Пресс-конференция осужденного хакера на Reddit.com
19.09.2009 16:47 | Автор: Shaittabych | 
Несколько дней назад на сайте Reddit появился любопытный пост, в котором некто, 
называющий себя осужденным хакером, рассказывает краткую историю своей жизни, а после приглашает всех желающих задать ему вопросы.
А вот собственно и сам пост. Что до вопросов, мы отобрали только самые интересные, главным образом в техническом плане.
Я – осужденный хакер
1094795585
Прежде всего позвольте мне кое-что уточнить. Я – именно хакер, а не крэкер. В моем мире крэкеры взламывают защиты программного обеспечения, а хакеры пишут инструменты для взлома – эксплойты и руткиты, а также взламывают компьютерные сети.
Краткая история моего хакерства. Я вырос на компьютерах и начал заниматься программированием, когда мне было около 11. Постепенно мой программисткий интерес приобрел иные очертания – я увлекся взламыванием программного обеспечения. В результате я начал использовать приобретенные знания для взлома компьютеров, которые, естественно, мне не принадлежали. Мои цели становились все более и более серьезными, и вот под конец моей подростковой жизни ранним солнечным утром меня обнаружили. Я тщательно маскировался онлайн, однако это мне не помогло. За мной охотились сразу несколько солидных агентств, так что рано или поздно они бы меня вычислили.
Мне вынесли условный приговор и присудили штраф, который я не смогу выплатить даже если мне будет отпущено две жизни вместо одной. Сейчас мне за 20 и, скорей всего, я покину страну, как только закончу учебу, и начну новую жизнь.
Ну, а теперь задавайте свои вопросы, желательно не очень специфичные. Посты типа “Ты X?” или “Ты взломал XYZ.com в 2004?” будут игнорироваться. Некоторые могут решить, что я не очень-то хороший хакер, раз меня поймали. Я никому и ничего не собираюсь здесь доказывать.
Я никогда не занимался взломом в целях наживы и потому не считаю себя преступником. На самом деле я очень даже добродушный человек. Спрашивайте. ( :
Buzz93
Хакеры в фильмах слушают техно, а ты какую музыку предпочитаешь?
1094795585
Раньше я слушал oldschool tecno и italo. Теперь мои музыкальные вкусы стали несколько шире, однако это по-прежнему исключительно электронная музыка.
Orezpraw
Что ты делаешь для безопасности своей системы?
1094795585
Минимум сервисов, максимум обновлений. На своей Linux-машине я использую патчи, упрочняющие ядро, что делает эксплуатацию ошибок поврежденной памяти значительно сложнее. OpenSSH защищен брандмауэром и принимает соединение с вашего IP только, если вы заходите на страницу, обеспечивающую безопасное удаленное подключение к порту на моем веб-сайте.
lkaldas
Ты когда-нибудь создавал пользовательские интерфейсы в Visual Basic с тем, чтобы отслеживать IP-адреса?
1094795585
А как еще можно отслеживать IP-адреса?
Abenton
Скольких Гибсонов ты взломал?
1094795585
Тысячи.
Thornae
Хотелось бы услышать мнение профессионала о фильмах Хакеры и Тихушники.
1094795585
Забавные, правда, когда смотрел их, ощущение было как у врача, которому довелось лицезреть сериал на медицинскую тему. Все это очень далеко от реальности.
Cup
Я не очень разбираюсь в компьютерах, однако хакерство всегда мне было интересно в том плане, что я никак не мог понять, как они это делают. Я даже читал специальную литературу, но безуспешно. Итак, вопрос: как все же становятся хакерами? Еще раз повторюсь, я ни в коем разе не планирую идти по вашим стопам, компьютеры не мой конек, просто любопытно.
1094795585
В моем случае было так. Я посмотрел документальный фильм о хакерах, где интервьюировали одну из ведущих команд в CTF, и был настолько впечатлен, что написал их лидеру с просьбой научить меня, как стать хакером. Он посоветовал мне раздобыть книгу Hacking Exposed и прочитать ее пять раз от корки до корки, после чего я должен был понять, как взламываются компьютеры. Книга эта довольно фундаментальная, она освещает специфичные хакерские приемы и вводит некоторые понятия, такие как переполнение буфера. Однако на книге далеко не уедешь, нужно много практиковаться, хакерство – по большей части практическая наука.
Avnerd
С твоим теперяшним опытом был бы ты более осторожным или вообще не связался бы с хакерством?
Или что лучше: взломать и быть пойманным или даже не пытаться взламывать?
Да, и что ты сейчас изучаешь?
1094795585
Я был бы более осторожным.
Лучше взломать и быть пойманным, чем даже не пытаться взламывать.
Сейчас изучаю вычислительную технику.
Avnerd
А что больше всего привлекает в вычислительной технике?
1094795585
Написание кодов, более быстрых и структурированных.
Ggyh2
Ты когда-нибудь думал о том, чтобы устроиться в какую-нибудь компанию по безопасности? Знания и навыки у тебя есть, мог бы зарабатывать хорошие деньги.
1094795585
Думал, но это не для меня. Я испытываю сильную неприязнь к индустрии безопасности.
Isvara
Я работал в этой индустрии. Что именно тебе не нравится?
1094795585
То, что в ней все меньше знаний и инноваций и все больше крикливой рекламы. Все хотят сделать деньги на их имени. Баги стали товаром, который продается компаниям, взимающим плату за предварительное уведомление.
Ggyh2
В какую страну ты планируешь переехать? Там ты тоже будешь работать с компьютерами?
1094795585
Точно не знаю. Мне очень нравится Новая Зеландия. Думаю, и дальше буду работать с компьютерами.
Eco_was_taken
Можешь описать взлом, которым ты больше всего гордишься? Какой эксплойт ты использовал? Как выглядит весь процесс от начала до конца?
1094795585
1) Найдите админ-интерфейс.
2) Получите доступ для чтения к базе данных из SQL-инъекции.
3) Найдите таблицы, соответствующие админ-интерфейсу.
4) Взломайте пароль админа.
5) Залогиньтесь и загрузите новую картинку, содержащую PHP-код.
6) Используйте дефектные демон-скрипты, удаляющие директории для временного хранения данных раз в день.
7) Подождите, пока запустится эксплойт.
8) Занесите двоичный файл в сетевую файловую ситему.
9) Подождите, пока кто-нибудь использует файл.
10) Теперь можете наслаждаться доступом на главные серверы.
Что-то вроде того : )
Michaelwsherman
Расскажи, пожалуйста, более подробно, как тебя накрыли?
И еще, какие ОС ты считаешь наиболее стойкими ко взлому?
1094795585
Моих родителей не было дома. Я открыл дверь, там стояли 6 человек с портфелями. Я понял, что попал. Не скажу, что особо испугался, по крайней мере, рыдать не стал и был довольно спокоен. Они уселись за мой компьютер и скопировали данные (я забыл заблокировать их накануне). Затем меня отвезли в полицейский участок на допрос. Когда я вернулся, они загружали мои вещи. Забрали все, что как-то ассоциировалось с моей деятельностью, даже CD с Селин Дион моей мамы прихватили. Большую часть изъятого потом вернули, но своего компьютера я больше не видел.
Лично я использую Linux. Не то, чтобы я считаю ее самой безопасной, просто слежу за локальными уязвимостями ядра, обнаруженными в прошлом году. Лучше пользоваться ОС с несколькими серьезными публичными уязвимостями, выявляемыми каждый год, чем той, что содержит уязвимости, которые еще никто не обнаружил.
Crazydriverbeepbeep
Допустим, я создал новую ОС, как скоро кто-то может начать эксплуатировать ее уязвимости?
1094795585
Это зависит от того, насколько безопасен твой код и от того, насколько сильным будет желание этого кого-то эксплуатировать уязвимости твоей ОС. Локальная уязвимость в QNX не настолько популярна, как в Linux, потому-то большинство охотится на Linux.
Infinite
Насколько хороши руткит-чекеры?
1094795585
Руткит-хантеры и чекеры никуда не годятся. Они не столько руткит-детекторы, сколько скрипткидди-детекторы.
Hokkos
Ты еще занимаешься хакерством?
По-прежнему в курсе всех хакерских дел?
У тебя остались друзья-хакеры?
Полиция следит за тобой?
1094795585
Нет.
Да.
Кое-кто.
Надеюсь, нет.
Benediktkr
Правда, что существуют организованные преступные группы, заинтересованные в таких, как ты?
1094795585
Да, мне делали предложения такого рода, но я их отклонял.
Nexpioit
Посоветуй дистрибутив для повседневного пользования.
1094795585
Я уже давно пользуюсь Debian. Использую его на лэптопе, десктопе и сервере.
Мне вынесли условный приговор и присудили штраф, который я не смогу выплатить даже если мне будет отпущено две жизни вместо одной. Сейчас мне за 20 и, скорей всего, я покину страну, как только закончу учебу, и начну новую жизнь.
Ну, а теперь задавайте свои вопросы, желательно не очень специфичные. Посты типа “Ты X?” или “Ты взломал XYZ.com в 2004?” будут игнорироваться. Некоторые могут решить, что я не очень-то хороший хакер, раз меня поймали. Я никому и ничего не собираюсь здесь доказывать.
Я никогда не занимался взломом в целях наживы и потому не считаю себя преступником. На самом деле я очень даже добродушный человек. Спрашивайте. ( :
Buzz93
Хакеры в фильмах слушают техно, а ты какую музыку предпочитаешь?
1094795585
Раньше я слушал oldschool tecno и italo. Теперь мои музыкальные вкусы стали несколько шире, однако это по-прежнему исключительно электронная музыка.
Orezpraw
Что ты делаешь для безопасности своей системы?
1094795585
Минимум сервисов, максимум обновлений. На своей Linux-машине я использую патчи, упрочняющие ядро, что делает эксплуатацию ошибок поврежденной памяти значительно сложнее. OpenSSH защищен брандмауэром и принимает соединение с вашего IP только, если вы заходите на страницу, обеспечивающую безопасное удаленное подключение к порту на моем веб-сайте.
lkaldas
Ты когда-нибудь создавал пользовательские интерфейсы в Visual Basic с тем, чтобы отслеживать IP-адреса?
1094795585
А как еще можно отслеживать IP-адреса?
Abenton
Скольких Гибсонов ты взломал?
1094795585
Тысячи.
Thornae
Хотелось бы услышать мнение профессионала о фильмах Хакеры и Тихушники.
1094795585
Забавные, правда, когда смотрел их, ощущение было как у врача, которому довелось лицезреть сериал на медицинскую тему. Все это очень далеко от реальности.
Cup
Я не очень разбираюсь в компьютерах, однако хакерство всегда мне было интересно в том плане, что я никак не мог понять, как они это делают. Я даже читал специальную литературу, но безуспешно. Итак, вопрос: как все же становятся хакерами? Еще раз повторюсь, я ни в коем разе не планирую идти по вашим стопам, компьютеры не мой конек, просто любопытно.
1094795585
В моем случае было так. Я посмотрел документальный фильм о хакерах, где интервьюировали одну из ведущих команд в CTF, и был настолько впечатлен, что написал их лидеру с просьбой научить меня, как стать хакером. Он посоветовал мне раздобыть книгу Hacking Exposed и прочитать ее пять раз от корки до корки, после чего я должен был понять, как взламываются компьютеры. Книга эта довольно фундаментальная, она освещает специфичные хакерские приемы и вводит некоторые понятия, такие как переполнение буфера. Однако на книге далеко не уедешь, нужно много практиковаться, хакерство – по большей части практическая наука.
Avnerd
С твоим теперяшним опытом был бы ты более осторожным или вообще не связался бы с хакерством?
Или что лучше: взломать и быть пойманным или даже не пытаться взламывать?
Да, и что ты сейчас изучаешь?
1094795585
Я был бы более осторожным.
Лучше взломать и быть пойманным, чем даже не пытаться взламывать.
Сейчас изучаю вычислительную технику.
Avnerd
А что больше всего привлекает в вычислительной технике?
1094795585
Написание кодов, более быстрых и структурированных.
Ggyh2
Ты когда-нибудь думал о том, чтобы устроиться в какую-нибудь компанию по безопасности? Знания и навыки у тебя есть, мог бы зарабатывать хорошие деньги.
1094795585
Думал, но это не для меня. Я испытываю сильную неприязнь к индустрии безопасности.
Isvara
Я работал в этой индустрии. Что именно тебе не нравится?
1094795585
То, что в ней все меньше знаний и инноваций и все больше крикливой рекламы. Все хотят сделать деньги на их имени. Баги стали товаром, который продается компаниям, взимающим плату за предварительное уведомление.
Ggyh2
В какую страну ты планируешь переехать? Там ты тоже будешь работать с компьютерами?
1094795585
Точно не знаю. Мне очень нравится Новая Зеландия. Думаю, и дальше буду работать с компьютерами.
Eco_was_taken
Можешь описать взлом, которым ты больше всего гордишься? Какой эксплойт ты использовал? Как выглядит весь процесс от начала до конца?
1094795585
1) Найдите админ-интерфейс.
2) Получите доступ для чтения к базе данных из SQL-инъекции.
3) Найдите таблицы, соответствующие админ-интерфейсу.
4) Взломайте пароль админа.
5) Залогиньтесь и загрузите новую картинку, содержащую PHP-код.
6) Используйте дефектные демон-скрипты, удаляющие директории для временного хранения данных раз в день.
7) Подождите, пока запустится эксплойт.
8) Занесите двоичный файл в сетевую файловую ситему.
9) Подождите, пока кто-нибудь использует файл.
10) Теперь можете наслаждаться доступом на главные серверы.
Что-то вроде того : )
Michaelwsherman
Расскажи, пожалуйста, более подробно, как тебя накрыли?
И еще, какие ОС ты считаешь наиболее стойкими ко взлому?
1094795585
Моих родителей не было дома. Я открыл дверь, там стояли 6 человек с портфелями. Я понял, что попал. Не скажу, что особо испугался, по крайней мере, рыдать не стал и был довольно спокоен. Они уселись за мой компьютер и скопировали данные (я забыл заблокировать их накануне). Затем меня отвезли в полицейский участок на допрос. Когда я вернулся, они загружали мои вещи. Забрали все, что как-то ассоциировалось с моей деятельностью, даже CD с Селин Дион моей мамы прихватили. Большую часть изъятого потом вернули, но своего компьютера я больше не видел.
Лично я использую Linux. Не то, чтобы я считаю ее самой безопасной, просто слежу за локальными уязвимостями ядра, обнаруженными в прошлом году. Лучше пользоваться ОС с несколькими серьезными публичными уязвимостями, выявляемыми каждый год, чем той, что содержит уязвимости, которые еще никто не обнаружил.
Crazydriverbeepbeep
Допустим, я создал новую ОС, как скоро кто-то может начать эксплуатировать ее уязвимости?
1094795585
Это зависит от того, насколько безопасен твой код и от того, насколько сильным будет желание этого кого-то эксплуатировать уязвимости твоей ОС. Локальная уязвимость в QNX не настолько популярна, как в Linux, потому-то большинство охотится на Linux.
Infinite
Насколько хороши руткит-чекеры?
1094795585
Руткит-хантеры и чекеры никуда не годятся. Они не столько руткит-детекторы, сколько скрипткидди-детекторы.
Hokkos
Ты еще занимаешься хакерством?
По-прежнему в курсе всех хакерских дел?
У тебя остались друзья-хакеры?
Полиция следит за тобой?
1094795585
Нет.
Да.
Кое-кто.
Надеюсь, нет.
Benediktkr
Правда, что существуют организованные преступные группы, заинтересованные в таких, как ты?
1094795585
Да, мне делали предложения такого рода, но я их отклонял.
Nexpioit
Посоветуй дистрибутив для повседневного пользования.
1094795585
Я уже давно пользуюсь Debian. Использую его на лэптопе, десктопе и сервере.
Комментарии
RSS лента комментариев этой записи