В феврале 2000 года пятнадцатилетний канадский хакер Майкл MafiaBoy Калц запустил серию DDoS-атак, которые обрушили сервера Yahoo!, Fifa.com, Amazon.com, Dell, E-TRADE, eBay, и CNN. Оценки ущерба варьировались от 7,5 млн долл, если учитывать только прямые последствия, до 1,5 млрд долл, если принять в расчет такие факторы, как снижение капитализации.

Через два месяца ФБР и Королевская конная полиция Канады вычислили школьника, который хвастался в чатах, что именно он «завалил Dell». На суде Майкл признал большинство выдвинутых против него обвинений, но как несовершеннолетний получил лишь восемь месяцев условного заключения и незначительный штраф.

Семнадцать лет спустя на конференции HP по безопасности MafiaBoy, больше похожий на звезду сериалов, чем на типичного айтишника, рассказывает о том, как думают и за чем охотятся современные хакеры. По его словам, он «давно на правильной стороне, но сохранил ключевые контакты».

DGL.ru поговорил с MafiaBoy о новых технологиях, Интернете вещей, надежности смартфонов и русских хакерах.

MafiaBoyЧто изменилось в индустрии черного ИТ с тех пор, когда вы были ее активным участником?

Выросло число инструментов которые доступны в «даркнете». Их может купить каждый. Когда-то мы были закрытым, эксклюзивным сообществом. Это больше не так.

Войти в сообщество стало проще?

Конечно. Достаточно найти и загрузить специальное приложение, разобраться в том как его установить и настроить. И все. Вперед! Тысячи уязвимостей. Сотни инструментов. Чтобы всем этим пользоваться, не нужно особенных навыков. Пугающий факт. Но это факт.

В свое время суд приговорил вас к восьми месяцам домашнего ареста и штрафу в 250 долларов и кажется, на вас это подействовало. Что должно случиться с современными хакерами, чтобы они оставили свое занятие?

Занимаясь хакерством, ты не чувствуешь угрызений совести. Чтобы ударить кого-то, оскорбить, отнять деньги нужно переступить через моральный запрет. Ощутить немедленный укол совести. Когда ты взламываешь компьютерную защиту, ничего подобного не происходит. Все, с чем ты имеешь дело, цифры. В этот момент ты не осознаешь, что приносишь кому-то вред. А иногда и потом не осознаешь.

Вместо того, чтобы пытаться объяснить киберпреступникам, как нехорошо они поступают, эффективнее рассказывать, сколько всего интересного они могут сделать, перейдя на светлую сторону силы. На этой стороне масса возможностей испытать себя. Стать частью небольшой группы специалистов по ИТ-безопасности, противостоящей огромной армии хакеров — это круто!

Можно ли до сих пор заработать хакерством?

Ответ на вопрос сильно зависит от того, чем именно заниматься. Индустрия «черного ИТ» сильно развилась и специализировалась. Но в каждой области есть достаточное число специалистов, которые делают очень приличные деньги.

Русские хакеры, о которых столько говорят, действительно настолько сильны и профессиональны?

Наиболее серьезные сообщества, в которые я входил, были организованы русскими. Русские очень сильны. То как они видят цифры, как они подходят к коду — это совершенно другой уровень. Их конек — программирование на ассемблере. Для большинства хакеров достаточно найти уязвимость и проникнуть в систему. Сейчас это довольно несложно. Русские могут делать невероятные вещи, находясь внутри системы. По моему личному мнению, русские — лучшие хакеры в мире.

Обвинения, выдвинутые американской прессой, в том, что связанные с Россией хакерские группировки ответственны за взлом почтовых серверов демократической партии, имеют под собой основания?

Абсолютно. Все мои контакты в мире «черного ИТ» сходятся на том, что именно так все и обстояло. Другое дело, что степень их влияния могла быть сильно преувеличена.

Наши коллеги из HP сегодня продемонстрировали аппаратные решения* для защиты устройств. Насколько «железо» способно решить проблемы безопасности?

*Речь идет о технологии HP Sure Start и использовании специального защищенного чипа, хранящего в себе эталонную версию BIOS, который не позволяет при запуске компьютера загружать низкоуровневые вредоносные программы.

Это хорошая идея: хранить BIOS в защищенной микросхеме и при загрузке каждый раз проверять, не внесены ли в исходный код какие-либо изменения. Она может быть эффективной. Мы должны создавать максимально возможное число степеней защиты как на уровне операционной системы так и на более низких. Мне нравится мысль перенести часть функций безопасности в специализированные чипы.

Расскажите о своем видении Интернета вещей. Как вы оцениваете потенциальные возможности и угрозы этой концепции?

Интернет вещей — большая тема. Очень многообещающая, с большим числом практических применений. Но мне кажется, мы движемся к Интернету вещей слишком быстро. В медицине активно используются устройства для дистанционного управления подачей лекарств. Некоторые из них уже взломаны. Это пугает. Невозможно отрицать выгоды, которые несет IoT. Но нужно учитывать и рост уязвимостей. Следить за балансом между практичностью и безопасностью.

За последние пять лет технологии шагнули дальше, чем за предыдущие пятьсот. Я знаю компании, которые выпускают на рынок софт, зная об уязвимостях и не обращая на них внимание. Все равно через полгода будет обновление. Мы все должны притормозить и перестать ставить новый несовершенный софт поверх старого несовершенного софта.

Не считаете, что здесь должны сыграть свою роль регуляторы, например обязав производителей IoT-устройств информировать покупателей о возможных рисках, связанных с их использованием?

Определенный контроль необходим, поскольку потребители относятся к IoT-гаджетам слишком беспечно. Но это не отменяет ответственности потребителей за то, какие устройства они покупают и как ими пользуются. Если у вас есть время, чтобы по пять часов в день сидеть в социальных сетях, не говорите мне, что не можете найти десять минут, чтобы настроить файервол, поменять пароль: сделать те простые, но необходимые вещи, которые повысят вашу безопасность.

Пользователей неплохо было бы призвать к ответу. Если через ваш компьютер распространяется зараженный файл, идет спам или DDOS-атака, и все это потому, что вы поленились проапдейтить операционную систему, вы должны за это отвечать. ОК, пусть это будет не тюремное заключение, но штраф заплатить стоит.

Каким смартфоном или телефоном вы пользуетесь? Евгений Касперский любит показывать свой кнопочный Sony-Ericsson, поскольку считает, что ни один смартфон не является достаточно надежным.

Забота о информационной безопасности может стать изматывающей. В какой-то момент надо остановиться. Я пользуюсь iPhone. iOS достаточно безопасная операционная система, которая регулярно обновляется. Я знаю, что когда приходит уведомление с предложением обновиться, многие кликают «Нет», хотя должны бы кликнуть «Да». Поскольку их собственная информационная безопасность зависит в том числе от регулярной установки обновлений.

Обычные устройства вокруг нас в этой и соседних комнатах, насколько они защищены?

Предположу, что смог бы взломать большинство из них. У многих наверняка активирована поддержка Bluetooth. Кто-то использует устаревшую версию операционной системы. Процентов 70-80 устройств вокруг нас можно легко вскрыть.

Можно ли сказать то же самое про инфраструктурные объекты, такие как электростанции и системы водоснабжения? Насколько они уязвимы для хакерских атак?

Гипотетические риски велики. Взять хлорирование на водопроводных станциях. Если объем хлора увеличить, вода станет ядовитой. Лично я не тестировал на уязвимость такие системы. Но по моим данным, критические участки инфраструктуры не имеют выхода в Сеть. Что не отменяет возможности атаки изнутри. Например с помощью вредоноса, занесенного на флешке.

Что движет молодыми людьми, которые выбирают путь хакера?

Заманчивая возможность проверить себя, доказать свои силы в решении сложных задач. Дело не только в деньгах. Даже если бы моя профессия приносила гораздо меньше, я все равно занимался бы ей. Я люблю технологии и то, что они принесли в нашу жизнь. Нужно лишь быть более аккуратными с их использованием, не спешить и более ответственно относиться к тем возможностям, которые мы получаем.

 

1182