Хакер #305. Многошаговые SQL-инъекции
Уже пятый месяц сайт Mahalo.com доверяет вопросы своей безопасности эксперту,
который незадолго до этого выкрал сотни тысяч паролей к банковским счетам при
помощи созданного им огромного ботнета, которым он управлял прямо с места своей
предыдущей работы.
Правда, директор Mahalo.com Джейсон Калаканис большую часть времени об этом
не подозревал, поскольку никто из его подчиненных не дал себе труда немного
погуглить насчет информации о будущем коллеге. Однако даже после того, как он
узнал, что 27-летний Джон Кеннет Шифер уже признался в том, что не далее как 16
месяцев тому назад совершал преступные деяния с помощью созданной им обширной
бот-сети, он все равно не перестал доверять ему пароли администратора и другую
чувствительную корпоративную информацию.
Позавчера федеральный
суд приговорил Шифера (известного также как Acid и Acidstorm) к четырем
годам заключения, обязав его выплатить 20 000 долларов компенсации и 2500
долларов штрафа, а также постановил, что будущему заключенному надлежит сдаться
тюремным властям в 90-дневный срок.
Впрочем, некоторые примеры (такие, как случай с отбывшим свое хакером Кевином
Митником) показывают, что даже злостные киберпреступники могут в конечном итоге
превратиться в заслуживающих доверия консультантов в области безопасности. После
выхода из тюрьмы Митник основал консалтинговую компанию и регулярно выступает на
специализированных конференциях, частыми гостями которых бывают специалисты
служб безопасности из частного сектора и правительственных организаций.
Добавим, что на вопрос о том, почему он так уверен, что Шифер исправился, не
проведя за решеткой и единого дня, Калаканис ответил буквально следующее: "Мне
кажется, я способен отличить тех, кто действительно очень опасен и готов
разрушать человеческие жизни, от тех, кто попросту слишком умен и любознателен,
на свою беду. Вот в чем тут дело".
