Вредоносная программа может выполнять один или несколько шагов в автоматическом режиме или передать хакеру управление, как только цель достигнута. Большинство хакерских групп сочетают социальную инженерию, автоматизированное вредоносное ПО и действия самих хакеров для достижения целей. В больших группах отдельным хакерам могут назначаться роли и должности. Вредоносная программа может выполнить один шаг проникновения и достигнуть успеха, не пытаясь осуществить любой из других шагов. Например, самая быстрая вредоносная программа в истории, SQL Slammer, имела размер всего 376 байт. Она выполняла задачу по переполнению буфера на UDP-порте SQL 1434 независимо от того, был ли на целевом устройстве запущен SQL. Поскольку на большинстве компьютеров он не выполняется, можно подумать, что атака будет весьма неэффективна. Но нет, за 10 минут этот червь изменил мир. Ни одна вредоносная программа никогда даже не приближалась к заражению такого количества устройств за столь короткое время.
Примечание. Если я пропустил какой-то шаг в хакерской методологии или способ проникновения, прошу прощения. С другой стороны, я же предупреждал, что я ничем не примечательный хакер.
Этика взлома
Я хотел бы думать, что мои читатели – этичные хакеры, которые проводят взлом своих целей законным образом. Взлом сайта, на который у вас нет предопределенных и выраженных полномочий, неэтичен и часто незаконен. Также неэтично (и даже незаконно) взломать сайт и сообщить владельцам о найденной уязвимости бесплатно. Неэтично и часто незаконно найти уязвимость, а затем попросить владельцев сайта нанять вас в качестве пентестера. Последнее происходит сплошь и рядом. Если вы сообщите кому-то, что нашли способ взломать его сайты или серверы, и попросите работу, это будет рассматриваться как вымогательство. Могу вас уверить, что почти все владельцы сайтов, получающие такой непрошеный совет, не задумаются о вашей пользе и не захотят вас нанимать. Они увидят в вас врага и передадут дело адвокатам.
Остальная часть книги посвящена описанию конкретных типов взлома, методов проникновения и способов противостояния им со стороны специалистов по ИБ. Если вы хотите зарабатывать на жизнь хакерством или бороться с хакерами, следует понять их методологию. Люди, упомянутые здесь, – гиганты в своей области, и вы можете многому у них научиться. Думаю, лучше всего начать с Брюса Шнайера, речь о котором пойдет в следующей главе. Многие считают его отцом современной компьютерной криптографии.
3. Профиль: Брюс Шнайер
Брюс Шнайер обладает столь большим опытом и знаниями, что при его упоминании многие люди используют словосочетание «светило индустрии» или называют его «отцом современной компьютерной криптографии». Однако интерес Шнайера не ограничивается шифрами, он уже давно задается более глобальными вопросами о том, почему в сфере информационной безопасности за все эти десятилетия произошло так мало улучшений. Поскольку он имеет авторитетное мнение по широкому кругу вопросов, связанных с ИБ, его часто приглашают в качестве эксперта на национальные телевизионные шоу. Несколько раз он даже выступал перед Конгрессом Соединенных Штатов. Шнайер пишет книги и ведет блоги, и я всегда считал ознакомление с его работами получением неофициальной степени магистра в области информационной безопасности. Я и наполовину не был бы тем специалистом по ИБ, которым стал, без знаний, которые почерпнул у него. Он мой неофициальный наставник.
Шнайер известен тем, что говорит обезоруживающе простые вещи, которые заставляют пересмотреть старые догмы. Например, возьмем его фразу: «Если вы сосредоточены на SSL-атаках, значит, вы превосходите всех остальных экспертов в области ИБ». Это означает, что существует очень много других, часто более успешно эксплуатируемых уязвимостей, о которых стоит задуматься, поэтому, если вы действительно беспокоитесь об относительно редко используемом SSL-эксплойте, значит, уже устранили остальные, более вероятные и важные угрозы. Другими словами, мы должны расставить акценты среди мер обеспечения информационной безопасности, а не реагировать на каждую анонсированную уязвимость (которая, возможно, никогда не будет эксплуатироваться).
Он также говорил о том, что специалисты по ИБ часто расстраиваются, если сотрудники не относятся к парольной защите достаточно серьезно, используют слабые пароли (если это допустимо), применяют один и тот же на многих несвязанных веб-сайтах (словно умоляя о том, чтобы их взломали) и часто передают его друзьям, коллегам и даже незнакомым людям. Мы расстраиваемся по этому поводу, поскольку в отличие от рядовых сотрудников представляем возможные последствия для бизнеса. Согласно Шнайеру, конечный пользователь оценивает сложность паролей, исходя из степени риска лично для себя. Сотрудников редко увольняют за использование недостаточно надежных паролей. Даже если хакер украл деньги с банковского счета вкладчика, эти средства, как правило, немедленно возмещаются. Шнайер учит нас тому, что именно профессионалы в сфере ИБ не вполне адекватно оценивают риски. И пока вред не будет причинен конечному пользователю, они не изменят свое поведение. Каково это, быть специалистом по вопросам ИБ, а потом осознать, что рядовой пользователь оценивает риски лучше вас?
Шнайер написал более десятка книг, включая «Прикладную криптография. Протоколы, алгоритмы и исходный код на C», написанную в 1996 году и вышедшую на русском языке[3]. Создав еще несколько трудов на тему криптографии (в том числе вместе с Нильсом Фергюсоном), он начал интересоваться причинами, по которым в сфере ИБ не наступало значимых улучшений. Результатом этого стала серия книг, каждая из которых посвящена причинам нетехнического характера, связанным с доверием, экономикой, социологией и т. д. Они наполнены простой для понимания теорией и подкреплены реальными примерами. Вот мои любимые книги Шнайера:
• Secrets and Lies: Digital Security in a Networked World[4] (https://www.amazon.com/Secrets-Lies-Digital-Security-Networked/dp/0471453803);
• Beyond Fear: Thinking Sensibly About Security in an Uncertain World (https://www.amazon.com/Beyond-Fear-Thinking-Sensibly-Uncertain/dp/0387026207);
• Liars and Outliers: Enabling the Trust that Society Needs to Thrive (https://www.amazon.com/Liars-Outliers-Enabling-Society-Thrive/dp/1118143302);
• Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (https://www.amazon.com/Data-Goliath-Battles-Collect-Control/dp/039335217X).
Если вы действительно хотите разобраться в сфере ИБ и ее проблемах, вам следует их прочитать. Также подпишитесь на блог Шнайера (https://www.schneier.com/) и ежемесячную рассылку канала Crypto-Gram (https://www.schneier.com/crypto-gram/). Существует заметная разница между теми, кто регулярно читает Шнайера, и теми, кто этого не делает. Его манера письма понятна и интересна, и он рьяно борется с теми, кто продвигает неработающие методы обеспечения информационной безопасности. То, как он разоблачает криптомошенников, само по себе можно считать уроками по кибербезопасности. Он регулярно освещает самые актуальные вопросы в этой области.
На протяжении многих лет я несколько раз брал у Шнайера интервью, и иногда мне бывало страшновато. Не потому что он сложный или высокомерный собеседник (это не так), а потому что он часто позволяет интервьюеру рассуждать, опираясь на собственные убеждения и предположения. Если вы чего-то не понимаете или не согласны с ним, он не сразу отвергает ваш аргумент. Вместо этого Брюс задает вопрос за вопросом, позволяя вам самому прийти к выводу. В ходе интервью Шнайер всегда обучает собеседника. В процессе разговора становится ясно, что он обдумывал эти вопросы намного дольше, чем вы. Теперь я пытаюсь заимствовать кое-что из его техники самодопроса, когда обдумываю собственные глубоко укорененные убеждения.
Я спросил Шнайера о том, когда он впервые заинтересовался темой информационной безопасности, на что он ответил: «Я всегда интересовался математикой и секретными кодами – криптографией. Свою первую книгу, “Прикладная криптография”, я бы с удовольствием сам прочитал в свое время. Однако я понял, что технологии – это не самая большая проблема. Проблема в людях или интерфейсе, с которыми они взаимодействуют. Самые сложные проблемы ИБ связаны не с технологиями, а с социологическими, политическими и экономическими аспектами их применения. Я провожу много времени, думая о пользователях, склонных к риску. У нас есть технологии, чтобы защитить их, но можем ли мы создать такие решения, которые не помешают им делать свою работу? В противном случае мы просто не сможем убедить их использовать эти продукты».
Я спросил Шнайера, что он думает о недавних утечках информации из некоторых американских спецслужб. Он сказал: «В этих данных практически не содержалось того, о чем не знали люди, внимательно следящие за происходящим. Обнародованные сведения были скорее подтверждением. Удивили подробности. Удивила секретность. Я не думаю, что мы смогли бы как-то повлиять на методы спецслужб, если бы знали о них больше, потому что после событий 11 сентября 2001 года любые их методы были бы одобрены. Так что, к сожалению, это не привело к серьезным изменениям, по крайней мере, сразу. Был принят один незначительный закон [запрещающий АНБ собирать метаданные о телефонных переговорах американцев]. Однако утечка спровоцировала публичное обсуждение проблемы, связанной с правительственной слежкой, что привело к изменению общественного мнения. Теперь люди знают и беспокоятся об этом. Может потребоваться еще десять лет, чтобы ощутить все последствия, но в итоге ситуация улучшится».
Я спросил Шнайера, что он считает самой большой проблемой в сфере компьютерной безопасности, и он ответил: «Корпоративная слежка! Корпорации хотят шпионить за людьми даже больше, чем правительства. Facebook