Как темнеет белая шляпа: история превращения в хакера

Бывший сотрудник компьютерной консалтинговой фирмы The Canton Group был арестован ФБР после выполнения аудита безопасности компьютерной сети университета штата Мэриленд. В награду за проделанную работу ему представили целый ряд обвинений. 

До недавнего времени Дэвид Хелковски (David Helkowski) был известен в Балтиморе как представитель этических хакеров, также называемых «Белыми шляпами». Такие люди часто выполняют на добровольных началах сложную работу по аудиту безопасности программ, устройств с криптографической защитой и компьютерных сетей. В отличие от «Чёрных шляп», они ищут уязвимости с целью помочь разработчикам сделать свой продукт более защищённым и обычно не разглашают сведения о найденных ошибках до их устранения.

Дэвид Хелковски - разработчик, ставший хакером (фото: townnews.com).
Дэвид Хелковски — разработчик, ставший хакером (фото: townnews.com).

Термин ethical hacker отражает целую философию жизни, краткая суть которой в стремлении отдельных специалистов сделать ИТ-сферу более надёжной и безопасной для простых пользователей. Часто это происходит в ущерб собственной выгоде, требует высокой квалификации и немалых усилий в свободное время.

Обычно правительство и соответствующие службы лояльно относятся к таким людям, изредка контролируя их деятельность. Для них устраиваются открытые конференции по безопасности, а ведущих специалистов привлекают для раскрытия преступлений в сфере высоких технологий.

Описанный Дэвидом случай нарушения сложившихся традиций очень показателен. Он ставит под угрозу любую подобную деятельность, если она не санкционирована официально. Проблема в том, что многие организации весьма халатно относятся к вопросам безопасности и не заказывают подобных услуг. Вместо тестов на проникновение и рекомендаций по усилению защиты они предпочитают «сейф без задней стенки» и формальное соответствие минимальным требованиям.

Хелковски рассказал свою историю на Reddit в потоке он под названием «IamA Hacker who was Raided by the FBI and Secret Service AMAA!». Пост набрал триста пятьдесят комментариев, но затем был удалён якобы за нарушение правил сайта. Тогда прямо во время расследования он встретился с прессой. Первыми у него взяли интервью корреспонденты издания Ars Technica.

Во время своей работы в The Canton Group Дэвид в основном занимался анализом проектов с открытым исходным кодом. Также его периодически нанимали разные фирмы, поручая работу от создания веб-скриптов до написания сложных программ на Си.

В ноябре 2013 года его наняли в команду программистов, занимавшихся переносом содержимого сайта медицинской школы университета штата Мэрилэнд. Для удобства Дэвид скопировал весь веб-контент на свой рабочий компьютер. Внезапно его антивирусная программа сообщила об ошибке и аварийно завершилась.

Медицинская школа университета штата Мэрилэнд, чья служба безопасности существует формально (фото: wypr.org).
Медицинская школа университета штата Мэрилэнд, чья служба безопасности существует формально (фото: wypr.org).

Хелковски стал смотреть логи и увидел причину: один из PHP-скриптов содержал признаки обфускации кода для сокрытия его функций и вызывал ошибку в работе антивирусного анализатора.

Дэвид стал изучать код скрипта вручную и обнаружил серьёзную уязвимость. В скрипте был спрятан бэкдор C99Shell, позволяющий удаленному пользователю выполнять произвольные команды на сервере, включая поиск и загрузку файлов. Дополнительно из-за ошибки конфигурации сервера появлялась возможность изменения прав доступа и выполнения атаки на другие узлы университетской сети.

Событие стало поворотным моментом: из разработчика Хелковски превратился в хакера, чья виртуальная шляпа пока сияла девственной белизной. Однако очень скоро ему пришлось выйти за рамки этических методов. Простые уведомления, отправляемые в течение нескольких месяцев администрации университета не возымели действия. Тогда Дэвид вознамерился доказать им свою правоту и стал собирать доказательства практической осуществимости удалённого взлома. 

В феврале этого года он продолжал исследовать университетскую сеть за домашним компьютером. Ему удалось воспользоваться найденной уязвимостью и скопировать из базы данных около трёхсот тысяч записей о студентах, преподавателях и администрации ВУЗа.

Руководство университета отказалось забрать заявление и прокомментировать ситуацию прессе (фото: gazette.net).
Руководство университета отказалось забрать заявление и прокомментировать ситуацию прессе (фото: gazette.net).

Дэвид решается на крайние меры: в знак серьёзности выявленных проблем с настройкой сети он публикует на Reddit номер социального страхования (SSN) президента университета. Это стало роковой ошибкой, поскольку на SSN юридически завязаны многие финансовые документы граждан США, а кража персональных данных широко используется мошенниками и расследуется ФБР.

После демонстрации результатов взлома Хелковски отправляет анонимное письмо сотрудникам недавно учреждённой службы безопасности университета. В нём он вновь подробно описывает найденные проблемы с конфигурацией сервера и надеется на их скорейшее устранение. Вот отрывок из письма:

Из вежливости я даю вам шанс ответить мне лично, иначе буду вынужден поднять шум в интернете... Ваши внутренние идентификаторы перечислены ниже, чтобы привлечь ваше внимание. Если служба безопасности не будет работать над указанной проблемой, то считайте это справедливым предупреждением и последним письмом от меня".

Реакция администрации была удивительной. В открытом письме, опубликованном на следующий день, и в видеообращении президент Уоллес Ло (Wallace Loh) сказал, что «Университет штата Мэриленд стал жертвой изощренной атаки на компьютерную сеть, о чём свидетельствуют присланные записи, содержащие личную информацию».

Несмотря на использование прокси и VPN, к Дэвиду пришли агенты ФБР и стали задавать вопросы. Шестнадцатого марта они получили ордер на обыск и просто вышибли дверь в квартиру. В результате рейда агенты забрали все электронные устройства, но пока не стали арестовывать Дэвида, ограничившись предупреждением о серьёзных последствиях.

До этого инцидента Дэвид вёл совершенно легальную жизнь. Он был хорошим программистом, владеющим многими языками и средствами разработки. Среди увлечений Хелковски было коллекционирование клавиатур, что сыграло забавную роль. Во время обыска к его компьютеру была подключена редкая японская модель. Латинские символы на ней были наклеены не на верхней, а на передней грани каждой клавиши и не соответствовали привычной раскладке. Это ввело агентов ФБР в замешательство и сделало невозможным быстрое копирование данных.

«Я заставил работать эту клавиатуру в Windows, внеся изменения в реестр, – поясняет Дэвид. – Затем я просто запомнил какая клавиша соответствует каждому символу». В этом Дэвиду помогло его музыкальное образование и уроки игры на фортепьяно. После них сотня кнопок запомнилась сама-собой.

В настоящее время против Хелковски выдвинут ряд обвинений в нарушении статей уголовного и гражданского кодекса. Из-за потрясения Дэвид стал выглядеть гораздо старше своих тридцати двух лет. У него появились седые волосы и полное разочарование в государственной системе, где проще закрывать глаза на проблемы и устранять не их, а тех, кто пытается сделать мир безопаснее.



Андрей Васильков, Компьютерра





Интересные новости
Дети обмениваются порно-фото и выкладывают их в Сеть, а взрослые не понимают Интернет-слэнг
Марк Цукерберг раскритиковал "Социальную сеть"
Американских игроков начали сажать
1го апреля один из сайтов дошутился: на него подают в суд
Масоны онлайн
Блок рекламы


Похожие новости

Королівську пошту Великої Британії атакував розроблений російськими хакерами вірусКоролівську пошту Великої Британії атакував розроблений російськими хакерами вірус
У Швейцарії заарештували українського хакера, якого розшукує ФБРУ Швейцарії заарештували українського хакера, якого розшукує ФБР
СБУ затримала в Києві хакера, що “зливав” спецслужбам РФ дані з е-систем українських банківСБУ затримала в Києві хакера, що “зливав” спецслужбам РФ дані з е-систем українських банків
США предложили вознаграждение до 10 млн долларов за информацию о хакерах из РФСША предложили вознаграждение до 10 млн долларов за информацию о хакерах из РФ
Instagram запустила функцию Playback — она позволит поделиться своими лучшими историями за 2021 год
Неизвестным хакерам удалось взломать систему электронной почты ФБР
США объявили награду в 10 млн долларов за информацию о хакерах DarkSide
Acer подтвердила факт взлома систем компании хакерами
Киберполицейские разоблачили украинского хакера. Пострадавшим нанесено более $150 миллионов убытков
Около 200 американских компаний пострадали от кибератаки, которую связывают с роSSийскими хакерами
Последние новости

Подгружаем последние новости