При разговоре о компьютерных хакерах большинство людей вспоминает Кевина Митника. В 1970-е, 1980-е и 1990-е годы он был тем самым хакером. Сочетая методы социальной инженерии с низкоуровневым анализом операционных систем, Митник проворачивал всевозможные возмутительные трюки, хотя причиненный им вред вряд ли может сравниться с масштабом ущерба, наносимого современными APT-атаками и программами-вымогателями.

Он и его «подвиги» были описаны в нескольких книгах, показаны в кино и даже породили своеобразную субкультуру приписывания ему всевозможных эксцентричных хакерских выходок, которых он никогда не совершал. Власти настолько боялись того, что одно слово Митника способно запустить ядерную ракету, что он стал единственным заключенным в США, которому пришлось отбывать наказание в одиночной камере без права доступа к телефону. Если вы когда-либо видели фильм, где главный герой говорит по телефону всего одно слово, которое запускает цепь ужасных киберсобытий, знайте, что эта сцена порождена паранойей, вызванной страхом перед Митником.

Я поместил историю о Кевине в начало этой книги, потому что после совершения множества киберпроступков он посвятил свою жизнь борьбе с компьютерными преступлениями и стал одним из немногих исправившихся «черных шляп», которым я полностью доверяю. Митник написал несколько книг по информационной безопасности (https://www.amazon.com/Kevin-D-Mitnick/e/B001IO9WEW), работает с разными компаниями (в том числе с KnowBe4), управляет собственной консалтинговой фирмой (Mitnick Security Consulting) и стал самым востребованным из известных мне лекторов в сфере ИБ. Он также принимал участие в программе The Colbert Report и даже появлялся в телевизионном шоу Alias. Благодаря Митнику была осознана роль методов социальной инженерии в хакинге и важность защиты от них. В конце концов, если вы хотите остановить преступника, вам не помешает поучиться у того, кто когда-то им был.

Когда я спросил Митника о том, что вызвало у него интерес к хакерству, он сказал: «В детстве я любил магию. Один парень из моей школы показал мне разные трюки с телефоном, в частности, научил тому, как бесплатно звонить по межгороду, как узнать чей-то адрес при помощи одного лишь номера телефона, как переадресовывать звонки и т. д. Он заходил в телефонную будку, набирал номер [телефонной компании], представлялся кем-то другим – и происходило чудо. Тогда я впервые узнал о социальной инженерии, которая показалась мне настоящим волшебством. Я не знал, как это называется. Я знал лишь то, что это весело и интересно, и это захватывало меня все сильнее. Я тратил на это все свое время. Мне наскучила школа, и поскольку по ночам, вместо того чтобы спать, я занимался фрикингом, моя успеваемость начала стремительно ухудшаться».

Я спросил, что думали родители о его хакерских «подвигах». Он ответил: «Ну, поначалу они ничего не знали. Может быть, просто думали, что я вытворяю с телефоном что-то сомнительное. Но моя мать, должно быть, считала, что самое страшное, что можно сделать с телефоном, – это кого-нибудь разозлить. Однако они понятия не имели, чем именно я занимаюсь, пока мама не получила официальное письмо из компании AT&T, уведомляющее об отключении телефонной связи. Она была очень расстроена. Как вы понимаете, это было задолго до появления сотовых телефонов. Домашний стационарный телефон был единственным средством связи. Я попросил ее успокоиться и пообещал все исправить.

С помощью все той же социальной инженерии я восстановил дома телефонную связь. Мы жили в доме № 13. Я позвонил в отдел продаж телефонной компании, представившись жителем дома № 13 “Б”. После трехдневного ожидания, необходимого для регистрации нового адреса в системе, я позвонил в отдел технического обслуживания и попросил установить новый телефон в этом доме. Я даже сходил в магазин и купил там букву Б, чтобы повесить ее на дверь. В ходе телефонного разговора я выдал себя за нового клиента по имени Джим Бонд из Англии. Я сообщил настоящий номер телефона в Англии, который нашел вместе с другой личной информацией, потому что знал, что они не смогут проверить сведения об иностранце. Затем спросил, могу ли я выбрать “красивый номер”, мне дали добро, и я выбрал номер телефона, заканчивающийся на 007. В конце разговора я спросил, можно ли мне использовать сокращение Джим, или им необходимо мое полное имя. Они попросили назвать полное имя, и я сказал, что меня зовут Джеймс. Итак, я был зарегистрирован в AT&T как Джеймс Бонд с номером телефона, заканчивающимся на 007, а у моей матери снова появилась телефонная связь. Представители компании AT&T были в бешенстве, когда моя схема была раскрыта».