TJ
10 360

Добровольная жертва

Журналист для эксперимента попросил хакеров взломать себя

Поделиться

В избранное

В избранном

Автор: Настя Праздничная

Журналист Адам Пененберг стал добровольной жертвой хакеров: он сам попросил их проверить себя на уязвимости. Объем информации, который им удалось накопать, журналист называет «пугающим». TJournal подготовил перевод рассказа Пененберга о пережитом опыте, опубликованном в издании PandoDaily.

Начало моей первой пары семестра в Университете Нью-Йорка. Я обсуждаю проблемы плагиата и фальсификации источников с 11 студентами-журналистами последнего курса — и вдруг, без какого бы то ни было предупреждения, мой компьютер зависает. Я тщетно стучу по клавиатуре — а мой ноутбук живёт своей собственной жизнью и начинает перезагружаться. Спустя несколько секунд на экране появляется сообщение: чтобы получить 4-значный цифровой код, необходимый для разблокировки, мне нужно позвонить по номеру с кодом города 312. И тут ещё мой iPhone, лежащий в беззвучном режиме на столе, начинает неистово вибрировать.

Меня взламывают — и это происходит целиком и полностью по моей вине.

Два месяца назад я попросил Николаса Перкоко, старшего вице-президента SpiderLabs, подразделения Trustwave по перспективным исследованиям и этичному взлому, провести персональный «pen-test», как среди специалистов по информационной безопасности называют «тест на проникновение». Идея родилась из-за статьи, которую я писал для Forbes 14 лет назад: тогда я попросил частного детектива проследить за мной. В качестве начальной информации у него была только подпись — моё имя, как автора статьи. Уже через неделю он добыл невероятный объём информации — всё, начиная с моего номера социального страхования: девичью фамилию матери, записи обо всех международных телефонных звонках (кому я звонил и сколько длился разговор), мои банковские счета, пакеты акций и даже коммунальные платежи.

Детектив Дэн Кон был владельцем и управляющим сервиса Docusearch — на сайте велась торговля персональной информацией. В то время плата за поиск по базе автомобильных регистрационных данных составляла $35, справка по балансу чужого банковского счёта — $45, за номер социального страхования — $49, отслеживание по номеру мобильного телефона — $84, и $209 стоила вся информация по акциям, облигациям и ценным бумагам. У сайта был простой пользовательский интерфейс и корзина покупок, как на Amazon. Сайт всё ещё работает и предлагает примерно те же услуги. «Лицензированный поиск для точного результата» гласит заголовок на сайте сервиса, который называет себя «ведущим американским поставщиком онлайн решений по поиску информации».

Для Кона работа с тем, что я считал личной информацией, была не сложнее решения кроссворда. Он мог собрать кучу информации обо мне, не покидая своего офиса с кондиционером в Бока-Ратон, Флорида. Помимо того, что у него был доступ ко множеству баз данных с личной информацией американцев, он был мастером выуживания информации посредством претекстинга. Он умел добиваться того, чтобы люди сами давали ему свою личную информацию, как правило, в телефонном разговоре. Очень просто и чертовски эффективно. Когда газетные киоски заполонили обложки с фотографией Кона и пугающей надписью «Я знаю, что вы делали прошлой ночью», это произвело настоящий фурор. Этот случай даже был упомянут в официальном бюллетене Конгресса США — в рамках слушаний по вопросам защиты личной информации.

Всё, что нужно, чтобы нарушить неприкосновенность чьей-нибудь частной жизни — это один или несколько человек, у которых достаточно знаний и терпения — и, если они того захотят, они в силах внести хаос в ваши финансы или разрушить вашу репутацию.

Спустя полтора десятилетия, учитывая недавно поднятую из-за Эдварда Сноудена шумиху по поводу слежки за американцами Агентства Национальной Безопасности, я задумался о том, как всё сильно изменилось. На сегодняшний день около 250 миллионов американцев пользуются интернетом, причём проводят в среднем 23 часа в неделю, переписываясь в сети, а 27% этого времени используют социальные медиа. Как и многие, я пользуюсь интернетом так или иначе большую часть времени (когда не сплю), если не с компьютера, то на планшете или смартфоне.

И если учесть, какая огромная часть моей жизни превращается в биты и байты, гуляющие по преисподней цифровых данных, — только представьте, сколько Ник Перкоко и команда хакеров смогут узнать обо мне? Дальше — больше, сколько вреда они потенциально могут нанести?

Вот что я понял: почти все мы уязвимы для электронного взлома и представляем собой лёгкие цели для хакеров. Большинство из нас придерживается кредо «безопасность через неясность», но всё, что нужно, чтобы нарушить неприкосновенность чьей-нибудь частной жизни — это один или несколько человек, у которых достаточно знаний и терпения, и, если они того захотят, они в силах внести хаос в ваши финансы или разрушить вашу репутацию.

МОЙ СЫЩИК

На самом деле я ни разу не встречался с Ником Перкоко, что выглядит странно, учитывая, сколько всего он обо мне знает.

Чуть раньше в этом году я обратился к нему с просьбой написать гостевой пост для PandoDaily. В нём Перкоко предупреждал, что недобросовестные люди потенциально могут перехватить ваши личные сообщения или внедрить опасный код в ваш компьютер через открытую сеть Wi-Fi в кофейне. Мне понравилось, как он написал материал. Он не преувеличил угрозу. Вместо этого он изложил факты, основанные на случаях из его профессиональной деятельности, и предложил базовые действенные советы.

Можно многое сказать о человеке по его манере письма. Будучи профессором журналистики, я знаю стиль изложения своих студентов лучше, чем они сами. И Перкоко своей прозой поразил меня как человек умный, хорошо осведомлённый по вопросам безопасности и осторожный в высказываниях. Сфера «comp-sec», как сокращённо называют «компьютерную безопасность», полна шарлатанов. Зачастую кажется, что чем большую известность в этой сфере получает человек, тем меньше он на самом деле знает.

Для конкретной задачи, которую я поставил, доверие было жизненно важно. Пуская кого-то в свою жизнь, разрешая ему влезть в мои финансы и переписку, отслеживать мои интернет-запросы, и, возможно, даже попасть в мой дом, я должен был быть абсолютно уверен в том, что ни он, ни его сотрудники не станут использовать полученную информацию в неблаговидных целях. Я проверил Перкоко и не нашёл ничего, что могло бы его негативно характеризовать.

За несколько лет Перкоко выполнил сотни тестов на проникновение и физических взломов: это были и больницы, и страховые компании, производственные компании и издатели журналов и газет, энергетические компании и многие другие.

Перкоко 38 лет, он называет себя «хакером в белой шляпе» и вот уже 14 лет он взламывает компании с их разрешения. Отличная метафора к тому, чем он занимается и кем является: причуда природы — у него нет распознаваемых отпечатков пальцев. Он уверяет, что однажды в Колумбии ему даже отказали в проходе в здание, так как турникет со встроенным сканером отпечатков пальцев не смог зафиксировать его данные. Перкоко гордится своими знаниями и умениями в «чёрном» хакерстве, но при этом высоко ставит планку этических стандартов.

Перкоко не только находит уязвимости компьютеров, он ещё и проводит внедрение. За несколько лет Перкоко выполнил сотни тестов на проникновение и физических взломов: это были и больницы, и страховые компании, производственные компании и издатели журналов и газет, энергетические компании и многие другие – по его словам, ему запрещено раскрывать имена клиентов.

Он рассказал, что однажды его наняли, чтобы он получил доступ к компьютерной системе клиники, которая размещалась в дата-центре. Бродя по коридорам, он заметил дверь с надписью «ИТ-отдел». За стеклянной дверью была серверная комната. В ней была женщина: она распечатывала истории болезни пациентов. Перкоко понадобилось всего лишь постучать — и она впустила его, без каких бы то ни было вопросов. Он не спеша направился к компьютеру, и за несколько кликов ему удалось войти в систему с правами администратора. Теперь у него был доступ к историям болезни — и если бы он захотел, он мог бы разрушить всю систему. Главный ИТ-специалист клиники запросил больше ресурсов для обеспечения безопасности. И получил их.

Перкоко сказал мне, что его заинтриговало моё предложение, потому что он и его команда всегда работали с корпорациями, а не с частными лицами. Он вслух рассуждал о том, будет ему сложнее или легче взломать меня, нежели компанию. И он, и я очень хотели это выяснить.

АТАКА (1999)

В 1999 году главным оружием Дэна Кона были телефон и его вопиющая наглость. Как он и обещал, спустя ровно неделю после того, как началось его расследование, Кон направил мне 3-страничный факс с резюме моей жизни. В начале были все мои основные данные — полное имя, дата рождения, номер социального страхования, домашний адрес (его он взял из моей выписки по кредитной карте). Компании вроде Equifax заявляют, что у них есть средства защиты от мошенников, но Кон сказал, что у него был посредник.

Имея на руках инфрмацию по моей кредитной карте, Кон пробил по базе данных Федеральной Резервной системы все мои банковские счета (про некоторые я и сам уже забыл) — $503 на счету в Apple Bank for Savings, давным-давно положенные туда в качестве залога для арендодателя; $7 на «спящем» сберегательном счете в Chase Manhattan Bank и ещё $1,000 на другом счёте в этом же банке. Несколько дней спустя Кон разведал про мой счёт управления наличностью в Меррилл Линч, который я открыл несколькими месяцами ранее. У него также были данные о балансе на моих расчётном и сберегательном счетах, о поступлениях зарплаты, о снятии наличных: посещённые банкоматы, чеки с датами и суммами и имя моего брокера. Помимо моих финансов, он достал мои счета на оплату коммунальных услуг и два номера телефона, по которым имелся список всех моих местных и междугородних звонков.

Вооружившись этой информацией, Кон с лёгкостью мог представить мой распорядок дня. Он знал, сколько денег я снимаю в банкомате каждую неделю, сколько Forbes перечисляет на мой расчётный счёт дважды в месяц, знал, в каких кафе и ресторанах я бываю чаще всего, и все мои ежемесячные расходы. У него был мой последний счёт за телефон и список всех моих исходящих и входящих звонков с домашнего телефона, включая мою ночную болтовню с девушкой, с которой я встречался — она работала в рекламном агентстве и часто была в разъездах. Кон даже сумел раздобыть телефонные номера некоторых моих источников, включая несколько компьютерных хакеров, которые рассказывали мне о своих тёмных делах.

Базы данных помогли ему найти основную информацию обо мне, а чтобы узнать мельчайшие подробности моей жизни, ему пришлось обратиться к компаниям, с которыми я имел дело.

Одним из условий моей сделки с Коном было то, что он расскажет мне, каким именно образом ему удалось сделать то, что он сделал. Но когда пришло время рассказа, он особо не торопился выкладывать информацию. Чтобы заполнить пробелы, я обратился в свою обслуживающую телефонную компанию (Bell Atlantic, сейчас называется Verizon), к провайдеру междугородней телефонной связи (Sprint) и в банк (Merrill Lynch), сообщил им, что провернул Кон и потребовал объяснений. Каждая из этих компаний начала своё собственное расследование. С результатами я вернулся к Кону, и он подтвердил все полученные данные и добавил некоторые детали.

Sprint сообщил мне, что мистер Пененберг звонил им, чтобы запросить мой последний счёт. Он представился мной, и у него было достаточно информации, чтобы убедить оператора клиентского сервиса, что это действительно я. Звонивший попросил оператора пройтись по последним полутора десяткам моих исходящих звонков. Примерно такая же история была провёрнута и с Bell Atlantic, только на этот раз грязное дело сделала миссис Пененберг.

Он знал, сколько денег я снимаю в банкомате каждую неделю, сколько Forbes перечисляет на мой расчётный счёт дважды в месяц, знал, в каких кафе и ресторанах я бываю чаще всего, и все мои ежемесячные расходы.

Кон также обратился в службу поддержки клиентов банка Merrill Lynch. Но на этот раз он был относительно честен. «Здравствуйте», — сказал он, — Я Дэн Кон, сыщик с государственной лицензией, и я веду расследование в отношении Адама Пененберга». Впоследствии Кон сказал мне, что слова, звучащие весьма официально — «государственный» и «лицензия» — придают его словам оттенок законности, словно он работает на правоохранительные органы. Затем он скороговоркой выпалил мой номер социального страхования, дату рождения и адрес — всё, что почерпнул из моей выписки по кредитке, и, как он мне позже рассказал: «прежде, чем я произнёс чтобы то ни было ещё, мне уже диктовали номер твоего счёта».

Кон записал его и сказал любезному оператору: «Я общался с брокером мистера Пененберга, эхм, никак не могу вспомнить его имя..»

«Дэн Данн?», — уточнил оператор Merrill.

«Да, точно, Дэн Данн», — повторил Кон.

Затем служащий Merrill сообщил ему всё о моём балансе, депозитах, снятии наличных, контрольных цифрах и суммах на счетах. «Главное — говорить на жаргоне, которым пользуются между собой банковские работники, тогда они даже не поймут, что попались», — говорил Кон, явно довольный собой.

Закон Грэма-Лича-Блили 1999 года запрещает такие звонки с использованием техники претекстинга, по крайней мере, в том, что касается получения финансовой информации от частных лиц и финансовых институтов. Но отследить такие случаи тяжело, и потому закон редко приводится в исполнение.

Но Кон заверил, что мне не стоило волноваться. Он пообещал, что никогда не станет продавать информацию кому-то ещё. «В отличие от торговца информацией, я не собираюсь нарушать закон», — сказал он мне. «Я отказываюсь от работы, если заказчик просто ревнивый парень, который хочет выяснить, где живёт его бывшая девушка».

В тот момент я подумал, что это странное заявление, причём на удивление детальное. Но вот чего я не знал: в то же время, когда Кон раскапывал данные обо мне, он оказался втянутым в трагическую историю. Преследователь заплатил Docusearch за то, чтобы определить местонахождение своей жертвы.

Согласно судебным документам, 29 июля 1999 года житель штата Нью-Гемпшир Лайам Юэнс заплатил Docusearch за предоставление номера социального страхования, домашнего и рабочего адресов 20-летней Эми Линн Бойер, тоже жительницы Нью-Гемпшира.

Docusearch обратился к посреднику, Мишель Гамбино, которая обладала навыками претекстинга. Она позвонила Бойер в Нью-Гемпшир, наврала о том, кто она и зачем она звонит, чтобы получить от Бойер информацию о месте её работы. Гамбино передала полученные данные Docusearch, который, в свою очередь, продал их Юэнсу.

Неделю спустя Юэнс поехал к стоматологической клинике в Нашуа, штат Нью-Гемпшир. Там работала Бойер. Он дождался, пока она сядет в свою машину и подъехал к ней вплотную. Высунувшись из окна своего автомобиля, Юэнс направил пистолет в сторону машины Бойер. Он окликнул её, чтобы девушка посмотрела на него.

Затем он произвёл смертельный выстрел. Через секунду он направил пистолет на себя.

«Эми не ожидала ничего подобного», — сказал её отчим, Тим Ремсберг, в интервью новостному шоу «48 часов».

Безработный Юэнс, живший с матерью, следил за Бойер несколько лет, ведя в интернете сайт-дневник своих наблюдений. Там он признавался, что влюбился в неё в 8 классе. А потом, когда она отвергла его ухаживания, он решил, что она должна умереть. В своём интернет-дневнике, как сообщили «48 часов», он даже описал способ, которым планирует воспользоваться для убийства. «Когда она сядет в машину, я подъеду к ней вплотную – окно к окну. И выстрелю в неё из моего Глока».

Мать Эми Бойер подала иск против Docusearch, обвиняя Кона и его партнёра во вмешательстве в частную жизнь своей дочери и нарушении иных законов при предоставлении Юэнсу информации о местонахождении Эми, однако Кон настаивал на том, что собранные данные не были конфиденциальными. После передачи дела в суд, Верховный Суд Нью-Гемпшира постановил передать его суду присяжных, но Кон и Цейсс сумели разрешить дело в досудебном порядке — заплатив семье убитой $ 85 000.

После этого случая Кон решил, что «наша политика и способы ведения бизнеса подвергнутся серьёзным изменениям».

АТАКА (2013)

После того, как мы с Ником Перкоко набросали в общих чертах условия нашего проекта — его команда обязуется не нарушать законы и моих детей проект никак не коснётся — я подписал отказ от права подачи иска в суд (любезность в отношении юристов Trustwave) против компании, если моя информация попадёт в нечистые руки. Перкоко не дал мне чёткого представления о сроках и, честно говоря, когда пошёл второй месяц после старта проекта, я про него уже практически забыл. Но его команда, состоявшая из аналитика по вопросам безопасности Гаррета Пичиони, специалиста по цифровой криминалистике Джоша Грюнцвайга и хакера Мэттью Якубовски (Jaku), явно не валяла дурака.

Перкоко не сообщил мне, кто именно будет заниматься моим делом. Впрочем, даже если бы я знал заранее, это мне дало бы не так уж и много. Как и большинство специалистов по информационной безопасности, кто зарабатывает на жизнь тестами на проникновение, Пичиони и Грюнцвайг предприняли все меры, чтобы оставить минимум следов своего присутствия в глобальной сети. Погуглите их имена, и вряд ли вам удастся найти больше, чем выложенные презентации, представленные на хакерских конференциях по высокотехничным вопросам.

В профиле Гаррета Пичиони в Твиттере написано «Специалист по информационной безопасности в {удалено}, сетевой инженер и вечная заноза в пятой точке», а на аватарке стоит Картман из Сауз Парка в сырной шляпе. Его профиль на LinkedIn тоже мало даёт. Он работает в сфере информационной безопасности с 2004 года, является автором научной работы, в которой исследовано 2,5 миллиона анонимизированных паролей; за шесть лет он закончил Аризонский Университет, где профильным предметом была история, а информационная безопасность — второстепенным. В то же время, SpiderLabs «выполнила по всему миру порядка тысячи расследований, тысячи тестов на проникновение и сотни проверок приложений на безопасность».

Джош Грюнцвайг ещё более скрытен. Его профиль в Твиттере: «Борец с вредоносным ПО / любитель пива / хоккейный фанат», а его профиль в LinkedIn вообще с трудом можно назвать профилем. Он закончил Технологический институт в Рочестере по специальности «Прикладная информатика и системное администрирование», второстепенным предметом было уголовное судопроизводство. Некоторые из перечисленных им видов деятельности: информационная безопасность, сноуборд, бег, кино, музыка, путешествия и пьянки с друзьями.

Из всей троицы Мэттью Якубовски, или «Jaku» (Яку), как он любит, чтобы его называли, гуглится лучше других. В прошлом году он превратил маркер сухого стирания в инструмент, с помощью которого можно было с легкостью считать код гостиничного замка. На волне внимания к нему со стороны СМИ, он также рассказал, что может красть данные кредитных карт по беспроводной сети с помощью радио-идентификационного считывателя, и вам даже не нужно для этого доставать свою MasterCard из кошелька. В своём профиле в Твиттере он предупреждает «Neque dicas, quid neque», что в переводе с латинского означает «Не говори мне, что делать». Согласно скудным данным его профиля на LinkedIn, основная специальность Яку — «Сэндвич-инжиниринг», а дополнительная – «Охота на ведьм», обе получены в «Колледж Университете».

Перкоко сказал мне, что они начали проект с того, что отыскали обо мне в Интернете всё, что могли: прочесали мой сайт и некоторые публикации в поисках потенциальных уязвимостей. Они раздобыли некоторые детали, вроде типа компьютера, которым я пользуюсь (я написал, что являюсь поклонником Apple), мой домашний и рабочий адреса (легко найти через поиск по публичным записям) и расположение студии пилатеса, которым владеет и управляет моя жена Шарлотта. Всё это помогло им набросать план атаки.

Вот наброски их стратегии (из конфиденциального отчета, который мне впоследствии предоставили):

ПЛАН

После проведения начального поиска информации об Адаме и его семье, был намечен предварительный план игры, прежде, чем приступать к непосредственным действиям — технической и физической (в сфере безопасности) атакам Адама.

Изначальный грубый набросок плана приведён ниже и включает множество направлений атаки на случай непредвиденного поворота событий:

Даже просто перечитывать неприятно. Несмотря на то, что я сам это затеял, меня просто поражает, как много возможностей для атаки таких, как я, есть у любого потенциального взломщика. Подставьте вместо моего имени своё; замените имя моей жены на имя вашей жены или мужа, или партнёра по бизнесу; адрес моего офиса на свой. Ну, как вы себя чувствуете?

Команда из трёх сотрудников SpiderLabs провалила некоторые из этих задач: 1) физическое проникновение в мой дом; 2) пробить безопасность моего кабельного модема Time Warner; и 6) получить доступ к моему компьютеру и офису в Нью-Йорке. Попасть в мой дом можно было бы либо через дома моих соседей, либо пройдя через их дворы или перебравшись через забор, огораживающий здание суда вниз по улице. А единственная вещь, которую они не хотели делать — это нарушать закон. И ещё некоторые задачи не потребовались: 8) заманить меня на вредоносный блог и 9) привлечь моего веб-дизайнера, чтобы он помог им получить доступ к моему сайту.

Тем не менее, проделанный ими объём работы впечатляет. Они прилетели в Нью-Йорк 20 августа с целью пробраться в мой дом, и столкнулись с непредвиденными трудностями, которые обеспечила им городская среда. Бруклинские высоты просто напичканы беспроводными сетями. Команда обнаружила 1200 сетей в радиусе 1/10 мили вокруг моего жилища. Они знали, что у меня компьютеры Apple – и это несколько упростило им задачу. Но всё равно им не удалось с абсолютной точностью определить, какая именно сеть – моя, а если бы они случайно начали перехватывать чужой траффик – это было бы нарушением закона.

Затем они отправились в пилатес-студию моей жены, расположенную в 10 кварталах от дома, и столкнулись с таким же изобилием беспроводных сетей. Со второго этажа Barnes & Noble они могли через окно видеть, что происходит в студии. Но, несмотря на то, что у них были фотографии моей жены (они нашли их на сайте студии) — прям дрожь берёт, даже когда я просто пишу об этом — они так и не увидели её на работе и не смогли определить её рабочий график.

Одна из точек наблюдения давала им (через бинокль)вид с высоты птичьего полёта на моё крыльцо. Оттуда они наблюдали за тем, как мы с женой приходим и уходим.

И, в конце концов, им пришлось воспользоваться планом атаки «со стороны клиента». Подружка хакера Яку записалась на групповое занятие по пилатесу в студию моей жены. Но так как Шарлотта даёт только частные уроки в Стримлайн (ещё она ведёт занятия в другой своей студии, но там ограниченное членство), эта подружка попала в группу к другому инструктору. Перед уходом она оставила большую фиолетовую флешку в раздевалке. Команда SpiderLabs надеялась, что инструктор найдёт её и вставит в компьютер в студии, чтобы идентифицировать владельца. На флешке было записано несколько файлов с названием «Резюме», которые на самом деле при открытии устанавливали ПО с удалённым доступом и посылали обратный сигнал команде хакеров.

Однако никто так и не вставил флешку в студийный компьютер. Несколько дней спустя Яку придумал другой вариант, и его подруга вернулась в студию. С собой у неё была другая флешка. После занятия девушка сказала инструктору, что прямо сейчас ей нужно отправиться на собеседование по работе и попросила распечатать её резюме с флешки. Но вот чего команда не знала: на студийном компьютере была старая версия операционной системы Apple. Настолько устаревшая, что хакерская программа, которую написал Яку, не сумела сделать своё грязное дело.

В то же время команда, вернувшись к моему дому, вынуждена была бороться с любопытством соседей. Я городской житель, но мой район очень тихий и в нём живёт много семей. Парни из SpiderLabs на всякий случай установили устройство, отслеживающее все звонки участковому Бруклинских высот. Ведь трое мужчин, околачивающихся неподалёку от моего дома, не могли не вызывать подозрение. Так и произошло. Когда они пытались установить свой ноутбук, спрятав его за горшком с растением на моём крыльце, чтобы обнаружить мою беспроводную сеть, они увидели, как за ними наблюдает женщина в красной футболке, находившаяся поблизости. Впрочем, вскоре она скрылась из виду. Ещё с одной соседкой они пересеклись, когда та выгуливала свою собаку — она сказала, что уже несколько дней видит их в этом районе. Пичиони, главный в команде, придумал отмазку, что они здесь по делу, приехали из другого города и им нравится работать на свежем воздухе, раз уж стоит такая чудесная погода.

Так команда SpiderLabs оказалась под наблюдением. В итоге они были вынуждены арендовать машину у ZipCar и кататься вокруг моего дома, прячась на заднем сидении, а в остальное время часами просиживать в близлежащем парке. Oдна из точек наблюдения там давала им вид (через бинокль) с высоты птичьего полёта на моё крыльцо. Оттуда они наблюдали за тем, как мы с женой приходим и уходим.

Примерно в это же время я опубликовал в PandoDaily статью о приложении для iPad, которое предлагает детям покупать всякую ерунду, чтобы продвинуться в игре. Я немного рассказал об игровых привычках моих детей и о том, как ненасытно они читают электронную книгу Kindle Paperwhite. Я написал: «Мне больше нравятся книги в электронном виде, нежели в печатном, ведь мы живём в Бруклине и у нас просто нет места для всех тех книг, что они читают. Наш подвал уже просто набит книгами. Если будете проходить мимо — не стесняйтесь, заходите, — захватите несколько с собой и отнесите в свою любимую библиотеку или благотворительную организацию».

Вскоре после опубликования моей статьи одна женщина в Твиттере спросила, в силе ли моё предложение о книгах. Это был реальный аккаунт в Твиттере, который, как я позже выяснил, принадлежал знакомой Яку. Он впоследствии сказал мне: «Нам и правда хотелось попасть к тебе в подвал». Ничего не подозревая, я ответил, что нам с женой нужно сначала перебрать все эти книги, прежде чем раздавать их.

Но, несмотря на то, что все эти уловки не дали результата, как и Дэну Кону, команде SpiderLabs удалось добыть необходимую информацию другими способами. Конечно, звонки в технике претекстинга — это прошлый век. Ник Перкоко и его сотрудники – дети интернета и телефон им не особо-то нужен. Зато они владеют фишингом.

Первая попытка фишинга была сделана в виде отправки мне письма от имени студента из Огайо, который интересовался обучением журналистике в Нью-Йоркском Университете.

Я прочёл письмо, но не стал открывать приложение, потому что тип файла был мне неизвестен. Прямо помню, как я подумал — с чего бы это выпускница школы стала отправлять мне файл с расширением JAR? К тому же, в тот момент я не преподавал и отложил это письмо на неделю, до начала семестра.

Так как я не ответил, команда решила попробовать фишинг в отношении Шарлотты.

(Примечание редактора: Эмбер, чья фамилия была скрыта с изображений, является реальным человеком и инструктором по пилатесу. Команда SpiferLabs сделала то, что хакеры часто делают — представлялись реальным человеком на случай, если Шарлотта решит поискать её в Сети. Но адрес электронной почты был поддельным. Реальная Эмбер связалась с нами после публикации истории, после чего в неё внесли необходимые правки.)

Шарлотта не ответила, и они вновь отправили ей это сообщение. На этот раз, в 16:30 27 августа, она всё-таки кликнула по ссылке и тем самым скачала вредоносное ПО, которое Яку написал специально для нас.

Видео не загрузилось, и поэтому Шарлотта написала «Эмбер», что не сможет с ней встретиться в рабочее время и потому просит её прислать резюме. К тому же, она написала, что не смогла открыть видеозапись.

Но в скачанном вредоносном ПО был баг (Яку сказал, что впервые кодил для Mac) — и поэтому команде SpiderLabs не удалось настроить постоянный доступ. Поэтому они ответили на письмо Шарлотты. На этот раз вместо ссылки они прикрепили к письму zip-файл.

Обновлённый код под OSX, написанный ещё одним членом команды — специалистом по цифровой криминалистике Джошем Грюнцвайгом, попал в её компьютер. Теперь у SpiderLabs был полноценный доступ к ноутбуку Шарлотты, когда он был подключён к интернету.

У них были данные наших расчётных и сберегательных счетов, счёта корпоративных облигаций, выписки с наших кредитных карт и счета, сформированные онлайн. Они могли бы, если б захотели, просто уничтожить нас в финансовом смысле.

На компьютере Шарлотты хранились наши 2-НДФЛ, где были наши номера социального страхования, а также данные о наших доходах и расходах, документы, копии кредитных карт и банковские выписки. Им также удалось получить пароль от нашего домашнего роутера. Хуже того – они нашли логин и пароль к нашему сервису онлайн-банкинга в Chase.

На сhase.com используется двухступенчатая система проверки, которая стала сложной задачей для хакеров SpiderLabs. Каждый раз, когда я или Шарлотта заходила в аккаунт Chase с IP-адреса, который Chase не был знаком, нам предлагалось получить дополнительный код активации в виде текстового сообщения на телефон. Но через поиск по жёсткому диску Шарлотты команда нашла куки посещения Chase, которые они использовали в дальнейшем, чтобы «убедить» Chase, что вход осуществляется с нашего домашнего компьютера. Войдя в наш аккаунт, они получили данные наших расчётных и сберегательных счетов, счёта корпоративных облигаций, выписки с наших кредитных карт и счета, сформированные онлайн. Они могли бы, если б захотели, просто уничтожить нас в финансовом смысле.

Дальше больше. В глубине жёсткого диска они нашли кое-что ещё: мои очень старые файлы. Несколько лет назад я отдал Шарлотте свой старый PowerBook G4 Titanium и не подумал о том, что нужно почистить жёсткий диск. Спустя некоторое время я почувствовал запах гари по всему дому и увидел, что клавиатура горит. Я потушил огонь, но ноутбук перестал включаться: оплавилась материнская плата. Мы отнесли его в Apple Store и персонал — я отказываюсь называть их гениями, разве что с иронией — скопировали всю информацию с жёсткого диска на новый ноутбук Mac. Это было два или три компьютера назад, и каждый раз моя жена переносила данные жёсткого диска на следующее устройство. Все эти годы мои старые файлы хранились там и один из них содержал некоторые пароли к моим аккаунтам, включая Amazon.

Сам по себе такой пароль мало что даст, подумаете вы. Ну что с того? Ребята из SpiderLabs могли посмотреть все мои расходы по кредитной карте Amazon. Но, как и многие, я разработал свою собственную систему паролей. Я едва ли смогу запомнить пароль к каждому сайту, которым пользуюсь, и поэтому использую пароли повторно, либо придумываю новые по своей собственной формуле. Я придумываю какое-нибудь распространённое имя вроде Грэйси (Gracie) — так звали мою старую кошку — но пишу это как «Gray see», заменяю G на 8 и s на 5. Ну, в общем, вы поняли. А теперь вспомните, что в SpiderLabs работают специалисты по компьютерной безопасности. Естественно, им не составило труда разгадать все мои пароли.

Команда SpiderLabs взломала мой аккаунт в Твиттере и написала от моего имени «Я люблю Стивена Гласса», что заставило задумчиво чесать в затылке тех, кто знал о моей роли в той истории (я участвовал в его разоблачении и увольнении из The New Republic). Они также взломали мой Facebook и заказали 100 пластиковых паучков на Amazon с доставкой ко мне на дом. Мой пароль к iCloud они тоже выяснили и отправили мне письмо по электронной почте, в теме письма было написано «Здесь был SpiderLabs», а в теле письма был только смайлик: :-).

Взломав iCloud, они активировали приложение «найти мой iPhone». Apple сделал возможной такую же функцию и для ноутбуков, так что они перевели и мой телефон, и мой ноутбук в режим «утеряно».

Впервые я почувствовал, насколько глубоко SpiderLabs проник в мою частную жизнь, на своём занятии в Нью-Йоркском Университете, когда мой ноутбук выключился и потребовал четырёхзначный код для включения, а мой iPhone начал непрестанно вибрировать.

Во время нашего «разбора полётов» Перкоко сказал мне, что, в некотором смысле, меня было сложнее взламывать, чем некоторых корпоративных клиентов. У компаний, где работают тысячи сотрудников, есть и тысяча потенциальных уязвимостей, которые может использовать взломщик. К тому же, правила игры обычно более чёткие: например, корпоративный клиент сам укажет SpiderLabs, уязвимости каких именно серверов в сети их интересуют или на деятельности какого отдела в корпоративной иерархии необходимо сосредоточить внимание.

В моём случае путей получения информации было немного: мой ноутбук, электронная почта, банк, аккаунты в социальных сетях и мой дом. Его команда не встретила на своём пути ощутимых преград к получению моих данных — им было достаточно моих учётных данных и паролей. А моя фишка с паролями, как я вскоре понял, не обеспечивала особой безопасности.

Моя жена Шарлотта в буквальном смысле потеряла дар речи, когда я рассказал ей о взломе. Я её заранее не предупреждал в надежде сохранить максимальную реалистичность эксперимента. Сначала она была под впечатлением, но чем больше она думала обо всём этом, тем менее комфортно ей становилось. Ей стало неспокойно от мысли, что клиент с не благими намерениями посещал её студию, и команда шпионов установила наблюдение за нашим домом. Она успокоилась, как и я, только узнав, что наши дети не были затронуты наблюдением.

«Пообещай мне, что ты не сделаешь больше ничего подобного», — сказала она. И, конечно же, я так и поступил.

В начале октября Перкоко ушёл из SpiderLabs, заняв должность директора KPMG, компании, оказывающей специальные услуги в области защиты информации. Там он занимается примерно такими же тестами на проникновение.

Что касается меня, после окончания эксперимента я сменил все свои пароли и логины, но я не обманываю себя, что полностью защищён от посторонних глаз, будь то правительство или кто-то ещё, у кого есть нужная комбинация умений, ресурсов и желания.

Я не в безопасности, а как насчёт вас?

Этот материал является переводом статьи «I challenged hackers to investigate me and what they found out is chilling» Адама Пененберга для издания PandoDaily.

#Статья #хакеры #Адам_Пененберг #SpiderLabs #Trustwave #переводы

Статьи по теме
Инженера Twitter обвинили в хакерских атаках в составе Anonymous
{ "author_name": "TJ ", "author_type": "self", "tags": ["\u0441\u0442\u0430\u0442\u044c\u044f","\u0445\u0430\u043a\u0435\u0440\u044b","\u0430\u0434\u0430\u043c_\u043f\u0435\u043d\u0435\u043d\u0431\u0435\u0440\u0433","spiderlabs","trustwave","\u043f\u0435\u0440\u0435\u0432\u043e\u0434\u044b"], "comments": 8, "likes": 19, "favorites": 0, "is_advertisement": false, "section_name": "default", "id": "48544", "is_wide": "1" }
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Популярные комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]