5 мифов о хакерстве, в которые вы наверняка верите (благодаря фильмам)
|
|
Автор данной статьи – Калеб Бринкман, белый хакер, который наносит вред веб-сайтам только для того, чтобы сделать их защиту еще сильнее.
Читайте дальше и вы узнаете, почему то, чему вас учили фильмы о хакерстве, является в корне неверным…
Миф №5: Вы можете взломать любой мейнфрейм через Интернет
Если в фильме вы слышите слово «взломать…», то за ним практически всегда следует «мейнфрейм».
Мы привыкли считать, что веб-сайт является фасадом всей этой громадной кучи секретных записей и внутренних деталей. Например, достаточно взломать сайт ЦРУ, и вы получите доступ к их мейнфрейму, где хранятся все данные о тайных агентах и схемы лазеров, вмонтированных в наручные часы. Когда я только начинал свою хакерскую деятельность, я думал, что буду проникать в различные мейнфреймы, управлять дескрипторами и взламывать все эти системы.
Но идея о том, что вы можете получить доступ к любой крупной компьютерной системе через Интернет, является ошибочной.
Возможно, у них есть база данных, скажем, с информацией о логине и пароле, которую вы можете раздобыть через сеть, но вряд ли они станут хранить какие-либо сведения и документы в любой из общедоступных баз данных, поскольку это крайне глупо.
Веб-сайты являются не столько фасадом, сколько рекламной листовкой, приклеенной к телефонному столбу. Вы можете исписать ее вдоль и поперек, но это не даст вам ровным счетом ничего. То же самое касается всех тех киношных хакеров-суперзлодеев, которые взламывают энергосистему: для того чтобы сделать это, нужно обладать тонной секретной внутренней информации, и то, вероятность, что все получится, невелика. Даже само слово «мейнфрейм» является своего рода анахронизмом, поскольку они по большей части были вытеснены серверными фермами. Эти серверы подключены к корпоративной интрасети, но зачем Microsoft или Lockheed Martin платить за хостинг миллиардов гигабайт засекреченной информации в облачном хранилище данных?
Возьмем, к примеру, Эдварда Сноудена, парня, которому удалось заполучить тайные сведения о программе шпионажа АНБ (Агентство национальной безопасности). Он не украл их путем взлома веб-сайта АНБ, а добыл изнутри, поскольку работал там системным администратором. Зачем взламывать дверь, если есть ключи от замка?
Миф №4. Хакерство является незаконным
Есть люди, которые занимаются хакерской деятельностью на службе сил зла – не будь их, я б остался без работы. Я являюсь белым хакером, и мне платят именно за то, чтобы я боролся с ними. Но большинство хакеров, которых я знаю, тратят свое время и силы на исследования. Мы анализируем исходный код с целью его улучшения для более надежной защиты. Назовем это профилактическим вандализмом – люди платят нам за то, чтобы мы взламывали их сайты, а затем указывали им на лазейку, которую мы использовали.
Другая сторона белого хакерства более корыстная: поиск багов в веб-приложениях и получение бонусов. Это как прохождение квестов в ММОРПГ (массовой многопользовательской ролевой онлайн игры), только вознаграждение настоящее. Facebook платит минимум $500 за обнаружение одной ошибки. Google готова выложить $20000, если вы найдете что-нибудь действительно серьезное. За последние три года они выплатили $2 миллиона, поскольку функционирование крупнейшей в мире поисковой системы делает вас денежной пиньятой, наполненной уязвимостью.
Так что да – настоящие хакеры проводят большую часть своего времени, пытаясь взломать известные сайты. Однако они делают это не потому, что являются ненормальными анархистскими повстанцами, борющимися за Власть; они делают это для того, чтобы помочь этим сайтам стать более безопасными, а еще потому, что каждый найденный баг приносит им кучу денег.
Итак, поскольку хакерство в действительности является самой что ни на есть настоящей работой, причем зарабатываете вы на жизнь вполне законным путем (а белое хакерство – вообще большой бизнес), то мы разрушили еще один киношный стереотип: что хакеры – эксцентричные, социально изолированные задроты, живущие за счет сети.
Вот типичный киношный хакер («Земное ядро: Бросок в преисподнюю», 2003):
Ну а наша команда работает в обычном офисе, и у большинства людей есть своя семья. И мы не обосабливаемся от общества, считая себя нормальными людьми, а всех вокруг – фриками. Мы проводим публичные мероприятия, где, как и все, пьем и обмениваемся визитками. Примерами таких событий являются Black Hat и Def Con, где даже можно увидеть людей в костюмах (хотя футболки встречаются гораздо чаще). Основным докладчиком на конференции Black Hat в этом году был никто иной, как руководитель АНБ, и, кстати, чисто для справки, аудитория, перед которой он выступал, выглядела вот так:
Если бы вы провели какое-то время в индустрии высоких технологий, вы бы посчитали этих слушателей как вполне себе обычных людей. Отличился только чувак в фетровой шляпе.
Миф №3. Хакерство требует всякого рода экзотического программного обеспечения
Вот так выглядит взлом какой-либо системы в голливудских фильмах:
Понятное дело, создатели голливудских фильмов любят все приукрасить (в том числе и программы для взлома) для того, чтобы удивить зрителей, однако складывается впечатление, что хакерство подразумевает работу с такими сложными и чуждыми интерфейсами, которые используют, наверное, только инопланетяне. Хотя на самом деле хакерские утилиты выглядят вот таким образом:
Напоминает программу, запущенную в браузере, не так ли? И вы правы. Самым распространенным видом хакерства на сегодняшний день является взлом веб-приложений. Ваша задача заключается в поиске уязвимых мест различных сайтов. Только белые хакеры делают это для того, чтобы сделать их безопаснее, а черные хакеры – потому, что они кретины.
Так что, если вы придете к нам в офис, все будет выглядеть так, будто мы все просто просматриваем веб-страницы.
Бесконечные потоки зеленого текста выглядят круто, но человеческий мозг лучше справляется с чем-то более практичным/
По сути, большая часть моей работы заключается в многократной перезагрузке веб-страниц – один из способов, при помощи которого вы можете попробовать взломать фильтры сайта.
Однако следует отметить следующее: простой интерфейс программ не означает, что при помощи старого «железа» можно взломать что угодно. В тех же самых фильмах, где хакерство представлено как нечто, требующее взаимодействия со сложным виртуальным интерфейсом, показывают хакеров, которые выполняют свою работу с использованием самого обычного ноутбука.
Самым распространенным способом хакерства является полный перебор (или «метод грубой силы»): поиск всевозможных вариантов взлома до тех пор, пока какой-либо из них не даст желаемого результата. Для этого вам просто необходимо иметь очень мощное аппаратное обеспечение.
Конечно, какое-то время вы можете обходиться одним ноутбуком, но только когда речь идет о выполнении какой-либо одной конкретной задачи. Но если дело касается серьезной работы в производственных масштабах, вам придется тестировать сотни сайтов и параметров одновременно. И вряд ли процессор вашего маленького компьютера выдержит и не расплавится от такой нагрузки (в прямом смысле этого слова – у меня есть отличный игровой ноутбук, и всякий раз, когда я запускаю на нем тестирование более одного параметра, мне приходится после этого охлаждать его вентилятором). Именно поэтому большинство серьезных хакеров, которых я знаю, используют для работы что-то вроде высокопроизводительных игровых ПК. И они, как правило, не требуют по несколько мониторов, это опять же жрет ресурсы.
Миф №2. Хакерство требует молниеносных рефлексов
Обычно в фильмах хакерство представляют как динамичную деятельность, требующую мгновенной реакции. И в этом есть смысл: вы должны опередить безопасность, других хакеров – это компьютерный эквивалент перестрелки. В типичной хакерской дуэли взломщик «стреляет» командами и вирусами по системе, в то время как группка ботаников старается отсечь атаку в реальном времени и вычислить хакера, пока он пытается улизнуть.
В современном мире большинство хакерских утилит работают в автономном режиме. Если вам нужно взломать сайт или IP-адрес, вы просто выбираете подходящую программу, «задаете цель» и жмете «ОК». Затем вы можете спокойно отойти от компьютера на некоторое время, пока утилита не завершит выполнение поставленной задачи.
Однако это не значит, что хакерство вообще не требует никаких усилий – эти приложения всего лишь помогают сократить время и найти проблему, не более. На поиск слабого места может уйти около часа, плюс 15 минут, которые трачу именно я на взлом системы.
Миф №1. Хакерством может заниматься только профи
Существует одна причина, по которой все киношные хакеры всегда живут в подвальных пещерах: они относятся к той категории людей, которые тратят каждый час своей жизни на оттачивание навыков взлома.
Это в фильмах, а реальность такова, что мы ходим по ярмаркам вакансий, которые проводятся в колледжах, и часто нанимаем людей вообще без какого-либо опыта работы с компьютером. Обучение не занимает целые годы – за шесть месяцев мы можем превратить кого угодно в настоящего хакера. Хакерство по части безопасности, чем занимаюсь лично я, на самом деле довольно легкое поле деятельности, которое под силу даже новичку.
Правда заключается в том, что существует около 50 различных типов угроз, признанных WASC (международная организация, объединяющая профессионалов в области безопасности веб-приложений), и каждому отдельному человеку необязательно знать, как отследить все из них. Чтобы постичь основы хакерства, вам потребуется всего одна-две недели, и практически с самого первого дня вы будете практиковаться на реальных приложениях.
Copyright Muz4in.Net © - Rosemarina
Copyright Muz4in.Net © - Данная новость принадлежит Muz4in.Net, и являются интеллектуальной собственностью блога, охраняется законом об авторском праве и не может быть использована где-либо без активной ссылки на источник. Подробнее читать - "об Авторстве"
Вам понравилась статья? Просто перейди по рекламе после статьи. Там ты найдешь то, что ты искал, а нам бонус...
|
|
Почитать ещё: