Текст книги "Бизнес-хакинг. Ищи уязвимости конкурентов – взрывай рынок"

Глава 2
Особенности хакеров

Разносторонние

Уязвимости изучают во многих науках и используют в разных профессиях, но есть только одна профессия, целиком и полностью зависящая от эксплуатации уязвимостей – хакерство. Профессионалов, отлично разбирающихся в уязвимостях, называют хакерами.

По мнению большинства людей, единственное, чем занимаются хакеры – это поиск способов взлома информационных систем (программ, сайтов, устройств) для получения выгоды незаконным способом. Люди почему-то также уверены, что хакеры отлично разбираются в информационных технологиях, но во всем остальном, например в межличностных отношениях, они ничего не понимают. На самом деле возможности и способности хакеров выходят далеко за рамки информационных технологий.

Хакеры не просто взламывают программы, чтобы показать свою крутость, выразить протест или заработать денег. Все намного сложнее. Взлом информационных систем – это результат, который может увидеть любой не посвященный в процесс хакинга. За кадром остается намного больше, чем взлом, а точнее, абсолютно все, что имеет значение в деятельности хакера.

Хакеры отлично разбираются в человеческих слабостях, ведь они являются основой для появления уязвимостей во всех системах (организациях, командах, проектах), которые создали или в которых участвуют люди. Человек – самое слабое звено в связке «человек – компьютер». Первое, чему учится каждый хакер, – глубоко проникать в мозги других людей. Взломать информационную систему зачастую просто невозможно без предварительного взлома человека и его глубокого понимания. У хакеров для этого даже существует отдельное название: социальная инженерия.

Хакеры отлично разбираются в стратегии и тактике, ведь каждый взлом требует тщательной предварительной подготовки. Они знают, как работают системы, в том числе люди, и используют системное мышление, потому что не только взламывают информационные и другие системы, в которых присутствует обратная связь (любая сфера человеческой деятельности, рынок, компания, команда, семья, партнерство), но и создают собственные.

Хакеры умеют оценивать риски и выгоды, чтобы, делая меньше, получать больше. Хакеры-преступники даже занимаются инвестированием «заработанных» денег и самопиаром. Каждый известный хакер – это бренд, а для создания бренда нужны и знания из разных областей, и умение правильно их применять[3]3
  Подробнее вы можете прочитать об этом в моей второй книге «101 способ раскрутки личного бренда. Как сделать себе имя», которая вышла в издательстве «Альпина Паблишер» в 2017 году.


[Закрыть]. Хакеры умеют торговаться и вести переговоры (именно так они договариваются друг с другом или находят заказы на взлом). Другими словами, у них есть чему поучиться.

Влиятельные

Сегодня хакеры способны добиться практически любой цели. Информационные технологии настолько глубоко проникли в нашу жизнь, что хакер с их помощью может повлиять на любого человека, независимо от количества денег или власти, которым тот обладает. Даже перед законом не все равны, а перед хакерами – все.

Можете не верить о вездесущности хакеров, но как насчет одного из самых богатых людей в мире, создателя социальной сети Facebook Марка Цукерберга? В 2016 году он опубликовал фотографию своего ноутбука, на котором веб-камера и микрофон были заклеены скотчем. Так делают те, кто опасается, что за ними могут следить (подслушивать или подглядывать). Глава ФБР Джеймс Коми посоветовал всем заклеивать веб-камеру и микрофон, добавив, что так делают многие чиновники.

Хакеры, более чем кто-либо другой, повлияли на развитие мира и внедрение подрывных инноваций. Все современные технологии созданы под значительным влиянием хакеров. Многие из них просто созданы хакерами. И чем дальше, тем более широким и глубоким будет процесс проникновения хакеров во все отрасли жизни. Это происходит уже не один десяток лет, но этот процесс, как и все, что делают хакеры, мало заметен для большинства людей.

Каждая существующая программа и устройство были протестированы множеством хакеров. Хакеры находили в них уязвимости, затем эти уязвимости устранялись, технологии совершенствовались и менялись. Для особо ценной информации постоянно создаются все новые способы защиты – хакеры не дают ни себе, ни другим расслабиться и довольствоваться достигнутым уровнем развития.

Каждый, кто считает, что его не касается то, что происходит в сфере информационных технологий, ошибается. В 2017 году вирус WannaCry за несколько дней заблокировал работу десятков тысяч компьютеров по всему миру. Возможно, ваша работа никак не связана с ИТ, но ведь вы используете персональные компьютеры или другие программируемые устройства, которые можно взломать или заменить более совершенными благодаря развитию компьютерных технологий, а значит, все, что происходит в ИТ, касается вас напрямую.

Хакеры способствуют тому, что компьютерные системы делаются совершеннее.

НАССИМ ТАЛЕБ. «Антихрупкость. Как извлечь выгоду из хаоса»

Если бы не хакеры, вы бы не пользовались бесплатной музыкой, фильмами, играми, операционный системой Windows и другим программным обеспечением. Хакеры создают проблемы корпорациям, банкам и даже простым людям, воруя их имущество, но в основном они грабят как раз крупные компании, а не отдельных людей.

Не зря директор ФБР боится хакеров. Не зря их боятся политики, государственные служащие и топ-менеджеры частных компаний, потому что только хакеры способны предать огласке их обманы и воровство. Как ошибку врача может обнаружить только другой врач, так иногда нужен мошенник, чтобы вывести на чистую воду другого мошенника. Ведь именно от хакеров мы узнали о кибервойнах между государствами, взятках, офшорных компаниях, тотальном шпионаже за каждым из нас и полной некомпетентности сотрудников спецслужб. Джулиан Ассанж (основатель WikiLeaks), Эдвард Сноуден и Брэдли Мэннинг (Челси Мэннинг) теперь самые страшные преступники, потому что вскрыли столько тайн правительства, сколько не смог сделать ни один иностранный шпион до них.

Хакеры самые результативные и эффективные работники на планете. Только подумайте: один хакер способен взломать систему, над защитой которой работали тысячи людей со всего мира. Это доказывает их невероятную эффективность в решении самых сложных задач, кажущихся неразрешимыми не только для одного человека, но и для хорошо организованной команды. Поэтому каждому человеку, который хочет достичь выдающихся результатов в какой-то сфере деятельности, даже в самой традиционной и прямо не связанной с информационными технологиями, нужно понимать принципы и методы работы хакеров и научиться думать как хакеры.

Бдительные

В традиционном понимании хакер – тот, кто нарушает безопасность объекта (кого-то или чего-то). С помощью специальных средств, а также нахождения уязвимостей он вторгается туда, куда вход запрещен, и делает то, что не позволено, думая лишь о собственной выгоде. Например, хакер может взломать смартфон и не только получить неограниченный доступ к данным, хранящимся на нем, но и удаленно управлять смартфоном или умным телевизором. Производители смартфонов и операционных систем стараются сделать их максимально безопасными, но хакеры все равно находят способы получить доступ к чужой информации, ведь смартфоны и другие устройства проектируют, создают и используют люди, которые постоянно делают ошибки.

Хакеры любят вторгаться в частную жизнь знаменитостей, особенно голливудских звезд, воруя фотографии и домашнее видео. Так как хакеру сложно, а часто невозможно взломать смартфон, он находит обходной путь, взламывая облачные хранилища, где обычно много фотографий, которые выставляют знаменитостей не в лучшем виде и показывают недостатки. Так хакерам стали доступны фотографии голливудских актрис Дженнифер Лоуренс, Кирстен Данст, Эммы Уотсон, Аманды Сейфред и менее известных Кэти Кэссиди, Триесте Келли Данн, Дилан Пенн. Для взлома хакеры нашли какую-то уязвимость и использовали ее.

Уязвимости в традиционном понимании – это брешь в безопасности объекта. В ИТ уязвимости так и называют: «дыра в безопасности». Лучше и не скажешь. Но что такое безопасность? Мы привыкли думать о безопасности в контексте физического мира, то есть безопасности нашего тела, вещей, денег, хранящихся в «заначке». Мало кто задумывается о безопасности личных данных, бизнеса, профессии и должности. Мы все еще не привыкли мыслить о безопасности в более широком смысле, а вот хакеры рассматривают это понятие широко.

Хакеры заботятся о своей безопасности, во всех смыслах этого слова, как никто другой. Именно хакеры учат нас всех быть бдительнее и думать не только о том, целы ли у нас руки, ноги и дом, но и том, как защитить свой комфорт, личную жизнь, профессию, бизнес, страну, культуру.

Что такое безопасность для бизнеса? Для бизнеса, занимающего лидирующие позиции, безопасность заключается в их сохранении. То есть если хакер каким-то образом сможет изменить расстановку сил на рынке, то также нарушит безопасность компании-лидера, потому что это приведет ее к убыткам, а убытки – ко многим другим неприятным последствиям.

А что если кто-то найдет законный способ изменить расстановку сил на рынке с помощью ИТ? Он сразу же станет хакером? Например, компания Uber нашла законный способ взломать рынок такси во всем мире. Она не только нарушила безопасность огромного количества компаний, но и в буквальном смысле слова уничтожила многие из них, тогда как многие таксисты перешли работать в Uber. Получается, компания Uber – хакер?

Приведу более простой пример. Например, какой-то нижестоящий менеджер с помощью ИТ сможет сместить с руководящей должности своего начальника и занять его место. По сути, он нарушил безопасность своего начальника с помощью ИТ. Он тоже хакер?

Многие скажут, что они не хакеры, и приведут много обоснований, например, что не нарушали законов, не получали несанкционированный доступ и т. п. Я с ними не соглашусь. Формально ни Uber, ни воображаемый нижестоящий менеджер не являются хакерами, но фактически мыслят и действуют как хакеры. В этом все дело. В любой сфере деятельности, в любой профессии, в любом месте пора начать думать и действовать, как думают и действуют хакеры, чтобы лучше конкурировать, создавать и наименее затратным способом реализовывать новые идеи. Огромное количество компаний и людей поступают как хакеры, используют те же способы получения результатов, при этом не нарушая законов, и добиваются поразительных результатов за очень короткое время, вкладывая сущие копейки.

Когда я говорю, что хакеры не нарушают законов, имею в виду только юридические законы. Другие законы и нормы они нарушают постоянно. В этом суть хакерства и всего того, что мы называем «подрывными инновациями» – они ломают существующие нормы. В этом смысле каждый инноватор – преступник, потому что преступает через существующие нормы и законы, чтобы изменить их в лучшую сторону или создать новые.

Использование чужих уязвимостей для нарушения чужой безопасности в цивилизованном мире ограничено юридическими законами, и это правильно. Нарушил закон – ты преступник. Не нарушил закона или твоя вина не доказана – ты не преступник, даже если делал многое из того, чем занимаются хакеры. Нарушителям не юридических, а других норм и правил следует ожидать «наказания» не стороны закона, а со стороны людей, недовольных инновациями – они будут протестовать и мешаться под ногами. Но юридические законы постоянно меняются, и это тоже хакинг. Каждый может найти способ обойти закон или изменить его себе на пользу.

«В этой борьбе мало кто придерживается строго правовых норм (да их и не существует), зато не брезгуют и прямо преступными средствами для ослабления или ликвидации своих соперников и конкурентов»[4]4
  Из предисловия для книги «Руководство по обеспечению безопасности личности и предпринимательства» Нейл С. Ливингстоун.


[Закрыть].

ПРОФЕССОР ЛЕОНОВ Н. С.

Законодательство уравнивает людей. Формально безопасность состоятельного человека равна безопасности бомжа, ведь все равны перед законом и судом. Но мы прекрасно понимаем, что равноправие существует только в теории, потому что право – это возможность, а «иметь возможность» и «воспользоваться возможностью» – разные вещи. У вас есть право слетать в космос, но если нет денег, вы этого не сделаете, значит, право (возможность) есть, а способа воспользоваться этой возможностью нет. Можно сказать, что и возможности нет, но это уже вопрос формулировки. Суть дела это не меняет: право – это потенциальная возможность. Допустим, лицензия на право занятия какой-то деятельностью дает вам возможность ею заниматься, но не обязывает и никак не способствует реализации права. Можете – отлично. Не можете – дело ваше. Можете ли вы воспользоваться правом, зависит от способностей, состояния, круга знакомств и многих других факторов, а не от того, что право гарантировано государством или просто существует как любая другая возможность, не регулируемая правом.

Более состоятельная компания всегда найдет уязвимость, с помощью которой победит менее состоятельную. Первая способна не только нарушить безопасность второй, но и полностью ее уничтожить. А как быть с теми компаниями, за плечами которых стоят влиятельные политики? Вы гарантированно проиграете, даже если правы по закону. И зачастую даже не придется нарушать законодательство, можно найти способы (читай уязвимости в законах) с помощью которых добиться желаемого. Следовательно, более состоятельный человек (компания) имеет больше возможностей для самозащиты, и победить их обычными способами невозможно. Для этого нужно найти его (ее) уязвимость.

Пугающие

Люди уверены, что знают, кто такие хакеры. Это злоумышленники, использующие информационные технологии для своих «грязных» делишек. Вирусы, воровство учетных записей электронной почты и аккаунтов в социальных сетях, пропажа денег с банковских карт, порча сайтов и блогов – это и многое другое СМИ приписывают хакерам, и люди этому верят. Но что вы в действительности знаете о хакерах, кроме этого? Откуда вы это знаете?

Если вы не изучали деятельность хакеров глубоко, то все ваши представления о них сформированы СМИ, а если быть более точным, фильмами, шоу и новостями. А как мы все прекрасно знаем, это не лучшие источники достоверной информации. СМИ создали собирательный образ хакера: преступник, основной и единственной целью которого является личное обогащение. У него серьезные отклонения в психическом здоровье, он неспособен к нормальным отношениям с другими людьми или вообще маньяк-убийца.

Хакеры – это специалисты в информационных технологиях (айтишники), и, как мы все прекрасно знаем, они не от мира сего. Это мнение стало очень популярным на заре ИТ и пока что не изменилось. В те времена мало кто был способен понять, почему человек целый день сидит перед монитором. Он программист, и этим все сказано.

Ярлыки удобно вешать не только на вещи, но и на людей. На хакеров навешали столько ярлыков, что настоящая суть скрыта под ними, как земля подо льдами Антарктиды. Такая ситуация выгодна многим, особенно политикам и СМИ. Постоянно преподносятся новости о хакерах, где какой-нибудь журналист рассказывает о них со знающим видом, существует готовый образ для фильмов и книг и всегда есть крайний, если, например, чиновники разворовали деньги, и что-то где-то пошло не так, всегда можно сказать – это хакеры! И все верят. Сейчас в СМИ стал популярен бренд Russian Hackers, который и вовсе уже выглядит комичным из-за частоты его использования не к месту.

Из хакеров сделали интересных, но далеких от реальности персонажей. Журналисты, писатели, кинематограф создали образ, даже толком не вникая в суть хакинга. Они взяли несколько самых ярких характеристик отдельных личностей, создали ярлыки и повесили их на всех хакеров. Теперь хакерами СМИ называют кого угодно, и все чаще под этим именем представляют людей, не имеющих никакого отношения к хакингу. Ситуация усугубляется цифровым невежеством, которое будет существовать еще много лет.

Как объяснить далекому от ИТ человеку, что значит баг (bug)? На жаргоне айтишников это ошибка в программном коде. А как объяснить, что значит «секьюрити баг»? Это ошибка в программном коде, угрожающая безопасности информационной системы. Если нашел секьюрити баг, для большинства обывателей ты уже хакер. А для правоохранительных органов террорист, которого нужно упечь за решетку на всю оставшуюся жизнь. Вот вам и громкая новость, и сценарий для фильма. В реальности хакеры бывают разные и многие из них ничем СМИ не могут заинтересовать, потому что занимаются вполне мирными и полезными вещами.

Разные

Кто был первым хакером? Об этом история умалчивает. Некоторые считают первыми хакерами профессиональных взломщиков замков. Они решали задачи по поиску уязвимостей и проникновению.

Другие приводят в пример иллюзиониста Невила Маскелайна, «взломавшего» в 1903 году передачу сообщения Маркони с помощью беспроводного телеграфа и отправившего вместо него свое.

Третьи говорят о группе лиц, принимавших участие во взломе немецкой шифровальной машины «Энигма» во времена Второй мировой войны. Среди них был выдающийся математик и криптограф Алан Тьюринг, использовавший для криптоанализа (возможности расшифровки посланий передаваемых с помощью «Энигмы») специально созданную им электронно-механическую машину. Может быть, Тьюринг действительно был первым хакером? С помощью вычислительной машины он взломал другую машину и получил несанкционированный доступ к передаваемой информации.

В СМИ чаще всего хакерами называют людей, получающих несанкционированный, «неразрешенный» доступ к чему-либо в информационных технологиях. Например, хакер может взломать вашу почту и пользоваться как своей или сделает так, что вы сможете пользоваться Microsoft Office бесплатно. Для этого хакер найдет уязвимость в той или иной программе, позволяющую ему получить желаемый результат.

Получается, что каждый, кто ищет ошибки в безопасности информационных технологий, автоматически становится хакером? Но этой же работой занимаются тестировщики, системные администраторы, специалисты по ИТ-безопасности и даже программисты. И их также часто называют хакерами. А как насчет программного обеспечения, ищущего ошибки безопасности? Уверен, нашелся бы тот, кто обозвал его хакером, или, еще лучше, искусственным интеллектом – хакером.

Программистам часто говорят «ты же программист, отремонтируй мне телефон» или «у меня Интернет пропал, выясни, в чем дело». Люди до сих пор воспринимают всех айтишников так, как будто это одна-единственная профессия, а айтишники отличаются между собой только цветом глаз, ростом и весом. Знаешь компьютеры? Можешь настроить сервер? Значит, ты хакер! Меня самого несколько раз называли хакером, когда просили что-то сделать с компьютером дома, «ты же у нас хакер, помоги отремонтировать компьютер».

Поскольку не существует единого мнения о том, кого называть хакером, а кого нет, начинаются сложности с пониманием хакерства. Все зависит от того, какой смысл вкладывается в понятие «хакер». Пока хакерами называют совершенно разных людей, то, соответственно, можно говорить о различных результатах работы и способах получения этих результатов.

Если какой-то школьник нашел готовую инструкцию в Интернете и с ее помощью взломал чей-то сайт, журналисты тут же окрестят его хакером. Если другой школьник найдет банковскую карточку и с ее помощью что-то купит себе в Интернете, его тоже назовут хакером. Хакером назвали и школьника под ником Winocm, который в семнадцать лет смог взломать iOS после чего его пригласили на работу в Apple.

Первый «хакер» просто делал все, как написано в инструкции. Он нашел инструкцию в Интернете через поисковую систему или проявил более «серьезный» подход и нашел ее где-то на закрытом форуме. Единственная его заслуга – немного сноровки. Его цель – желание выделиться. Он сильно рисковал, так как вообще ничего не понимал в том, что делает и какие могут быть последствия. Выгода сомнительна, а риск огромен.

Второй, найдя карточку, тут же понял, что нужно делать. Тут и думать нечего. Взять и купить себе игрушку. О риске и выигрыше он тоже не думал, как и не понимал, что делает, и не задумывался о возможных последствиях.

А вот третьего действительно можно назвать хакером. Потому что он и до этого не раз взламывал iOS и был известен этим. Он использовал совершенно другой подход, чем предыдущие парни: действовал не по чьей-то инструкции и получил ожидаемый результат. У него другие знания, привычки, поведение и (что самое главное) другие цели в жизни. Он долго и целенаправленно занимался взломом iOS, изучал, пробовал. Мы до сих пор не знаем его настоящего имени, потому что он им не поделился (типично хакерский подход). Первый и второй «хакеры» вряд ли научат нас полезному. А вот у третьего можно многому научиться, несмотря на юный возраст.