http://www.intuit.ru/department/security/secbasics/hacker-chase/
Проблемы информационной безопасности, разумеется, существуют не только в компьютерном, виртуальном, но и в реальном, "физическом" мире (хотя, конечно, там они не носят столь масштабный, всепроникающий характер). Любопытно и, на наш взгляд, весьма поучительно сопоставлять действия, приемы и методы компьютерных хакеров и "физических" мошенников, а также тех, кто оказывается объектом их атак.
В романе Джеймса Хедли Чейза (James Hadley Chase) - "Все дело в деньгах" ("What's better than money?") события происходят в конце 1950-х годов. (Заметим в скобках, что уже тогда компьютеризация производственных процессов достигла весьма высокого уровня. Несомненным лидером среди производителей ЭВМ была корпорация IBM, большие машины которой управляли, например, работой сборочных конвейеров крупнейших автозаводов, что уже в то время давало возможность осуществлять конвейерную сборку автомобилей по индивидуальным заказам, в индивидуальной комплектации.) Главный герой романа - Джефф Холлидей. Его шантажирует женщина по имени Рима Маршалл.
Слово - Дж. Х. Чейзу и его персонажам.
Она улыбнулась мне, и от ее улыбки у меня все похолодело внутри.
- Я знаю, что ты задумал, Джефф. ... Ты ведь решил убить меня, не так ли, Джефф? ... На этот случай у меня есть меры предосторожности. - Она швырнула мне на колени клочок бумаги. - Будешь переводить мне деньги на этот счет. Это счет в банке "Пасифик энд Юнион" в Лос-Анджелесе. Это не мой банк, но у них есть указание переводить деньги на другой счет, и ты никогда не узнаешь, куда именно. Я не оставлю тебе никаких шансов. Ты никогда не сможешь узнать, куда мне переводят деньги и где я буду жить. Так что не надейся, что сможешь убить меня, Джефф, потому что после этой встречи ты никогда меня больше не увидишь.
Я с трудом поборол отчаянное желание схватить ее за горло и задушить прямо здесь.
- Я смотрю, ты обо всем позаботилась?
- Думаю, что да. ... Я ухожу.
Если она сейчас уходит, мне надо пойти за ней. Если потеряю ее из виду, не смогу больше найти. ...
Жирный итальянец снова появился на пороге своей каморки, на этот раз в сопровождении двух очень подозрительных личностей, и они встали возле выхода.
- Я попросила этих ребят задержать тебя здесь, пока я исчезну, - сказала Рима. - На твоем месте я бы не стала с ними связываться. Они ребята крепкие. ...
Рима вышла из отеля, быстро сошла по ступенькам и исчезла в темноте.
Процитированный фрагмент богат любопытными моментами. Главный герой хотел бы разделаться с шантажисткой, но та, даром что наркоманка и вообще женщина легкого поведения, применила анонимизатор, чтобы Холлидей не смог ее найти. Дополнительным защитным рубежом, предназначенным для того, чтобы на некоторое время задержать атакующего, послужили меры физической защиты.
Итак, перед героем встала задача найти Риму Маршалл (подчеркнем - с двумя "л" в конце фамилии) по косвенной ссылке - номеру промежуточного банковского счета. Для ее решения в условиях отсутствия сетевой связности Холлидею пришлось физически добираться до банка.
Самолет приземлился в аэропорту Лос-Анджелеса около часа дня. Я взял такси и поехал в банк "Пасифик энд Юнион".
В последние две недели каждую свободную минутку я напрягал свой мозг, пытаясь придумать, как разузнать адрес второго банка, куда Риме пересылали деньги. Ясно, что в "Пасифик энд Юнион" он есть, и я должен был разузнать, где могут содержаться эти данные.
Расплатившись с таксистом я вышел и с облегчением увидел, что банк довольно крупный; ведь я боялся, что он окажется небольшим отделением с маленьким штатом сотрудников, которые легко запомнят меня.
... В глубине офисного помещения сидели клерки, занятые работой с калькуляторами, копировальными аппаратами и тому подобным. Еще дальше находились специальные кабинки для служащих банка.
Я встал в конец небольшой очереди, предварительно взяв со стойки бланк на открытие счета. Вытащил из бумажника десять пятидолларовых купюр. Через несколько минут я был уже вторым и, облокотившись на стойку, в нужных местах написал на бланке большими печатными буквами "РИМА МАРШАЛ" и "Оплачено Джоном Гамильтоном".
...
Операционист взглянул на квитанцию, поднял резиновую печать, но вдруг нахмурился.
...
- Боюсь, вы ошиблись, сэр, - сказал он, посмотрев на меня.
Я повернул к нему голову.
- Что значит "ошибся"?
Поколебавшись, он еще раз посмотрел на бланк:
- Сейчас, одну секунду...
Все сработало как нужно. Он взял с собой квитанцию и, отойдя от своего места, быстро прошел вдоль стойки к лестнице, которая вела наверх. Я отошел от стойки, чтобы мне было его видно. Он поднялся по лестнице на галерею, которая шла по всему периметру холла, и подошел к девушке, сидевшей возле большого аппарата, и что-то сказал ей. Она повернулась на крутящемся стуле к большой таблице, которая висела на стене. Она провела пальцем по таблице вниз, мне показалось, по какому-то списку имен, потом повернулась к своему аппарату, нажала кнопку, и через секунду оттуда выскочила карточка, которую она отдала операционисту.
Сердце мое учащенно забилось. Я знал, что это был за аппарат - автоматическая поисковая машина. У каждого клиента банка был свой код, в обмен на который машина выдавала все данные клиента.
Я видел, как операционист внимательно смотрит в карточку, потом на мою квитанцию. Он отдал карточку обратно девушке и заспешил ко мне.
- Вероятно, вкралась какая-то ошибка, сэр, - сообщил он. - У нас нет такого клиента. Вы уверены, что имя написано правильно?
Я подернул плечами:
- Ну, не знаю. Это карточный долг. ... Она дала мне название вашего банка. По-моему, у нее другой банк, и вы просто пересылаете ей туда деньги.
Он пристально посмотрел на меня.
- Все верно, сэр, мы оказываем эту услугу нашим клиентам, но среди них нет дамы с таким именем. Может быть, Рима Маршалл? С двумя "л"?
- Откуда я знаю, - сказал я. - Лучше еще раз уточню. - Потом небрежно, как бы между прочим, я спросил: - Кстати, может быть, вы просто дадите мне ее адрес, и я вышлю ей чек?
Он и глазом не моргнул:
- Если вы пошлете письмо на адрес банка, сэр, можете не сомневаться, что мы немедленно перешлем его ей.
Я знал, что он ответит именно так, но все равно почувствовал разочарование.
Как мы видим, герой задумал осуществить несанкционированный доступ к информационной системе банка с целью раскрытия конфиденциальной информации. Первым этапом операции, как и положено, является разведка. Отслеживание обработки пробного (и заведомо некорректного) запроса позволило определить расположение основных компонентов ИС (этому способствовала физическая открытость инфраструктуры обработки данных) и точно определить цель атаки - автоматическую поисковую машину.
Отметим, что фактором, способствующим сокрытию следов и успеху злоумышленной деятельности, является большой объем регистрационной информации и связанные с этим сложности ее анализа и выявления подозрительной активности (в большом банке не запоминают посетителей и нюансы их поведения).
Обратим внимание на образцовые действия операциониста. Он не дал вовлечь себя в выполнение запроса, запрещенного политикой безопасности, и переадресовал атакующего к соответствующему штатному сервису, сохраняющему анонимность адресата.
После разведки наступает очередь следующей фазы - прямой атаки.
Первый шаг сделан. Теперь я знал, где содержатся данные о клиентах. Оставалось их только достать. Я взял такси и приехал в тихий недорогой отель, снял там комнату и, как только зашел в свой номер, сразу же позвонил в банк "Пасифик энд Юнион". Я попросил, чтобы меня соединили с управляющим.
Когда управляющий взял трубку, я представился Эдвардом Мастерсом и спросил, не можем ли мы встретиться завтра в десять утра. Я сказал, что у меня к нему деловое предложение. Он назначил мне встречу на десять пятнадцать.
Герой применил маскарад - стандартный прием злоумышленников.
В банке я был за минуту до назначенного времени. Меня сразу же провели в кабинет управляющего. ...
Я начал с того, что являюсь представителем крупной строительной фирмы. ... В ближайшее время мы намерены открыть филиал в Лос-Анджелесе. А посему решили открыть счет в "Пасифик энд Юнион". Я намекнул, что у нас весьма солидная фирма с большим оборотом. ... Похоже, я произвел на него впечатление. ...
Все, что в его силах, сказал он, он будет счастлив исполнить. Мне стоит только попросить, и все услуги банка в моем распоряжении.
- Думаю, больше мне пока ничего не понадобится, - сказал я. Помолчав, добавил: - Впрочем, вот еще что. Я заметил, у вас тут очень современное оборудование. Нечто подобное я хочу установить у себя в офисе. К кому мне обратиться? ... В некотором роде наш бизнес сродни вашему. . - Я осторожно приближался к цели визита. - У нас есть клиенты по всей стране. И мы постоянно должны поддерживать с ними связь. Причем приходится все время обновлять данные. Я заметил, у вас есть автоматическая поисковая машина. Похоже, она довольно удобная. Вы сами ею довольны?
Мне повезло. По-видимому, этот агрегат составлял предмет его гордости.
...
- Прошу вас, мистер Мастерс, если она вас заинтересовала, я буду счастлив показать, как она работает. Мы ею очень довольны. Хотите посмотреть машину в действии? ... Я сейчас попрошу мистера Флемминга показать ее вам.
...
Я поднялся. Ноги у меня слегка обмякли. Я уже был на полпути к цели, но впереди маячила вторая половина.
В отличие от операциониста, управляющий поддался на уловку героя, предъявившего поддельный, самоподписанный атрибутный сертификат. Вместо того, чтобы этот сертификат верифицировать, он соблазнился привлекательными для банка значениями атрибутов и делегировал права доступа к поисковой машине.
Девушка, сидевшая за машиной, повернулась на своем стуле и вопросительно посмотрела на нас. Флемминг представил меня, затем, подавшись чуть вперед, начал свой рассказ.
- У нашего банка три тысячи пятьсот клиентов, - говорил он. - Каждому присвоен номер. Список номеров размещен на этом табло.
Он указал на уже известную мне таблицу. Я подошел поближе и принялся ее разглядывать, лихорадочно пробегая по столбцам имен. Наконец нашел имя Римы. Ее номер был 2997.
Мой мозг впитал эти цифры, как никогда еще ничего не впитывал, быстро и жадно.
- После того как мы нашли номер, - продолжал Флемминг, - все, что нам остается, - это набрать его на клавиатуре, и регистрационная карточка немедленно выскакивает вот на этот поднос.
- Объясняете вы понятно, - сказал я. Но как это работает?
Девушка снисходительно улыбнулась мне:
- Поверьте, эта машина работает безотказно.
- Тогда продемонстрируйте нам, - попросил я, улыбнувшись ей в ответ.
- Возьмем первый номер в нашей таблице, - сказал Флемминг. - Р. Айткен. Номер 0001. Мисс Лейкер, дайте нам карточку мистера Айткена.
Девушка повернулась к машине, и пальцы пробежали по клавишам. Машина ожила, загудела и точно выплюнула на поднос карточку.
- Вот так она работает, - сказал Флемминг, улыбаясь счастливой улыбкой.
Я протянул руку:
- Позвольте мне. Я скептик. Может быть, это карточка не мистера Айткена.
По-прежнему улыбаясь во весь рот, он протянул мне карточку. Наверху жирным шрифтом было напечатано имя Айткена.
- Пожалуй, впечатляет. Наверное, действительно имеет смысл платить за нее такие деньги. А можно, я сам попробую набрать номер?
- Конечно, господин Мастерс. Прошу вас.
Я склонился над клавиатурой. Я нажал клавиши, которые сложились в номер 2997. Сердце мое так бешено стучало, что я испугался, как бы Флемминг и девушка не услышали его.
Машина снова загудела. Карточка показалась в металлической щели. Я почувствовал, как у меня на лице выступает пот. Я смотрел на машину не отрываясь и ждал. Наконец карточка оказалась на подносе.
Флемминг и девушка улыбнулись.
- Номер, который вы набрали, принадлежит мисс Риме Маршалл, - провозгласил Флемминг. - Посмотрите сами и убедитесь, что это ее карточка.
Я протянул руку. Вот что я увидел: "Рима Маршалл. Счет. Санта-Барбара. Кредит $10 000".
- Просто чудо. - Я, как мог, старался скрыть дрожь в голосе. - Что ж, большое спасибо. Это как раз то, что мне нужно.
Полчаса спустя я уже мчался в Санта-Барбару на взятой напрокат машине.
Получив физический доступ к поисковой машине, герой выполнил нужный запрос и раскрыл необходимую ему конфиденциальную информацию. Дальше требовалось сделать следующий шаг - пройти по ссылке и найти саму Риму. Холлидей едет в известную всем Санта-Барбару.
Прямо напротив банка располагался небольшой отель. ... Я попросил комнату с видом на улицу. ... Я подошел к окну. Банк был как на ладони. ... Я знал, что не посмею повторить тот же трюк, что использовал в Лос-Анджелесе, дабы взглянуть на ее регистрационную карточку. ... Если я буду сидеть у окна и наблюдать, возможно, мне удастся увидеть, когда она придет в банк, а потом выследить ее.
Но для этого нужно много времени. А я должен быть на работе не позже послезавтрашнего утра. Но может быть, мне повезет, и завтра я увижу ее. Я решил ждать, хотя шансов, что она появится здесь именно завтра, ой как мало.
На следующее утро ... я придвинул стул и сел к окну. ... Я надеялся до последнего. Но когда двери банка закрылись, я впал в такое отчаяние, что готов был перерезать себе горло. ... Похоже, шансов найти Риму до того, как придет срок второго платежа, больше не было.
Весь вечер я лихорадочно пытался придумать какой-нибудь другой способ ее поиска, кроме безнадежного наблюдения за банком, но не смог.
Совершенно бесполезно было ходить по улицам в надежде случайно ее встретить. К тому же это было опасно. Вдруг она заметит меня первой и исчезнет из моего поля зрения навсегда.
Внезапно мне в голову пришла идея. А может быть, обратиться в детективное агентство? Но потом понял, что не посмею этого сделать.
Потому что, когда ее найдут, я должен буду ее убить.
А в агентстве меня наверняка запомнят. Они скажут полиции, что это я их нанял, и полиция начнет розыск.
Я должен сделать все сам.
Для достижения цели герой не придумал ничего лучшего, кроме как прослушивать (просматривать?) сетевой трафик вблизи сервера в надежде на то, что разыскиваемый клиент обратится в это время к этому серверу. Поскольку эту деятельность не представлялось возможным автоматизировать или перепоручить агенту-посреднику (прокси-агенту), пришлось осуществлять ее самому. Как и следовало ожидать, результат оказался отрицательным.
Отметим, что атакующий опасается действовать там, где хорошо налажен сбор и анализ регистрационной информации (в небольшом отделении банка, в детективном агентстве), считая опасность прослеживания источника атаки реальной.
Прошло несколько дней. Герой перевел на счет шантажистки очередную сумму, ударным трудом заработал еще несколько отгулов и решил повторить попытку, вернувшись в Санта-Барбару. Наблюдение за банком вновь ничего не дало. В отчаянии Холлидей решает расширить зону прослушивания сети, осуществляя его в случайных точках. Он отправился бродить по улицам; как и следовало ожидать, в полном соответствии с законами жанра ему повезло...
Я собрался уже было идти дальше, как вдруг из ресторана выбежал крупный мужчина и, нагнув голову, ринулся по деревянному пирсу в мою сторону. Когда он пробегал под фонарем, свет упал на его плечи, и я вдруг узнал кремовое пальто и брюки бутылочного цвета. Это был приятель Римы!
Если бы не дождь, ему не пришлось бы бежать, нагнув голову, и он бы заметил меня и наверняка узнал. ...
Теперь он искал что-то в бардачке "понтиака"-кабриолета. ... Потом он, видимо, нашел, что искал, развернулся и рванул назад в ресторан.
Некоторое время я смотрел ему вслед. Затем неторопливо подошел к "понтиаку" и осмотрел его. Это был выпуск 1957 года, в довольно плохом состоянии. ... Я быстро нащупал регистрационный ярлычок на руле и поднес к нему зажигалку. На нем было аккуратно выведено: "ЭД ВАЗАРИ. Бунгало. Восточный берег, Санта-Барбара".
...
Была ли Рима с ним в ресторане? Живут ли они вместе по этому адресу?
...
И тут я их увидел. Они бегом выскочили из ресторана, ... нырнули в "понтиак" и умчались. Если бы я внимательно не следил за машиной, наверняка пропустил бы их, так молниеносно все это произошло.
В информационных системах у объектов может быть несколько представлений. Если права доступа к этим представлениям различаются, есть вероятность раскрытия конфиденциальной информации. В данном случае общедоступная информация о владельце автомобиля оказалась альтернативным представлением тщательно скрываемого адреса Римы Маршалл.
Обратим внимание на важность постоянной готовности и высокого уровня детализации при сборе регистрационной информации. Смотреть надо всегда и все - вдруг что интересное пропустишь?
Итак, герой получил нужную ему информацию. Что было дальше - спросите у Чейза...
