Первая (отсутствующая) глава книги Кевина Митника 1
Первая (отсутствующая) глава книги Кевина Митника
Кевин Митник — взломщик телефонов и компьютеров из США, человек, уже ставший легендой благодаря журналисту "Нью-Йорк Таймс" Маркоффу, заработавшему миллион долларов на клевете и сенсациях…
Эта статья — начало публикации первой главы из книги Кевина Митника "Искусство обмана". В опубликованной книге отсутствовала первая глава, которую издатели изъяли из оригинала, предоставленного публике. По этой отсутствующей главе ни разу не было дано объяснений, и ни разу с тех пор она не была показана. Тем не менее, глава таинственно появилась в списках рассылки Еху (Yahoo), далее распространившись в сети Интернет. Чтобы сделать перевод доступным для неспециалиста, я по возможности убирал молодежный сленг и выражения, специфичные для компьютерного "андеграунда", намеренно упрощая оригинальный текст.
Предисловие со слов самого Митника...
Мне было неприятно писать эту главу, потому что я был уверен, что это самовосхваление. Хорошо, пусть это будет самовосхваление. Но мне пришлось общаться буквально с сотнями людей, которые хотели знать: "Кто такой Кевин Митник на самом деле"? Кого это не интересует, пожалуйста, обращайтесь к главе 2. Вот моя история для всякого, кто считает, что с ней стоит ознакомиться.
Говорит Митник
Какие-то хакеры, которых зовут взломщиками или вандалами, разрушают у людей файлы или весь жесткий диск. Некоторые, хакеры-новички, не утруждая себя изучением технологий, просто скачивают хакерские утилиты для вторжения в компьютерные системы, их называют "детьми скриптов". Наиболее опытные хакеры с навыками программирования разрабатывают хакерские программы и посылают их в Интернет и на ББС. И, наконец, есть отдельные личности, не испытывающие интереса к технологиям, но использующие компьютер только как инструмент для кражи денег, товаров или услуг.
Несмотря на миф, созданный СМИ, я — не злонамеренный хакер. То, что я делал, не было противозаконным, когда я начинал, но стало преступлением после введения нового законодательства, я же, в любом случае, продолжал свое и был схвачен. Федеральное правительство так обращалось со мной не из-за преступлений, но из желания сделать из меня показательный пример. Я не заслуживал того, чтобы со мной обращались как с террористом или особо опасным преступником: обыск моего жилища с незаполненным ордером на обыск, заключение в одиночку на месяцы, лишение основных конституционных прав, гарантированных любому обвиняемому в преступлении, отказ не только в поручительстве, но и в самих слушаниях по поручительству. Я вынужден был потратить годы на борьбу за получение доказательств своей вины от правительства, чтобы мой адвокат, назначенный судом, мог подготовить мою защиту.
А где мое право на безотлагательное рассмотрение дела открытым судом присяжных? В течение нескольких лет каждые шесть месяцев меня ставили перед выбором: или подпиши бумагу с отказом от твоего права по Конституции на безотлагательное рассмотрение открытым судом присяжных, или иди на суд с защитником, который не подготовлен. Я решил подписать. Но я забежал вперед в своем рассказе.
Начало
Вероятно, мой путь обозначился очень рано. Я был благополучным и счастливым, но скучающим ребенком. После того как отец "откололся" от нас, моя мать работала официанткой, чтобы нас обеспечить. Тот, кто захочет понять меня, единственного ребенка в семье, которого поставила на ноги мать, метавшаяся долгие дни в спешке, порой по сумасбродному плану, должен представить подростка, все время предоставленного самому себе. Я воспитывал сам себя.
Я рос в микрорайоне "Долина Сан Фернандо", что дало мне возможность исследовать весь Лос-Анджелес, и к двенадцати годам я нашел способ, как бесплатно уезжать гораздо дальше самого Лос-Анджелеса. В один из дней во время поездки на автобусе я понял всю систему безопасности автобусных пересадок, основанную на неповторяющихся узорах компостеров, которые использовали водители для обозначения дня, времени и маршрута на листках "билетов с пересадкой". Благодушно настроенный водитель, ответивший на мой хорошо поставленный вопрос, также выдал, где можно купить этот специальный тип компостера.
Под термином "билет с пересадкой" подразумевается возможность для человека сменить автобусные маршруты и продолжить поездку к месту назначения, но я придумал, как использовать "билеты с пересадкой" для бесплатных путешествий туда, куда мне хотелось. Добыча пустых "билетов с пересадкой" была прогулкой по парку: мусорные корзины на автобусных станциях были всегда заполнены только частично использованными билетами, которые выбрасывали сами водители перед сменой маршрутов. С пачкой пустых листов и дыроколом я мог отмечать только мои поездки и путешествовать везде, где ходили автобусы Луизианы. По прошествии времени я имел все расписания маршрутов для всей системы, и, к тому же, заученные наизусть. Это — ранний пример моей удивительной памяти на определенные типы информации, и сейчас я могу вспомнить телефонные номера, пароли и другие заметки начиная с раннего детства.
Другой интерес, проявленный в раннем возрасте, — это мое увлечение фокусами. Раз поняв, как работает новый трюк, я практиковался, практиковался и практиковался до тех пор, пока не овладевал им. В значительной степени благодаря фокусам я обнаружил в себе удовольствие от одурачивания людей.
От взломщика телефонов к хакеру
Первая моя встреча, с которой в итоге началось мое увлечение социальной инженерией, произошла во время моей учебы в высшей школе, когда я встретил студента, увлеченного своим хобби под названием "фрикинг". "Фрикинг" — это один из видов хэкинга, который дает возможность исследовать телефонные сети, эксплуатируя системы и персонал телефонных компаний. Он показал мне изящные уловки, какие он мог проделывать с телефоном, как-то: получение любой информации о любом абоненте, которую имела по нему телефонная компания, использование секретного тестового номера для бесплатных междугородних звонков (на самом деле бесплатных только для нас: как я выяснил позднее, это был вовсе не секретный тестовый номер: все звонки на самом деле оплачивались за счет "бедной" компании).
Это было моим первым знакомством с социальной инженерией, моей колыбелью, но продолжим рассказ. Он и еще один взломщик телефонов, которого я встретил чуть позднее, дали мне услышать, как каждый из них делал звонки от имени компании. Я слышал, что слова, которые они произносили, звучали правдоподобно, я выучил реквизиты разных офисов телефонных компаний, их сленг и методы. Но это "обучение" долго не длилось, да и не должно было. Вскоре я делал все сам, обучаясь по ходу дела, выполняя все даже лучше, чем мои первые учителя. Вот так сложился мой стиль жизни на следующие пятнадцать лет.
Одной из моих любимых шуток было получение несанкционированного доступа к телефонному коммутатору и смена класса обслуживания у приятеля. Когда он пытался звонить из дому, он получал сообщение, что должен вставить десятицентовую монету, так как коммутатор телефонной компании получал вызов, который показывал, что он звонил с таксофона.
Я ушел с головой во все, что касалось телефонов — не только в электронику, коммутаторы, но и во все принципы организации, методы работы и терминологию. Вскоре я, наверное, знал о телефонной системе больше, чем любой отдельно взятый ее служащий. И я усовершенствовал свои собственные навыки в социальной инженерии до такой степени, что, когда мне было семнадцать, я мог убедить большинство служащих Телко в чем угодно, разговаривая лично или по телефону.
Моя карьера хакера началась еще в высшей школе. Тогда мы применяли термин "хакер" к человеку, который тратил массу времени на попытки улучшить аппаратное и программное обеспечение, разрабатывая программы, как действующие более эффективно, так и пропускающие ненужные шаги, еще быстрее выполняющие работу. Сейчас этот термин стал уничижительным и имеет оттенок "злонамеренного преступника". Но на этих страницах я использую слово так, как я всегда использовал его ранее — в добром его значении.
В конце 1979 г. группа парней типа хакеров, которые работали на Объединенный школьный район Лос-Анджелеса, подбили меня попробовать проникнуть в Ark [дословно: ковчег] — компьютерную систему корпорации DEC, использовавшуюся для разработки программного обеспечения их операционной системы RSTS/E. Я хотел, чтобы парни меня приняли в свою хакерскую группировку, и я мог бы воспользоваться их мозгами и больше узнать об операционных системах.
Эти новые "друзья" сумели достать номер удаленного телефонного доступа к компьютерной системе корпорации DEC. Но они знали, что номер не принесет мне никакой пользы. Не зная ни имени учетной записи, ни пароля, я никогда не смогу туда войти. Им не хватило времени понять то, что, когда кто-то недооценивает остальных, это может к нему вернуться, чтобы его же и цапнуть. Как оказалось, для меня, даже в таком раннем возрасте, проникновение в систему, принадлежавшую DEC, было пустяковым делом. Представившись как Антон Чернофф, который был одним из ведущих разработчиков проекта, я сделал простой звонок системному администратору. Я притворился, что не могу зайти через одну из "моих" учетных записей, и был достаточно убедительным, чтобы приказать парню дать мне доступ и позволить выбрать такой пароль, какой я выберу сам.
Во время входа по удаленному телефонному доступу пользователь должен дать также и пароль, что было дополнительным уровнем защиты. Системный администратор сказал мне пароль. Это слово было "buffoon" [дословно: шут, фигляр], по-моему, это то, кем он должен был себя почувствовать, когда понял все, что произошло. Я получил доступ к RSTS/E — DEC'овской системе разработки. И я вошел не как рядовой пользователь, а со всеми привилегиями разработчика системы.
Сначала мои новые так называемые друзья отказались поверить в то, что я получил доступ в Ark. Один из них набрал телефон удаленного доступа в систему и подсунул мне, с сомневающимся выражением на лице, клавиатуру. И уронил челюсть, когда я прозаично зашел в систему по привилегированной учетной записи. Позже я узнал, что они ушли в другое место и в тот же день начали скачивать исходные тексты для компонент операционной системы DEC.
Потом была моя очередь рухнуть на пол. После того как они скачали все программы, которые хотели, они позвонили в отдел безопасности компании DEC и сообщили, что кто-то взломал корпоративную сеть компании. И дали мое имя. Мои так называемые друзья сначала использовали мой доступ, чтобы скопировать высококритичные исходные тексты, а затем "сдали" меня. Шли годы, но я снова и снова попадал в беду, потому что доверял людям, которых считал своими друзьями.
После высшей школы я изучал компьютеры в Компьютерном Обучающем Центре в Лос-Анджелесе. Через пару месяцев управляющий компьютерами в школе понял, что я нашел уязвимость в операционной системе и получил все административные привилегии в их мини-компьютере IBM. Лучшие эксперты по компьютерам из их преподавательского состава не смогли понять, как мне это удалось. Что может послужить одним из первых примеров того, как "припахали хакера", так это то, как мне сделали предложение, от которого я не мог отказаться: или сделай на "отлично" проект по усилению безопасности компьютера в школе, или исключение за взлом системы. Конечно, я выбрал выполнение проекта на "отлично" и закончил с отличием школу "Кум Лауде".
Автор перевода и комментариев Valient Newman,
http://www.geocities.com/werebad/
Кевин Митник — взломщик телефонов и компьютеров из США, человек, уже ставший легендой благодаря журналисту "Нью-Йорк Таймс" Маркоффу, заработавшему миллион долларов на клевете и сенсациях…
Эта статья — начало публикации первой главы из книги Кевина Митника "Искусство обмана". В опубликованной книге отсутствовала первая глава, которую издатели изъяли из оригинала, предоставленного публике. По этой отсутствующей главе ни разу не было дано объяснений, и ни разу с тех пор она не была показана. Тем не менее, глава таинственно появилась в списках рассылки Еху (Yahoo), далее распространившись в сети Интернет. Чтобы сделать перевод доступным для неспециалиста, я по возможности убирал молодежный сленг и выражения, специфичные для компьютерного "андеграунда", намеренно упрощая оригинальный текст.
Предисловие со слов самого Митника...
Мне было неприятно писать эту главу, потому что я был уверен, что это самовосхваление. Хорошо, пусть это будет самовосхваление. Но мне пришлось общаться буквально с сотнями людей, которые хотели знать: "Кто такой Кевин Митник на самом деле"? Кого это не интересует, пожалуйста, обращайтесь к главе 2. Вот моя история для всякого, кто считает, что с ней стоит ознакомиться.
Говорит Митник
Какие-то хакеры, которых зовут взломщиками или вандалами, разрушают у людей файлы или весь жесткий диск. Некоторые, хакеры-новички, не утруждая себя изучением технологий, просто скачивают хакерские утилиты для вторжения в компьютерные системы, их называют "детьми скриптов". Наиболее опытные хакеры с навыками программирования разрабатывают хакерские программы и посылают их в Интернет и на ББС. И, наконец, есть отдельные личности, не испытывающие интереса к технологиям, но использующие компьютер только как инструмент для кражи денег, товаров или услуг.
Несмотря на миф, созданный СМИ, я — не злонамеренный хакер. То, что я делал, не было противозаконным, когда я начинал, но стало преступлением после введения нового законодательства, я же, в любом случае, продолжал свое и был схвачен. Федеральное правительство так обращалось со мной не из-за преступлений, но из желания сделать из меня показательный пример. Я не заслуживал того, чтобы со мной обращались как с террористом или особо опасным преступником: обыск моего жилища с незаполненным ордером на обыск, заключение в одиночку на месяцы, лишение основных конституционных прав, гарантированных любому обвиняемому в преступлении, отказ не только в поручительстве, но и в самих слушаниях по поручительству. Я вынужден был потратить годы на борьбу за получение доказательств своей вины от правительства, чтобы мой адвокат, назначенный судом, мог подготовить мою защиту.
А где мое право на безотлагательное рассмотрение дела открытым судом присяжных? В течение нескольких лет каждые шесть месяцев меня ставили перед выбором: или подпиши бумагу с отказом от твоего права по Конституции на безотлагательное рассмотрение открытым судом присяжных, или иди на суд с защитником, который не подготовлен. Я решил подписать. Но я забежал вперед в своем рассказе.
Начало
Вероятно, мой путь обозначился очень рано. Я был благополучным и счастливым, но скучающим ребенком. После того как отец "откололся" от нас, моя мать работала официанткой, чтобы нас обеспечить. Тот, кто захочет понять меня, единственного ребенка в семье, которого поставила на ноги мать, метавшаяся долгие дни в спешке, порой по сумасбродному плану, должен представить подростка, все время предоставленного самому себе. Я воспитывал сам себя.
Я рос в микрорайоне "Долина Сан Фернандо", что дало мне возможность исследовать весь Лос-Анджелес, и к двенадцати годам я нашел способ, как бесплатно уезжать гораздо дальше самого Лос-Анджелеса. В один из дней во время поездки на автобусе я понял всю систему безопасности автобусных пересадок, основанную на неповторяющихся узорах компостеров, которые использовали водители для обозначения дня, времени и маршрута на листках "билетов с пересадкой". Благодушно настроенный водитель, ответивший на мой хорошо поставленный вопрос, также выдал, где можно купить этот специальный тип компостера.
Под термином "билет с пересадкой" подразумевается возможность для человека сменить автобусные маршруты и продолжить поездку к месту назначения, но я придумал, как использовать "билеты с пересадкой" для бесплатных путешествий туда, куда мне хотелось. Добыча пустых "билетов с пересадкой" была прогулкой по парку: мусорные корзины на автобусных станциях были всегда заполнены только частично использованными билетами, которые выбрасывали сами водители перед сменой маршрутов. С пачкой пустых листов и дыроколом я мог отмечать только мои поездки и путешествовать везде, где ходили автобусы Луизианы. По прошествии времени я имел все расписания маршрутов для всей системы, и, к тому же, заученные наизусть. Это — ранний пример моей удивительной памяти на определенные типы информации, и сейчас я могу вспомнить телефонные номера, пароли и другие заметки начиная с раннего детства.
Другой интерес, проявленный в раннем возрасте, — это мое увлечение фокусами. Раз поняв, как работает новый трюк, я практиковался, практиковался и практиковался до тех пор, пока не овладевал им. В значительной степени благодаря фокусам я обнаружил в себе удовольствие от одурачивания людей.
От взломщика телефонов к хакеру
Первая моя встреча, с которой в итоге началось мое увлечение социальной инженерией, произошла во время моей учебы в высшей школе, когда я встретил студента, увлеченного своим хобби под названием "фрикинг". "Фрикинг" — это один из видов хэкинга, который дает возможность исследовать телефонные сети, эксплуатируя системы и персонал телефонных компаний. Он показал мне изящные уловки, какие он мог проделывать с телефоном, как-то: получение любой информации о любом абоненте, которую имела по нему телефонная компания, использование секретного тестового номера для бесплатных междугородних звонков (на самом деле бесплатных только для нас: как я выяснил позднее, это был вовсе не секретный тестовый номер: все звонки на самом деле оплачивались за счет "бедной" компании).
Это было моим первым знакомством с социальной инженерией, моей колыбелью, но продолжим рассказ. Он и еще один взломщик телефонов, которого я встретил чуть позднее, дали мне услышать, как каждый из них делал звонки от имени компании. Я слышал, что слова, которые они произносили, звучали правдоподобно, я выучил реквизиты разных офисов телефонных компаний, их сленг и методы. Но это "обучение" долго не длилось, да и не должно было. Вскоре я делал все сам, обучаясь по ходу дела, выполняя все даже лучше, чем мои первые учителя. Вот так сложился мой стиль жизни на следующие пятнадцать лет.
Одной из моих любимых шуток было получение несанкционированного доступа к телефонному коммутатору и смена класса обслуживания у приятеля. Когда он пытался звонить из дому, он получал сообщение, что должен вставить десятицентовую монету, так как коммутатор телефонной компании получал вызов, который показывал, что он звонил с таксофона.
Я ушел с головой во все, что касалось телефонов — не только в электронику, коммутаторы, но и во все принципы организации, методы работы и терминологию. Вскоре я, наверное, знал о телефонной системе больше, чем любой отдельно взятый ее служащий. И я усовершенствовал свои собственные навыки в социальной инженерии до такой степени, что, когда мне было семнадцать, я мог убедить большинство служащих Телко в чем угодно, разговаривая лично или по телефону.
Моя карьера хакера началась еще в высшей школе. Тогда мы применяли термин "хакер" к человеку, который тратил массу времени на попытки улучшить аппаратное и программное обеспечение, разрабатывая программы, как действующие более эффективно, так и пропускающие ненужные шаги, еще быстрее выполняющие работу. Сейчас этот термин стал уничижительным и имеет оттенок "злонамеренного преступника". Но на этих страницах я использую слово так, как я всегда использовал его ранее — в добром его значении.
В конце 1979 г. группа парней типа хакеров, которые работали на Объединенный школьный район Лос-Анджелеса, подбили меня попробовать проникнуть в Ark [дословно: ковчег] — компьютерную систему корпорации DEC, использовавшуюся для разработки программного обеспечения их операционной системы RSTS/E. Я хотел, чтобы парни меня приняли в свою хакерскую группировку, и я мог бы воспользоваться их мозгами и больше узнать об операционных системах.
Эти новые "друзья" сумели достать номер удаленного телефонного доступа к компьютерной системе корпорации DEC. Но они знали, что номер не принесет мне никакой пользы. Не зная ни имени учетной записи, ни пароля, я никогда не смогу туда войти. Им не хватило времени понять то, что, когда кто-то недооценивает остальных, это может к нему вернуться, чтобы его же и цапнуть. Как оказалось, для меня, даже в таком раннем возрасте, проникновение в систему, принадлежавшую DEC, было пустяковым делом. Представившись как Антон Чернофф, который был одним из ведущих разработчиков проекта, я сделал простой звонок системному администратору. Я притворился, что не могу зайти через одну из "моих" учетных записей, и был достаточно убедительным, чтобы приказать парню дать мне доступ и позволить выбрать такой пароль, какой я выберу сам.
Во время входа по удаленному телефонному доступу пользователь должен дать также и пароль, что было дополнительным уровнем защиты. Системный администратор сказал мне пароль. Это слово было "buffoon" [дословно: шут, фигляр], по-моему, это то, кем он должен был себя почувствовать, когда понял все, что произошло. Я получил доступ к RSTS/E — DEC'овской системе разработки. И я вошел не как рядовой пользователь, а со всеми привилегиями разработчика системы.
Сначала мои новые так называемые друзья отказались поверить в то, что я получил доступ в Ark. Один из них набрал телефон удаленного доступа в систему и подсунул мне, с сомневающимся выражением на лице, клавиатуру. И уронил челюсть, когда я прозаично зашел в систему по привилегированной учетной записи. Позже я узнал, что они ушли в другое место и в тот же день начали скачивать исходные тексты для компонент операционной системы DEC.
Потом была моя очередь рухнуть на пол. После того как они скачали все программы, которые хотели, они позвонили в отдел безопасности компании DEC и сообщили, что кто-то взломал корпоративную сеть компании. И дали мое имя. Мои так называемые друзья сначала использовали мой доступ, чтобы скопировать высококритичные исходные тексты, а затем "сдали" меня. Шли годы, но я снова и снова попадал в беду, потому что доверял людям, которых считал своими друзьями.
После высшей школы я изучал компьютеры в Компьютерном Обучающем Центре в Лос-Анджелесе. Через пару месяцев управляющий компьютерами в школе понял, что я нашел уязвимость в операционной системе и получил все административные привилегии в их мини-компьютере IBM. Лучшие эксперты по компьютерам из их преподавательского состава не смогли понять, как мне это удалось. Что может послужить одним из первых примеров того, как "припахали хакера", так это то, как мне сделали предложение, от которого я не мог отказаться: или сделай на "отлично" проект по усилению безопасности компьютера в школе, или исключение за взлом системы. Конечно, я выбрал выполнение проекта на "отлично" и закончил с отличием школу "Кум Лауде".
Автор перевода и комментариев Valient Newman,
http://www.geocities.com/werebad/
Компьютерная газета. Статья была опубликована в номере 01 за 2004 год в рубрике безопасность :: разное