|
Жития "святых" Интернета
Мир потихоньку уже начал забывать о хакере Курадоре, самопровозглашенном "святом электронной коммерции", который тысячами похищал номера кредитных карт в плохо охраняемых электронных магазинах и выкладывал добытую информацию на всеобщее обозрение, чтобы привлечь внимание к серьезности вопросов безопасности. Подобные деяния "святого", которым оказался 18-летний валлийский паренек Рафаэл Грей (Raphael Gray), далеко не у всех вызывали одобрение, однако использованные им необычные методы поднятия общественной тревоги продолжают находить своих последователей.
На сиднейскую радиостанцию ABC позвонил молодой человек, назвавший себя Келли, и сообщил о своем неожиданном открытии. Как он случайно установил, на веб-сайте австралийского правительства GST Start-up Assistance, ведающем помощью начинающим предприятиям, абсолютно свободно можно было получить доступ к конфиденциальной информации тысяч коммерческих компаний. Поскольку Келли и сам был одним из зарегистрировавшихся на этом сайте, он решил поднять тревогу, причем так, чтобы его сигнал стал широко известен, а не погребен в секретных отчетах, как это часто случается.
Как обнаружил Келли, доступ к информации на сайте GST "вообще не требовал никакого хакинга". Ко всем записям базы данных, подсоединенной к веб-сайту, можно было получать доступ, просто изменяя в URL-адресе регистрационный номер клиента. Тогда Келли написал CGI-скрипт, автоматически выполняющий ручную процедуру доступа к сайту, а вместо номера клиента просто подставлявший туда все числа от 1 до 27000. Эта программа стала автоматически загружаться в каждую зарегистрированную ячейку и генерировть email-сообщение, предупреждающее владельца данной ячейки о том, что банковские детали его компании никак не защищены. В письмо вставлялась вся банковская информация из ячейки и предупреждение: "Веб-сайт http://www.gstassist.gov.au/ имеет серьезную дыру, которая предоставляет доступ к вашей конфиденциальной информации". Поскольку задачей Келли было лишь предупреждение доверчивых клиентов, то сам он эту информацию не скачивал и, по его словам, "даже в нее не заглядывал"...
Когда было разослано около 17000 таких писем, правительственный веб-сайт закрылся, и началось расследование. Как и ожидал Келли, который особо не скрывался и на которого достаточно быстро вышла полиция, правительственные чиновники сразу объявили, что ими не обнаружено никаких свидетельств слабой защиты веб-сайта, а база данных была взломана с применением "сложной хакерской программы". Как бы там ни было, но тревожный сигнал юноши сумел всколыхнуть общество и в очередной раз продемонстрировать, насколько доверчивы люди к технологиям и насколько хрупка может быть декларируемая безопасность.
Computerra.Ru
|
