Оказалось, что большинство паролей представляют собой последние четыре цифры номера социальной страховки сотрудника. При этом компания даже не позаботилась использовать различные пароли для доступа в области, содержащие особенно важную информацию — один и тот же пароль пользователя действовал в любом месте системы. И, как подсказывает ему опыт, Адриан считает, что и сегодня пароли в Times не более безопасны, чем они были в момент его атаки.

«В конце концов, я смог войти в Интернет и получить доступ к дополнительной информации. Я смог войти на страницу новостей под именем редактора новостей, используя его пароль».

Он обнаружил базу данных, где были перечислены все люди, задержанные в США по обвинению в терроризме, включая и тех, чьи имена не были известны общественности. Продолжая свои исследования, он обнаружил базу данных всех тех, кто когда-либо написал хоть одно слово для первой страницы Times. В ней содержались тысячи имен с адресами, телефонами и номера страховок. Он начал искать имя «Кеннеди» и обнаружил несколько страниц информации. В базе данных содержалась контактная информация о знаменитостях и прочих выдающихся людях от профессоров Гарварда до Роберта Редфорда и Джека Николсона.

Адриан добавил в этот список свое имя и номер мобильного телефона (с кодом северной Калифорнии номер выглядел так «505-НАСК»). Он был уверен, что газета никогда не сможет определить, что список был изменен, и втайне надеялся, что какой-нибудь репортер или редактор захочет с ним пообщаться, поэтому он написал в графе профессия «компьютерное хакерство/безопасность и интеллектуальные коммуникации».

Да, действия Адриана можно считать неадекватными, может даже непростительными. Лично мне они кажутся не только безопасными, но и забавными. Меня до сих пор возбуждает идея Адриана позвонить от имени газеты какой-нибудь знаменитости: «Добрый день. это г-н Джексон? Это такой-то из газеты The New York Times». После чего можно было попросить его высказаться о чем-то или же написать шесть сотен слов о состоянии компьютерной безопасности или на какую-нибудь не менее актуальную тему и на следующий день увидеть свой текст на первой странице самой влиятельной в стране газеты.

Можно еще долго рассказывать сагу «Адриан и The New York Times», но, к сожалению, дальше рассказ становится печальным. То, о чем пойдет речь, не было необходимым, это не характерно для Адриана, но именно это привело к серьезным проблемам. После проникновения в базу данных он обнаружил, что у него есть доступ к подписке Times на услуги компании LexisNexis — онлайновым платным услугам по предоставлению новостной информации.

Как указано в правительственном обвинении, он создал пять отдельных аккаунтов и сделал более трех тысяч запросов.

После трех месяцев «путешествий» по закромам LexisNexis, в течение которых The New York Times оставалась в полном неведении, что ее база данных взломана, Адриан решил перейти к практике в стиле Робин Гуда, чем характеризовались все его предыдущие атаки на другие компании. Он связался с известным Интернет-журналистом (как и я, бывшим хакером) и рассказал о лазейке, которую он использовал для проникновения в компьютерную систему The New York Times — при этом он предварительно получил согласие, что журналист не будет публиковать информацию о взломе, пока предварительно не свяжется с Times и не дождется, что они устранят проблему.

Журналист рассказал мне, что когда он связался с Times, переговоры пошли совсем не таким путем, как ожидали они с Адрианом. Руководство Times, по его словам, не заинтересовалось тем, что он говорил им, не захотело воспользоваться информацией, которую он предложил, не захотело общаться непосредственно с Адрианом, чтобы познакомиться с деталями и пожелало решать проблему самостоятельно. Представитель Times даже не захотел узнать, какой способ доступа был применен и согласился записать подробности только после того, как журналист настоял на этом.

Сотрудники газеты проверили лазейку и в течение 48 часов устранили ее. Но руководство Times даже не подумало поблагодарить человека, который привлек их внимание к существующей у них проблеме безопасности. Более ранняя атака группы «Хакерство для девчушек» очень широко освещалась в прессе, но люди, ответственные за нее, никогда не были пойманы. (Не думайте, что я имею какое-то отношение к этой атаке: в то время я уже был в заключении. ожидая суда). Понятно, что после первой атаки сотрудники ИТ-службы Times попали под очень большое давление, чтобы обеспечить в дальнейшем безопасность от хакерских взломов. Безнаказанные путешествия Адриана по их компьютерной сети наверняка уязвили чье-то самолюбие, нанесли урон чьим-то репутациям, чем и можно объяснить бескомпромиссность сотрудников газеты, узнавших, что он пользовался их непреднамеренной добротой в течение месяцев.

Вообще-то, сотрудники Times могли бы проявить благодарность за то, что им дали время устранить зияющие дыры в их системе безопасности, прежде, чем известие о том, что их сеть полностью открыта распространилось в печати. Вероятно, информация об использовании LexisNexis сделала их настолько несговорчивыми. Однако, каковы бы ни были причины, руководство Times сделало то, чего раньше не делала ни одна из жертв Адриана — они обратились в ФБР.

Через несколько м е с я ц е в Адриан услышал, что ФБР и щ е т его и и с —чез. Агенты ФБР начали навещать его семью, друзей и приятелей. все сужая круги, и пытаясь обнаружить, не оставил ли он кому-нибудь из своих приятелей-журналистов каких-то сведений о своем местонахождении. Нескольких журналистов, с которыми Адриан делился информацией, вызвали повестками в суд. «Игра», как написал один из журналистов, «внезапно стала гораздо серьезней».

Адриан объявился через пять дней. Для собственной капитуляции он выбрал одно из своих любимых рабочих мест — кофейню Sturbucks.

После того, как пыль осела, офис Прокурора США по Южному району Нью-Йорка опубликовал пресс-релиз, в котором было сказано, что «за хакерское проникновение на сайт New York Times Адриану Ламо предъявлен иск на триста тысяч долларов». Его бесплатное скачивание информации с сайта LexisNexis, по данным правительства, составило 18% от всех обращений на этот сайт из New York Times с момента проникновения туда Адриана.

Правительство основывало свои расчеты на том, какой должна быть плата для индивидуального пользователя, который не является подписчиком LexisNexis. В этом случае стоимость одного поиска может достигать двенадцати долларов. Если даже проводить расчет на основе этого неразумного предположения, то Адриану пришлось бы делать по двести семьдесят запросов информации ежедневно в течение трех месяцев, чтобы достичь указанной цифры. Кроме того, такие крупные организации, как Times, платят ежемесячную плату за неограниченный доступ к информации LexisNexis, поэтому за все поиски Адриана они не заплатили ни одного дополнительного цента!

По словам Адриана, случай с New York Times является исключением в его хакерской карьере. Он говорит, что получал благодарности, как от excite@home, так и от MCI Worldcom (что было особенно приятно после того, как он подтвердил, что мог сделать переводы с депозитов тысяч сотрудников на свой счет). Адриан не был расстроен, но просто констатировал факт, говоря, что «The New York Times стала единственной компанией, которая захотела видеть меня заключенным».

Чтобы еще усугубить его ситуацию, правительство рекомендовало прежним жертвам Адриана подготовить оценку вреда, которую он нанес им, включая даже те компании, которые поблагодарили его за предоставленную информацию. И это не удивительно: просьба о сотрудничестве со стороны ФБР или государственных следователей является тем, что большинство компаний не может игнорировать, даже если они имеют иное мнение об обсуждаемой проблеме.

УНИКАЛЬНОСТЬ ТАЛАНТА АДРИАНА

Совершенно нетипично для хакера, но Адриан не был знатоком ни одного языка программирования. Его успех базировался на умении анализировать то, как думают люди, как они создают системы. какие процессы используют сетевые и системные администраторы для создания сетевой архитектуры. Хотя, по его словам, у него плохая оперативная память, он выявлял лазейки, пробуя Интернет-приложения компании, чтобы найти доступ в ее сеть, затем он путешествовал по сети, создавая в своем мозгу ее структуру из отдельных кусочков, до тех пор, пока не проникал в один из уголков сети, который. по мнению создателей, был упрятан в темноте недоступности и поэтому защищен от атак.