и стремление навредить тут ни при чем… Он словно большой ребенок, играющий в «Темницы и драконов».
Его освободили под гласный надзор с требованием никогда не приближаться к компьютерам с модемом. Но из базы данных суда в Санта-Круз вдруг исчезли все материалы по аресту Митника, быстро опустел и счет судьи, занимавшегося данным делом… Однако доказательств, что это дело рук Кевина так и не нашлось.
После заключения Митник вроде бы снова «одумался»: начал оказывать услуги по ITбезопасности, сел на диету, чуть не став вегетарианцем и сбросив около 45 кг.
К тому времени Кевин уже стал одним из самых известных хакеров и на него начали вешать всех «собак»: все киберпреступления пытались приписать его гению, шла ли речь о взломах сетей Пентагона и ФБР или о проникновении в телефонные компании. ФБР даже устроила обыск в его квартире в Калабасасе (штат Калифорния), ему инкриминировали взлом компьютеров в калифорнийском Департаменте транспортных средств, от которого на имя Митника пришел счет на $1 млн. Кевин не нашел ничего лучшего, чем сбежать и исчезнуть из поля зрения назойливых «опекунов» на целых два года.
Его объявили в федеральный розыск, но он легко обзавелся новыми документами, что при его талантах всегда было несложно. Арестовали даже похожего на него человека, но самого найти не смогли.
С 1992 по 1994 год он преспокойно проживал в Сиэтле под именем Брайана Меррилла, работая компьютерным техником в одной из больниц. «Это был очень тихий, совершенно обычный человек, — сказала Шерри Скотт, секретарь отдела, в котором работал Митник. — Он никогда не говорил о своей личной жизни. Просто приходил и занимался своим делом».
Есть мнение, что травля Митника, устроенная властями, лишь подтолкнула его к новым взломам, и он уже не сдерживал себя.
«Почерк» Митника был уже хорошо изучен, и соответствующие инстанции четко определили причастность Кевина к вторжениям в компьютерные сети таких небезызвестных компаний, как Motorola, Nokia, McCaw Cellular Communication Inc., Sun Microsystems и др. Он едва не был пойман после удачной кражи первой версии программы защиты компьютерных сетей SATAN (Security Administrator Tool for Analysing Networks) Дэна Фармера. Создатель «дьявола» выследил Митника и обратился к властям за помощью в поимке хакера. Но тот успел вовремя ретироваться. В результате полиции досталось несколько сотовых телефонов, большое количество спецлитературы по компьютерам и телефонам, а также… сканер «полицейской волны», с помощью которого Кевин элементарно отслеживал все действия копов.
Битва гигантов
В конце 1994-го Митник, известный не только ювелирными, точно рассчитанными, но и «кавалерийскими» атаками, явно был одним из лучших профессионалов IT. Но с кем еще можно потягаться силами?! Специалисты из телефонных компаний и правительственных органов, «сидящие» на окладе, — пройденный этап. Кевин нашел себе достойного противника в лице Цутомы Шимомуры, признанного специалиста по IT-безопасности. Началось грандиозное противостояние, теперь ставшее классическим.
В то время Шимомура активно сотрудничал со спецслужбами и так же, как Билл Гейтс, любил «есть хлеб своей собаки», поэтому расставлял ловушки для хакеров не столько для того, чтобы их поймать, сколько, чтобы лишний раз протестировать собственноручно разработанную систему безопасности.
Однажды, отправившись в отпуск покататься на горных лыжах в Неваду, Шимомура не отключил от сети свой сверхзащищенный компьютер в Солана-Бич (Калифорния). Там содержалась даже «домашняя работа» самурая над секретными военными заказами.
На самом деле это тоже было всего лишь приманкой, ни одному специалисту не позволили бы заняться такой работой «на дому». Митник все прекрасно знал, но это был именно тот случай, когда азарт превзошел элементарную осторожность.
Все изменения, происходившие на компьютере Шимомуры, строго фиксировались в log’ах и отслеживались на удаленном компьютере его коллеги по работе, также американца японского происхождения в Сан-Диего (San Deigo Supercomputer Center).
И мышеловка сработала! Предвкушая добычу, Шимомура срочно возвратился из своего отпуска. Хоть Цутома и не знал, с кем имеет дело, он сразу понял, что это проделки отнюдь не шаловливого ребенка (Митник оставил для него оскорбительные голосовые сообщения), а опытного хакера, успевшего скачать немало секретного кода и разложить его на редко используемых аккаунтах компании The Well (калифорнийского интернет-провайдера). По горячим следам вычислить хакера не удалось, и Шимомура так бы и забыл недоразумение, если бы Кевин вновь не напомнил о себе.
27 декабря он прислал Шимомуре еще несколько эскапад в его адрес, разумеется, голосом, до неузнаваемости обработанным на компьютере. Текст был примерно следующим: «Damn you (это лучше не переводить). Моя техника — самая лучшая… Разве ты не знаешь, кто я… Я и мои друзья… Мы убьем тебя!»
Оскорбленный до глубины души Шимомура, следуя лучшим традициям «бушидо», поклялся отомстить хакеру, поставившему под вопрос компетентность одного из самых уважаемых самураев IT-безопасности. Первое, что сделал Шимомура, — восстановил весь ход атаки. Техника действительно была на грани фантастики.
Митник проник в компьютер Университета Лайолы в Чикаго, имевший доступ к домашнему ПК Шимомуры. Как известно, когда операционная система получает запрос на доступ, она посылает на компьютер-отправитель сообщение, подтверждающее получение. Митник вел сеанс «слепой» игры, и не мог видеть этих сообщений, так как находился в совершенно другом месте, но все-таки сумел разгадать номера последовательностей и приписать соответствующие номера дальнейшим своим запросам, получив таким образом доступ к ПК Шимомуры. (Теоретическая возможность этого была предсказана Стивом Белловином из Bell Labs еще в 1989 году, однако атака Митника — первый известный случай практического применения данной техники.)
Но кто этот неуловимый хакер, владеющий действительно впечатляющей техникой взлома? Найденные на аккаунтах The Well тысячи номеров кредитных карт, украденных из NetCom Inc., стали хорошим аргументом для ФБР, чтобы вмешаться в эту междоусобную войну.
В списке подозреваемых имя Кевина Митника значилось одним из первых. Подвела его страсть к мобильникам: на тех же аккаунтах нашли программы по манипулированию сотовыми телефонами, что было косвенным свидетельством причастности Митника. Фрикерское прошлое оставляет неизгладимый след на всю оставшуюся жизнь…
Шимомура с лихвой воспользовался всем предоставленным ему административным ресурсом. Спецслужбам удалось выделить зону поиска, из которой Кевин выходил на связь, и полиция занялась патрулированием этого района.
Началась серьезная охота на «зверя». К выполнению операции даже прикомандировали скандально известного журналиста Джона Маркоффа, который вскоре напишет книгу «Киберпанк» с Митником в главной роли, а затем и снимет фильм об ужасном хакере. Совместно с Шимомурой они неплохо погреют руки на истории Митника, заработав около миллиона долларов, а Митник — пять лет тюрьмы… и ни цента больше!
В отличие от задержания завзятых гангстеров арест киберпреступника не сопровождается жаркими перестрелками и стремительными погонями. Арест главного хакера «всех времен и народов» не стал исключением из правил и также прошел довольно буднично: в День всех влюбленных 1995 года некий судья Уоллас Диксон дал свое согласие на обыск квартиры № 202 в Player Club в городке Ралейх, занятую неким Гленном Томасом Кейзом. 15 февраля Шимомура дал отмашку спецслужбам: «Наш дружок на связи. Можно стучать!», в 1.30 ночи в квартиру постучали, имея на руках ордер. Дверь открылась. «Ба! Да это же Митник! — радостно воскликнули агенты. — Взять его!» Так Кевин в очередной раз оказался за решеткой.
Шимомура с Митником сошлись лицом к лицу на предварительном слушании все в том же Ралейхе. Поверженный Митник, искоса глядя на Шимомуру, в лучших традициях Голливуда произнес: «Приветствую тебя, Цутома. Я восхищен твоим искусством…» Самурай лишь гордо кивнул, топтать побежденного врага не в правилах бушидо, но от славы скромного супергероя не отказался — все-таки он американец, хоть и японского происхождения.
Суд
Процесс над Кевином Митником стал самым громким по делу хакеров, и властям необходимо было вынести такое решение, чтобы другим не повадно было. Так всегда происходит в жизни — показательный суд оказывается самым строгим.
Кевину было предъявлено 23 обвинения в мошенничестве с использованием компьютеров.
Надо ли говорить, что никакого доступа к компьютерам и средствам связи Кевин «под стражей» не имел, ведь эти повседневно-безобидные вещи в руках известного хакера (а точнее, в глазах властей) превращались в «смертельное» оружие, но и этого было мало: ему ограничили даже доступ в библиотеку с бумажными книгами. По сути дела, лишенный возможности толком защищаться, Митник сдался и 4 апреля 1999 года признал себя виновным, согласившись сотрудничать с обвинением.
По своей суровости приговор превзошел все ожидания, даже убийцы получали более мягкое наказание. Но ведь Кевин никого не убивал, однако был опаснее любого прирожденного убийцы. В случае с Митником власти столкнулись с киберпреступлением, известным им только по фантастическим рассказам. А все новое пугает сильнее самого страшного, но известного.
В своей книге «Игра вне закона» Джонатан Литтман очень точно заметил: «Жажду наживы власти еще могут понять. Но хакер, который пользуется своим могуществом ради чистого удовольствия… выходит за пределы их понимания».
И Кевин надолго оказался в тюремной камере, без компьютера и телефона. И когда у него умер отец, ему даже пришлось писать служебные записки на пользование телефоном, чтобы связаться с семьей.
Даже Шимомура был недоволен таким решением суда: «Я рассчитывал, что правительство США найдет более изящное решение».
Лос-анджелесский изолятор № 89950-012 на время пребывания там Митника стал самым известным и самым охраняемым в мире: здесь содержался преступник, которого прокурор предлагал упрятать от общества на два века!
На деле Митника срочно начали богатеть как частные инвесторы, вроде Маркоффа, так и целые институты. Например, в юридической практике, во-первых, был создан прецедент наказания киберпреступника; вовторых, Митник стал единственным федеральным заключенным в истории США, которому отказали даже в рассмотрении слушания по поводу освобождения под залог.
Впрочем, обвинители хакера обогатились и в буквальном смысле слова, окружной прокурор Лос-Анджелеса Бак Блумкер стал беллетристом от «дела Митника», написав книгу «Захватывающие компьютерные преступления».
Хакер на пенсии
В конце января 2001 года 36-летний Митник вышел из тюрьмы. За время его заключения был организован фонд FREE KEVIN, который внес необходимую сумму в качестве залога для досрочного освобождения знаменитого хакера.
Но свободу Кевин обрел лишь чисто физически, тут же став пожизненным рабом своих недавних жертв: по условиям досрочного освобождения он будет ежемесячно перечислять $125 на счета Fujitsu, Motorola, Pacific Bell, Sun Microsystems, San Diego Supercomputer Center и других компаний, не преминувших заявить, что они стали невинными жертвами злостного хакера и требуют соответствующих «аннексий и контрибуций».
Хорошенькая компенсация получается за «…весь нанесенный мною материальный ущерб, сводившийся к стоимости телефонных звонков, которые я делал за счет телефонных компаний, расходам на устранение обнаруженных мною дыр в защите и нескольким случаям, когда компаниям пришлось переустановить операционные системы и приложения из страха, что я устроил в их софте лазейки и буду бродить по их корпоративным сетям. А ведь если бы я не нашел этих дыр, компании продолжали бы с ними жить и понесли бы гораздо большие потери».
Тем не менее деньги вернуть все-таки придется, и здесь не грех воспользоваться собственной популярностью и до сих пор неутраченными навыками. Только став известным, Митник решил зарабатывать деньги на собственной славе и опыте.
А ведь еще недавно весь мир был у него в руках, он мог бы стать богаче Билла Гейтса, достаточно было только засунуть руку в «карманы» миллионов людей, но он этим не воспользовался. Тогда ему нужно было лишь чувствовать свое могущество. И это в обществе, где всем правят деньги. Какую надо иметь выдержку, чтобы, находясь в комнате с «сокровищами всего мира», не тронуть ни гроша? Пройти мимо миллионов и удовлетвориться только осознанием самого факта, что «я могу это сделать»! Действительно, компьютерные гении — не типичные люди.
«Мною двигало чисто детское любопытство. Я мог зайти в ваш дом, перелистать книги из вашей библиотеки, заглянуть в ваш холодильник, но я никогда ничего не брал…» — говорил Кевин.
Таким образом он зашел в «дом» небезызвестного режиссера Джорджа Лукаса и пролистал новый сценарий «Звездных войн», первым узнав о том, что всем еще только предстояло увидеть много месяцев спустя. Лукас об этом даже не узнал бы, если бы Кевин честно не признался в содеянном.
Раньше на толстого очкарика, согбенно просиживавшего днями у компьютера, никто не обращал внимание, кроме тех, кому он перешел дорогу. Зато теперь, каждое его слово было на вес золота. Даже свое возвращение в on-line он отметил с большим размахом и хорошим заработком. В январе 2003 года канал TechTV организовал трансляцию этого знаменательного события, пригласив также основателя Napster Шона Фэннинга и одного из основателей Apple Стива Возняка, также не менее Митника увлеченных компьютерами, однако всю жизнь олицетворявших «светлую сторону» IT. Впрочем, достоверно известно, что Woz (прозвище С. Возняка) был фрикером…
Тогда Митник перешел на их сторону, а именно на защиту людей от таких личностей, к которым сам принадлежал еще вчера.
Вместе с Алексом Каспером он создал компанию Defensive Thinking («Оборонное мышление», недавно переименованную в Mitnick Security Consulting), консалтинговую компанию по IT-безопасности.
«Кто-то заработал на моем прошлом миллионы, — говорит Кевин. — Я же получил пять лет тюрьмы. Defensive Thinking для меня — шанс реабилитироваться перед обществом, оказывая клиентам помощь в построении надежных и безопасных информационных систем. При этом остается возможность заниматься любимым делом: изучать тонкости вычислительных систем и человеческой психологии».
Главная проблема информационной безопасности, по мнению Митника, в пресловутом человеческом факторе, говоря о котором, все как-то сразу забывают, что люди — это еще и главный ресурс государств и корпораций. Он приводит смелую статистику, утверждая, что «если бы люди просто перезванивали по указанному хакером телефону, это решило бы проблему безопасности на 80%». В деле безопасности, по мнению Митника, доверять нельзя никому: «Верить можно только Богу. Все остальные — под подозрением».
Митник стал публичной фигурой, он добровольно влез в шкуру своего недавнего визави Шимомуры, и теперь ему придется ежедневно доказывать свою профпригодность, а уж желающих сразиться с величайшим хакером «всех времен и народов» найдется немало. Но и на старуху бывает проруха. Так, 30 января 2003 года хакер BugBear добавил собственную страницу на сайт Defensive Thinking, содержащую белых медвежат с надписью: “Welcome back to freedom, Mr. Kevin, it was fun and easy to break into your box” («Добро пожаловать на свободу, мистер Кевин, было забавно и легко взломать ваш ящик»). Конечно, со времени последнего «общения» Митника с компьютером прошло много времени, и технологии хакерских атак стали гораздо изощренней, поэтому Кевин отреагировал, как обычно, мол, всему виной человеческий фактор: один из его сотрудников не установил необходимые исправления для Microsoft IIS, но теперь все в порядке… Через несколько дней взлом повторился с тем же успехом… Сейчас взломы аффилированных с Митником сайтов происходят с завидной регулярностью, а Кевин похоже уже смирился с ролью не устранителя «дыр» в системе защиты, а человека, который объясняет, почему это стало возможным и что он здесь совсем не виноват.
Несмотря на то, что Митнику было запрещено использовать свою историю для личного заработка до 2010 года, в октябре 2002-го он выпустил книгу в соавторстве с Вильямом Саймоном “The Art of Deception” («Искусство обмана»). Причем вполне возможно, за вымышленными историями скрываются собственные «случаи из жизни» главного хакера. Кстати, вступление к книге написано самим Стивом Возняком.
Еще один интересный момент, к этой книге была написана глава, которая представляет собой краткую автобиографию Митника. Опубликовать ее «в бумаге» Кевин не решился, памятуя о вышеуказанном запрете 2010 года. Впрочем, все это только сработало на легенду Митника. Разумеется, статья была найдена и опубликована…
Позже вышла и вторая книга Митника “Art of Intrusion” («Искусство вторжения»). Говорят, Кевин честно заплатил по $500 хакерам, поделившимся с ним своими самыми громкими взломами.
Если верить пословице, что «лучшие полицейские — бывшие воры», то, возможно, Митника ждет успех на новом поприще. Одно можно сказать точно: Кевин многому способен научить специалистов по IT-безопасности.
И вновь возникает вопрос: кто же станет следующим королем? Алгоритм в принципе мы уже знаем: для этого надо иметь внушительный список побед, но не воспользоваться ими в корыстных целях, победить самого Митника (желающих бросить ему вызов, как когда-то он Шимомуре, найдется предостаточно) и… обязательно — попасться!
Заключение
Но настоящая история Митника будет написана только в 2010 году, и наверняка им самим. Именно в 2010 году истекает запрет на использование своей истории жизни в коммерческих целях…
Собственно, хакер — это главным образом человек (что уже само по себе звучит гордо!), поставивший целью сделать любую информацию открытой для любого интересующегося.
Напрашивается интересная аналогия с идеей «открытого общества», принадлежащей Джорджу Соросу. В данном случае серьезная финансовая поддержка свержению правящего режима, которое, по мнению только одного финансового воротилы, является антидемократическим, организация «раскрашенных» революций, и все якобы на легитимных условиях. Хотя что может быть более незаконным, чем революции и перевороты?!
С другой стороны, хакеры проповедуют то же самое «открытое общество», но с использованием своих знаний и опыта вместо денег, ведь кредо хакера: “Information must be free” (информация должна быть доступной)… По всему видно, что интеллект является плохим заменителем денежных знаков.
Грустный вывод напрашивается: отсутствие денег легко может поставить ваши действия вне закона, даже если они логически обоснованы.
понедельник, 29 марта 2010 г.
перевод к 1.04
Вариант перевода терминов первой части текста выполнен А.Федотовым:
система обнаружения - Detection system
недостатки - disadvantages
реализованным методам обнаружения - embodied detection techniques
методологии построения -design techniques
недостаточностью общих соглашений - inadequacy of common agreements
Эффективность -efficaciousness
приводит – leads to
наблюдаемых событий - observed events
командные интерпретаторы экспертных систем command interpreter of expert systems
обрабатывают свое собственное множество правил process their own set of laws
непрямые зависимости последовательности связей между событиями indirect dependencies of event connection sequence
До сих пор so far
конкретном оборудовании сщтскуеу уйгшзьуте
достаточно трудно hard enough
похожую политику безопасности similar security policy
по перемещению СОВ the moving OWLs task - вариант не из словаря
значительные доработки substantial overpatching
J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980. from http://www.citforum.ru/security/internet/ids_overview/#5
система обнаружения - Detection system
недостатки - disadvantages
реализованным методам обнаружения - embodied detection techniques
методологии построения -design techniques
недостаточностью общих соглашений - inadequacy of common agreements
Эффективность -efficaciousness
приводит – leads to
наблюдаемых событий - observed events
командные интерпретаторы экспертных систем command interpreter of expert systems
обрабатывают свое собственное множество правил process their own set of laws
непрямые зависимости последовательности связей между событиями indirect dependencies of event connection sequence
До сих пор so far
конкретном оборудовании сщтскуеу уйгшзьуте
достаточно трудно hard enough
похожую политику безопасности similar security policy
по перемещению СОВ the moving OWLs task - вариант не из словаря
значительные доработки substantial overpatching
Недостатки существующих систем обнаружения
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ.
- Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14].
- Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляются ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями.
- Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.
- Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.
- Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.
- Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.
- Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
- недопустимо высокий уровень ложных срабатываний и пропусков атак;
- слабые возможности по обнаружению новых атак;
- большинство вторжений невозможно определить на начальных этапах;
- трудно, иногда невозможно, определить атакующего, цели атаки;
- отсутствие оценок точности и адекватности результатов работы;
- невозможно определять «старые» атаки, использующие новые стратегии;
- сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;
- слабые возможности по автоматическому обнаружению сложных координированных атак;
- значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;
четверг, 25 марта 2010 г.
пересказ к 30 марта
Распределенная атака типа "отказ в обслуживании"
Распределенная атака "отказ в обслуживании" перегружает целевую сеть или систему. Идея атаки, заключается в использовании разных источников (демонов) для атаки, и "владельцев" для управления. Наиболее известные утилиты организации DDoS (распределенный отказ в обслуживании, Distributed Denial of Service) -- это Tribal Flood Network (TFN), TFN2K, Trinoo и Stacheldraht. На рисунке 13 приведен пример организации DDoS:
Рис.13: Распределенная атака "отказ в обслуживании"
Злоумышленник использует "хозяинов" (masters) для управления источниками. Очевидно, что ему необходимо подключится (TCP) к "хозяинам" для того, чтобы их настроить и приготовить атаку. "Хозяева" лишь пересылают команды источникам по протоколу UDP. Без "хозяев", злоумышленнику пришлось бы устанавливать соединение с каждым из источников. Таким образом, происхождение атаки можно было бы легко обнаружить, а реализация ее занимала бы больше времени.
Каждый источник обменивается с "хозяином" специфическими сообщениями. В зависимости от используемых утилит, общение может быть с использованием механизма авторизации и/или шифрования. Для установки источников и "хозяев", злоумышленник использует известные уязвимости (переполнение буфера таких сервисов, как RPC, FTP, и т.п.). Сама же атака являет собой либо SYN-наводнение, либо Smurf и приводит к отказу в обслуживании целевой сети или системы.
http://www.linuxfocus.org/Russian/March2003/article282.shtml
DOS Model Development
In Figure 2, we have sectioned the DOS attack model development into three stages, each of which represents a transformation from the previous stage by the inclusion of a new element that increases the attacker's computational power. We will explore each of these transformations using the scenario described earlier.
The first transformation (Figure 2A) brought the inclusion of slaves into the DOS model. In this case we can think of the attacker as partially successful, and being able to move to a managing position as he hires new employees (equivalent of slaves) that will now be in charge of performing the attacks on command. The second transformation (Figure 2B) brought in another new element to the DOS model, the masters. Because of the distributed nature of the DOS model at this point, the attack became known as Distributed DOS Attack or DDOS. In this case, we think of the attacker as moving to a CEO position, and hiring managers (equivalent of masters) to supervise the attacks launched by employees on command, and to cover his tracks after the attacks are completed to avoid trace back.
Figure 2: (A) Denial of Service (DOS) Attack, (B) Distributed DOS (DDOS), (C) Distributed DOS with Reflectors (DRDOS)
The third and most dangerous transformation of the DOS attack model (Figure 2C) is known as Distributed DOS with Reflectors or DRDOS. As can be derived from the name, reflectors are the new element included in the model at this stage. The inclusion of this element differs in nature from the previous two. Instead of providing more computational power for the attacker, reflectors make it possible to execute a more effective and secure attack, therefore increasing the damages and decreasing the risk of trace back.
We can think of the volume of customers of the attacker's company increasing to such a point as to make it necessary for the attacker to outsource some of the work in order to maintain a profitable operation. The task being outsourced in this case would be the covering of tracks, which now becomes the job of the contractors (equivalent of reflectors). The reflectors' goal is to deflect any response to the attack onto themselves, which is accomplished by having the slaves list a reflector as the originator of the traffic instead of themselves. This DOS model allows the slaves to be free to attack at all times, and also decreases the possibility of trace back since the target server will assume the reflectors to be the originators of traffic, and thus forward all responses to them.
http://www.acm.org/crossroads/xrds10-1/tracingDOS.html
вторник, 23 марта 2010 г.
пересказ по иллюстрациям
Tutorial: Real Life HTTP Client-side Exploitation Example
This section illustrates an example of a real life attack conducted against an organization that resulted in loss of critical data for the organization.
In this attack, Acme Widgets Corporation suffered a major breach from attackers who were able to compromise their entire internal network infrastructure using two of the most powerful and common attack vectors today: Exploitation of client-side software and pass-the-hash attacks against Windows machines.
Step 0: Attacker Places Content on Trusted Site
In Step 0, the attacker begins by placing content on a trusted third-party website, such as a social networking, blogging, photo sharing, or video sharing website, or any other web server that hosts content posted by public users. The attacker's content includes exploitation code for unpatched client-side software.
Step 1: Client-Side Exploitation
In Step 1, a user on the internal Acme Widgets enterprise network surfs the Internet from a Windows machine that is running an unpatched client-side program, such as a media player (e.g., Real Player, Windows Media Player, iTunes, etc.), document display program (e.g., Acrobat Reader), or a component of an office suite (e.g., Microsoft Word, Excel, Powerpoint, etc.). Upon receiving the attacker's content from the site, the victim user's browser invokes the vulnerable client-side program passing it the attacker's exploit code. This exploit code allows the attacker to install or execute programs of the attacker's choosing on the victim machine, using the privileges of the user who ran the browser. The attack is partially mitigated because this victim user does not have administrator credentials on this system. Still, the attacker can run programs with those limited user privileges.
Step 2: Establish Reverse Shell Backdoor Using HTTPS
In Step 2, the attacker's exploit code installs a reverse shell backdoor program on the victim machine. This program gives the attacker command shell access of the victim machine, communicating between this system and the attacker using outbound HTTPS access from victim to attacker. The backdoor traffic therefore appears to be regular encrypted outbound web traffic as far as the enterprise firewall and network is concerned.
Steps 3 & 4: Dump Hashes and Use Pass-the-Hash Attack to Pivot
In Step 3, the attacker uses shell access of the initial victim system to load a local privilege escalation exploit program onto the victim machine. This program allows the attacker to jump from the limited privilege user account to full system privileges on this machine. Although vendors frequently release patches to stop local privilege escalation attacks, many organizations do not deploy such patches quickly, because such enterprises tend to focus exclusively on patching remotely exploitable flaws. The attacker now dumps the password hashes for all accounts on this local machine, including a local administrator account on the system.
In Step 4, instead of cracking the local administrator password, the attacker uses a Windows pass-the-hash program to authenticate to another Windows machine on the enterprise internal network, a fully patched client system on which this same victim user has full administrative privileges. Using NTLMv1 or NTLMv2, Windows machines authenticate network access for the Server Message Block (SMB) protocol based on user hashes and not the passwords themselves, allowing the attacker to get access to the file system or run programs on the fully patched system with local administrator privileges. Using these privileges, the attacker now dumps the password hashes for all local accounts on this fully patched Windows machine.
Step 5: Pass the Hash to Compromise Domain Controller
In Step 5, the attacker uses a password hash from a local account on the fully patched Windows client to access the domain controller system, again using a pass-the-hash attack to gain shell access on the domain controller. Because the password for the local administrator account is identical to the password for a domain administrator account, the password hashes for the two accounts are identical. Therefore, the attacker can access the domain controller with full domain administrator privileges, giving the attacker complete control over all other accounts and machines in that domain.
Steps 6 and 7: Exfiltration
In Step 6, with full domain administrator privileges, the attacker now compromises a server machine that stores secrets for the organization. In Step 7, the attacker exfiltrates this sensitive information, consisting of over 200 Megabytes of data. The attacker pushes this data out to the Internet from the server, again using HTTPS to encrypt the information, minimizing the chance of it being detected.
четверг, 18 марта 2010 г.
составить устное сообщение по текстам
1.Категории атак
2. Common Types of Network Attacks
Во время работы компьютерных систем часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб. Поэтому будем называть такие события атаками, независимо от причин их возникновения.
Существуют четыре основных категории атак:
- атаки доступа;
- атаки модификации;
- атаки на отказ в обслуживании;
- атаки на отказ от обязательств.
Давайте подробно рассмотрим каждую категорию. Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.
Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.
Определение атаки доступа
Атака доступа - это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи (рис. 2.1). Атака доступа направлена на нарушение конфиденциальности информации.
Рис. 2.1. Атака доступа возможна везде, где существуют информация и средства для ее передачиПодсматривание
Подсматривание (snooping) - это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.
Подслушивание
Когда кто-то слушает разговор, участником которого он не является, это называется подслушиванием (eavesdropping). Для получения несанкционированного доступа к информации злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует электронные устройства (рис. 2.2).
Внедрение беспроводных сетей увеличило вероятность успешного прослушивания. Теперь злоумышленнику не нужно находиться внутри системы или физически подключать подслушивающее устройство к сети. Вместо этого во время сеанса связи он располагается на стоянке для автомобилей или вблизи здания.
Внимание!
Появление беспроводных сетей создало многочисленные проблемы безопасности, открыв несанкционированный доступ злоумышленников к внутренним сетям.
Рис. 2.2. Подслушиваниеhttp://www.intuit.ru/department/security/netsec/2/
2. Common Types of Network Attacks
Without security measures and controls in place, your data might be subjected to an attack. Some attacks are passive, meaning information is monitored; others are active, meaning the information is altered with intent to corrupt or destroy the data or the network itself.
Your networks and data are vulnerable to any of the following types of attacks if you do not have a security plan in place.
Eavesdropping
In general, the majority of network communications occur in an unsecured or "cleartext" format, which allows an attacker who has gained access to data paths in your network to "listen in" or interpret (read) the traffic. When an attacker is eavesdropping on your communications, it is referred to as sniffing or snooping. The ability of an eavesdropper to monitor the network is generally the biggest security problem that administrators face in an enterprise. Without strong encryption services that are based on cryptography, your data can be read by others as it traverses the network.
Data Modification
After an attacker has read your data, the next logical step is to alter it. An attacker can modify the data in the packet without the knowledge of the sender or receiver. Even if you do not require confidentiality for all communications, you do not want any of your messages to be modified in transit. For example, if you are exchanging purchase requisitions, you do not want the items, amounts, or billing information to be modified.
Identity Spoofing (IP Address Spoofing)
Most networks and operating systems use the IP address of a computer to identify a valid entity. In certain cases, it is possible for an IP address to be falsely assumed— identity spoofing. An attacker might also use special programs to construct IP packets that appear to originate from valid addresses inside the corporate intranet.
After gaining access to the network with a valid IP address, the attacker can modify, reroute, or delete your data. The attacker can also conduct other types of attacks, as described in the following sections.
Password-Based Attacks
A common denominator of most operating system and network security plans is password-based access control. This means your access rights to a computer and network resources are determined by who you are, that is, your user name and your password.
Older applications do not always protect identity information as it is passed through the network for validation. This might allow an eavesdropper to gain access to the network by posing as a valid user.
When an attacker finds a valid user account, the attacker has the same rights as the real user. Therefore, if the user has administrator-level rights, the attacker also can create accounts for subsequent access at a later time.
After gaining access to your network with a valid account, an attacker can do any of the following:
Obtain lists of valid user and computer names and network information.
Modify server and network configurations, including access controls and routing tables.
Modify, reroute, or delete your data.
Denial-of-Service Attack
Unlike a password-based attack, the denial-of-service attack prevents normal use of your computer or network by valid users.
After gaining access to your network, the attacker can do any of the following:
Randomize the attention of your internal Information Systems staff so that they do not see the intrusion immediately, which allows the attacker to make more attacks during the diversion.
Send invalid data to applications or network services, which causes abnormal termination or behavior of the applications or services.
Flood a computer or the entire network with traffic until a shutdown occurs because of the overload.
Block traffic, which results in a loss of access to network resources by authorized users.
Man-in-the-Middle Attack
As the name indicates, a man-in-the-middle attack occurs when someone between you and the person with whom you are communicating is actively monitoring, capturing, and controlling your communication transparently. For example, the attacker can re-route a data exchange. When computers are communicating at low levels of the network layer, the computers might not be able to determine with whom they are exchanging data.
Man-in-the-middle attacks are like someone assuming your identity in order to read your message. The person on the other end might believe it is you because the attacker might be actively replying as you to keep the exchange going and gain more information. This attack is capable of the same damage as an application-layer attack, described later in this section.
Compromised-Key Attack
A key is a secret code or number necessary to interpret secured information. Although obtaining a key is a difficult and resource-intensive process for an attacker, it is possible. After an attacker obtains a key, that key is referred to as a compromised key.
An attacker uses the compromised key to gain access to a secured communication without the sender or receiver being aware of the attack.With the compromised key, the attacker can decrypt or modify data, and try to use the compromised key to compute additional keys, which might allow the attacker access to other secured communications.
Sniffer Attack
A sniffer is an application or device that can read, monitor, and capture network data exchanges and read network packets. If the packets are not encrypted, a sniffer provides a full view of the data inside the packet. Even encapsulated (tunneled) packets can be broken open and read unless they are encrypted and the attacker does not have access to the key.
Using a sniffer, an attacker can do any of the following:
Analyze your network and gain information to eventually cause your network to crash or to become corrupted.
Read your communications.
Application-Layer Attack
An application-layer attack targets application servers by deliberately causing a fault in a server's operating system or applications. This results in the attacker gaining the ability to bypass normal access controls. The attacker takes advantage of this situation, gaining control of your application, system, or network, and can do any of the following:
Read, add, delete, or modify your data or operating system.
Introduce a virus program that uses your computers and software applications to copy viruses throughout your network.
Introduce a sniffer program to analyze your network and gain information that can eventually be used to crash or to corrupt your systems and network.
Abnormally terminate your data applications or operating systems.
Disable other security controls to enable future attacks.
http://technet.microsoft.com/en-us/library/cc959354%28printer%29.aspx
вторник, 16 марта 2010 г.
пересказ к 18.03
http://www.intuit.ru/department/security/secbasics/hacker-chase/
Проблемы информационной безопасности, разумеется, существуют не только в компьютерном, виртуальном, но и в реальном, "физическом" мире (хотя, конечно, там они не носят столь масштабный, всепроникающий характер). Любопытно и, на наш взгляд, весьма поучительно сопоставлять действия, приемы и методы компьютерных хакеров и "физических" мошенников, а также тех, кто оказывается объектом их атак.
В романе Джеймса Хедли Чейза (James Hadley Chase) - "Все дело в деньгах" ("What's better than money?") события происходят в конце 1950-х годов. (Заметим в скобках, что уже тогда компьютеризация производственных процессов достигла весьма высокого уровня. Несомненным лидером среди производителей ЭВМ была корпорация IBM, большие машины которой управляли, например, работой сборочных конвейеров крупнейших автозаводов, что уже в то время давало возможность осуществлять конвейерную сборку автомобилей по индивидуальным заказам, в индивидуальной комплектации.) Главный герой романа - Джефф Холлидей. Его шантажирует женщина по имени Рима Маршалл.
Слово - Дж. Х. Чейзу и его персонажам.
Она улыбнулась мне, и от ее улыбки у меня все похолодело внутри.
- Я знаю, что ты задумал, Джефф. ... Ты ведь решил убить меня, не так ли, Джефф? ... На этот случай у меня есть меры предосторожности. - Она швырнула мне на колени клочок бумаги. - Будешь переводить мне деньги на этот счет. Это счет в банке "Пасифик энд Юнион" в Лос-Анджелесе. Это не мой банк, но у них есть указание переводить деньги на другой счет, и ты никогда не узнаешь, куда именно. Я не оставлю тебе никаких шансов. Ты никогда не сможешь узнать, куда мне переводят деньги и где я буду жить. Так что не надейся, что сможешь убить меня, Джефф, потому что после этой встречи ты никогда меня больше не увидишь.
Я с трудом поборол отчаянное желание схватить ее за горло и задушить прямо здесь.
- Я смотрю, ты обо всем позаботилась?
- Думаю, что да. ... Я ухожу.
Если она сейчас уходит, мне надо пойти за ней. Если потеряю ее из виду, не смогу больше найти. ...
Жирный итальянец снова появился на пороге своей каморки, на этот раз в сопровождении двух очень подозрительных личностей, и они встали возле выхода.
- Я попросила этих ребят задержать тебя здесь, пока я исчезну, - сказала Рима. - На твоем месте я бы не стала с ними связываться. Они ребята крепкие. ...
Рима вышла из отеля, быстро сошла по ступенькам и исчезла в темноте.
Процитированный фрагмент богат любопытными моментами. Главный герой хотел бы разделаться с шантажисткой, но та, даром что наркоманка и вообще женщина легкого поведения, применила анонимизатор, чтобы Холлидей не смог ее найти. Дополнительным защитным рубежом, предназначенным для того, чтобы на некоторое время задержать атакующего, послужили меры физической защиты.
Итак, перед героем встала задача найти Риму Маршалл (подчеркнем - с двумя "л" в конце фамилии) по косвенной ссылке - номеру промежуточного банковского счета. Для ее решения в условиях отсутствия сетевой связности Холлидею пришлось физически добираться до банка.
Самолет приземлился в аэропорту Лос-Анджелеса около часа дня. Я взял такси и поехал в банк "Пасифик энд Юнион".
В последние две недели каждую свободную минутку я напрягал свой мозг, пытаясь придумать, как разузнать адрес второго банка, куда Риме пересылали деньги. Ясно, что в "Пасифик энд Юнион" он есть, и я должен был разузнать, где могут содержаться эти данные.
Расплатившись с таксистом я вышел и с облегчением увидел, что банк довольно крупный; ведь я боялся, что он окажется небольшим отделением с маленьким штатом сотрудников, которые легко запомнят меня.
... В глубине офисного помещения сидели клерки, занятые работой с калькуляторами, копировальными аппаратами и тому подобным. Еще дальше находились специальные кабинки для служащих банка.
Я встал в конец небольшой очереди, предварительно взяв со стойки бланк на открытие счета. Вытащил из бумажника десять пятидолларовых купюр. Через несколько минут я был уже вторым и, облокотившись на стойку, в нужных местах написал на бланке большими печатными буквами "РИМА МАРШАЛ" и "Оплачено Джоном Гамильтоном".
...
Операционист взглянул на квитанцию, поднял резиновую печать, но вдруг нахмурился.
...
- Боюсь, вы ошиблись, сэр, - сказал он, посмотрев на меня.
Я повернул к нему голову.
- Что значит "ошибся"?
Поколебавшись, он еще раз посмотрел на бланк:
- Сейчас, одну секунду...
Все сработало как нужно. Он взял с собой квитанцию и, отойдя от своего места, быстро прошел вдоль стойки к лестнице, которая вела наверх. Я отошел от стойки, чтобы мне было его видно. Он поднялся по лестнице на галерею, которая шла по всему периметру холла, и подошел к девушке, сидевшей возле большого аппарата, и что-то сказал ей. Она повернулась на крутящемся стуле к большой таблице, которая висела на стене. Она провела пальцем по таблице вниз, мне показалось, по какому-то списку имен, потом повернулась к своему аппарату, нажала кнопку, и через секунду оттуда выскочила карточка, которую она отдала операционисту.
Сердце мое учащенно забилось. Я знал, что это был за аппарат - автоматическая поисковая машина. У каждого клиента банка был свой код, в обмен на который машина выдавала все данные клиента.
Я видел, как операционист внимательно смотрит в карточку, потом на мою квитанцию. Он отдал карточку обратно девушке и заспешил ко мне.
- Вероятно, вкралась какая-то ошибка, сэр, - сообщил он. - У нас нет такого клиента. Вы уверены, что имя написано правильно?
Я подернул плечами:
- Ну, не знаю. Это карточный долг. ... Она дала мне название вашего банка. По-моему, у нее другой банк, и вы просто пересылаете ей туда деньги.
Он пристально посмотрел на меня.
- Все верно, сэр, мы оказываем эту услугу нашим клиентам, но среди них нет дамы с таким именем. Может быть, Рима Маршалл? С двумя "л"?
- Откуда я знаю, - сказал я. - Лучше еще раз уточню. - Потом небрежно, как бы между прочим, я спросил: - Кстати, может быть, вы просто дадите мне ее адрес, и я вышлю ей чек?
Он и глазом не моргнул:
- Если вы пошлете письмо на адрес банка, сэр, можете не сомневаться, что мы немедленно перешлем его ей.
Я знал, что он ответит именно так, но все равно почувствовал разочарование.
Как мы видим, герой задумал осуществить несанкционированный доступ к информационной системе банка с целью раскрытия конфиденциальной информации. Первым этапом операции, как и положено, является разведка. Отслеживание обработки пробного (и заведомо некорректного) запроса позволило определить расположение основных компонентов ИС (этому способствовала физическая открытость инфраструктуры обработки данных) и точно определить цель атаки - автоматическую поисковую машину.
Отметим, что фактором, способствующим сокрытию следов и успеху злоумышленной деятельности, является большой объем регистрационной информации и связанные с этим сложности ее анализа и выявления подозрительной активности (в большом банке не запоминают посетителей и нюансы их поведения).
Обратим внимание на образцовые действия операциониста. Он не дал вовлечь себя в выполнение запроса, запрещенного политикой безопасности, и переадресовал атакующего к соответствующему штатному сервису, сохраняющему анонимность адресата.
После разведки наступает очередь следующей фазы - прямой атаки.
Первый шаг сделан. Теперь я знал, где содержатся данные о клиентах. Оставалось их только достать. Я взял такси и приехал в тихий недорогой отель, снял там комнату и, как только зашел в свой номер, сразу же позвонил в банк "Пасифик энд Юнион". Я попросил, чтобы меня соединили с управляющим.
Когда управляющий взял трубку, я представился Эдвардом Мастерсом и спросил, не можем ли мы встретиться завтра в десять утра. Я сказал, что у меня к нему деловое предложение. Он назначил мне встречу на десять пятнадцать.
Герой применил маскарад - стандартный прием злоумышленников.
В банке я был за минуту до назначенного времени. Меня сразу же провели в кабинет управляющего. ...
Я начал с того, что являюсь представителем крупной строительной фирмы. ... В ближайшее время мы намерены открыть филиал в Лос-Анджелесе. А посему решили открыть счет в "Пасифик энд Юнион". Я намекнул, что у нас весьма солидная фирма с большим оборотом. ... Похоже, я произвел на него впечатление. ...
Все, что в его силах, сказал он, он будет счастлив исполнить. Мне стоит только попросить, и все услуги банка в моем распоряжении.
- Думаю, больше мне пока ничего не понадобится, - сказал я. Помолчав, добавил: - Впрочем, вот еще что. Я заметил, у вас тут очень современное оборудование. Нечто подобное я хочу установить у себя в офисе. К кому мне обратиться? ... В некотором роде наш бизнес сродни вашему. . - Я осторожно приближался к цели визита. - У нас есть клиенты по всей стране. И мы постоянно должны поддерживать с ними связь. Причем приходится все время обновлять данные. Я заметил, у вас есть автоматическая поисковая машина. Похоже, она довольно удобная. Вы сами ею довольны?
Мне повезло. По-видимому, этот агрегат составлял предмет его гордости.
...
- Прошу вас, мистер Мастерс, если она вас заинтересовала, я буду счастлив показать, как она работает. Мы ею очень довольны. Хотите посмотреть машину в действии? ... Я сейчас попрошу мистера Флемминга показать ее вам.
...
Я поднялся. Ноги у меня слегка обмякли. Я уже был на полпути к цели, но впереди маячила вторая половина.
В отличие от операциониста, управляющий поддался на уловку героя, предъявившего поддельный, самоподписанный атрибутный сертификат. Вместо того, чтобы этот сертификат верифицировать, он соблазнился привлекательными для банка значениями атрибутов и делегировал права доступа к поисковой машине.
Девушка, сидевшая за машиной, повернулась на своем стуле и вопросительно посмотрела на нас. Флемминг представил меня, затем, подавшись чуть вперед, начал свой рассказ.
- У нашего банка три тысячи пятьсот клиентов, - говорил он. - Каждому присвоен номер. Список номеров размещен на этом табло.
Он указал на уже известную мне таблицу. Я подошел поближе и принялся ее разглядывать, лихорадочно пробегая по столбцам имен. Наконец нашел имя Римы. Ее номер был 2997.
Мой мозг впитал эти цифры, как никогда еще ничего не впитывал, быстро и жадно.
- После того как мы нашли номер, - продолжал Флемминг, - все, что нам остается, - это набрать его на клавиатуре, и регистрационная карточка немедленно выскакивает вот на этот поднос.
- Объясняете вы понятно, - сказал я. Но как это работает?
Девушка снисходительно улыбнулась мне:
- Поверьте, эта машина работает безотказно.
- Тогда продемонстрируйте нам, - попросил я, улыбнувшись ей в ответ.
- Возьмем первый номер в нашей таблице, - сказал Флемминг. - Р. Айткен. Номер 0001. Мисс Лейкер, дайте нам карточку мистера Айткена.
Девушка повернулась к машине, и пальцы пробежали по клавишам. Машина ожила, загудела и точно выплюнула на поднос карточку.
- Вот так она работает, - сказал Флемминг, улыбаясь счастливой улыбкой.
Я протянул руку:
- Позвольте мне. Я скептик. Может быть, это карточка не мистера Айткена.
По-прежнему улыбаясь во весь рот, он протянул мне карточку. Наверху жирным шрифтом было напечатано имя Айткена.
- Пожалуй, впечатляет. Наверное, действительно имеет смысл платить за нее такие деньги. А можно, я сам попробую набрать номер?
- Конечно, господин Мастерс. Прошу вас.
Я склонился над клавиатурой. Я нажал клавиши, которые сложились в номер 2997. Сердце мое так бешено стучало, что я испугался, как бы Флемминг и девушка не услышали его.
Машина снова загудела. Карточка показалась в металлической щели. Я почувствовал, как у меня на лице выступает пот. Я смотрел на машину не отрываясь и ждал. Наконец карточка оказалась на подносе.
Флемминг и девушка улыбнулись.
- Номер, который вы набрали, принадлежит мисс Риме Маршалл, - провозгласил Флемминг. - Посмотрите сами и убедитесь, что это ее карточка.
Я протянул руку. Вот что я увидел: "Рима Маршалл. Счет. Санта-Барбара. Кредит $10 000".
- Просто чудо. - Я, как мог, старался скрыть дрожь в голосе. - Что ж, большое спасибо. Это как раз то, что мне нужно.
Полчаса спустя я уже мчался в Санта-Барбару на взятой напрокат машине.
Получив физический доступ к поисковой машине, герой выполнил нужный запрос и раскрыл необходимую ему конфиденциальную информацию. Дальше требовалось сделать следующий шаг - пройти по ссылке и найти саму Риму. Холлидей едет в известную всем Санта-Барбару.
Прямо напротив банка располагался небольшой отель. ... Я попросил комнату с видом на улицу. ... Я подошел к окну. Банк был как на ладони. ... Я знал, что не посмею повторить тот же трюк, что использовал в Лос-Анджелесе, дабы взглянуть на ее регистрационную карточку. ... Если я буду сидеть у окна и наблюдать, возможно, мне удастся увидеть, когда она придет в банк, а потом выследить ее.
Но для этого нужно много времени. А я должен быть на работе не позже послезавтрашнего утра. Но может быть, мне повезет, и завтра я увижу ее. Я решил ждать, хотя шансов, что она появится здесь именно завтра, ой как мало.
На следующее утро ... я придвинул стул и сел к окну. ... Я надеялся до последнего. Но когда двери банка закрылись, я впал в такое отчаяние, что готов был перерезать себе горло. ... Похоже, шансов найти Риму до того, как придет срок второго платежа, больше не было.
Весь вечер я лихорадочно пытался придумать какой-нибудь другой способ ее поиска, кроме безнадежного наблюдения за банком, но не смог.
Совершенно бесполезно было ходить по улицам в надежде случайно ее встретить. К тому же это было опасно. Вдруг она заметит меня первой и исчезнет из моего поля зрения навсегда.
Внезапно мне в голову пришла идея. А может быть, обратиться в детективное агентство? Но потом понял, что не посмею этого сделать.
Потому что, когда ее найдут, я должен буду ее убить.
А в агентстве меня наверняка запомнят. Они скажут полиции, что это я их нанял, и полиция начнет розыск.
Я должен сделать все сам.
Для достижения цели герой не придумал ничего лучшего, кроме как прослушивать (просматривать?) сетевой трафик вблизи сервера в надежде на то, что разыскиваемый клиент обратится в это время к этому серверу. Поскольку эту деятельность не представлялось возможным автоматизировать или перепоручить агенту-посреднику (прокси-агенту), пришлось осуществлять ее самому. Как и следовало ожидать, результат оказался отрицательным.
Отметим, что атакующий опасается действовать там, где хорошо налажен сбор и анализ регистрационной информации (в небольшом отделении банка, в детективном агентстве), считая опасность прослеживания источника атаки реальной.
Прошло несколько дней. Герой перевел на счет шантажистки очередную сумму, ударным трудом заработал еще несколько отгулов и решил повторить попытку, вернувшись в Санта-Барбару. Наблюдение за банком вновь ничего не дало. В отчаянии Холлидей решает расширить зону прослушивания сети, осуществляя его в случайных точках. Он отправился бродить по улицам; как и следовало ожидать, в полном соответствии с законами жанра ему повезло...
Я собрался уже было идти дальше, как вдруг из ресторана выбежал крупный мужчина и, нагнув голову, ринулся по деревянному пирсу в мою сторону. Когда он пробегал под фонарем, свет упал на его плечи, и я вдруг узнал кремовое пальто и брюки бутылочного цвета. Это был приятель Римы!
Если бы не дождь, ему не пришлось бы бежать, нагнув голову, и он бы заметил меня и наверняка узнал. ...
Теперь он искал что-то в бардачке "понтиака"-кабриолета. ... Потом он, видимо, нашел, что искал, развернулся и рванул назад в ресторан.
Некоторое время я смотрел ему вслед. Затем неторопливо подошел к "понтиаку" и осмотрел его. Это был выпуск 1957 года, в довольно плохом состоянии. ... Я быстро нащупал регистрационный ярлычок на руле и поднес к нему зажигалку. На нем было аккуратно выведено: "ЭД ВАЗАРИ. Бунгало. Восточный берег, Санта-Барбара".
...
Была ли Рима с ним в ресторане? Живут ли они вместе по этому адресу?
...
И тут я их увидел. Они бегом выскочили из ресторана, ... нырнули в "понтиак" и умчались. Если бы я внимательно не следил за машиной, наверняка пропустил бы их, так молниеносно все это произошло.
В информационных системах у объектов может быть несколько представлений. Если права доступа к этим представлениям различаются, есть вероятность раскрытия конфиденциальной информации. В данном случае общедоступная информация о владельце автомобиля оказалась альтернативным представлением тщательно скрываемого адреса Римы Маршалл.
Обратим внимание на важность постоянной готовности и высокого уровня детализации при сборе регистрационной информации. Смотреть надо всегда и все - вдруг что интересное пропустишь?
Итак, герой получил нужную ему информацию. Что было дальше - спросите у Чейза...
Подписаться на:
Сообщения (Atom)