Армия неизвестных хакеров защищает человечество от угроз. Кто они такие и почему выбирают творить добро?
11:35, 30 декабря 2023Билл Гейтс, Стив Возняк, Кевин Митник — эти имена известны сегодня очень многим, и все они в итоге оказались по одну сторону забора, разграничивающего добро и зло. Вот только начинали они все — по другую, промышляя взломали и прочими темными делами. Кто-то перешел на светлую сторону добровольно, другим пришлось пройти через тюрьмы, прежде чем стать этичными хакерами. Кто они такие — добрые хакеры? Как они становятся новыми селебрити и почему они так важны для общества? К премьере второго сезона сериала «Оффлайн» «Лента.ру» совместно с онлайн-кинотеатром Okko рассказывает, почему даже самые отвязные киберпреступники отказываются от темного прошлого и посвящают жизнь полезной для мира работе.
Ночь, изменившая мир
Ночь 4 октября 2005 года навсегда перевернула мировую информационную безопасность. И, как это обычно бывает, главный герой событий не предполагал, что он изменит мир.
20-летний хакер Сами Камкар задумал поиграться со своим профилем в невероятно популярной на тот момент социальной сети MySpace. Площадка давала возможности оформить свой профиль как душе угодно. Душе Камкара было угодно сделать его по-настоящему уникальным. Сначала он влез в код и нашел возможность загрузить на страницу больше фотографий, чем разрешала соцсеть. Затем откорректировал стандартный статус «в отношениях» на «в крутых отношениях». Он понял, что может делать со своей страницей что угодно и вошел в раж. Камкар придумал скрипт, благодаря которому менее чем за сутки на его страницу в соцсети подписался почти миллион незнакомых людей.
Пользователи ничего не могли поделать: они отписывались от Камкара, но через несколько минут автоматически подписывались на него вновь. Червь, который создал юноша, стал самым быстрым вирусом всех времен.
Когда атака удалась, я практически сошел с ума. Я понятия не имел, что с этим делать. В этот момент я решил, что пришло время устранить причиненный мною ущерб, анонимно написав подробное электронное письмо в MySpace с объяснением, как именно они могут исправить ситуацию
Администрация MySpace пребывала в панике. Ей пришлось полностью закрыть доступ к площадке. А Камкаром заинтересовались секретные службы. Хакер ничего не крал и никак не воспользовался уязвимостями соцсети, которые он обнаружил. Но он предстал перед судом, получил три года условно и 720 часов общественных работ. Пользоваться интернетом ему тоже на всякий случай запретили.
Паника администрации MySpace была легко объяснима. На тот момент у крупнейшей в мире соцсети практически не было службы информационной безопасности, которая могла бы взять ситуацию под контроль. И в то время MySpace была не единственной компанией с такой проблемой.
Червь Камкара не на шутку перепугал все сообщество. Тогда 80-90 процентов сайтов в интернете можно было взломать по схеме, которую использовал юноша. И если Камкар просто указал соцсети на брешь, то преступники могли бы установить контроль над зараженными аккаунтами
Камкар стал героем и настоящим революционером в мире инфобеза. В будущем он дорос до статуса одного из наиболее известных исследователей, обнаружив уязвимости в чипах пластиковых карточек Visa и MasterCard, а также уличив ведущих техногигантов мира (Apple, Google и Microsoft) в слежке за своими пользователями.
Но если отвлечься от грандиозности ситуации и масштаба его личности, то пример Камкара — это пример так называемого серого хакера (или хакера в серой шляпе). Они могут преступать закон ради того, чтобы обнаружить уязвимость, но при этом не станут красть данные своих жертв, а просто сообщат компании об обнаруженной проблеме.
Серые хакеры — промежуточное звено между черными (то есть настоящими киберпреступниками, которым никакой закон не писан, а главная цель — нажива) и белыми. Последними становятся или по призванию, или перейдя с темной стороны на светлую — сменив шляпу. Белые хакеры нередко работают на департаменты информационной безопасности (ИБ) корпораций или в специализированных IT-компаниях, которые проводят профессиональный аудит состояния ИБ-систем. Они практически всегда остаются в тени, но делают невероятно важную работу. Именно благодаря «белым шляпам» безопасность миллиардов пользователей — простых людей в интернете, клиентов компаний и медклиник, банков и госучреждений — под защитой.
«Белые шляпы» и «черные шляпы» — определения, заимствованные из английского языка. Такая терминология появилась благодаря вестернам 1920-1940-х, в которых практически все положительные герои носили шляпы белого цвета, а все отрицательные — черного. Сейчас выделяют еще одну группу хакеров — «серые шляпы». Они, в отличие от этичных хакеров, готовы пренебречь рамками закона, чтобы найти уязвимости в системах, но не будут использовать их в преступных целях.
Звезды нового времени
Белые, или этичные хакеры — это киберпреступники наоборот. Они умеют все то же, что черные хакеры, но используют свои знания в мирных целях. В основном белые шляпы действуют в двух направлениях: тестируют системы на проникновение (пентестинг) и ищут уязвимости в программном обеспечении.
Пентестинг (сокращенный вариант, образованный от английского penetration test, — тестирование на проникновение) — это попытка смоделировать будущую хакерскую атаку на практике, чтобы понять, куда может быть нанесен удар. У самих тестировщиков может быть множество ролей: кто-то исследует программные коды приложений, другие разбираются с недостатками беспроводных сетей, а третьи в это время могут пытаться физически проникнуть на территорию интересующей их компании.
Итогом работы группы тестировщиков будет отчет, который они предоставляют заказчику. В нем будут перечислены все обнаруженные уязвимости и недостатки (баги) программ, сетей и других элементов инфраструктуры. Кроме того, они дадут рекомендации по устранению этих недостатков.
Если бы в 2005 году Камкар не преступил закон, то мог бы получить вместо условного срока многомиллионное вознаграждение, как это происходит сегодня. Это называется Bug Bounty — программы, в рамках которых багхантерам (заимствование от английского bughunter — охотник за багами) платят за найденные уязвимости отдельные компании или даже целые государства. Жизнь успешного багхантера напоминает жизнь селебрити, только в мире информационной безопасности. Самые талантливые из них зарабатывают приличные деньги и выступают на конференциях и в университетах, консультируют ведущие компании мира, пишут книги.
Bug Bounty как явление появились на Западе около 30 лет назад, с некоторых пор в них принимает активное участие и государство. Программы Bug Bounty есть и в России. Первый подобный проект 10 лет назад запустил «Яндекс». А в 2023 году, с февраля по май, по заданию Минцифры этичные хакеры искали уязвимости на портале «Госуслуги». В конкурсе принимали участие 8,4 тысячи багхантеров, которые обнаружили у сервиса 34 недостатка, а наибольшее вознаграждение за уязвимость составило 350 тысяч рублей. За обнаружение критических уязвимостей государство готово платить и больше: если таковые будут найдены на «Госуслугах», в Единой биометрической системе, Системе межведомственного электронного взаимодействия или на других государственных площадках, то хакеру заплатят миллион рублей.
В каждой программе Bug Bounty определен диапазон денежных вознаграждений за найденные уязвимости. Разный тип уязвимостей оплачивается по-разному. Как правило, минимальная выплата — 50 долларов, максимальная может доходить до сотен тысяч долларов. Если я постараюсь, то за месяц могу заработать больше 10 тысяч долларов
Впрочем, не всегда багхантерам выплачивают причитающиеся им вознаграждения. Самый известный такой пример — история безработного палестинского разработчика по имени Халил Шритех. В 2013 году он нашел серьезную уязвимость в социальной сети Facebook (соцсеть запрещена в России; принадлежит корпорации Meta, которая признана в РФ экстремистской и также запрещена) и попытался сообщить о ней администрации площадки, однако был проигнорирован. Тогда он решил воспользоваться найденным недостатком и оставил запись в аккаунте Цукерберга от своего имени.
Извините, что нарушил вашу конфиденциальность и разместил сообщение на вашей стене. У меня нет другого выбора с учетом того, что я отправил кучу отчетов [об уязвимости] команде Facebook
Однако корпорация не стала выплачивать премию багхантеру в рамках своей программы Bug Bounty. Она мотивировала это тем, что, использовав уязвимость, палестинец нарушил условия участия.
Времена изменились, и к тем, кто способен обнаружить уязвимость (а значит, обезопасить продукт, который приносит корпорациям большие деньги) стали относиться с гораздо большим уважением. Об этом свидетельствуют средства, которые компании готовы тратить на Bug Bounty. Для сравнения: с момента запуска Bug Bounty в 2010 году Google потратила на выплаты 50 миллионов долларов, и только за 2022 год — 12 миллионов, включая рекордное вознаграждение в 605 тысяч долларов (55,6 миллиона рублей по текущему курсу) за обнаружение брешей в Android.
«Здравствуйте, могу ли я поговорить с Папой Римским?»
В один из дней в начале 1970-х в канцелярии Папы Римского Павла VI раздался телефонный звонок. Сотрудник Ватикана взял трубку и услышал английскую речь. Сотрудник, плохо владевший этим языком, предложил звонившему подождать и попросил подойти к аппарату более опытного коллегу. Тот взял трубку, и через секунду его лицо побелело. Он прижал ладонь к трубке и попросил позвать одного из высокопоставленных епископов.
«Что передать?» — уточнил молодой сотрудник.
«Скажи, что на проводе госсекретарь США Генри Киссинджер, звонит из Москвы и хочет поговорить с Папой, — быстро ответил его коллега, после чего снова обратился к звонившему. — Господин государственный секретарь, вы не могли бы перезвонить через час? Ваш звонок оказался очень неожиданным для нас».
Собеседник согласился и положил трубку. И пока высокопоставленные сотрудники Ватикана размышляли, зачем Киссинджеру так срочно потребовалось связаться в Павлом VI, где-то в США хихикали несколько молодых парней. Среди них точно был Стив Возняк, который через несколько лет вместе со Стивом Джобсом создаст корпорацию Apple.
То, что сегодня можно считать обычным хулиганством, тогда было вершиной хакерского искусства. Взламывали, правда, не компьютеры, а телефонные линии. Тогда это развлечение носило название «фрикинг». Наиболее талантливые умельцы могли подключаться к линии, подавая в сеть тоновые команды на разной частоте и с разной продолжительностью, которые использовались в качестве служебных. Многие умели имитировать их голосом, но потом Возняк, заручившись поддержкой Джобса и основателя Microsoft Билла Гейтса, автоматизировал процесс, разработав устройство Blue Box. Так международные звонки стали бесплатными для фрикеров. Они занимались этим из-за интереса к технологиям, но заодно получили определенный простор для шалостей.
Спустя час я перезвонил, и меня соединили с кем-то из епископов. Я думал, что он будет переводчиком во время моей беседы с Павлом VI, поэтому я уточнил у него, могу ли я поговорить с Папой. Сделал я это, пытаясь имитировать акцент Киссинджера. А он ответил: «Ты — не Генри Киссинджер. Я только что говорил с Генри Киссинджером». Думаю, они позвонили ему напрямую, чтобы проверить мою историю
Этот случай — не единственный, когда великие умы начинали со взломов. Среди них — даже сам Тим Бернерс-Ли — создатель интернета, URL-адресов, протокола HTTP и языка HTML. Всем этим исследователь занимался через два десятилетия после того, как был пойман на взломе компьютерной сети своей альма-матер — Оксфордского университета. Бернерс-Ли ничего особенного не нашел и не искал, он просто хотел потренироваться и помочь вузу исправить недостатки, но вместо благодарности получил запрет на использование компьютеров.
В качестве более близкого для россиян примера можно привести экс-сотрудника ЦРУ и Агентства национальной безопасности (АНБ) США Эдварда Сноудена, который в 2013 году по этическим соображениям передал журналистам The Guardian и The Washington Post секретные сведения о том, как АНБ следит за людьми по всему миру и какие спецоперации проводят различные секретные и военные службы Соединенных Штатов. С августа 2013 года Сноуден живет в России и даже обзавелся гражданством.
Сноуден — этичный хакер, проделки Стива Возняка и Тима Бернерса-Ли на фоне международного скандала, который он развернул, кажутся лишь шалостями. Но история знает настоящих хакеров-злодеев, которые оставили в прошлом свои преступные похождения и стали по-настоящему добрыми. Почему они это сделали?
Хакер номер один в истории меняет шляпу
В развитии фрикинга принимал самое активное участие еще один известный хакер, который вынужден был перейти на сторону добра. Легендарному Кевину Митнику пришлось пройти через тюрьму, прежде чем он одумался. Причем в тюрьме он сидел не один раз.
К началу 1990-х в его послужном списке уже был срок и принудительное лечение от компьютерной зависимости, а также десятки взломанных компаний и корпораций, среди которых — Федеральное бюро расследований, NASA, Apple, Motorola, Pacific Bell и Массачусетский технологический институт.
В прессе Митника величали не иначе как «хакером номер один в истории» и «самым разыскиваемым киберпреступником»
Незадолго до этого он закончил отбывать условный срок за взлом небольшой компании, разрабатывавшей программное обеспечение, а потому следователи ФБР, следившие за Митником с середины 1980-х, не всегда знали, где именно он находится. Что иронично, поскольку сам Митник, сумевший проникнуть в сети силовиков примерно тогда же, знал о каждом изменении в связанных с ним делах.
Вновь перейти к активному поиску Митника оперативников ФБР вынудили обстоятельства: количество взломов, в которых прослеживался его почерк, стало совсем неприличным, к тому же в числе пострадавших госорганов оказалось Министерство обороны США. Публично о своей поддержке следствия и готовности ему содействовать заявил известный эксперт по безопасности Цутому Симомура — как раз пример белого хакера.
Митника это задело, и он решил доказать профнепригодность Симомуры, взломал его домашний компьютер и прихватил оттуда секретные сведения о программе, перехватывавшей интернет-трафик. Ее Симомура разработал по заказу американских военных
Но мстительность Митника, как уже это не раз случалось с ним в прошлом, сыграла с ним злую шутку. Симомура нашел в своем компьютере крайне небрежно заметенные хакером следы. После чего вышел на сервер, который его противник много лет использовал для хранения краденой информации. Узнав, какими данными интересуется Митник, следствие расставило десятки цифровых ловушек для взломщика, и это спустя несколько месяцев принесло плоды. В феврале 1995 года Митник был арестован, и ему грозило тюремное заключение сроком 300 лет: в битве белой и черной шляпы победило добро.
Уголовный процесс над хакером длился больше четырех лет, часть этого времени он провел за решеткой. На суде Симомура стал звездой обвинения, а сломленный Митник пошел на сделку со следствием. В итоге он получил лишь 11 месяцев тюрьмы
После освобождения он навсегда оставил киберпреступность и занялся разработкой программ защиты информации и даже выступал в Сенате США с лекцией о важности компьютерной безопасности. С Симомурой его связывали добрые отношения.
Тем не менее у их последователей все еще возникают проблемы с законом. Не все государства мира допускают существование серых хакеров. Например, в Великобритании за эксплуатацию уязвимостей можно получить до 10 лет заключения даже в том случае, если суд не может доказать преступных намерений взломщика. Да и в Соединенных Штатах этичных хакеров освободили от уголовного преследования лишь в 2022 году.
Разобраться в том, что движет хакерами в их легальной или совсем нелегальной деятельности и какое возмездие их поджидает за причиненное зло, можно, посмотрев сериал «Оффлайн». Второй сезон захватывающего триллера уже доступен в онлайн-кинотеатре Оkko.
Реклама
Рекламодатель ООО «Окко»
ВО 18+
Мир подсел на технологии. Они упрощают жизнь миллиардам людей. Как не стать жертвой тех, кто пытается ими воспользоваться?
В смартфонах миллионов людей стоят приложения-невидимки.
Как они следят за ними?
Персональные данные — новая нефть.
За ними охотятся киберпреступники. Можно ли от них защититься?