Коллектив Авторов - Цифровой журнал «Компьютерра» № 224
Описанный Дэвидом случай нарушения сложившихся традиций очень показателен. Он ставит под угрозу любую подобную деятельность, если она не санкционирована официально. Проблема в том, что многие организации весьма халатно относятся к вопросам безопасности и не заказывают подобных услуг. Вместо тестов на проникновение и рекомендаций по усилению защиты они предпочитают «сейф без задней стенки» и формальное соответствие минимальным требованиям.
Хелковски рассказал свою историю на Reddit в потоке под названием «IamA Hacker who was Raided by the FBI and Secret Service AMAA!». Пост набрал триста пятьдесят комментариев, но затем был удалён якобы за нарушение правил сайта. Тогда прямо во время расследования он встретился с прессой. Первыми у него взяли интервью корреспонденты издания Ars Technica.
Во время своей работы в The Canton Group Дэвид в основном занимался анализом проектов с открытым исходным кодом. Кроме того, его периодически нанимали разные фирмы, поручая работу от создания веб-скриптов до написания сложных программ на Си.
В ноябре 2013 года его наняли в команду программистов, занимавшихся переносом содержимого сайта медицинской школы Университета штата Мэриленд. Для удобства Дэвид скопировал весь веб-контент на свой рабочий компьютер. Внезапно его антивирусная программа сообщила об ошибке и аварийно завершилась.
Медицинская школа Университета штата Мэриленд, служба безопасности которого существует формально (фото: wypr.org).
Хелковски стал смотреть логи и увидел причину: один из PHP-скриптов содержал признаки обфускации кода для сокрытия его функций и вызывал ошибку в работе антивирусного анализатора.
Дэвид стал изучать код скрипта вручную и обнаружил серьёзную уязвимость. В скрипте был спрятан бэкдор C99Shell, позволяющий удаленному пользователю выполнять произвольные команды на сервере, включая поиск и загрузку файлов. Дополнительно из-за ошибки конфигурации сервера появлялась возможность изменения прав доступа и выполнения атаки на другие узлы университетской сети.
Событие стало поворотным моментом: из разработчика Хелковски превратился в хакера, чья виртуальная шляпа пока сияла девственной белизной. Однако очень скоро ему пришлось выйти за рамки этических методов. Простые уведомления, отправляемые в течение нескольких месяцев администрации университета, не возымели действия. Тогда Дэвид вознамерился доказать им свою правоту и стал собирать доказательства практической осуществимости удалённого взлома.
В феврале этого года он продолжал исследовать университетскую сеть за домашним компьютером. Ему удалось воспользоваться найденной уязвимостью и скопировать из базы данных около трёхсот тысяч записей о студентах, преподавателях и администрации вуза.
Руководство университета отказалось забрать заявление и прокомментировать ситуацию прессе (фото: gazette.net).
Дэвид решается на крайние меры: в знак серьёзности выявленных проблем с настройкой сети он публикует на Reddit номер социального страхования (SSN) президента университета. Это стало роковой ошибкой, поскольку на SSN юридически завязаны многие финансовые документы граждан США, а кража персональных данных широко используется мошенниками и расследуется ФБР.
После демонстрации результатов взлома Хелковски отправляет анонимное письмо сотрудникам недавно учреждённой службы безопасности университета. В нём он вновь подробно описывает найденные проблемы с конфигурацией сервера и надеется на их скорейшее устранение. Вот отрывок из письма: «Из вежливости я даю вам шанс ответить мне лично, иначе буду вынужден поднять шум в интернете… Ваши внутренние идентификаторы перечислены ниже, чтобы привлечь ваше внимание. Если служба безопасности не будет работать над указанной проблемой, то считайте это справедливым предупреждением и последним письмом от меня».
Реакция администрации была удивительной. В открытом письме, опубликованном на следующий день, и в видеообращении президент Уоллес Ло (Wallace Loh) сказал, что университет «стал жертвой изощренной атаки на компьютерную сеть, о чём свидетельствуют присланные записи, содержащие личную информацию».
http://www.youtube.com/watch?v=ELq5TO3ilS0
Несмотря на использование прокси и VPN, к Дэвиду пришли агенты ФБР и стали задавать вопросы. Шестнадцатого марта они получили ордер на обыск и просто вышибли дверь в квартиру. В результате рейда агенты забрали все электронные устройства, но пока не стали арестовывать Дэвида, ограничившись предупреждением о серьёзных последствиях.
До этого инцидента Дэвид вёл совершенно легальную жизнь. Он был хорошим программистом, владеющим многими языками и средствами разработки. Среди увлечений Хелковски было коллекционирование клавиатур, что сыграло забавную роль. Во время обыска к его компьютеру была подключена редкая японская модель. Латинские символы на ней были наклеены не на верхней, а на передней грани каждой клавиши и не соответствовали привычной раскладке. Это ввело агентов ФБР в замешательство и сделало невозможным быстрое копирование данных.
«Я заставил эту клавиатуру работать в Windows, внеся изменения в реестр, — поясняет Дэвид. — Затем я просто запомнил, какая клавиша соответствует каждому символу». В этом Дэвиду помогли его музыкальное образование и уроки игры на фортепьяно. После них сотня кнопок запомнилась сама собой.
В настоящее время против Хелковски выдвинут ряд обвинений в нарушении статей уголовного и гражданского кодекса. Из-за потрясения Дэвид стал выглядеть гораздо старше своих тридцати двух лет. У него появились седые волосы и возникло полное разочарование в государственной системе, где проще закрывать глаза на проблемы и устранять не их, а тех, кто пытается сделать мир безопаснее.
К оглавлению
Миллиардные ставки Facebook на виртуальность
Андрей Васильков
Опубликовано 06 мая 2014
Ещё недавно коллектив молодой компании Oculus VR стоял на Kickstarter «с протянутой рукой», а сейчас создатели шлема виртуальной реальности (ВР) становятся законодателями игровой моды. Более того, они наблюдают «эффект просачивания»: венчурные инвестиции в разработчиков виртуального контента потекли рекой, потому что впервые стало очевидно, на чём именно он будет демонстрироваться и на какую прибыль можно рассчитывать. Исполнительный директор Oculus VR Брендан Айриб (Brendan Iribe) комментирует планы по охвату миллиардной игровой аудитории.
Прототип шлема ВР высокой чёткости Oculus Rift Crystal Cove (фото: Robyn Beck / AFP).
«Новые игровые платформы набирают в первые годы до ста миллионов поклонников», — говорит он в интервью изданию TechCrunch. Предел их популярности возникает из-за опасений разработчиков игр. Они думают, что новая платформа может оказаться недолговечной по финансовым причинам, поэтому долго не пишут игр для неё и сохраняют осторожность в дальнейшем.
Возникает типичный самосбывающийся прогноз: крупные фирмы не спешат рисковать, боясь спада популярности очередной игровой платформы, и он действительно наступает — уже из-за малого количества новинок и появления альтернатив.
Похоже, продажа перспективного стартапа Oculus VR компании Facebook была стратегически верным шагом. Общеизвестно, что у владельцев самой крупной в мире социальной сети «глубокие карманы», но сумма сделки в два миллиарда долларов всё равно впечатляет. После её совершения и столь высокой оценки потенциала Oculus Rift вопрос о наличии финансовых резервов отпал сам собой. С каждым днём для шлема ВР находится всё больше удивительных применений.
Oculus Rift помогают лучше управлять БПЛА, превращая его полёт в игру от первого лица (фото: animalnewyork.com).
Шлем виртуальной реальности по-прежнему существует в варианте для разработчиков, но интерес к нему возрос многократно. Его первая версия была доступна для предзаказа целый год и не пользовалась большим спросом. Второму релизу потребовался лишь месяц для достижения такого же объёма предварительных продаж.
«Для нас главный вопрос был в том, хотим ли мы идти путём Game Boy, развиваться по примеру iPhone, Android или как-то иначе, — комментирует сделку Айриб. — Я считаю Game Boy прекрасной платформой, но посмотрите: карманные консоли уже вытесняются мобильными гаджетами».
Палмеру Лаки (Palmer Luckey) и его команде в Oculus VR требовался совершенно иной масштаб. Примерно в объёме одной седьмой населения планеты. «В нашей компании мы хотели пойти гораздо дальше, — поясняет Айриб. — Сейчас планируем объединить миллиард людей. Что больше привлекает — платформа с миллиардом пользователей или с полусотней миллионов?»