Проблема одна - итоги разные
АрхивВ фокусеХакеры знают о своем деле больше, чем остальные люди. Корпорации же, скомпрометированные очередным хакерским исследованием, это очень раздражает.
Хакеры бывают разные. Одни совершают уголовно наказуемые деяния ради обогащения, другие же занимаются проблемами компьютерной безопасности по роду деятельности и/или по зову сердца. Но сколь бы разными они ни были, хакеры, как правило, знают о своем предмете несколько (или сильно) больше, чем остальные люди. А это многих раздражает, особенно крупные корпорации, чья безопасность оказывается то и дело скомпрометирована каким-нибудь очередным хакерским исследованием.
Два заметных события, только что происшедшие в США и связанные с работой "хакеров в законе", очень похожи по существу, однако принципиально различаются по итоговому результату. О причине такого отличия будет сказано в конце, а сначала - о сути происходящего.
Знаменитая конференция Black Hat, традиционно собирающая специалистов по компьютерной безопасности в конце лета в Лас-Вегасе, в последние годы получила специфическое весеннее ответвление - Black Hat Federal. Как можно понять уже по названию, этот форум ориентирован главным образом на ИТ-специалистов федеральных органов власти США и организуется, соответственно, в столичном округе Колумбия, в непосредственной близости от Вашингтона. Но, несмотря на столь солидную "крышу", уже ставшие традиционными для Black Hat громкие скандалы вокруг разоблачительных докладов хакеров теперь добрались из невадской пустыни и до столицы. Несколько лет назад, напомним, в Лас-Вегасе сотрудниками ФБР был арестован россиянин Дмитрий Скляров, делавший доклад о слабостях защиты электронных книг Adobe. В 2005 году корпорация Cisco Systems приложила все силы, чтобы сорвать выступление Майкла Линна (Michael Lynn) о выявленных им уязвимостях в "непробиваемой", якобы, операционной системе IOS.
Теперь же, на Black Hat Federal 2007, те же самые неприятности - с вырыванием соответствующих страниц о докладе из каталога конференции и изъятием сопутствующего CD с презентацией - постигли Криса Пэйджета (Chris Paget). Вся вина Пэйджета и небольшой фирмы IOActive, где он возглавляет подразделение исследований и разработок, заключалась в намерении развернуто продемонстрировать значительные слабости в так назывемых proximity-картах транснациональной компании-гиганта HID Global. Эти карты на основе технологии RFID (чипов радиочастотной идентификации) повсеместно используются в США и множестве других стран мира в качестве пропусков для доступа в здания и вообще для автоматизированного контроля за посещениями сотрудниками охраняемых помещений и объектов.
Можно сказать, карты HID используются ныне в мире примерно столь же широко, как и популярные механические замки ABLOY (изготовляемые той же группой компаний). Но, в отличие от замков ABLOY, имеющих весьма высокую репутацию среди специалистов, технология RFID уже давно славится своими слабостями к компрометациям. Не являются исключением и карточки-пропуска HID, что, собственно, и собирался продемонстрировать в своем докладе Крис Пэйджет. За несколько месяцев и без отрыва от основной работы он сконструировал портативный прибор для считывания и клонирования таких пропусков, затратив "на все про все" чуть больше двадцати долларов в магазине радиодеталей.
По причинам простоты содеянного доклад Пэйджета должен был называться "RFID для начинающих", однако встревоженная администрация HID, прознав, что к презентации будет приложен еще и код программы для устройства клонирования, в последний момент решила сорвать выступление любыми способами. Самым внушительным аргументом стала угроза засудить IOActive и ее руководство до полного разорения - за посягательство на интеллектуальную собственность HID, защищенную патентами. Весовые категории конфликтующих сторон оказались совершенно несопоставимы, поэтому Пэйджет и его коллеги сочли разумным ретироваться, не доводя дело до суда и непосильных тяжб с армией ушлых адвокатов корпорации-гиганта. Хотя никто заранее не знает, чем бы обернулся такой суд, коль скоро фирма IOActive не искала никакой финансовой выгоды от своего исследования и действовала исключительно в интересах общества, привлекая внимание к явным слабостям в защите зданий множества компаний и правительственных ведомств.
Хакер Шон Карпентер оказался крепким орешком
Весьма созвучное судебное разбирательство вокруг бескорыстной деятельности хакера и понесенного им в результате ущерба - это, собственно, вторая сегодняшняя тема. Суд штата Нью-Мексико в минувшем феврале вынес совершенно беспрецедентное решение, обязывающее ядерный центр Sandia Labs выплатить несправедливо уволенному сотруднику Шону Карпентеру (Shawn Carpenter) штраф в 4,3 млн. долларов плюс компенсацию в размере 350 тысяч за понесенный моральный ущерб и еще 36 тысяч за потери в зарплате и премиях. Весь изюм произошедшего в том, что Карпентера с жутким скандалом уволили в январе 2005 года за самодеятельное хакерское исследование, вскрывшее существенные дыры в защите сетей Sandia, корпорации Lockheed Martin, NASA и американских вооруженных сил.
Бывший офицер-специалист ВМС США, Карпентер отвечал в Sandia за компьютерную безопасность. В 2003–04 гг., расследуя выявленные случаи проникновений в систему, он обнаружил уходящую корнями в Китай организацию из весьма квалифицированных и хорошо скоординированных хакеров, регулярно занимавшихся хищениями секретной информации из сетей армии, военно-промышленного и космического комплекса США. Когда Карпентер доложил о своих первых результатах начальству и необходимости известить пострадавшие стороны, ему в категорической форме велели помалкивать и не заниматься самодеятельностью, сосредоточившись на защите сетей Sandia Labs (делами формально государственных Лабораторий заправляет фирма Sandia, являющаяся дочерним предприятием Lockheed Martin, а эта корпорация-гигант, процветающая на жирных государственных контрактах, категорически не желала, чтобы кто-то еще узнал о компрометации ее сетей). Тогда Карпентер по своим личным связям вышел сначала на военную контрразведку, а затем на ФБР, которым стал помогать, чем мог, в начатом расследовании данного дела. Но затем история получила общую огласку в прессе, а разъяренное начальство Карпентера с треском уволило строптивого сотрудника, в наказание заодно лишив его и всех допусков к секретным работам, чем существенно усложнялось дальнейшее трудоустройство.
Около двух лет о необычном хакере, явно несправедливо пострадавшем за правду и бескорыстную заботу о национальной безопасности, практически ничего не было слышно. И вот теперь пришло буквально потрясшее всех сообщение о выигранной Карпентером судебной тяжбе и неожиданном призе почти в 5 млн. долларов - сумме, вдвое превышающей размер первоначального иска пострадавшей стороны. В истории правосудия США, как известно, иногда бывают чудесные случаи победы маленького человека над большими и сильными корпорациями. Однако нынешняя история вряд ли подходит под категорию "чудесных". Ибо у Шона Карпентера были и остаются весьма влиятельные друзья в вашингтонских коридорах власти. Вплоть до недавнего времени он работал в Подразделении анализа киберугроз Госдепартамента США. А в настоящее время занимает пост главного аналитика в совсем молодой компании NetWitness, которую возглавляет Амит Йоран (Amit Yoran), чуть ранее - директор Управления национальной киберзащиты в DHS, Департаменте госбезопасности США. Именно здесь, скорее всего, и следует искать причины столь благосклонного отношения суда к "недисциплинированному" хакеру-патриоту.
- Из журнала "Компьютерра"
