€ 99.99
$ 92.50
Миша Гленни: Нанимайте хакеров!

Лекции

Миша Гленни: Нанимайте хакеров!

Несмотря на многомиллиардные инвестиции в компьютерную безопасность, одна из ее ключевых проблем сильно игнорируется: «Кто те люди, которые пишут вредоносный код?» Миша Гленни характеризует нескольких осужденных программистов из разных стран мира и приходит к поразительному заключению

Миша Гленни
Будущее

Это совсем не в духе TED, но давайте начнем вечер с сообщения от мистического спонсора.

Анонимы: Уважаемые Fox News, к несчастью, нашего внимания удостоился факт разрушения как имени, так и достоинства Анонимов. Мы все. Мы никто. Мы анонимны. Нас тьма. Мы не прощаем. Мы не забываем. Мы — основа хаоса.

Миша Гленни: Дамы и господа, Анонимы — сложная группа политически мотивированных хакеров, появившаяся в 2011-м. Они довольно страшны. Невозможно предсказать, когда или кого они атакуют в следующий раз и каковы будут последствия. Что интересно, у них есть чувство юмора. Эти парни взломали твиттер Fox News, чтобы объявить об убийстве президента Обамы. Можете себе представить, какую панику это бы посеяло в отделе новостей Fox. «Что нам теперь делать? Надевать траурные повязки или открывать шампанское?» И, конечно, от кого ускользнет ирония ситуации, когда жертвой взлома, разнообразия ради, делают сотрудника корпорации Руперта Мердока News Corporation.

Иногда включаешь новости и думаешь: «Кого еще не взломали?» Sony Playstation Network — сделано, правительство Турции — готово, Агентство по борьбе с организованной преступностью Великобритании — с легкостью, ЦРУ — мимоходом. Мой друг из индустрии компьютерной безопасности однажды мне сказал, что в мире есть два типа компаний: те, которые знают, что их взломали, и те, которые не знают. Три компании, поставляющие услуги компьютерной безопасности ФБР, были взломаны. Не осталось ничего святого?

В любом случае, эта таинственная группа Анонимы — по их собственным утверждениям — оказывает нам услугу, показывая насколько беспомощны компании в защите наших данных. Однако у группы Анонимы есть очень серьезная особенность: ими движет идеология. Они утверждают, что сражаются с подлым сговором. Они утверждают, что правительства пытаются захватить интернет и контролировать его, и что они, Анонимы, выступают истинным голосом сопротивления — как против ближневосточных диктаторов, так и против глобальных медиа-корпораций, или против служб безопасности, или кого бы то ни было. И их политика вполне привлекательна. Ладно, они только начинают. Но у них есть сильная примесь развивающегося анархизма. Неоспоримо то, что мы находимся в начале серьезной борьбы за контроль над интернетом. Веб связывает все, и очень скоро большая часть человеческой деятельности будет осуществляться через него. Интернет создал новую и сложную среду для вековой дилеммы, которая противопоставляет требования безопасности стремлению к свободе.

Это очень сложная борьба. К сожалению, простым смертным, как я и вы, наверное, невозможно хорошо ее понять. Тем не менее, во время неожиданного приступа высокомерия, пару лет назад, я решил попробовать и разобраться. И, кажется, я понял. Вот те вещи, которые я рассматривал, когда пытался понять. Чтобы попытаться объяснить все, мне нужны еще 18 минут, поэтому в этот раз вам придется поверить мне на слово, и позвольте вас заверить, что все эти вопросы связаны с компьютерной безопасностью и контролем интернета тем или иным образом, но в конфигурации, с которой даже у Стивена Хокинга, наверное, возникли бы сложности. Итак. Как видите, в центре — наш старый друг, хакер. Хакер находится в самом центре многих политических, социальных, и экономических вопросов, влияющих на Сеть. Я подумал: «Это те люди, с которыми я хочу поговорить». И что же вы думаете, никто не разговаривает с хакерами. Как оказалось, они полностью анонимны.

Несмотря на то, что мы начинаем вливать миллиарды, сотни миллиардов долларов в компьютерную безопасность — в самые выдающиеся технические решения — никто не хочет говорить с этими парнями, с хакерами, которые делают все. Вместо этого мы предпочитаем ослепительные технические решения, стоящие огромных сумм. И ничего не достается хакерам. Я сказал ничего, но на самом деле есть малюсенький исследовательский центр в Турине, в Италии, называющийся «Проект профилирования хакеров». Они занимаются просто фантастическими исследованиями характеристик, способностей и социализации хакеров. Но поскольку они подчиняются ООН, может потому они и не интересны правительствам и корпорациям. И так как это часть ООН, то им, естественно, не хватает финансирования. Однако, я думаю, что они занимаются очень важной работой. Потому что в индустрии компьютерной безопасности, там, где есть избыток технологии, есть определенный недостаток — назовите меня старомодным — человеческого ума.

Итак, я уже упомянул хакеров Анонимов, политически мотивированную хакерскую группу. Конечно, уголовное правосудие рассматривает их как обычных жуликов. Что интересно, Анонимы не используют информацию, полученную взломом, для извлечения денежной выгоды. А как насчет настоящих киберпреступников? Настоящая организованная преступность в интернете началась примерно 10 лет назад, когда группа талантливых украинских хакеров разработала веб-сайт, который привел к индустриализации киберпреступности. Добро пожаловать в теперь уже забытый мир CarderPlanet. Так они рекламировали себя десять лет назад в интернете. Сайт CarderPlanet был весьма интересен. Киберпреступники заходили туда для покупки и сбыта информации о краденых кредитных картах, для обмена информацией о новых вредоносных программах. Вспомните, как раз в то время мы в первый раз увидели так называемую «стандартизированную вредоносную программу». Это готовые к использованию, стандартные вещи, которые можно применить, даже если вы не очень искушенный хакер.

CarderPlanet стал, своего рода, супермаркетом для киберпреступников. Его создатели были необычайно умны и предприимчивы, потому что, как киберпреступники, они столкнулись с одной огромной проблемой. Вот эта проблема: как можно сотрудничать, как можно доверять кому-то в сети, с кем ты хочешь вести дела, когда ты знаешь, что они преступники? Они — по определению ловкачи и будут пробовать ободрать тебя как липку. Итак, у «семьи» — под этим именем был известен внутренний круг CarderPlanet — родилась блестящая идея, так называемая «система депонирования». Они назначали сотрудника, который был посредником между поставщиком и покупателем. К примеру, у поставщика была информация о ворованных кредитных картах, покупатель хотел бы ее купить. Покупатель шлет административному сотруднику какую-то сумму в электронных деньгах, и поставщик продает информацию о краденых кредитных картах. Сотрудник затем проверяет, настоящие ли эти ворованные кредитные карты. Если это так, он передает деньги поставщику и информацию о ворованных кредитных картах покупателю. Именно это перевернуло киберпреступность в интернете. После этого она стала цвести пышным цветом. Прошлое десятилетие было золотым веком для людей, которые нам известны как Кардеры.

Я поговорил с одним из этих Кардеров, которого мы будем называть RedBrigade — это даже не его прозвище — но я пообещал хранить его личность в секрете. Он рассказывал мне, как в 2003-м и 2004-м кутил в Нью-Йорке, снимая то $10 тысяч в одном банкомате, то $30 тысяч в другом, используя клонированные кредитные карты. В среднем, в неделю он зарабатывал $150 тысяч — конечно, не облагаемых налогом. Он говорил, что однажды в его квартире в Ист-сайд было сложено столько денег, что он не знал, что с ними делать, и ушел в депрессию. Но это немного другая история, в которую я не буду вдаваться. Интересный факт о RedBrigade заключался в том, что он не был продвинутым хакером. Он, в принципе, разбирался в технологии, он понимал, что безопасность важна, если ты собрался быть Кардером, но он не проводил дни и ночи за компьютером, кушая пиццу и запивая колой, ничего подобного. Он болтался в городе, развлекаясь и наслаждаясь высшим обществом.

Это потому, что хакеры — только один элемент киберпреступной деятельности. И, зачастую, они самый уязвимый из всех элементов. Я хочу вам это объяснить, представляя вам шесть персонажей, которых я встретил, пока занимался этим исследованием. Дмитрий Голубов, он же SCRIPT — родился в Одессе, в Украине, в 1982-м году. Его социальные и моральные устои сформировались в 90-е годы в черноморском порту. Это была среда «пан или пропал», где участие в криминальной или коррупционной деятельности было необходимо для выживания. Как продвинутый пользователь ПК Дмитрий занимался переносом гангстерского капитализма своего родного города на просторы Мировой паутины. Ему это отлично удавалось. Однако нужно помнить, что со своего девятого дня рождения он вращался исключительно в преступной среде. Он не знал других способов заработать на жизнь.

Вот Ренукант Субраманиам, он же JiLsi — основатель DarkMarket, уроженец Коломбо, Шри-Ланка. Когда ему было восемь лет, он и его родители бежали из столицы Шри-Ланки, потому что толпы сингалезцев бродили по городу в поисках тамильцев, таких как Рену, для расправы. В 11 лет он был допрошен военными Шри-Ланки по обвинению в терроризме, и родители отправили его одного в Великобританию как беженца, в поисках политического убежища. В 13 лет, плохо зная английский и постоянно подвергаясь нападкам в школе, он ушел в мир компьютеров, где показал большие технические способности, однако вскоре был соблазнен людьми из интернета. Он был осужден за мошенничество с ипотекой и кредитными картами и будет освобожден из тюрьмы Wormwood Scrubs в Лондоне в 2012-м году.

Matrix001, который был администратором на DarkMarket. Родился в южной Германии, в стабильной и уважаемой семье из среднего класса. К хакерству его привело помешательство на играх в подростковом возрасте. Вскоре он контролировал огромные серверы по всему миру, где хранил игры, которые он украл и взломал. Его переход в преступность был постепенным. Когда он, наконец, узрел свое положение и осознал последствия, было уже слишком поздно.

Макс Вижн, он же ICEMAN — тайный лидер cardersMarket. Родился в Меридиане, штат Айдахо. Макс Вижн был одним из лучших тестеров проникновения, работавшим из Санта-Барбары, штат Калифорния, во второй половине 90-х, на частные компании и добровольно на ФБР. Во второй половине 90-х он обнаружил уязвимость во всех правительственных сетях США, добрался и исправил ее — потому что она была и в центрах ядерных исследований — избавив американское правительство от огромного позора в области безопасности. Однако как заядлый хакер он оставил маленькую цифровую лазейку, через которую мог пробраться только он. Это было замечено зорким следователем, и он был осужден. В тюрьме он попал под влияние финансовых мошенников, и они убедили его работать на них после освобождения. Сейчас этот человек с мозгами планетарного масштаба отсиживает 13-летний срок в Калифорнии.

Адевайл Тайво, он же FeddyBB — главный взломщик банковских счетов, из Абуджа, Нигерия. Он основал прозаически названную группу рассылки, bankfrauds@yahoo.co.uk [банковские мошенничества@…] перед приездом в Великобританию в 2005-м году для обучения на магистра химических технологий в университете Манчестера. Он впечатлил частный сектор, разрабатывая химические приложения для нефтяной промышленности, одновременно с этим ведя всемирную операцию мошенничества над банками и кредитными картами, обошедшуюся в миллионы, вплоть до его ареста в 2008-м.

Ну и наконец, Кагатай Эвиапан, он же Cha0 — один из самых выдающихся хакеров всех времен, из Анкары, Турция. Он сочетал свой огромный опыт компьютерщика со способностями прожженного мошенника «вежливо» уговорить на что угодно. Один из самых умных среди встреченных мною людей. Ему принадлежала одна из самых эффективных систем виртуальных частных сетей среди обнаруженных полицией у киберпреступников.

Наиболее важный факт обо всех этих людях – то, что у них есть общие черты, несмотря на то, что они происходят из очень разных сред. Все получили свои хакерские навыки в раннем подростковом возрасте. Все показали отличные способности к математике и естественным наукам. Напомню, что когда они развивали свои хакерские навыки, их моральные устои еще не сформировались. Большинство из них, за исключением SCRIPT и Cha0, обладали социальными навыками только в сети, а не в реальном мире.

А еще интересно, что среди таких хакеров, как эти, высока доля имеющих характеристики, сходные с синдромом Аспергера. Я обсудил это с Симоном Барон-Коэном, профессором психопатологии развития в Кембридже. Он проделал новаторскую работу в области аутизма и подтвердил, в том числе и для местных властей, что Гарри МакКиннон — разыскиваемый США за взлом Пентагона — страдает синдромом Аспергера и вторичным состоянием депрессии. Барон-Коэн пояснил, что определенные слабости могут проявлять себя в мире взлома и вычислений как потрясающие навыки, и что мы не должны сажать в тюрьму людей с этими слабостями и навыками, потому что они потеряли верную дорогу или были обмануты.

Я думаю, мы кое-что упускаем, потому что я не думаю, что такие люди, как Макс Вижн, должны сидеть в тюрьме. Позвольте сказать прямо. Китай, Россия, и многие другие страны, которые развивают наступательные кибервооружения, занимаются именно этим. Они нанимают хакеров до и после их вовлечения в криминал и промышленный шпионаж — их призывают на службу от имени государства. Нам нужно заинтересовать и найти возможности предложить совет этим молодым людям, потому что они — редчайшие специалисты. Если мы будем полагаться, как сейчас, только на уголовную судебную систему и на угрозы карательных приговоров, мы вырастим монстра, которого не сможем укротить.
Спасибо за внимание.

Крис Андерсон: Ваша идея, достойная распространения — нанимайте хакеров. Как можно преодолеть страх, что нанятый хакер оставит маленькую лазейку?

МГ: В какой-то мере нужно понимать, что это именно то, что делают хакеры. Они непреклонны и одержимы тем, чем они занимаются. Но все люди, с которыми я говорил, все, кто пал жертвой порока, все они просили: «Пожалуйста, пожалуйста, дайте нам шанс заняться легальной работой. Просто мы не знали, что творим, и никогда не знали, как туда попасть. Мы хотим работать с вами».

Крис Андерсон: Что ж, в этом есть смысл. Миша, спасибо большое.

Перевод: Александр Автаев
Редактор: Лариса Л.

Источник

Свежие материалы