“Час” повстречался с Михаилом Красновым (имя изменено), работающим в крупной латвийской фирме, занимающейся разработкой программного обеспечения и решений сетевой безопасности баз данных для муниципальных и государственных учреждений. По авторитетному мнению Михаила, хакер Нео, укравший базу данных СГД, не сделал ничего особенного. На его месте мог быть любой, так как похитить требуемые данные из любого латвийского государственного регистра – плевое дело. Надо просто разбираться в сетевых технологиях и уметь манипулировать людьми.
Не дыра, а технологическое отверстие
- Как по-твоему, хакер Нео обладает какими-то суперспособностями – или просто система СГД была плохо сделана?
- Разработчики в большинстве случаев оставляют в таких системах backdoor – заднюю дверь. И делают они это не из злого умысла, а для того, чтобы в случае аварии или хакерской атаки систему можно было починить. Потому что бывает и так, что хакеры ломают систему, просто меняя права доступа к ней, и попасть в систему не сможет уже никто. В таком случае ценная информация может оказаться потерянной навсегда. Чтобы в случае ЧП систему можно было починить, и делается в ней такой вот лючок, права доступа к которому остаются у разработчиков. Не только журналисты, но и чиновники СГД называют его дырой. Это не дыра, а технологическое отверстие! – считает наш собеседник.
По мнению Михаила, во взломе базы данных СГД нет вины Exxigen Services. Скорее всего, хакер Нео использовал человеческий фактор.
- Сделать полностью защищенную систему с различным уровнем доступа как для простых пользователей, так и для администратора – невозможно в принципе. Компьютерные сети построены на принципах логики и сделаны для того, чтобы ими могли пользоваться люди, в том числе и не самые грамотные пользователи. Доступ к сетям должен быть с одной стороны – максимально закрытым от попыток взлома, с другой стороны, излишняя безопасность – помеха для пользователей. Когда мы разрабатываем систему, нам надо искать компромисс между двумя этими крайностями. Важно помнить, что среднестатистический пользователь сетевых баз данных – бухгалтер или мелкий чиновник, который должен заносить данные в базу. Защита этой базы, как и защита квартиры, делается от грубого вторжения. То есть дверь должна быть такая, чтобы ее нельзя было взломать ломом или выпилить из стены, но человек, имеющий правильный ключ, мог бы ее легко открыть. Однако взломщики редко выпиливают двери. Так и хакеры – им легче найти слабое звено в системе защиты. И этим слабым звеном почти всегда оказывается человек, – считает Михаил.
Социальная инженерия – друг хакера
Один из самых известных хакеров в мире – Кевин Митник, ловко использовал человеческий фактор для взлома компьютерных сетей. Он же придумал термин “социальная инженерия” – манипуляция людьми с помощью обмана и с целью получения нужной информации.
- Я подозреваю, что для того, чтобы выйти на дыру в базе данных СГД, хакер просто выпил пивка с одним из разработчиков, и тот проболтался о каком-то важном элементе в системе доступа. В книге Митника “Искусство обмана” можно найти 1001 способ получения паролей и прав доступа. Можно напоить человека и пять минут “поработать” с его ноутбуком. Или, позвонив по телефону и представившись менеджером проекта, на час попросить модераторские права для устранения ошибки. Большинство киберпреступлений совершаются благодаря глупости или доверчивости. При этом разработчикам проекта системы безопасности достаточно допустить одну ошибку, и безопасность всей системы идет насмарку. Опытный хакер не пройдет мимо нее, – рассказывает Михаил.
По его мнению, хакер Нео поступил очень благородно – он не стал торговать информацией, а использовал ее во благо общества.
- Если бы на его месте был кто-то с коммерческой жилкой, то он мог бы разбогатеть на этой информации, продавая фирмам информацию о конкурентах. В базе СГД было очень много ценных данных, за которые многие компании были бы готовы заплатить. Например, о платежном балансе. Если ты знаешь, что твой конкурент наполовину банкрот, то эту информацию можно анонимно переслать его деловым партнерам, лишив его инвестиций. И все. Поэтому хакер в данной ситуации повел себя очень корректно, – считает специалист.
Хитрый уборщик
В США уборщик в банке украл несколько миллионов долларов при помощи двух телефонных звонков. Убирая в колл-центре банка, он подсмотрел, что переводы осуществлялись с помощью специальных паролей. Они были поименованы от A до Z. Уборщик позвонил в колл-центр и, представившись сотрудником другого филиала и назвав его данные, попросил принять несколько “важных документов” по факсу. Кроме того, он попросил назвать пароль B, ссылаясь на инструкции. Оператор назвал ему пароль. Тогда уборщик сказал, что он просил не пароль B (би), а пароль E (и). По-английски эти буквы произносятся похоже. Получив два пароля, он позвонил другому оператору, представился менеджером крупного клиента и попросил срочно осуществить транзакцию. У него спросили пароль Z. Он ответил, что такого пароля у них нет, зато он может назвать другие – например B или E. Оператор согласился. Назвав эти пароли, уборщик попросил перечислить деньги на свой счет. Два телефонных звонка, и уборщик стал миллионером.
Юрий ПИВОВАРОВ