Темная сторона IT
Хакерство — это больше, чем распространение вирусов и взлом аккаунтов в социальных сетях. У этого явления есть и «белая сторона»: многие программисты ищут уязвимости, чтобы поделиться ими с компаниями, а не использовать в преступных целях. А есть и те, кто когда-то баловался хакерством, но вовремя остановился. Герои нашего материала, профессиональные программисты, рассказывают о своем опыте взлома компьютерных систем.
Герой пожелал остаться анонимным
Я начал заниматься программированием в пятом классе. У меня в городе был центр с факультативами для школьников, и там преподавали программирование. Я попал в этот кружок, и мне очень понравилось.
У слова «хакер» несколько значений: сначала так называли талантливых программистов, и только потом это слово начало прочно ассоциироваться с «компьютерными взломщиками». Если говорить именно про последнее значение, то таких специалистов обычно делят на Black Hat и White Hat.
Black Hat — это преступники, которые нелегально взламывают системы для собственной выгоды. К таким людям я, конечно, отношусь плохо. White Hat — это эксперты по информационной безопасности, которые ищут недоработки и уязвимости в программах, а потом делятся ими с разработчиками, чтобы те смогли их исправить. Я часто восхищаюсь их умениями, талантом и смекалкой — настолько необычные способы что-то взломать они могут находить.
Однажды летом я поехал в один небезызвестный летний лагерь, где сотрудники разных IT-компаний обучали нас программированию. В лагере предполагалось, что школьники целый день решают задачки по программированию на специальном внутреннем сайте (ejudge — прим. The Vyshka), и доступа к полноценному интернету у них нет.
Я в то время увлекался чтением биографий известных программистов и знал много историй про то, как в школьные/студенческие годы они взламывали сеть школы/университета. Да и в лагере в ходу была песня: «ejudge взломали, все в печали». Поэтому с самого начала смены я задался целью тем или иным образом «обхитрить» преподавателей.
Доступ в интернет я получил уже в первые дни, а еще через какое-то время мои товарищи подсмотрели специальный токен у одного из преподавателей (под «токеном» имеется в виду специальная строка, по которой сайт идентифицирует, под каким аккаунтом пользователь залогинен. Такие токены обычно скрыты и хранятся в cookie-файлах, но в том случае токен был записан в адресной строке — прим. The Vyshka). Одного токена не было достаточно, чтобы войти в аккаунт, но если ты еще и адрес компьютера подменишь на нужный, то это получалось сделать. Сначала я получил доступ к админке сайта, а так как преподаватели, вопреки всем правилам безопасности, везде использовали одинаковые пароли, вскоре мы получили доступ и к самим серверам.
Возможность менять оценки или подсматривать ответы к задачам меня вовсе не интересовала, и оставшуюся часть смены я лишь хвастался друзьям своими «достижениями». В последний же день я решил пошутить и разместить что-нибудь на главной странице сайта. Правда, однажды я заходил на сервера и забыл подменить адрес своего компьютера, так что в итоге знающий сисадмин рано или поздно смог бы меня вычислить по IP. Но я решил, что это вряд ли это сделают быстро, поэтому зашел на сервер и поместил на главную страницу сайта большой красный блок с цитатой из «Манифеста хакера»: «Мое преступление — любопытство. Мое преступление в том, что я намного умнее вас».
Закончив это черное дело, я пошел расслабляться на дискотеку, а потом сел с другом смотреть фильм. Но оказалось, что я недооценил способности администрации, и вскоре в мою комнату постучался завуч. Так, ночью под проливным дождем меня повели к директору лагеря.
На вопросы других преподавателей, в чем я провинился (курил или выпивал?), завуч отвечал, что я «сделал кое-что похуже»
Директора на месте почему-то не оказалось, а способ «взлома» и имена своих товарищей я раскрывать отказался. Завучу ничего не оставалось делать, кроме как посадить меня в автобус домой.
Напоследок я сказал ему, что не стоило ставить одинаковые пароли, на что завуч очень раздраженно ответил: «Это вовсе не смешно»
Закончилось все тем, что на следующий год меня позвали в этот лагерь сисадмином.
Сейчас мне стыдно за содеянное. Хоть я и не пытался сделать ничего плохого, вряд ли у разработчиков, добровольно тративших время на обучение школьников, было еще и желание бороться с малолетними хакерами.
Герой пожелал остаться анонимным
Я начал заниматься программированием еще в школе. Тогда у меня еще не было доступа к интернету, а программирование я изучал по тетрадкам брата, который ходил на курсы. Для меня тогда не было четкого разделения между играми и программированием.
Программирование само по себе казалось еще одной игрой с открытым сюжетом, которая не надоедала
Когда нам домой только провели интернет, он был очень медленным и дорогим. Карманных денег хватало примерно на три часа интернета в неделю, но некоторые виды трафика не тарифицировались провайдером. Я нашел хитрый способ полноценно сидеть в интернете, используя нетарифицируемый трафик. На медленной скорости, зато бесплатно. Попутно я понял, как это работает, и захотелось разбираться в этом дальше.
У нас в университете была группа людей, интересующаяся безопасностью. Они периодически собирались и обсуждали новости из этой области, занимались и практической безопасностью: часть людей разрабатывала сервис с уязвимостями, а вторая группа пыталась их найти и исправить. В какой-то момент мы решили внести в это соревновательный момент и искать уязвимости наперегонки. Со временем соревнование стало проводиться с другими университетами и превратилось в одно из крупнейших в стране, а мы даже ездили на подобные состязания за границу.
Затем про нас узнали IT-компании, которые хотели, чтобы мы проанализировали их сервисы или продукты и рассказали, как их можно похакать. Но так удавалось договариваться только с местными компаниями, потому что нужно было периодически приезжать в их офис и общаться лично. Ситуация изменилась, когда исследователям начали массово платить за найденные уязвимости. Сейчас практически все крупные компании так делают.
Поиск уязвимостей — это и есть то, чем я занимаюсь. На заказ обычно уходит 2-3 месяца, но иногда может дойти и до полугода. Основная часть уязвимостей находится в первые недели, а потом чем дальше, тем меньше, вплоть до нуля. Затем год-два можно подождать, пока разработчики внесут новые баги, и повторить. Бывает, за одну ночь удается найти сразу несколько серьезных уязвимостей, а бывает, что несколько недель — и ничего.
Однажды я тестил один небезызвестный сервис заказа такси. Написал программу, которая прикидывалась телефоном и «общалась» с их серверами, вызвал машину, сел с ноутом на заднее сиденье и начал «общаться». Вдруг водителю приходит на телефон звонок с незнакомого номера, где ему говорят что-то на английском. Водитель решил, что кто-то просто ошибся номером. Через минуту звонят мне. На английском с индийским акцентом собеседник спрашивает, все ли у меня в порядке. Я отвечаю: «Да, все хорошо». И он говорит: «Тогда отмените режим тревоги».
Оказывается, за несколько месяцев до этого в Индии один из водителей расстрелял пассажира, и специально для этой страны в приложение сервиса была добавлена кнопка «SOS», при нажатии на которую в индийскую полицию и родственникам клиента уходит сигнал тревоги с местоположением клиента. Видимо, я, «общаясь» с сервером, послал те данные, которые отправляются при нажатии этой кнопки. Пришлось срочно искать, какие данные нужно отправить, чтобы ее «отжать».
Я бы отнес себя к людям, которые наслаждаются процессом досконального изучения того, как работает система. Так приходит понимание и того, какие недостатки у нее есть — эту информацию компаниям важно знать
Герой пожелал остаться анонимным
Я занимаюсь программированием с детства. Я играл в игрушки и в какой-то момент понял, быть честным в играх очень сложно. Тогда я начал писать всякие боты, чтобы упрощать игровой процесс и как-то зарабатывать на этом.
В какой-то момент хакерство стало хайповой темой, особенно после сериалов по типу «Мистера Робота». По-моему, теперь «хакер» звучит немного стыдно и лично у меня ассоциируется с «мамкиными хакерами». Я бы сравнил это с блокчейном: тема настолько популярна, что люди лезут туда, не зная зачем
Я играл в многопользовательские игры, но программировать тогда особо не умел и поэтому занимался фишингом (мошенничество с целью получения приватных данных — прим. The Vyshka). Многопользовательские игры часто построены на донате. Я создавал фейковые страницы, стилизованные под игровую тематику, и рассылал спам: «Ребят, заходите, вы можете получить права админа». И люди заходили, вводили логин и пароль от своей учетной записи. Я же мог заходить в их аккаунт и забирать игровые ценности. Но меня быстро банили.
Из-за блокировок я практически не получал профит и продолжал уже исключительно ради интереса. Это действительно как рыбу ловить: ее можно и купить, но ловить все же интереснее
Еще есть пиратские сервера, фришарды, которые очень часто основаны на утекших от разработчика игры серверных файлах. Это отдельный теневой бизнес со своей, как правило, грязной конкуренцией. Однажды я слил в открытый доступ несколько программ для проведения DDoS-атак (нападение на сайт или сервер, при котором они перестают работать — прим. The Vyshka) на пиратские сервера, после чего резко появился спрос на защиту от подобных атак, которую я затем продавал. Я пытался договориться и с официальным представителями, но они не пошли на контакт.
Представь, что ты школьник. Все такие серьезные сидят, играют. А ты можешь делать вещи, которые они не могут. Ты знаешь о каких-то багах, о которых никто не знает, можешь клонировать игровые ценности, выкидывать людей, ходить невидимым. Это забавно. Когда в чат кто-то скинул мою страницу, я подумал: «Господи, какой хайп». Это было смешно.
Однажды я создал приложение, чтобы накрутить счетчик приглашений для «Burger King». Система работала так, что, если ты зовешь друзей, можешь получить бонусы на какую-то халяву. Я долго и упорно занимался этим, и оно даже работало, но меня блокировали. Они хитрые и говорят, что если у тебя больше трех приглашений в день, то, наверное, ты робот, и тебя надо заблокировать.
А еще однажды ночью мне стало скучно, и я зашел на сайт какой-то пиццерии и поменял им цены
То, чем я занимался, — ребячество. Все это ненастоящее хакерство. Это не атаки на крупные компании, биржи, банки, не кража реальных денег и массовые взломы учетных записей.
Все это было чем-то вроде развлечения, но я этим не горжусь. Да и я очень быстро завязал и больше так не поступал. Но, смотря на все это со стороны, я оправдываю себя: разводить хаос из тени очень весело. И я не думаю, что нанес кому-то большой ущерб. В пиратской среде, где есть донат, вообще не так много хороших людей, чтобы переживать об этом. Обычные люди не так сильно страдали, как те, кто все это держит. Да и с точки зрения игрока, ты же просто тратишь свое время. Если не получилось поиграть — это не те проблемы, из-за которых я переживаю.
- Иметь различные пароли для различных сайтов;
- Не ставить никакие программы или расширения для браузера, разработанные неизвестно кем;
- Программа из доверенного источника может быть скомпрометирована, всегда надо учитывать этот фактор.
Текст: Александра Ромадина
Редактор: Елизавета Наумова