http://www.crime-research.org
Хакеры или кракеры, а кто это? (продолжение темы)
Начало в статье Хакеры или кракеры, а кто это?
Так повелось, что как только такие компании, как Microsoft или Netscape выпускают на рынок новую версию своего Web-броузера, во всем мире люди, именуемые хакерами, бросают все дела и спешат найти в этих новых программах большие и маленькие ошибки-дыры безопасности, а затем как можно быстрее сообщить о них всем и конечно же самим производителям.
В то же самое время многочисленная армия сетевых администраторов садится за укрепление обороноспособности своих сетей, для того чтобы не допустить проникновения в святая святых все тех же хакеров.
Хакеры. Кто же они? Те, кто приносит неоценимую пользу одним или те, кто злонамеренно совершают компьютерные преступления против других? Ответ может зависеть от того, по какую сторону сети вы находитесь.
"Хакерство - это не только страсть к вторжению в компьютерные системы, это образ жизни и мыслей, - высказывает публично свою точку зрения Роп Гунгрийп (Rop Gonggrijp), один из бывших голландских хакеров, а ныне - преуспевающий бизнесмен, помогающий управлять работой ряда компаний - провайдеров услуг Internet. Для него хакерство всегда ассоциировалось с просиживанием у компьютера всю ночь, чтобы довести "до ума" программу, выполняющую функции, которые могут быть как полезными, так и бесполезными. Не более того".
Однако в течение последних нескольких лет хакеры в сознании обывателя однозначно стали ассоциироваться с преступностью, злонамеренными "взломами" банковских компьютерных систем и другими противоправными действиями. Хакеры постепенно мифологизировались, демонизировались, их стали обвинять во всех кибергрехах вплоть до вторжения в личную жизнь.
Некоторые хакеры сами инициировали спор о том, есть ли различие между хакерством, приносящим вред, и хакерством как таковым, т. е., по их версии, безобидным. Эта вторая форма хакерства преподносится ими как что-то вроде палаточного городка, разбитого на чужой территории, так просто, из спортивного интереса. Отсюда, говорят они, всегда можно уйти, не причинив особого вреда. Так, несколько пустых банок из-под пива и все...
Такой вид хакерства известен в англоязычном мире как "look-see" хакерство, т. е. хакерство созерцательное, или пассивное. По мнению апологетов подобного вида деятельности, несанкционированный вход в сеть не должен нанести вред или иметь целью кражу интеллектуальной собственности.
"Если мы называем хакерами людей, которые просто любят "зондировать" скрытые глубины сложных вычислительных систем (читай сканировать ваши порты), то мы можем и сформулировать различие между вредным и безобидным хакерством", - рассуждает Расмел Эндрю (Rathmell Andrew), заместитель директора Международного центра анализа вопросов безопасности (International Center for Security Analysis) при Лондонском университете. Линия раздела пролегает там, где хакеры начинают мешать работе компьютерных систем общего пользования, т. е. когда они, с умыслом или без, приносят реальный вред другим людям. Но в то время как сравнительно просто оценить нанесенный ущерб на уровне физического или логического повреждения системы, практически невозможно определить его на других возможных уровнях, не столь явных. Например, в случае несанкционированного пользования сетью одной лишь этой сетью ограничивается ущерб? Тут мнения расходятся...
Затронем еще один вопрос. К какому собственно виду противоправных нарушений, в смысле юридической практики, мы можем отнести хакерство: административное, гражданское или уголовное право здесь применимо? Защитники "чистого" хакерства утверждают, что безобидное, не приносящее вреда хакерство должно считаться скорее административным правонарушением, а не уголовным. Они видят здесь нечто, напоминающее незаконный переход границы среди белого дня, но без документов.
"Преступления без злых намерений и преступления, ставшие следствием любопытства, должны рассматриваться именно так," - утверждает Рут (Route), известный хакер, ныне редактор журнала "Phrack", одного из наиболее популярных изданий, освещающих проблемы взаимоотношений хакеров и "остального мира". В здоровом, в смысле права, обществе, когда совершается преступление, которое не представляет особой социальной угрозы, наказание, как правило, не применяется или же оно носит символический характер. А преступления в компьютерной сфере, в разрез с подобной точкой зрения, очень часто преследуются без каких-либо скидок, по всей силе закона.
Свежим аргументом в споре о возможности декриминализации некоторых форм хакерства стала книга, изданная в Австралии и взбудоражившая умы читателей в Европе и Северной Америке. "Слишком много времени и денег было потрачено впустую: на преследование хакеров типа "look-see", - считает Сьюлетт Дрейфус (Suelette Dreyfus), автор книги "Андерграунд: Рассказы о хакерском безумии и навязчивых идеях на электронной границе" (Underground: Tales of Hacking Madness and Obsession on the Electronic frontier).
"Признайте хакерство типа "look-see" незначительным нарушением закона, и правительственные службы прекратят заниматься поиском легкой добычи и станут, наконец, тратить больше времени на реальных преступников," - рассуждает Сьюлетт Дрейфус. Австралийско-американский академик, потратившая два года на опрос различных групп хакеров по всей Австралии, Соединенным Штатам и Великобритании, считает, что преследование "хороших хакеров" заставляло их уходить в подполье и поощряло к еще большему совершенствованию своих навыков и техники.
Спросим их самих…
Не всех, однако, устраивает разделение хакеров на хороших и плохих.
"Распространено мнение, что любое хакерство влечет за собой реальные изменения. Любое, даже небольшое изменение, потенциально может стать источником большого вреда, так что нельзя однозначно говорить о безобидности "мягкого" хакерства, - считает Нейл Барретт (Neil Barrett), бывший хакер, а теперь сотрудник компании Groupe Bull, старший консультант по вопросам безопасности.- Допустим на секунду, лишь теоретически, что хакерство может быть безобидным, но тогда пусть хакер сам спросит себя, зачем он это делает," - недоумевает Нейл.
Получивший огласку случай с Пэдом (Pad), британским хакером, у которого взяла интервью журналистка Сьюлетт Дрейфус и который провел определенное время в тюрьме за злостное хакерство, является серьезным аргументом против так называемого хакерства "с нулевым негативным воздействием". Пэд больше не занимается хакерством, причем причиной этого, по его словам, является не опасность быть обнаруженным. Он прекратил заниматься этим, так как однажды понял, что подобная деятельность является страшной "головной болью" для администраторов систем, которые он посетил без приглашения. Пэд намного лучше теперь осознает, сколько неприятностей может причинить другому человеку безобидное, на первый взгляд, вторжение хакера, принимая во внимание хотя бы время и силы, потраченные на то, чтобы очистить сеть или компьютер после очередной атаки.
Еще одна проблема, связанная с декриминализацией, заключается в том, что мы не можем безоговорочно использовать аналогию с административным нарушением границы, когда ведем речь о незлонамеренном хакерстве. Главным образом потому, что киберпространство существенно отличается от реального мира.
"Нельзя проводить простые аналогии между реальным миром и миром информационным. Выражения типа "захват и нарушение границ" широко применяются в отношении компьютерных преступлений, но они в значительной степени не соответствуют реальному положению вещей, - утверждает Пауль Тейлор (Paul Taylor), ученый, чья докторская диссертация о хакерах вышла в Великобритании в 1999 году. - Например, когда вы производите "захват" программы или информации, вы можете взять лишь копию, а оригинал остается на том же месте, где и был. Разве так происходит, если кто-то "прихватывает" ваш видеомагнитофон? Нет. Во втором случае все совсем по-другому. Компьютеры могут быть очень близки к действительности, но они определенно не есть эта самая действительность."
Хакерство - это, по мнению автора, скорее любопытство и использование продуктов человеческой мысли нетрадиционными и незаконными способами. Вот так.
Информационные маклеры и мета-хакеры…
Всех хакеров можно разбить на несколько определенных культурных групп, и некоторые из них становятся не только опасными для предпринимателей, но и составляют потенциальную угрозу для национальной безопасности, предупреждает один из ведущих сотрудников самого крупного в Европе агентства по исследованию проблем безопасности. "Развиваются новые виды злонамеренного хакерства, когда других хакеров используют в качестве инструмента для выполнения своей грязной работы," - предупреждает Алан Худ (Alan Hood), специалист по исследованиям подразделения информационной войны Британского агентства оценок и исследований в области обороны (Defense Evaluation and Research Agency, DERA).
Два наиболее опасных типа злонамеренных хакеров - это так называемые информационные маклеры и мета-хакеры, утверждает А. Худ. Агентство, в котором он работает, разрабатывает системы безопасности по заказам британских военных. Информационные маклеры, по его словам, нанимают хакеров и оплачивают их услуги, чтобы получить интересующую информацию, а затем продают ее правительствам иностранных государств или деловым конкурентам.
Мета-хакеры - более изощренные хакеры, контролирующие других хакеров, причем делающие это порой незаметно для последних. Как правило, с корыстной целью используются уязвимые места, обнаруженные этими подконтрольными хакерами. Мета-хакер эффективно использует других хакеров фактически как интеллектуальные инструментальные средства. "Мета хакеры - одно из наиболее зловещих явлений, с которым я столкнулся, - эмоционально заявил все тот же А. Худ. - У меня волосы встают дыбом, когда я думаю о них."
"Другой типичной разновидностью хакеров являются бригады, известные как "элита". Они формируют закрытые клубы, члены которых свысока смотрят на обычных хакеров, использующих традиционные инструментальные средства для взлома, - повествует А. Худ. - Эта так называемая элита разрабатывает собственные инструментальные средства и всегда пользуется дружеской поддержкой и оценкой своего мастерства со стороны себе подобных".
Еще одной характерной разновидностью является группа, известная как "темные хакеры" ("darksiders"). Они используют хакерство для финансовых махинаций или для создания злонамеренных разрушений. Они не согласны с классической мотивацией для хакеров, которая заключается лишь в получении ощущения успеха и власти. Эти хакеры не считают электронное нарушение границ нечестным по своей сути. Однако важнейшей их особенностью является скорее то, что Darksiders переступают невидимую границу, проведенную другими хакерами, и сами становятся вне законов этики хакерского мира. Не секрет, что этические нормы "хакерского большинства" осуждают хакерство для получения нечестных денег или причинения явного вреда.
Пользователям пора перестать верить, что они могут создать системы безопасности, способные дать отпор любому вмешательству хакеров. Вместо этого организации должны сконцентрировать усилия на минимизацию подобного ущерба и на сдерживании хакеров от соблазна опробовать их новые системы.
Сдерживание означает создание таких условий для хакеров, в которых большинство из них отступит и попробует другую цель. Защита означает не только установку защиты типа firewalls и соответствующего программного обеспечения, она также означает знание в совершенстве своей собственной системы и удаление, по возможности, всего, кроме самого необходимого. Надо помнить, что все, что вы держите в своей системе, - в опасности. Вы должны безжалостно избавиться от всего, в чем вы не нуждаетесь.
В первую очередь убедитесь, что ваша система делает именно то, что вы хотите, не больше и не меньше. Ваша политика должна быть непробиваема с помощью методов, названных "социальным инжинирингом". Если кто-то звонит в офис и говорит, что забыл свой пароль, то человек на другом конце телефонной линии не должен автоматически говорить: "О.К., записывай!".
Неважно, как считать хакеров - плохими или хорошими, есть грань закона, которая справедлива как для реального, так и виртуального мира (читай Интернет), а именно "технологическое любопытство", "любовь к программированию" это одна сторона медали. Другая и самая печальна сторона, это пренебрежение законами, правовой нигилизм, и в конечно итоге взлом компьютерных систем, хищение денежных средств, использование информационных технологий с преступной целью.
Архив новостей