В честь десятилетия одного из самых известных инцидентов в области компьютерной безопасности, издание Vice Motherdorad подготовило интервью с автором червя Samy, который в 2005 году атаковал социальную сеть MySpace. Ниже мы приводим полный перевод данного материала:
Сэми не хотел становиться всеобщим героем. Он даже не хотел завести новых друзей.
Но благодаря паре строк кода, менее чем за день, он стал "героем" и "другом" более чем для миллиона человек, в самой популярной на тот момент социальной сети MySpace.
Все началось около полуночи, 4 октября 2005 года, в Лос-Анджелесе, когда 19-летний хакер Сэми Камкар (Samy Kamkar) придумал то, что совсем скоро стало червем Samy. Должно быть, это был самый быстро распространяющийся компьютерный вирус всех времен. Вирус, которой изменил мировую ИТ безопасность навсегда.
Камкар бросил школу в 16 лет и основал софтверный стартап Fonality, когда ему было 17. По его собственных словам, он просто хотел произвести впечатление на своих друзей-технарей, не более того. Камкар рассказал мне, что все завертелось спустя неделю. В то время MySpace давал пользователям большую свободу по части кастомизации профилей. Например, можно было использовать HTML-код, в результате чего профили пользователей выглядели очень красочно, зачастую даже мучительно красочно.
Тем не менее, кастомизировать можно было не все. Так, пользователь мог загрузить не более 12 фотографий. Был ли способ это обойти? Камкар начал экспериментировать с хакингом, пытаясь понять – сумеет ли он заставить MySpace делать то, чего сайт, по идее, допускать не должен. И он нашел способ загрузить тринадцатое фото.
Также у пользователей в то время был очень ограниченный выбор вариантов для графы «отношения». Выпадающее меню предлагало следующие опции: замужем, одинок, в отношениях и еще пару пунктов. Камкар, у которого тогда была девушка, хотел поставить статус «в крутых отношениях». Хакинг позволил ему добиться и этого.
«Когда у меня получилось и это, я понял, что могу делать со страницей в буквальном смысле всё, что пожелаю», — рассказал он Motherboard, вспоминая события той судьбоносной ночи.
Всю следующую неделю Камкар работал над скриптом, который будет невидим для других пользователей, но заставит всех, кто посетил страницу Камкара, добавить его в друзья. Скрипт также должен был добавлять в категорию «мои герои» строку: «но в особенности мой герой, это Сэми» (but most of all, Samy is my hero). Потом Камкар понял, что если скрипт будет поражать только посетителей его страницы, ему удастся охватить буквально пару человек. Поэтому он перепрограммировал скрипт таким образом, чтобы тот копировал себя в профиль каждого посетителя.
В этот момент он создал саморазмножающегося червя.
«Я думал, что за месяц наберу 100 или 200 друзей», — рассказывает он. — «Некоторые из них, конечно, будут жаловаться, но я просто удалю их и все дела. Ничего страшного».
На следующее утро он проснулся и обнаружил 200 запросов на добавление в друзья. В этот момент Камкар испугался, потому что червь распространялся гораздо быстрее, чем он думал. Через час число запросов удвоилось и продолжило расти в геометрической прогрессии. Камкар анонимно связался с MySpace, написав им письмо, в котором рассказал о черве и том, как его остановить. Ему так никто и не ответил. По сей день Камкар «понятия не имеет» видел ли тот email хоть кто-нибудь.
В 13.30 того же дня Камкар набрал уже 2500 друзей и 6000 запросов на добавление в друзья.
«Все вышло из-под контроля. Люди слали мне сообщения, говорили, что они заявили на меня, что я хакер и прописал свое имя в их «список героев»», — пишет Камар в блоге, вспоминая события десятилетней давности. — «Люди были жутко злы, потому что они удаляли меня из списка друзей, потом заходили на чью-нибудь страницу и тут же снова перезаражались мной. Я рулил».
«Надеюсь, никто не подаст на меня в суд», — добавляет он.
Пару часов спустя, Камкар сходил за бурито в Chipotle, а когда вернулся домой, снова проверил свой профиль в MySpace. Его ждал почти миллион запросов на добавление в друзья.
«Ну всё, я официально популярен», — написал он в своем блоге.
Число запросов на добавление в друзья превысило миллион, и пару минут спустя MySpace ушел в офлайн. Компания отключила сайт, пытаясь понять, что происходит, и как удалить червя.
«Я чувствовал себя ужасно. Мне было очень плохо», — рассказывает мне Камкар. Но на тот момент он уже не мог ничего поделать. Как только он выпустил червя на свободу, стало «слишком поздно», учитывая, что тот размножался самостоятельно.
Сайт заработал спустя примерно два часа. Профиль Камкара удалили.
Кунал Ананд (Kunal Anand) стал директором по безопасности MySpace через несколько месяцев после инцидента. Он рассказал, что когда червь Samy атаковал, в компании практически не было службы безопасности и «они понятия не имели, что делать». Никто раньше не видел ничего подобного. По словам Ананда, это был «переломный момент для индустрии».
ИБ эксперт и основатель фирмы WhiteHat Security Джеримая Гроссман (Jeremiah Grossman) утверждает, что червь Samy стал «тем самым моментом, которого ждал каждый эксперт индустрии».
Невзирая на быстрое распространение, червь Камкара был совершенно безвреден. Все, что он делал: добавлял Камкару друзей и прописывал пару слов в профили зараженных пользователей. Но если бы Камкар был преступником, если бы он имел дурные намерения, тогда он мог перехватить контроль над аккаунтами зараженных. Гроссман считает, что «он мог делать всё, что только пожелает».
Техника, которую использовал юный хакер, известна как XSS (cross site scripting). В ходе такой атаки хакер делает инъекцию вредоносного кода сайту, заставляя сайт и браузер пользователя исполнить код. По мнению Гроссмана, люди, которые разбирались в безопасности, понимали, что способом, к которому прибег Камкар, можно атаковать большинство сайтов сети. Но до появления червя Samy никто не воспринимал эту угрозу серьезно.
«В то время данный тип уязвимостей серьезно недооценивали. Мы знали, что этому подвержены почти все сайты, но никто не демонстрировал, что можно сделать при помощи данного бага», — рассказал Гроссман по телефону. —«Samy показал очень яркий пример, и он изменил индустрию навсегда».
Во времена червя Samy 80-90% сайтов имели аналогичные уязвимости, по словам Гроссмана. Проблема получила широкую огласку, когда был запущен проект Open Web Application Security. Цель проекта заключалась в создании API для сайтов, который позволит пользователям использовать код на своих страницах, но при этом без XSS уязвимостей. Инициативу так же называли проектом AntiSamy.
Сейчас, десять лет спустя, только 47% сайтов подвержены данной уязвимости, если верить статистике компании WhiteHat Security за 2015 год. Если бы не червь Камкара, вероятно, эта проблема по-прежнему оставалась бы более распространенной.
За прошедшие годы веб-сайты и браузеры укрепили свою защиту против XSS-атак, но заметные инциденты все равно случались. Так, в 2013 году ряд пользовательских аккаунтов Yahoo! был взломан, благодаря такой уязвимости. В прошлом году хакеры обнаружили XSS-дыру в Tweetdeck, которая позволила им показывать пользователям раздражающие всплывающие окна. В начале текущего года обнаружили, что сайт на базе WordPress можно взломать при помощи одного комментария, и тоже благодаря XSS-уязвимости.
У Камкара, невзирая на всю безобидность его намерений, возникли проблемы с законом, когда он опубликовал в своем блоге пост и рассказал, почему запустил червя Samy.
Через шесть месяцев после релиза червя, Секретная Служба, совместно с Командой по расследованию электронных преступлений (Electronic Crimes Task Force) из полиции Лос-Анджелеса, получили ордер на обыск квартиры и офиса Камкара. Правоохранительные органы изъяли его ноутбук, три компьютера, три жестких диска и другую технику. Окружной прокурор Лос-Анджелеса инициировал дело, обвинив Камкара в компьютерных преступлениях, а точнее в заражении компьютерной системы вирусом, согласно калифорнийскому уголовному кодексу.
«Было жутковато», — вспоминает Камкар. — «У меня даже аттестата об окончании школы не было, поэтому я очень переживал, что они попытаются отобрать у меня все мои компьютеры. Компьютеры, это, вроде как, единственное, что у меня тогда было».
Целый год адвокат Камкара и прокурор ходили кругами, договариваясь о сделке. Камкара не арестовывали. В итоге он признал себя виновным, и был приговорен к трем годам испытательного срока, в ходе которых ему запретили пользоваться компьютерами. Камкару был разрешен доступ только к одному ПК, зарегистрированному у властей и без доступа к интернету.
Камкар по-прежнему мог работать в своем стартапе в роли менеджера. Его даже приглашали на конференции, чтобы он рассказал о своем черве там. В 2007 году он встретился с Гроссманом на конференции OWASP & WASC AppSec, куда Гроссман и его приятель Роберт Хансен (Robert Hansen) пришли в футболках с надписью «Samy is my hero» (Сэми мой герой).
Гроссман рассказал мне, что благодаря воздействию, которое Камкар оказал на ИТ безопасность во всем мире, ему не приходилось платить ни за что, когда он ездил на подобные ивенты.
«Не думаю, что 10 лет назад он хоть раз сам платил за свою выпивку», — говорит Гроссман.
Спустя три года после релиза червя, в 2008 году, Камкар вновь предстал перед судом, и его испытательный срок был признан оконченным. Первое, что Камкар сделал: пошел в Apple Store и купил ноутбук. Затем зашел в ближайший Starbucks, открыл его и вышел в интернет.
«Я даже не знал, куда мне пойти [после трех лет офлайна]»,— рассказал Камкар. Так что он посетил пару сайтов, — Камкар со смехом отмечает, что это был НЕ MySpace, — провел в сети минут десять, а потом заметил друзей.
Камкар рассказывает, что всегда был «стеснительным интровертом», до того как написал Samy, поэтому «три года без компьютеров пошли мне на пользу; для того, кто все время проводит за компьютером, это была возможность наконец заняться чем-то другим».
Вернувшись в онлайн, Камкар загорелся рядом идей для новых хаков, задумался о новых техниках. Некоторые из них он продемонстрировал в ходе своего первого выступления на культовой конференции DEF CON в Лас-Вегасе.
С тех пор он успел покинуть собственный стартап и ломает самые разные вещи: разбирается в том, как Google, Microsoft и Apple следят за пользователями, создает различные устройства для автоматического взлома дронов, разблокировки автомобилей и гаражных дверей. Все это ради того, чтобы компании уделяли больше внимания безопасности и защите своих клиентов. Великолепные эксплоиты Камкара, наряду с его природным талантом делать хакинг и информационную безопасность понятными даже для непрофессионалов, позволили ему заработать себе имя в хакерском сообществе.
Если бы сегодня Камкар мог вернуться назад во времени, он, наверное, не стал бы выпускать червя на свободу, хотя именно червь принес ему славу, а три года без компьютеров стали положительным опытом.
Да, интернет, наверное, стал лучше благодаря червю Samy. Получается, что в некотором смысле, Samy все-таки может быть героем.
Фото: Motherboard
