Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я спросил Митника, что, по его мнению, стоит делать родителям, если они заметили признаки того, что их ребенок занимается вредоносным хакерством. Вот что он посоветовал: «Покажите им законные способы занятия хакерством. Направьте интерес на такие законные и этичные занятия, как посещение конференций по информационной безопасности и участие в конкурсах типа “захват флага”. Родителю стоит бросить ребенку вызов, сказав что-то вроде: “Итак, ты думаешь, что достаточно хорош, чтобы победить в соревновании по захвату флага?” Таким образом родитель применит к ребенку метод социальной инженерии, а тот получит удовольствие от хакерства, не нарушая при этом закон. Например, сегодня я легально взломал корпоративную сеть, и это показалось мне не менее захватывающим, чем те неэтичные и противозаконные вещи, которыми я когда-то занимался. Хотел бы я, чтобы в мое время существовали те законные способы взлома, которые есть сейчас. Жаль, что я не могу вернуться и все исправить. Знаете, чем отличается незаконный взлом от законного? Написанием отчета!»

Я спросил, как Митник, обладающий жизненным опытом «по обе стороны забора», относится к тому, что правительство считает себя вправе следить за частной жизнью граждан. Вот что он на это сказал: «Я думаю, мы все имеем право на частную жизнь. Моя последняя книга “Искусство быть невидимым” (https://book24.ru/product/iskusstvo-byt-nevidimym-kak-sokhranit-privatnost-v-epokhu-big-data-5255267/) как раз о том, как человек может сохранить тайну своей частной жизни. Я думаю, очень трудно сохранять приватность, если вами интересуется кто-то вроде АНБ или правительства, обладающих неограниченными средствами. Если они не могут взломать ваши зашифрованные сообщения, то могут просто использовать одну из многих известных им уязвимостей нулевого дня и взломать ваш компьютер, либо купить такую уязвимость. За 1,5 млн долларов можно купить уязвимость нулевого дня в системе Apple, за полмиллиона – брешь в системе Android и так далее. Если у вас есть средства и ресурсы, вы получите необходимую информацию. В той книге я написал, что владею способом, который позволяет защититься даже от них, но его сложно осуществить и он включает в себя много шагов. Однако я думаю, что это все-таки можно провернуть таким образом, что даже АНБ и любому правительству будет трудно до вас добраться. Я понимаю, что в определенных случаях правительство должно обладать информацией, например когда речь идет о терроризме, но они хотят видеть и слышать всех и вся. И если за вами наблюдают, вы меняете свое поведение, а это означает ограничение свободы. Я не думаю, что свобода возможна без конфиденциальности».

В конце интервью я напомнил Митнику о том, что мы уже встречались на конференции по вопросам ИБ много лет назад, где он собирался выступить в качестве главного докладчика. Проходя мимо, он сказал, что ему нужен USB-накопитель, чтобы перенести свою презентацию на компьютер, находящийся на сцене. У меня был один в кармане, и я предложил его. Кевин уже собирался взять флешку, но, подумав пару секунд, отказался, заявив, что не доверяет чужим USB-ключам. Несколько человек, стоявших поблизости, посмеялись над его паранойей. В конце концов, USB-устройство не может быть вредоносным. Так, по крайней мере, все тогда считали.

Никто, правда, не знал, что я обнаружил способ автоматического запуска любой программы с любого портативного носителя (используя трюк со скрытым файлом desktop.ini, который позднее использовала вредоносная программа Stuxnet), и предложенный мною USB-накопитель как раз содержал демонстрационную версию этого эксплойта. Я не намеревался заражать систему Митника. Просто в то время этот эксплойт был на всех моих USB-накопителях, включая тот, который я предложил ему.

Паранойя Митника уберегла его от обнаруженной мною уязвимости нулевого дня. Этот пример также показывает, насколько трудно обмануть профессионального социального инженера, по-прежнему находящегося на пике формы.

Более подробно познакомиться с историей Кевина Митника можно по ссылкам:

• официальный сайт Кевина Митника: https://www.mitnicksecurity.com/;

• «Призрак в Сети. Мемуары величайшего хакера»: https://book24.ru/product/prizrak-v-seti-memuary-velichayshego-khakera-180793/;

• «Искусство быть невидимым»: https://book24.ru/product/iskusstvo-byt-nevidimym-kak-sokhranit-privatnost-v-epokhu-big-data-5255267/;

• The Art of Deception: https://www.amazon.com/Art-Deception-Controlling-Element-Security/dp/076454280X/;