Опубликовано 08 мая 2014
Бывший сотрудник консалтинговой фирмы The Canton Group был арестован ФБР после выполнения аудита безопасности компьютерной сети Университета штата Мэриленд. В награду за проделанную работу ему представили целый ряд обвинений.
До недавнего времени Дэвид Хелковски (David Helkowski) был известен в Балтиморе как представитель этических хакеров, также называемых «Белыми шляпами». Такие люди часто выполняют на добровольных началах сложную работу по аудиту безопасности программ, устройств с криптографической защитой и компьютерных сетей. В отличие от «Чёрных шляп», они ищут уязвимости с целью помочь разработчикам сделать свой продукт более защищённым и обычно не разглашают сведений о найденных ошибках до их устранения.
Термин ethical hacker отражает целую философию жизни, краткая суть которой в стремлении отдельных специалистов сделать ИТ-сферу более надёжной и безопасной для простых пользователей. Часто это происходит в ущерб собственной выгоде, требует высокой квалификации и немалых усилий в свободное время.
Обычно правительство и соответствующие службы лояльно относятся к таким людям, изредка контролируя их деятельность. Для них устраиваются открытые конференции по безопасности, а ведущих специалистов привлекают для раскрытия преступлений в сфере высоких технологий.
Описанный Дэвидом случай нарушения сложившихся традиций очень показателен. Он ставит под угрозу любую подобную деятельность, если она не санкционирована официально. Проблема в том, что многие организации весьма халатно относятся к вопросам безопасности и не заказывают подобных услуг. Вместо тестов на проникновение и рекомендаций по усилению защиты они предпочитают «сейф без задней стенки» и формальное соответствие минимальным требованиям.
Хелковски рассказал свою историю на Reddit в потоке под названием «IamA Hacker who was Raided by the FBI and Secret Service AMAA!». Пост набрал триста пятьдесят комментариев, но затем был удалён якобы за нарушение правил сайта. Тогда прямо во время расследования он встретился с прессой. Первыми у него взяли интервью корреспонденты издания Ars Technica.
Во время своей работы в The Canton Group Дэвид в основном занимался анализом проектов с открытым исходным кодом. Кроме того, его периодически нанимали разные фирмы, поручая работу от создания веб-скриптов до написания сложных программ на Си.
В ноябре 2013 года его наняли в команду программистов, занимавшихся переносом содержимого сайта медицинской школы Университета штата Мэриленд. Для удобства Дэвид скопировал весь веб-контент на свой рабочий компьютер. Внезапно его антивирусная программа сообщила об ошибке и аварийно завершилась.
Хелковски стал смотреть логи и увидел причину: один из PHP-скриптов содержал признаки обфускации кода для сокрытия его функций и вызывал ошибку в работе антивирусного анализатора.
Дэвид стал изучать код скрипта вручную и обнаружил серьёзную уязвимость. В скрипте был спрятан бэкдор C99Shell, позволяющий удаленному пользователю выполнять произвольные команды на сервере, включая поиск и загрузку файлов. Дополнительно из-за ошибки конфигурации сервера появлялась возможность изменения прав доступа и выполнения атаки на другие узлы университетской сети.
Событие стало поворотным моментом: из разработчика Хелковски превратился в хакера, чья виртуальная шляпа пока сияла девственной белизной. Однако очень скоро ему пришлось выйти за рамки этических методов. Простые уведомления, отправляемые в течение нескольких месяцев администрации университета, не возымели действия. Тогда Дэвид вознамерился доказать им свою правоту и стал собирать доказательства практической осуществимости удалённого взлома.
В феврале этого года он продолжал исследовать университетскую сеть за домашним компьютером. Ему удалось воспользоваться найденной уязвимостью и скопировать из базы данных около трёхсот тысяч записей о студентах, преподавателях и администрации вуза.
Дэвид решается на крайние меры: в знак серьёзности выявленных проблем с настройкой сети он публикует на Reddit номер социального страхования (SSN) президента университета. Это стало роковой ошибкой, поскольку на SSN юридически завязаны многие финансовые документы граждан США, а кража персональных данных широко используется мошенниками и расследуется ФБР.
После демонстрации результатов взлома Хелковски отправляет анонимное письмо сотрудникам недавно учреждённой службы безопасности университета. В нём он вновь подробно описывает найденные проблемы с конфигурацией сервера и надеется на их скорейшее устранение. Вот отрывок из письма: «Из вежливости я даю вам шанс ответить мне лично, иначе буду вынужден поднять шум в интернете… Ваши внутренние идентификаторы перечислены ниже, чтобы привлечь ваше внимание. Если служба безопасности не будет работать над указанной проблемой, то считайте это справедливым предупреждением и последним письмом от меня».
Реакция администрации была удивительной. В открытом письме, опубликованном на следующий день, и в видеообращении президент Уоллес Ло (Wallace Loh) сказал, что университет «стал жертвой изощренной атаки на компьютерную сеть, о чём свидетельствуют присланные записи, содержащие личную информацию».
http://www.youtube.com/watch?v=ELq5TO3ilS0
Несмотря на использование прокси и VPN, к Дэвиду пришли агенты ФБР и стали задавать вопросы. Шестнадцатого марта они получили ордер на обыск и просто вышибли дверь в квартиру. В результате рейда агенты забрали все электронные устройства, но пока не стали арестовывать Дэвида, ограничившись предупреждением о серьёзных последствиях.
До этого инцидента Дэвид вёл совершенно легальную жизнь. Он был хорошим программистом, владеющим многими языками и средствами разработки. Среди увлечений Хелковски было коллекционирование клавиатур, что сыграло забавную роль. Во время обыска к его компьютеру была подключена редкая японская модель. Латинские символы на ней были наклеены не на верхней, а на передней грани каждой клавиши и не соответствовали привычной раскладке. Это ввело агентов ФБР в замешательство и сделало невозможным быстрое копирование данных.
«Я заставил эту клавиатуру работать в Windows, внеся изменения в реестр, — поясняет Дэвид. — Затем я просто запомнил, какая клавиша соответствует каждому символу». В этом Дэвиду помогли его музыкальное образование и уроки игры на фортепьяно. После них сотня кнопок запомнилась сама собой.
В настоящее время против Хелковски выдвинут ряд обвинений в нарушении статей уголовного и гражданского кодекса. Из-за потрясения Дэвид стал выглядеть гораздо старше своих тридцати двух лет. У него появились седые волосы и возникло полное разочарование в государственной системе, где проще закрывать глаза на проблемы и устранять не их, а тех, кто пытается сделать мир безопаснее.
Опубликовано 06 мая 2014
Ещё недавно коллектив молодой компании Oculus VR стоял на Kickstarter «с протянутой рукой», а сейчас создатели шлема виртуальной реальности (ВР) становятся законодателями игровой моды. Более того, они наблюдают «эффект просачивания»: венчурные инвестиции в разработчиков виртуального контента потекли рекой, потому что впервые стало очевидно, на чём именно он будет демонстрироваться и на какую прибыль можно рассчитывать. Исполнительный директор Oculus VR Брендан Айриб (Brendan Iribe) комментирует планы по охвату миллиардной игровой аудитории.
«Новые игровые платформы набирают в первые годы до ста миллионов поклонников», — говорит он в интервью изданию TechCrunch. Предел их популярности возникает из-за опасений разработчиков игр. Они думают, что новая платформа может оказаться недолговечной по финансовым причинам, поэтому долго не пишут игр для неё и сохраняют осторожность в дальнейшем.
Возникает типичный самосбывающийся прогноз: крупные фирмы не спешат рисковать, боясь спада популярности очередной игровой платформы, и он действительно наступает — уже из-за малого количества новинок и появления альтернатив.
Похоже, продажа перспективного стартапа Oculus VR компании Facebook была стратегически верным шагом. Общеизвестно, что у владельцев самой крупной в мире социальной сети «глубокие карманы», но сумма сделки в два миллиарда долларов всё равно впечатляет. После её совершения и столь высокой оценки потенциала Oculus Rift вопрос о наличии финансовых резервов отпал сам собой. С каждым днём для шлема ВР находится всё больше удивительных применений.
Шлем виртуальной реальности по-прежнему существует в варианте для разработчиков, но интерес к нему возрос многократно. Его первая версия была доступна для предзаказа целый год и не пользовалась большим спросом. Второму релизу потребовался лишь месяц для достижения такого же объёма предварительных продаж.
«Для нас главный вопрос был в том, хотим ли мы идти путём Game Boy, развиваться по примеру iPhone, Android или как-то иначе, — комментирует сделку Айриб. — Я считаю Game Boy прекрасной платформой, но посмотрите: карманные консоли уже вытесняются мобильными гаджетами».
Палмеру Лаки (Palmer Luckey) и его команде в Oculus VR требовался совершенно иной масштаб. Примерно в объёме одной седьмой населения планеты. «В нашей компании мы хотели пойти гораздо дальше, — поясняет Айриб. — Сейчас планируем объединить миллиард людей. Что больше привлекает — платформа с миллиардом пользователей или с полусотней миллионов?»
Для многих разработчиков игр ответ однозначный. Они предпочитают Oculus Rift не только как инновационный продукт, но и как быстроразвивающуюся часть виртуальной среды, за которой стоит одна из крупнейших корпораций.
Это не просто прогнозы. Благодаря Facebook коллектив Oculus VR уже заручился поддержкой ведущих игроделов, которые обычно игнорируют любые аппаратные новинки до тех пор, пока не увидят чёткой схемы монетизации будущих доходов.
Аналогичный сценарий ожидал и стартап Parse. После перехода под крыло Facebook число мобильных приложений в этом облачном сервисе выросло в четыре раза.
Что касается Oculus VR, то компания переживает небывалый подъём. В ней даже сформировали дополнительную исследовательскую группу, задачей которой станет налаживание связей с университетами и привлечение студентов. Многие готовы принять участие в испытаниях и предложить идеи для улучшения шлема Oculus Rift, но лучше всего для этого подходят именно увлечённые молодые люди из университетских кампусов.
В ближайшей перспективе игровую индустрию ждёт ещё одна похожая инновация. Это проект Morpheus компании Sony. Его можно считать подобием Oculus Rift для PlayStation. Именно в привязке к собственной игровой приставке и кроется главное ограничение этого аналога.