История L0pht: хакеры за сетевую безопасность

l0pht-2

Семеро молодых людей, сидящих перед влиятельными законодателями США, не были студентами или младшими аналитиками из какого-нибудь научной лаборатории. Нет, Space Rogue, Kingpin, Mudge и остальные были хакерами, которые явились из глубин киберпространства, чтобы предупредить мир о серьезной опасности. Ваши компьютеры, сообщили они комиссии Сената в мае 1998 года, в опасности: и ПО, и устройства, и связывающие их сети. Компаниям, которые их создают, на это плевать, потому что они не несут за возможный ущерб никакой ответственности, а у правительства нет ни навыков, ни воли, чтобы как-то это изменить.

“Если вас заботит компьютерная безопасность, в Интернете вы ее не найдете”, — заявил 27-летний длинноволосый Mudge, выглядевший тогда как библейский пророк. Любой из явившихся на собрание семи человек, добавил он, может за полчаса отключить весь Интернет, отправив в сеть набор тщательно скоординированных команд. Потрясенные серьезностью этого заявления, сенаторы лишь мрачно закивали. “Мы должны что-то с этим сделать”, — сказал Фред Томпсон, один из организаторов комиссии. Однако вместо решения проблемы нас ждала череда упущенных возможностей, и 17 лет спустя мы все еще расплачиваемся за давнее пренебрежение безопасностью.

getimage

Брайан Обливион, Tan, Kingpin, Mudge, Weld Pond, Space Rogue и Стефан фон Нейман свидетельствуют перед сенатской комиссией в 1998 году

Это предупреждение от L0pht, как хакеры называли свою группу, стало в 1990-е годы одним из самых заметных тревожных сигналов от неравнодушных экспертов, пытавшихся привлечь внимание к проблемам Интернета, который стремительно превращался в глобальную среду для общения, коммерции и криминала. Хакеры и другие компьютерные эксперты предупреждали, что протоколы и приложения World Wide Web, предоставляющие целый мир новых возможностей массовым пользователям, несут с собой и огромный риск — и не только для компьютеров самих пользователей, но и для критически важных систем, таких как электростанции и крупные заводы.

Столкнувшись с угрозами, которые нельзя было блокировать в привычном запретительном стиле, чиновники в США и других странах оказались совершенно неспособны на адекватные защитные меры. Даже сегодня во многих серьезных атаках используются уязвимости в программах и системах, разработанных многие годы назад, таких как Adobe Flash, Oracle Java и Internet Explorer.

“Сейчас мы имеем дело с теми же проблемами, что и тогда, — утверждает Space Rogue, которого на самом деле зовут Крис Томас (Cris Thomas). — На кону гораздо больше денег, доступно гораздо больше информации, но старые проблемы не решены до сих пор”.

Группа L0pht, появившаяся на хакерской сцене Бостона, заработала свою репутацию примерно в то время, когда стремительно развивалось интерактивное мультимедийное ПО для WWW, открывшее по-настоящему удивительные возможности. Однако эти приложения, которым требовался доступ к базовым функциям компьютеров пользователей, предоставили хакерам новые возможности для удаленного манипулирования системами.

Вламываться в подключенные к сети компьютеры стало настолько легко, что Интернет, в котором долгое время властвовали ученые и энтузиасты, постепенно заполонили мошенники всех мастей, шпионы и кибервоины. Они принялись эксплуатировать бреши в защите компьютеров ради денег или другой выгоды, постоянно отслеживая и отыскивая новые уязвимости.

Технические компании пытались устранять проблемы — часто лишь после обнародования уязвимостей хакерами или учеными, — но мало какие из них были готовы пойти на развертывание дорогостоящих мер защиты от будущих атак. Прибыли компаний зависели вовсе не от успешной защиты от хакеров, а от таких факторов, как добавление новых функций в ПО.

“В реальном мире люди инвестируют деньги только в решение реальных проблем, но не гипотетических, — утверждает Дэн С. Уоллах (Dan S. Wallach), профессор из Университета Райса, который изучает онлайновые угрозы с 1990-х. — Клиенты покупают не безопасность, а что-то другое”.

В результате в технической отрасли сформировалась культура, которую часто презрительно называют “patch and pray” (“установи исправление и молись”). Иначе говоря, компании создают ПО, продают его клиентам и рассылают им исправления по мере необходимости. Если же система терпит аварийный сбой, приводящий к утрате данных, краже номеров кредитных карт или дорогостоящим простоям, ущерб несут не богатые технологические гиганты, а их клиенты.

Участники L0pht часто сталкивались с таким высокомерием на своей повседневной работе — некоторые из них работали обычными программистами или продавцами в компьютерных магазинах. К сожалению, когда они сообщали об уязвимостях производителям ПО, официальные лица компаний часто ограничивались лишь вопросом, знает ли об уязвимостях кто-нибудь еще, чтобы утаить их в секрете.

mudgeweb2

Когда-то для Пейтера Затко (Peiter Zatko) a.k.a. Mudge не было ничего интереснее, чем настраивать тонкие нюансы работы систем Microsoft и взламывать пароли Windows

Рай для гиков в бостонском лофте

Хакеры встречались онлайн, преимущественно на досках объявлений, где можно было в непринужденной обстановке обменяться советами, шутками и идеями об устройстве и работе разных систем, которые в умелых руках показывали чудеса, неизвестные даже их создателям. Такова суть хакерства. Само по себе оно не является ни плохим, ни хорошим — все зависит от мотивов хакеров.

Участники L0pht, список которых менялся из года в год, но включал в среднем 7-8 человек, разделяли увлечение технологиями и пытались выжать из них все возможное. Они восстанавливали логику работы программ, моделировали возможности оборудования и освоили целый арсенал специальных приемов, таких как переполнение буфера системы для ее перевода в нештатный режим работы.

“Зазор между тем, как система должна работать, и тем, как она работает на самом деле, — вот где кроются уязвимости, — утверждает Крис Визопал (Chris Wysopal), который во времена активной деятельности L0pht был известен как Weld Pond.

Первым пристанищем группы, благодаря которому она и получила свое название, был самый настоящий лофт над столярной мастерской на юге Бостона. Хакеры арендовали его после того как подруге одного из них надоели старые компьютерные комплектующие, разбросанные по всей квартире (и даже в ванной).

Как и в Интернете, в реальной жизни штаб L0pht окружали самые разные опасности, типичные для бедных районов, но, пробравшись в него, вы попадали в настоящий рай для гиков, где вас дожидались найденные на свалке компьютеры, телевизоры, диван, холодное пиво, старые игры, набор манекенов для магазинов “секонд-хэнд” и противогаз. На радость хакерам владелец помещения сам платил за электричество, поддерживая нескончаемый поток электронов через их андерграундную лабораторию.

“Пробираться туда было страшно, но как только вы туда попадали, вы теряли дар речи, — вспоминает Джо Гранд (Joe Grand), который был самым младшим участником L0pht. — Этот лофт был моим убежищем и приютом. Проведенное в нем время очень сильно повлияло на мою жизнь”.

Многие устройства, которые хакеры пытались подчинить своей воле, были подобраны в мусорных контейнерах высокотехнологичных предприятий Бостона. Участники L0pht восстанавливали оборудование и иногда продавали кое-что на барахолке, чтобы оплачивать счета, но самую интересную и полезную добычу они неизменно оставляли себе, в том числе гигантский компьютер VAX — два блока размером со стиральную машину, которые они каким-то чудом умудрились затащить вверх по лестнице.

Все как один участники L0pht презирали бюрократический подход к безопасности, когда компании объявляли свои продукты безопасными только потому, что в них были реализованы определенные стандартные функции, такие как пароли и базовые криптографические алгоритмы. “Мы им не доверяли. ‘Дайте свои системы нам, а уж мы узнаем, безопасны ли они на самом деле’ — таким было наше отношение”, — вспоминает Визопал.

Надо признать, что L0pht почти всегда удавалось добиться своего — как правило, поздней ночью после интенсивных исследований и экспериментов, которые создатели ПО даже представить не могли при написании кода. Например, Пол Нэш (Paul Nash), также известный как Silicosis, однажды обнаружил, что может удаленно отключать от сети чужие компьютеры Windows с помощью единственной команды, что он охотно демонстрировал посетителям.

Когда участники L0pht не искали баги сами, они активно поддерживали единомышленников и регулярно проводили собрания в баре, где каждый, кто обнаружил новую компьютерную уязвимость, получал бесплатное пиво. L0pht также распространяли информацию об открытиях в сфере безопасности с помощью популярного бюллетеня Hacker News Network, который вел Space Rogue — талантливый самоучка, в детстве модифицировавший фонари, чтобы читать под одеялом (он и по сей день использует свое хакерское прозвище в обычной жизни).

Проект Hacker News Network набрал достаточную популярность, чтобы вызвать интерес у рекламодателей. Группа не хотела портить рекламой свой главный веб-сайт L0pht.com, но с радостью воспользовалась возможностью заработка на Hacker News Network. В одном из первых объявлений рекламировались русские невесты.

Информация должна быть свободной

L0pht идентифицировали себя как “грей-хэты” — так называют хакеров, которые занимают промежуточное положение между добропорядочными “уайт-хэтами” и игнорирующими законы “блэк-хэтами”. Особое удовольствие участники L0pht получали, унижая крупные компании вроде Microsoft за то, что они продавали ни о чем не подозревающим клиентам продукты с многочисленными уязвимостями.

Когда L0pht обнаружили способ взлома криптографической защиты пользовательских паролей в Windows, Mudge открыто осудил Microsoft за “детсадовскую криптографию” и вместе с Визопалом создал удобный инструмент для ее взлома. Другой участник L0pht, Dildog, вместе с участниками группировки Cult of the Dead Cow разработал программу для удаленного управления офисными сетями, работающими под управлением ПО Microsoft. Программу назвали “Back Orifice Server 2000“, чтобы поиздеваться над “Back Office 2000” от Microsoft.

Однако реальная жизнь группы L0pht была куда более прозаичной, чем ее имидж. Визопал работал программистом в Lotus, Space Rogue и двое других хакеров работали в сети магазинов CompUSA, а у других были должности в компании BBN Technologies, которая участвовала в создании ARPANET.

Хакеры использовали псевдонимы главным образом потому, что опасались увольнения, если об их ночных увлечениях узнают работодатели (другая, не менее важная причина состояла в том, что они не хотели становиться мишенью для исков со стороны пристыженных компаний).

На своих официальных работах участники L0pht могли изнутри изучать процессы в бурно развивавшейся технической отрасли, что, конечно же, помогало им искать баги в популярных приложениях. Компании, которые не реагировали на жалобы по официальным каналам, особенно часто вызывали на себя гнев L0pht. Группа поддерживала активную связь с легионами других хакеров — в том числе работниками крупных технологических компаний — и демонстрировала заметную неприязнь к бизнес-культуре, которая ставит прибыль выше безопасности.

“Компании стремятся разрабатывать все как можно быстрее, чтобы успеть заработать побольше денег, — объясняет Нэш. — Все мотивированы выпустить код пораньше и исправлять проблемы по мере их появления”.

Однако L0pht также показали, что компании неохотно исправляют дефекты в своей продукции даже после их обнаружения. Когда группа только начинала свою деятельность, ее отчеты, отправляемые по официальным почтовым адресам производителей уязвимых продуктов, часто просто исчезали без следа, так и не получив никакого ответа. Особенно немногословными были абоненты по адресу secure@microsoft.com.

В итоге L0pht все же удалось найти надежный способ достучаться до представителей компаний. Уведомления о безопасности, публиковавшиеся на L0pht.com, привлекли внимание ведущих технологических журналистов, игнорировать которых было уже невозможно.

С другой стороны, многие криминальные хакеры также стали следить за уведомлениями L0pht, что порой давало им запас времени на использование уязвимостей до их исправления. Никто не может сказать, скольким атакам это поспособствовало, но L0pht были непреклонны.

“Мы всегда исходили из того, что, если мы знаем об уязвимости, то и другие люди знают о ней или, по крайней мере, изучают ее”, — утверждает Гранд, который ранее был известен как Kingpin.

vanweb1

Участники L0pht в арендованном фургоне направляются в Вашингтон, чтобы свидетельствовать перед Сенатом в мае 1998 года (слева направо: Tan, Kingpin, Weld Pond, Mudge и Brian Oblivion)

EP-150629234
Утро перед собранием в Сенате. Слева направо: Kingpin, Brian Oblivion, Weld Pond, Tan, Mudge (сидит), Space Rogue и Stefan von Neumann.

Билл Гейтс седлает волну

Выпуск веб-браузера Mosaic в 1993 году сделал Интернет могущественной культурной и коммерческой силой. Техническим энтузиастам пришлось потесниься — в Интернет пришли “обычные” пользователи.

За следующие несколько лет новые языки программирования, такие как Flash и Java, существенно расширили возможности браузеров. Веб-сайты начали передавать потоковое видео. На любом компьютере с подключением к Интернету стало можно бесплатно поиграть в классические игры вроде “Frogger”, “Super Mario Bros.” и “Tetris”.

Большинству пользователей эти новые возможности казались почти волшебством, и вскоре Flash и похожие языки программирования стали использоваться на большинстве компьютеров в мире.

Рост интереса к компьютерам со стороны потребителей не мог не привлечь внимание Билла Гейтса, который в мае 1995 году разослал ведущим руководителям Microsoft конфиденциальный документ с названием “The Internet Tidal Wave” (“Приливная волна Интернета”). В этом документе из 5500 слов Гейтс недвусмысленно требовал, чтобы компания срочно вступила в ожесточенную конкуренцию на стремительно растущем онлайн-рынке.

“Следующие несколько лет станут захватывающим периодом поиска возможностей и решения проблем, — писал Гейтс. — Интернет — это приливная волна, которая изменяет все правила. Это невероятная возможность, но и небывалый вызов. Жду от вас предложений по улучшению нашей стратегии успешного развития”.

Гейтс предупреждал в своем обращении о важности безопасности: “Наши планы в отношении безопасности необходимо подержать и укрепить”. Однако при этом он также заявлял, что желает, чтобы в планы разработки каждого продукта закладывалась поддержка интернет-функций.

Как позднее заявляли многие критики, именно эта задача была для Microsoft приоритетной. Экспертам по безопасности знаком этот симптом, который указывает, что новые функции добавляются быстрее, чем эксперты успеют удостовериться в их безопасности.

Дух гонки за инновациями с целью сделать каждый продукт Microsoft интернет-совместимым, чувствовался во всей компании, утверждает Билли Брекенридж, работавший в 1990-е в Microsoft менеджером. От успешного выпуска новых функций для операционных систем Microsoft зависело, кто получит опционы, а это было важнейшей мотивацией для сотрудников компании, которая в то десятилетие раздробила акции 7 раз и выросла более чем на 9000%.

“Возможно, пара человек в Microsoft и относилась к безопасности всерьез, но по большей части эту проблему игнорировали. Если мы задерживали выпуск продукта, это было равносильно потере денег. Если ваша функция не попадала в продукт, вы не получали акции”.

Следуя новой политике, Microsoft начала жестко отвоевывать рынок браузеров у Netscape Navigator, который разработали преимущественно те же программисты, что и Mosaic. К середине 1990-х браузер Navigator занимал более 70% рынка, — об этом Гейтс предупреждал в своей записке.

Ответом Microsoft было создать Internet Explorer и тесно интегрировать его с ОС Windows. Эти меры послужили главной причиной антимонопольного судебного процесса против Microsoft, который завершился в 2001 году.

Однако все эти волнения имели и другую сторону, которая была очевидной для L0pht и других хакеров.

Интегрируя в свои системы интернет-функции, корпорация Microsoft оставила в них множество уязвимостей, которые тут же принялись изучать хакеры. Особенно печальную известность приобрел язык программирования ActiveX.

“Загрузив с веб-сайта какой-то код и выполнив его, вы сталкиваетесь с совершенно новой проблемой, — говорит Джованни Винья (Giovanni Vigna), ученый из Калифорнийского университета в Санта-Барбаре и сооснователь компании Lastline. — Теперь на вашем компьютере выполняется мой код, а это позволяет мне делать очень интересные вещи”.

spacerogueweb1

Крис Томас, a. k.a. Space Rogue, во времена L0pht днем работал в CompUSA

Один глупый пароль на 700 пользователей

На хакерской конференции в августе 1997 года Mudge — которого на самом деле звали Пейтер Затко — с нескрываемым удовольствием рассказал о взломе паролей Windows, которая тогда считалась стандартной ОС для бизнеса и государственных учреждений во всем мире.

“Я не хочу сейчас работать над продуктами Microsoft, — объявил Mudge, — но проблема в том, что они везде! От них никуда не деться!”

Он выделил одну особенно грубую ошибку — разделение надежного пароля из 14 знаков на два гораздо более слабых пароля из 7 знаков. Чем длиннее пароль, тем больше ресурсов надо потратить, чтобы подобрать его, но Microsoft, заявил Mudge, пренебрегли этим принципом, предусмотрев два ни на что не годных пароля вместо одного надежного.

Хуже того: если пользователь выбирал пароль короче 8 знаков, система сохраняла легко узнаваемую строку, которая представляла неиспользуемую часть поля ввода пароля. Обнаружив эту строку, хакеры с легкостью взломали пароль. Mudge с довольным видом зачитал его на конференции перед десятками других хакеров и пошутил, что было бы неплохо вытатуировать этот пароль на лбу и нанести визит в Microsoft. Он объявил и о другом открытии L0pht: в одной из исследованных ими сетей 700 пользователей использовали пароль “CHANGEME”.

Такие выходки привлекли к L0pht внимание хакерского мира, а за популярностью последовали первые серьезные деньги. L0pht выпустили майки с логотипом группы и стали продавать их на конференциях, но куда более серьезным продуктом L0pht было их ПО для взлома паролей Windows — L0pht Crack, — которое они продавали за 50 долларов системным администраторам, желавшим проверить надежность паролей в своих сетях.

Когда участники L0pht узнали, сколько консультанты по безопасности берут за свои услуги, они повысили цену на L0pht Crack до 150 долларов, затем — до 500 (одним из покупателей стало Главное бюджетно-контрольное управление США, что уже тогда показало, насколько плохи дела с защитой федеральных ИТ-систем).

Активная деятельность в Интернете не мешала организационной работе L0pht. Хакеры регулярно проводили собрания, задавали коллективные приоритеты и со всей серьезностью относились к финансовым вопросам.

Деньги, хлынувшие в компьютерную безопасность, позволили L0pht прочнее встать на ноги, но и в то же время привлекли в эту сферу новое поколение консультантов, которые, используя многие из приемов L0pht, стали зарабатывать еще больше.

Ко дню появления L0pht в Сенате в 1998 году в группе стала вызревать идея основать реальную компанию.

“Мы начали задумываться, почему бы нам не откусить кусок от этого пирога”, — вспоминает Space Rogue.

Это было началом конца L0pht.

workingweb1

Джо Гранд a.k.a. Kingpin модифицирует радио для приема данных с пейджеров и полицейских раций

loftweb1
Лофт над мастерской, от которого получила название группа L0pht. Многие компьютеры и устройства на фотографии были подобраны в мусорных контейнерах.

Встреча с АНБ

Для исторического путешествия в Сенат L0pht арендовали темно-зеленый микроавтобус на 15 пассажиров, на крыше которого они установили антенны, чтобы перехватить по пути какие-нибудь интересные сигналы. Это казалось безвредными развлечениями хакеров, но только до тех пор, пока они не остановились в Мэриленде у Национального музея криптологии АНБ. Затко ранее уже посещал АНБ несколько раз для оказания услуг федералам. “Мне хотелось, чтобы они изменили отношение к хакерам, поняли, что мы не преступники”, — объяснял он позже.

Однако в этот раз Затко случайно направил автобус L0pht со шпионским оборудованием на крыше прямо ко входу охраняемой области кампуса АНБ. За рулем был Стефан фон Нейман, который немало удивился, когда оказался перед контрольно-пропускным пунктом с вооруженной охраной. Когда охранник поприветствовал фон Неймана, которого на самом деле зовут Стефан Вунч, тот спросил товарищей, что ему делать.

“Помаши ему рукой и проезжай”, — решение было единогласным.

Однако оказавшись на территории знаменитого шпионского агентства хакеры вскоре почувствовали себя не в своей тарелке и решили не искушать судьбу. Больше никаких происшествий вплоть до Вашингтона не было.

На следующий день L0pht свидетельствовали перед сенатской комиссией. Ранее право выступать под псевдонимами предоставлялось только участникам федеральной программы защиты свидетелей. После заседания L0pht совершили экскурсию по Белому дому в сопровождении Ричарда Кларка из Совета национальной безопасности. Материлы о L0pht появились в журналах Internet Week, New York Times Magazine, а также на PBS и MTV. Заявления хакеров о том, что они могут за полчаса отключить Интернет — используя уязвимости в протоколе маршрутизации BGP — стали предметом шуток. L0pht даже засветились в игре Trivial Pursuit:

Вопрос. Что группа гиков L0pht, если верить их заявлениям в Сенате США, может вывести из строя за 30 минут?

Ответ: Интернет.

Ко времени, когда этот выпуск игры попал на полки магазинов в 2000-м году, группы L0pht уже не было. Ее участники присоединились к @Stake, агентству безопасности, которое получило 10 миллионов долларов венчурного капитала. Хакеры оставили свою дневную работу, чтобы уделить все время своему ночному хобби.

Однако вместе с этим они взвалили на себя совершенно новый груз ответственности — особенно по отношению к клиентам, которые были готовы платить за знания и опыт, но вовсе не желали подвергаться критике по результатам хакерских расследований.

“Многие из сообщества, из которого мы вышли, думали, что мы продались Дьяволу, — вспоминает Визопал. — Так оно и было”.

Среди крупнейших нанимателей @Stake (с непременными соглашениями о неразглашении информации) был и давний враг L0pht — корпорация Microsoft.

weldpondonly1

Крис Визопал, который во времена L0pht называл себя Weld Pond, стоит на фоне проекции интернет-страницы группы. Визопал и хакер с псевдонимом Dildog основали в 2006 году компанию Veracode, которая занимается безопасностью

Расплата

Первой жертвой корпоративных интриг стал Space Rogue. Он заведовал текущей деятельностью L0pht и Hacker News Network, но у венчурных капиталистов были свои люди для таких мест, к тому же они не хотели, чтобы их упоминали в одном ряду с “хакерами”. В результате независимый онлайн-бюллетень стал беззубым корпоративным веб-сайтом “Security News Network”, а Space Rogue получил работу в маркетинговом отделении @Stake, вдали от Mudge, Kingpin, Weld Pond и других хакеров. Вскоре Space Rogue был уволен.

Компания конфисковала его ноутбук, и ее охранники бесцеремонно выставили его на улицу по причинам, которые он не может понять до сих пор. К тому времени, когда Space Rogue добрался домой, его учетные записи L0pht.com были отключены. Он понятия не имел и до сих пор не знает, встал ли на его защиту кто-либо из L0pht.

“Это была черная полоса в моей жизни… я потерял шесть лучших друзей, — вспоминает Space Rogue. — Я был по-настоящему подавлен, и мне потребовалось много времени, чтобы восстановиться”.

Примерно в то же время взорвался пузырь доткомов, загнавший до этого акции технологических компаний в стратосферу, а вместе с ним исчезли и компании вроде Pets.com. Даже у более серьезных компаний наступили сложные времена. Директор @Stake, который выступал в роли своеобразного опекуна L0pht, приказал Визопалу исключить из группы одного из участников, чтобы сократить расходы компании.

Визопал неохотно выбрал в жертвы Брайана Обливиона, одного из основателей L0pht, которого на самом деле зовут Брайан Хассик. Известие об увольнении он получил за день до крещения сына — после этого он и Визопал не разговаривали несколько месяцев.

Вскоре куда-то исчез Затко. Хотя он и не входил в число основателей группы, во время ее восхождения к славе он был ее лицом. Если бы L0pht были Beatles, то Затко был бы эксцентричным Джоном Ленноном, а Визопал — уравновешенным и рассудительным Полом Маккартни. Оказалось, что Затко начал испытывать приступы тревоги и даже угодил на несколько дней в психиатрическую больницу из-за неправильно подобранного лечения. Никто из других членов L0pht так и не пришел его навестить, что еще больше расстроило Затко (как позднее выяснилось, они были не в курсе, что с ним случилось).

“L0pht были моей единственной семьей, — вспоминал Затко. — Это меня просто убило… Я чувствовал себя хуже некуда”.

Затко постепенно поправился, но дела @Stake шли все хуже и хуже. Space Rogue пригрозил им иском, чтобы потребовать недополученный доход и оставшуюся долю финансирования (в итоге он получил кое-что, но этого хватило лишь на недорогой автомобиль и несколько месяцев аренды жилья).

В сентябре 2003 года из @Stake был уволен ее технический директор, уважаемый эксперт по безопасности Дэн Гир (Dan Geer). Это стало наказанием за то, что он принял участие в публикации отчета о том, насколько пагубно влияет на безопасность доминирование Microsoft на рынке ПО. Гир узнал о своем увольнении из пресс-релиза @Stake.

Когда в 2004 году то, что осталось от @Stake, приобрела компания Symantec, все вздохнули с облегчением.

“Все, что было для нас важно, мало-помалу отнимали у нас, пока мы не остались ни с чем, — говорит Гранд. — Нам нужна была возможность говорить правду обо всех, но такие времена быстро закончились. Мы оказались связаны по рукам и ногам”.

По мере распада L0pht Интернет становился все более опасным. Одним из первых крупных инцидентов в новом тысячелетии стала эпидемия, вызванная червем ILOVEYOU, который, по всей видимости, был создан парой программистов с Филиппин. Червь использовал уязвимость в Microsoft Outlook для рассылки своего кода по адресам из списка контактов. По некоторым оценкам, он заразил 10% всех компьютеров мира, в том числе системы Пентагона и британского парламента, а расходы на устранение ущерба составили около 20 миллиардов долларов. Многие другие черви, такие как Pikachu, Anna Kournikova и Nimda, также эксплуатировали дефекты в продуктах Microsoft.

8 декабря 2000 года, на следующий день после годовщины японской атаки на базу американского флота, Ричард Кларк, который когда-то провел для L0pht экскурсию по Белому дому, выступал на конференции, организованной Microsoft. Он предупредил, что, если правительство не возьмется за решение проблем с компьютерной безопасностью, США может ждать “цифровой Перл-Харбор“.

kingpinweb1

Джо Гранд a. k. a. Kingpin показывает спроектированную им плату для считывания карт RFID

‘Хакеры как вода’

L0pht оставили после себя смешанное наследие. Они одними из первых стали придерживаться принципа “ответственного раскрытия информации”, который широко используется до сих пор. Он предполагает, что исследователи, которые ищут уязвимости, дают компаниям некоторое время на их устранение, прежде чем сообщить о своих открытиях всему миру. Сегодня некоторые компании даже предлагают награды за уязвимости, обнаруженные в их продуктах, чтобы исправить дефекты, прежде чем ими воспользуются злоумышленники или шпионы.

Вскоре Microsoft тоже пришлось отнeстись к безопасности серьезнее, потому что крупные клиенты грозились уйти к конкурентам. В меморандуме Гейтса за январь 2002 года он объявил о новой инициативе, согласно которой безопасность получала наивысший приоритет во всей деятельности корпорации.

Первоначально это решение было воспринято с изрядной долей скепсиса. “Когда я рассказал друзьям, что буду заниматься в Microsoft безопасностью, большинство из них засмеялись, услышав ‘Microsoft’ и ‘безопасность’ в одной фразе, — поделился воспоминаниями Скотт Чарни (Scott Charney), бывший служащий Министерства юстиции. Сейчас он возглавляет в Microsoft отделение Trustworthy Computing.

Корпорация направила гигантские средства и человеческие ресурсы на укрепление защиты своих систем, но это не сделало Интернет безопасным. Усилия Microsoft начали приносить плоды лишь через несколько лет, с выпуском Windows Vista и Office 2010. Из-за необходимости обеспечивать “обратную совместимость” многие старые дефекты, годами отравлявшие жизнь пользователям Интернета, удавалось устранить лишь в совершенно новых версиях ПО. Более того: федеральное правительство только в прошлом году заменило сотни тысяч компьютеров с системой Windows XP, которая была выпущена еще до призыва Гейтса к борьбе за безопасность ПО.

Однако корпорация Microsoft никогда не была единственной мишенью для атак хакеров.

“Хакеры как вода, — говори Винья из Калифорнийского университета в Санта-Барбаре. — Они всегда идут по пути наименьшего сопротивления. Закройте одну брешь, и они тут же найдут другую”.

Суть этой проблемы давно понятна и была прекрасно описана L0pht в Сенате: в технической отрасли росту отдается приоритет над безопасностью, а когда компания становится достаточно большой, чтобы всерьез озаботиться безопасностью — как в итоге произошло с Microsoft — встроить средства защиты в системы, спроектированные без них, чрезвычайно сложно.

Томпсон, республиканец, который входил в состав сенатской комиссии в 1998 году, сказал в недавнем интервью, что правительству едва ли по силам решить проблему с безопасностью Интернета: “Во-первых, это очень сложно, ну а во-вторых, в этом ни для кого нет немедленной политической выгоды”.

weldpondweb1

Пол Нэш a.k.a. Silicosis (слева) и Крис Визопал a.k.a. Weld Pond

Время блэк-хэтов

Некоторые критики призывают к принятию строгих стандартов и введению юридической ответственности за дефекты в высокотехнологичной продукции. Другие утверждают, что было бы предпочтительнее создать независимую группу экспертов, которая занималась бы сертификацией электронных устройств. С другой стороны, высказываются опасения, что строгая регуляция затормозит инновации и затруднит использование ПО и оборудования. Если учесть тот факт, что информационные технологии играют все более важную роль в экономике США и всего мира, едва ли можно ожидать ужесточения требований к их безопасности.

“У проблемы единственное решение — это разработка более безопасного ПО, — говорит Гари Макгроу (Gary McGraw), технический директор компании Cigital, которая занимается компьютерной безопасностью более 20 лет. — Пока мы не начнем интегрировать в ПО защиту с самого начала его разработки, мы ничего не добьемся”.

После краха @Stake группа L0pht несколько восстановила свою репутацию и выпустила в 2009 году обновленную версию L0pht Crack. Главный сайт группы и Hacker News Network работают до сих пор.

Визопал и Dildog основали в 2006 году компанию Veracode. Затко, который излечился от тревожного расстройства, устроился в компанию BBN Technologies. Позднее он проработал 3 года в DARPA, где занимался исследованиями кибербезопасности, после чего присоединился к Google. Большинство других участников L0pht также до сих пор занимаются компьютерной безопасностью. Давние обиды позабылись, и они снова встретились летом 2014 года на свадьбе Space Rogue.

Что касается проблем, о которых L0pht когда-то рассказали правительству США, то они лишь усугубились. В нынешнем Интернете бал правят хакеры-злоумышленники.

Визопал вспоминает одну мрачную историю. Когда-то города были очень уязвимы для катастрофических пожаров, которые стремительно распространялись по районам с деревянными домами. Потребовался гигантский пожар в Чикаго, чтобы государственные чиновники приступили, наконец, к серьезным реформам, таким как ограничения на постройку деревянных домов, улучшение водоснабжения и т. д.

“Рынок не решил проблему пожаров, — говорит Визопал, предсказывая, что и в сфере безопасности Интернета для изменений может потребоваться катастрофа. — Мне кажется, что и проблему безопасности Интернета рынок не решит”.

Похоже, что Визопал прав, но не помешает вспомнить еще один пугающий факт. Попытки создать новые, более строгие, стандарты пожарной безопасности так и не начались после Великого чикагского пожара 1871-го года, который погубил сотни людей и оставил 100 тысяч без крова. Потребовался второй пожар, в 1874 году, чтобы чиновники Чикаго занялись реальными изменениями.

Крейг Тимберс (Craig Timbers), 22 июня 2015 г.

Источник: washingtonpost.com



Categories: Aмерика, Безопасность, История

Tags:

5 replies

  1. Не ожидал что в интернете всё настолько плохо.

  2. Спасибо за отличную статью. Много букв, но их стоит прочесть.

  3. Рынок не решает проблем безопасности, он их создает!
    Демократия тоже рынок, только политический. Теперь технологиям биткоина и блокчейна выпала участь быть носителем решения по безопасности от проблем созданных рынком и демократией.

    • Пробдемы создаёт, не рынок, а его отсуцтвие, или искажение. Если кто то, перегораживает реку, и кроме какой то выгоды, получает кучу проблем, то река тут не причём.

Trackbacks

  1. История L0pht: хакеры за сетевую безопасность | digitaleconomy.gq

Поделитесь своими мыслями

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: