Проблема одна — итоги разные
Хакеры бывают разные.
Одни совершают уголовно наказуемые деяния ради обогащения, другие же занимаются проблемами компьютерной безопасности по роду деятельности и/или по зову сердца.
Но сколь бы разными они ни были, хакеры, как правило, знают о своем предмете несколько (или сильно) больше, чем остальные люди.
А это многих раздражает, особенно крупные корпорации, чья безопасность оказывается то и дело скомпрометирована каким-нибудь очередным хакерским исследованием.
Два заметных события, только что происшедшие в США и связанные с работой «хакеров в законе», очень похожи по существу, однако принципиально различаются по итоговому результату.
О причине такого отличия будет сказано в конце, а сначала — о сути происходящего.
Знаменитая конференция Black Hat, традиционно собирающая специалистов по компьютерной безопасности в конце лета в Лас-Вегасе, в последние годы получила специфическое весеннее ответвление — Black Hat Federal.
Как можно понять уже по названию, этот форум ориентирован главным образом на ИТ-специалистов федеральных органов власти США и организуется, соответственно, в столичном округе Колумбия, в непосредственной близости от Вашингтона.
Но, несмотря на столь солидную «крышу», уже ставшие традиционными для Black Hat громкие скандалы вокруг разоблачительных докладов хакеров теперь добрались из невадской пустыни и до столицы.
Несколько лет назад, напомним, в Лас-Вегасе сотрудниками ФБР был арестован россиянин Дмитрий Скляров, делавший доклад о слабостях защиты электронных книг Adobe.
В 2005 году корпорация Cisco Systems приложила все силы, чтобы сорвать выступление Майкла Линна (Michael Lynn) о выявленных им уязвимостях в «непробиваемой», якобы, операционной системе IOS.
Теперь же, на Black Hat Federal 2007, те же самые неприятности — с вырыванием соответствующих страниц о докладе из каталога конференции и изъятием сопутствующего CD с презентацией — постигли Криса Пэйджета (Chris Paget).
Вся вина Пэйджета и небольшой фирмы IOActive, где он возглавляет подразделение исследований и разработок, заключалась в намерении развернуто продемонстрировать значительные слабости в так назывемых proximity-картах транснациональной компании-гиганта HID Global.
Эти карты на основе технологии RFID (чипов радиочастотной идентификации) повсеместно используются в США и множестве других стран мира в качестве пропусков для доступа в здания и вообще для автоматизированного контроля за посещениями сотрудниками охраняемых помещений и объектов.
Можно сказать, карты HID используются ныне в мире примерно столь же широко, как и популярные механические замки ABLOY (изготовляемые той же группой компаний).
Но, в отличие от замков ABLOY, имеющих весьма высокую репутацию среди специалистов, технология RFID уже давно славится своими слабостями к компрометациям.
Не являются исключением и карточки-пропуска HID, что, собственно, и собирался продемонстрировать в своем докладе Крис Пэйджет.
За несколько месяцев и без отрыва от основной работы он сконструировал портативный прибор для считывания и клонирования таких пропусков, затратив «на все про все» чуть больше двадцати долларов в магазине радиодеталей.
По причинам простоты содеянного доклад Пэйджета должен был называться «RFID для начинающих», однако встревоженная администрация HID, прознав, что к презентации будет приложен еще и код программы для устройства клонирования, в последний момент решила сорвать выступление любыми способами.
Самым внушительным аргументом стала угроза засудить IOActive и ее руководство до полного разорения — за посягательство на интеллектуальную собственность HID, защищенную патентами.
Весовые категории конфликтующих сторон оказались совершенно несопоставимы, поэтому Пэйджет и его коллеги сочли разумным ретироваться, не доводя дело до суда и непосильных тяжб с армией ушлых адвокатов корпорации-гиганта.
Хотя никто заранее не знает, чем бы обернулся такой суд, коль скоро фирма IOActive не искала никакой финансовой выгоды от своего исследования и действовала исключительно в интересах общества, привлекая внимание к явным слабостям в защите зданий множества компаний и правительственных ведомств.
Весьма созвучное судебное разбирательство вокруг бескорыстной деятельности хакера и понесенного им в результате ущерба — это, собственно, вторая сегодняшняя тема.
Суд штата Нью-Мексико в минувшем феврале вынес совершенно беспрецедентное решение, обязывающее ядерный центр Sandia Labs выплатить несправедливо уволенному сотруднику Шону Карпентеру (Shawn Carpenter) штраф в 4,3 млн. долларов плюс компенсацию в размере 350 тысяч за понесенный моральный ущерб и еще 36 тысяч за потери в зарплате и премиях.
Весь изюм произошедшего в том, что Карпентера с жутким скандалом уволили в январе 2005 года за самодеятельное хакерское исследование, вскрывшее существенные дыры в защите сетей Sandia, корпорации Lockheed Martin, NASA и американских вооруженных сил.
Бывший офицер-специалист ВМС США, Карпентер отвечал в Sandia за компьютерную безопасность.
В 2003–04 гг., расследуя выявленные случаи проникновений в систему, он обнаружил уходящую корнями в Китай организацию из весьма квалифицированных и хорошо скоординированных хакеров, регулярно занимавшихся хищениями секретной информации из сетей армии, военно-промышленного и космического комплекса США.
Когда Карпентер доложил о своих первых результатах начальству и необходимости известить пострадавшие стороны, ему в категорической форме велели помалкивать и не заниматься самодеятельностью, сосредоточившись на защите сетей Sandia Labs (делами формально государственных Лабораторий заправляет фирма Sandia, являющаяся дочерним предприятием Lockheed Martin, а эта корпорация-гигант, процветающая на жирных государственных контрактах, категорически не желала, чтобы кто-то еще узнал о компрометации ее сетей).
Тогда Карпентер по своим личным связям вышел сначала на военную контрразведку, а затем на ФБР, которым стал помогать, чем мог, в начатом расследовании данного дела.
Но затем история получила общую огласку в прессе, а разъяренное начальство Карпентера с треском уволило строптивого сотрудника, в наказание заодно лишив его и всех допусков к секретным работам, чем существенно усложнялось дальнейшее трудоустройство.
Около двух лет о необычном хакере, явно несправедливо пострадавшем за правду и бескорыстную заботу о национальной безопасности, практически ничего не было слышно.
И вот теперь пришло буквально потрясшее всех сообщение о выигранной Карпентером судебной тяжбе и неожиданном призе почти в 5 млн. долларов — сумме, вдвое превышающей размер первоначального иска пострадавшей стороны.
В истории правосудия США, как известно, иногда бывают чудесные случаи победы маленького человека над большими и сильными корпорациями. Однако нынешняя история вряд ли подходит под категорию «чудесных».
Ибо у Шона Карпентера были и остаются весьма влиятельные друзья в вашингтонских коридорах власти.
Вплоть до недавнего времени он работал в Подразделении анализа киберугроз Госдепартамента США.
А в настоящее время занимает пост главного аналитика в совсем молодой компании NetWitness, которую возглавляет Амит Йоран (Amit Yoran), чуть ранее — директор Управления национальной киберзащиты в DHS, Департаменте госбезопасности США. Именно здесь, скорее всего, и следует искать причины столь благосклонного отношения суда к «недисциплинированному» хакеру-патриоту.
Источник: www.computerra.ru