Как темнеет белая шляпа: история превращения в хакера

Бывший сотрудник компьютерной консалтинговой фирмы The Canton Group был арестован ФБР после выполнения аудита безопасности компьютерной сети университета штата Мэриленд. В награду за проделанную работу ему представили целый ряд обвинений. 

До недавнего времени Дэвид Хелковски (David Helkowski) был известен в Балтиморе как представитель этических хакеров, также называемых «Белыми шляпами». Такие люди часто выполняют на добровольных началах сложную работу по аудиту безопасности программ, устройств с криптографической защитой и компьютерных сетей. В отличие от «Чёрных шляп», они ищут уязвимости с целью помочь разработчикам сделать свой продукт более защищённым и обычно не разглашают сведения о найденных ошибках до их устранения.

Дэвид Хелковски - разработчик, ставший хакером (фото: townnews.com).
Дэвид Хелковски — разработчик, ставший хакером (фото: townnews.com).

Термин ethical hacker отражает целую философию жизни, краткая суть которой в стремлении отдельных специалистов сделать ИТ-сферу более надёжной и безопасной для простых пользователей. Часто это происходит в ущерб собственной выгоде, требует высокой квалификации и немалых усилий в свободное время.

Обычно правительство и соответствующие службы лояльно относятся к таким людям, изредка контролируя их деятельность. Для них устраиваются открытые конференции по безопасности, а ведущих специалистов привлекают для раскрытия преступлений в сфере высоких технологий.

Описанный Дэвидом случай нарушения сложившихся традиций очень показателен. Он ставит под угрозу любую подобную деятельность, если она не санкционирована официально. Проблема в том, что многие организации весьма халатно относятся к вопросам безопасности и не заказывают подобных услуг. Вместо тестов на проникновение и рекомендаций по усилению защиты они предпочитают «сейф без задней стенки» и формальное соответствие минимальным требованиям.

Хелковски рассказал свою историю на Reddit в потоке он под названием «IamA Hacker who was Raided by the FBI and Secret Service AMAA!». Пост набрал триста пятьдесят комментариев, но затем был удалён якобы за нарушение правил сайта. Тогда прямо во время расследования он встретился с прессой. Первыми у него взяли интервью корреспонденты издания Ars Technica.

Во время своей работы в The Canton Group Дэвид в основном занимался анализом проектов с открытым исходным кодом. Также его периодически нанимали разные фирмы, поручая работу от создания веб-скриптов до написания сложных программ на Си.

В ноябре 2013 года его наняли в команду программистов, занимавшихся переносом содержимого сайта медицинской школы университета штата Мэрилэнд. Для удобства Дэвид скопировал весь веб-контент на свой рабочий компьютер. Внезапно его антивирусная программа сообщила об ошибке и аварийно завершилась.

Медицинская школа университета штата Мэрилэнд, чья служба безопасности существует формально (фото: wypr.org).
Медицинская школа университета штата Мэрилэнд, чья служба безопасности существует формально (фото: wypr.org).

Хелковски стал смотреть логи и увидел причину: один из PHP-скриптов содержал признаки обфускации кода для сокрытия его функций и вызывал ошибку в работе антивирусного анализатора.

Дэвид стал изучать код скрипта вручную и обнаружил серьёзную уязвимость. В скрипте был спрятан бэкдор C99Shell, позволяющий удаленному пользователю выполнять произвольные команды на сервере, включая поиск и загрузку файлов. Дополнительно из-за ошибки конфигурации сервера появлялась возможность изменения прав доступа и выполнения атаки на другие узлы университетской сети.

Событие стало поворотным моментом: из разработчика Хелковски превратился в хакера, чья виртуальная шляпа пока сияла девственной белизной. Однако очень скоро ему пришлось выйти за рамки этических методов. Простые уведомления, отправляемые в течение нескольких месяцев администрации университета не возымели действия. Тогда Дэвид вознамерился доказать им свою правоту и стал собирать доказательства практической осуществимости удалённого взлома. 

В феврале этого года он продолжал исследовать университетскую сеть за домашним компьютером. Ему удалось воспользоваться найденной уязвимостью и скопировать из базы данных около трёхсот тысяч записей о студентах, преподавателях и администрации ВУЗа.

Руководство университета отказалось забрать заявление и прокомментировать ситуацию прессе (фото: gazette.net).
Руководство университета отказалось забрать заявление и прокомментировать ситуацию прессе (фото: gazette.net).

Дэвид решается на крайние меры: в знак серьёзности выявленных проблем с настройкой сети он публикует на Reddit номер социального страхования (SSN) президента университета. Это стало роковой ошибкой, поскольку на SSN юридически завязаны многие финансовые документы граждан США, а кража персональных данных широко используется мошенниками и расследуется ФБР.

После демонстрации результатов взлома Хелковски отправляет анонимное письмо сотрудникам недавно учреждённой службы безопасности университета. В нём он вновь подробно описывает найденные проблемы с конфигурацией сервера и надеется на их скорейшее устранение. Вот отрывок из письма:

Из вежливости я даю вам шанс ответить мне лично, иначе буду вынужден поднять шум в интернете... Ваши внутренние идентификаторы перечислены ниже, чтобы привлечь ваше внимание. Если служба безопасности не будет работать над указанной проблемой, то считайте это справедливым предупреждением и последним письмом от меня".

Реакция администрации была удивительной. В открытом письме, опубликованном на следующий день, и в видеообращении президент Уоллес Ло (Wallace Loh) сказал, что «Университет штата Мэриленд стал жертвой изощренной атаки на компьютерную сеть, о чём свидетельствуют присланные записи, содержащие личную информацию».

Несмотря на использование прокси и VPN, к Дэвиду пришли агенты ФБР и стали задавать вопросы. Шестнадцатого марта они получили ордер на обыск и просто вышибли дверь в квартиру. В результате рейда агенты забрали все электронные устройства, но пока не стали арестовывать Дэвида, ограничившись предупреждением о серьёзных последствиях.

До этого инцидента Дэвид вёл совершенно легальную жизнь. Он был хорошим программистом, владеющим многими языками и средствами разработки. Среди увлечений Хелковски было коллекционирование клавиатур, что сыграло забавную роль. Во время обыска к его компьютеру была подключена редкая японская модель. Латинские символы на ней были наклеены не на верхней, а на передней грани каждой клавиши и не соответствовали привычной раскладке. Это ввело агентов ФБР в замешательство и сделало невозможным быстрое копирование данных.

«Я заставил работать эту клавиатуру в Windows, внеся изменения в реестр, – поясняет Дэвид. – Затем я просто запомнил какая клавиша соответствует каждому символу». В этом Дэвиду помогло его музыкальное образование и уроки игры на фортепьяно. После них сотня кнопок запомнилась сама-собой.

В настоящее время против Хелковски выдвинут ряд обвинений в нарушении статей уголовного и гражданского кодекса. Из-за потрясения Дэвид стал выглядеть гораздо старше своих тридцати двух лет. У него появились седые волосы и полное разочарование в государственной системе, где проще закрывать глаза на проблемы и устранять не их, а тех, кто пытается сделать мир безопаснее.



Андрей Васильков, Компьютерра

Коды для вставки в блог\форум



Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
Google: ссылки не истекают, но могут становиться менее важными со временемGoogle: ссылки не истекают, но могут становиться менее важными со временем
Киберполиция закрыла интернет-магазины, которые продавали фейковые товары Procter&Gamble. Доход — 500 000 грн в месяцКиберполиция закрыла интернет-магазины, которые продавали фейковые товары Procter&Gamble. Доход — 500 000 грн в месяц
WSJ: Google раздумывает над покупкой конкурента TikTokWSJ: Google раздумывает над покупкой конкурента TikTok
В Instagram теперь можно опробовать товар перед покупкой с помощью ARВ Instagram теперь можно опробовать товар перед покупкой с помощью AR
SEC приостановила ICO Telegram. Дуров обещал запустить блокчейн до 31 октября
Блок рекламы


Похожие новости

Киберполиция разоблачила хакера, взломавшего более 2 тыс. компьютеров украинцевКиберполиция разоблачила хакера, взломавшего более 2 тыс. компьютеров украинцев
Киберполиция поймала 18-летнего хакера, распространявшего вирусы под видом обновлений для игрКиберполиция поймала 18-летнего хакера, распространявшего вирусы под видом обновлений для игр
СБУ сообщила о разоблачении одесского хакера. Он был причастен к взлому NASDAQ и атакам на инфраструктуру Украины
Киберполиция разоблачила украинцев, которые сотрудничали с роSSийскими хакерамиКиберполиция разоблачила украинцев, которые сотрудничали с роSSийскими хакерами
В США судят украинского хакера. Он воровал кредитки в составе FIN7
Facebook тестирует объединение обычных постов с «историями» в лентеFacebook тестирует объединение обычных постов с «историями» в ленте
Киберполиция задержала хакера, распространявшего вирусы для кражи данныхКиберполиция задержала хакера, распространявшего вирусы для кражи данных
США предъявили обвинения хакерам, связанным с китайской разведкойСША предъявили обвинения хакерам, связанным с китайской разведкой
В Болгарии по запросу из США арестовали роSSийского хакераВ Болгарии по запросу из США арестовали роSSийского хакера
GoDaddy: 74% взломанных сайтов были атакованы хакерами в SEO-целяхGoDaddy: 74% взломанных сайтов были атакованы хакерами в SEO-целях
Последние новости

Подгружаем последние новости