«Дешевле вышло бы признать себя виновным»

Материал из CompromatWiki
Перейти к: навигация, поиск

«Дешевле вышло бы признать себя виновным» FLB: Именно после процесса «США против Склярова» программисты перестали бояться обнародовать результаты своих исследований по «уязвимостям» в продукции ведущих брендов

"   Доцент МГТУ им. Баумана Дмитрий Скляров со своими детьми           Знаменитый «не хакер» Дмитрий Скляров нашёл прорехи в программах двух крупнейших мировых корпораций – Canon и Nikon. Благодаря его программе фотоколлажи «Сталин с айфоном», «Нил Армстронг с флагом СССР на Луне» и «Статуя Свободы с серпом вместо факела» успешно проходят проверку на подлинность             «Я не хакер» Как знаменитый взломщик компьютерных программ стал доцентом кафедры «Информационной безопасности» знаменитой «Бауманки» « Имя Дмитрия Склярова стало известно всему миру в 2001 году, когда 26-летний программист был арестован сотрудниками ФБР по одному из самых громких дел «русских хакеров» за рубежом. В историю он вошёл как первый россиянин, которого обвиняли в нарушении закона «Об авторском праве в цифровом тысячелетии» . Полуторагодичный процесс «США против Склярова» сопровождался массовыми акциями протеста в нескольких американских городах. Под открытым письмом в его поддержку подписались более десяти тысяч человек, в числе которых были и легендарные для компьютерной индустрии личности. В декабре 2002-го присяжные окружного суда в Сан-Хосе признали абсолютную невиновность Склярова и компании, в которой он работал, создав тем самым важный юридический прецедент. Именно после скандального «дела» многие программисты по всему миру перестали бояться уголовного преследования и обнародовали результаты своих исследований в области компьютерной безопасности», - пишет в февральском номере «Совершенно секретно» Роман Гудяков . «В 2012 году Дмитрий будет отмечать десятилетний юбилей той победы. Впрочем, ни история со взломом защиты от копирования электронных книг формата PDF компании Adobe Systems, за что и пытались осудить Склярова, ни его нынешний авторитетный статус доцента кафедры «Информационной безопасности» знаменитой «Бауманки» (МГТУ им. Н.Э. Баумана), по всей видимости, не охладили пыл компьютерного гения. Вспоминая обстоятельства дела, сделавшего его знаменитым, автор книг по способам взлома компьютерных программ рассказал о своих новейших разработках , которые ставят под сомнение системы проверки подлинности фотоматериалов, разработанные двумя крупнейшими корпорациями – Canon и Nikon. – Дмитрий, когда прокурор в окружном суде Сан-Хосе спросил, считаете ли вы себя хакером, вы ответили, что нет. Это была лишь стратегия защиты? – Ни в коем случае, я действительно не хакер. Благодаря журналистам слово «хакер» поменяло своё значение за последние лет 20–25. Раньше это был высокообразованный, очень находчивый профессионал, который мог решать серьёзные задачи. Сейчас же это плохой парень. А что он в действительности умеет, не имеет значения. Поэтому я себя хакером не считаю. Я специалист по информационной безопасности. – А если не прятаться за тонкие формулировки и реально оценить то, что вы сделали с электронными книгами всемирно известного компьютерного бренда? – Это было не хакерство. Если быть точным в деталях, на тот момент, когда всё это случилось, компания Elcomsoft, в которой я и до сих пор работаю, разработала программу Advanced eBook Processor, абсолютно легальную с точки зрения российского законодательства. Она была выпущена в свободную продажу в Интернете. Через неделю мы получили предупреждение, что она вроде бы нарушает законы США, и сразу же прекратили продажи, успев распространить всего 12 копий. – Но если программа обходит систему защиты, она хакерская, пусть даже иностранного производства? – Тогда проведём аналогию. А нож продавать в магазине можно? – Конечно. – А убивать этим ножом? Я это к тому, что нашей программой нельзя было воспользоваться, не купив саму электронную книгу. И только обладая лицензионным продуктом, вы могли сделать с него резервную копию . Представьте ситуацию: вы купили электронную книгу, а затем у вас что-то случилось с операционной системой. Вы ставите новую операционку, а на ней книжка не читается. Мы до сих пор с периодичностью раз в пару месяцев получаем письма от клиентов, столкнувшихся с подобной проблемой. Adobe отсылает их к тем, у кого они эту книжку покупали. А там компании такой уже нет. Разорилась и техническую поддержку не оказывает. Вот и получается, что, купив книжку навсегда, люди на самом деле получали на неё временное право. Наш инструмент решал эти проблемы. – А вам льстило то, что вы выставили на посмешище всемирно известного софтверного гиганта? – Да я никого не выставлял на посмешище. Поймите, компания Adobe сама себя выставила. Лет 10 назад в аналогичную ситуацию попала корпорация Microsoft. У них тогда был свой формат, в котором они разрабатывали электронные книги и продавали их для персональных и карманных компьютеров. А один английский программист регулярно их защиту взламывал и с лёгкостью копировал эти книги. Затем он выкладывал свои разработки в Интернет, а Microsoft оперативно латал брешь в системе безопасности. Затем англичанин снова обходил защиту, и это противостояние продолжалось пару лет. И вот представьте себе, что об этой ситуации не знают даже 99 процентов людей, профессионально занимающихся проблемами информационной безопасности. А почему? Потому что Microsoft об этом не кричал и не попытался из этого сделать громкое судебное разбирательство. Потому что если б они это сделали, то все бы посмеялись, мол, такой гигант пытается наезжать на какого-то неизвестного программиста. – Почему же с вами было совсем не так? – Скорее всего, им нужен был прецедент. Откуда вообще появился этот закон, по которому меня судили? Говорят, что «Голливуд» пришёл к Биллу Клинтону, он был на тот момент Президентом США, и принёс его партии 10 миллионов долларов на предвыборную кампанию. И Клинтон подписал этот закон. У них это является абсолютно законным и воспринимается как поддержка партии . «Голливуд» – крупный правообладатель, который заинтересован в защите своих прав, то есть в том, чтобы любая попытка обойти систему защиты диска с данными признавалась преступлением. Меня, скорее всего, выбрали как представителя другой страны, не самой сильной . Это американцы за своих готовы горло перегрызть, а наши – мягко действуют. Думали, наверное, что компания маленькая, бороться не будет, быстренько подпишет признательные показания и поедет спокойненько домой. А в документах будет сказано, что человек нарушил закон и суд признал его виновным . Но они неожиданно встретили сопротивление, и очень активное. Возможно, не рассчитали. – Когда вы говорите «они», то имеете в виду власти США или только корпорацию, которая на вас иск подала? – Изначально иск подала действительно только компания Adobe. По этому иску меня и задержали в Америке после того, как я выступил на конференции Defcon в Лас-Вегасе. – Вы хотели сказать – «хакерской» конференции? – Дело в том, что там проходят две самые важные ежегодные конференции по безопасности, которые проводят одни и те же люди. Одна называется «Black Hat Conference» («Конференция чёрных шляп»). Участие в ней стоит более тысячи долларов, поэтому туда приезжает ограниченный круг специалистов. Defcon – для широкой аудитории, и участие в ней на тот момент стоило пятьдесят долларов, поэтому туда приезжает в сотни раз больше людей, в том числе, конечно, и хакеры, и представители частных компаний, тех же крупных корпораций, федеральные государственные служащие, журналисты. Темы докладов касаются уязвимостей систем безопасности той или иной программы. А их производители иногда даже нанимают хакеров для тестирования своих продуктов. – То есть арест ничего не предвещало? – Да. Я прочитал доклад, который как раз и касался выявленной мной уязвимости. Участники меня внимательно выслушали, активно задавали вопросы, даже аплодировали в конце. И я совершенно спокойно пошёл заниматься своими делами. У меня доклад был не в последний день, а в предпоследний. Следующие сутки прошли без каких бы то ни было проблем. А 16 июля, когда я с утра вышел из номера, чтобы расплатиться за гостиницу и ехать в аэропорт, – в холле я встретил троих сотрудников ФБР. – СМИ тогда писали, что вас очень жёстко задерживали… – Не то чтобы очень жёстко. Проходя мимо, они меня схватили за руку. Я постарался эту руку вырвать, но они предъявили удостоверения, и я дальше решил не сопротивляться. Меня сначала отвезли в суд, и в суде я суммарно провёл часа четыре в ожидании слушаний по залогу. Меня перед этим допрашивали на тему, есть ли у меня недвижимость, родственники, деньги в США. Выяснилось, что у меня ничего нет, и тогда, видимо, они себе поставили галочку, что если я буду выпущен под залог, то я первым же самолётом улечу. Как я мог это сделать без паспорта, который они у меня отобрали, я до сих пор не знаю. – Отсюда и начинается ваш вояж по американским тюрьмам? – Сначала меня поместили в тюрьму в Лас-Вегасе. Но поскольку я был арестован по обвинению, выдвинутому в Калифорнии, меня должны были транспортировать в Калифорнию. То есть формально я был в режиме транспортировки, а не в камере в Лас-Вегасе. Поэтому, когда из Москвы позвонили в консульство и оттуда в администрацию тюрьмы, там ответили, что «у нас такой не значится». Нашли меня только через два дня, когда информация распространилась в Интернете и пользователи стали активно возмущаться и интересоваться моей судьбой. Видимо, испугавшись нараставшей волны народного недовольства, компания Adobe дала задний ход и отозвала иск, заявив, что отказывается от всяческих обвинений в мой адрес. Но по американскому законодательству если преступление совершается против общества (а тот закон, по которому меня судили, из этой категории), то желание пострадавшей стороны замять дело считается недостаточным для его закрытия. И с этого момента я судился уже не с Adobe, а с властями США . Машина была запущена… – И куда вам на этой «машине» предстояло ехать? – Именно «ехать»! В Америке процедура перевозки заключённого к тому месту, где его должны судить, регламентирована всего лишь одним правилом. Человек не может находиться в одной тюрьме на маршруте транспортировки дольше 21 дня. То есть теоретически могут везти из пункта А в пункты B, C, D и только потом в конечный. И в каждом из них я мог бы находиться 21 день. В Лас-Вегасе я провёл 7 дней. Однажды утром подняли, посадили в машину и отвезли в аэропорт, где уже ждал самолёт. Его доверху набили заключёнными. Он несколько раз взлетал и садился. Одних заключённых ссаживали, других, наоборот, брали на борт. Так я попал в местечко «Оклахома Федерал Транспорт Центр». Там я пробыл ещё две недели. И потом меня тем же самым способом отвезли в тюрьму Сан-Хосе. – То есть вам удалось составить впечатление как минимум о трёх американских тюрьмах? – Впечатления от американских тюрем у меня на самом деле очень двоякие. Я за время своей студенческой жизни успел побывать в стройотряде в Норильске и на коротких армейских сборах. Уровень «комфорта» в тюрьме Лас-Вегаса примерно, как стройотряд или как армия. В армии душа не было вообще, в стройотряде – два часа в сутки. Здесь душем можно было пользоваться в любое время суток. Еды в Лас-Вегасе, в общем, тоже хватало. В Оклахоме кормили так, что я не съедал, то есть очень хорошо. А в нашей камере было пять комнат, и в каждой стояло по телевизору. Кроме того, были микроволновая печь и машина для изготовления льда. И это в тюрьме! В одной из комнат даже разрешалось курить. А в Сан-Хосе (Калифорния, самый богатый штат считается) – плохая тюрьма, очень старая, в ужасном состоянии, кормили там просто отвратительно. – Что было дальше? – Через несколько дней меня всё-таки выпустили под залог в 50 тысяч долларов, но с условием, что я не могу покидать территорию Северной Калифорнии. Адвокаты, которых нанял мой работодатель, находились в Сан-Франциско. Поэтому я в основном жил там и раз в неделю ездил в окружной суд Сан-Хосе, чтобы подтвердить, что я ещё не убежал. И это продолжалось с 6 августа по 22–23 декабря, когда я получил возможность вернуться в Россию. Причём на суде мне задавали очень смешные вопросы. Получал ли я когда-нибудь деньги от российского правительства? Я ответил, что да, потому что я получал стипендию. Заказывало ли российское правительство разработку этой программы? Финансировало ли российское правительство её разработку? Видимо, искали заговор глобального масштаба, как государство Российское с помощью этой вот программы может сильно навредить американской экономике или что-то в этом роде . – Что же от всего этого выиграли ваши оппоненты? – Не знаю, что они выиграли или проиграли, но лицо своё потеряли точно. Мы потеряли, разумеется, достаточное количество времени и денег. В американском суде если денег нет, то предоставляется адвокат бесплатно. Соответственно за мою защиту платила компания, в которой я работал. Суммарно на адвокатов мы потратили больше 1,5 млн долларов за полтора года. Такие вот у них расценки. А ведь с финансовой точки зрения было гораздо более выгодно признать себя виновными . Когда с меня лично обвинения были уже сняты и судили только Elcomsoft, то прокуроры с адвокатами обсуждали, какой максимальный штраф может быть присуждён компании, если её признают виновной. Так вот, этот штраф колебался между 24 и 48 тысячами долларов. Как вы понимаете, это даже меньше залога, то есть мы могли пойти на соглашение, признать себя виновными и отделаться небольшим штрафом. Но, чтобы доказать, что мы не виновны, нужно было потратить полтора миллиона. А так как мы судились с государством, а не с частной компанией, то судебные издержки спрашивать было не с кого . По-моему, кто-то из американцев сказал, что в борьбе против государства можно не проиграть, выиграть – невозможно. Но всё же своё честное имя мы отстояли. – Как вас встретили в России? – Когда я уже должен был лететь на родину, на телеканале «НТВ» был показан новостной сюжет, где объявили, что, пока меня выпускали под залог в Америке, в России у меня дома произведён обыск и теперь меня обвиняют в краже документов с серверов МВД . Для чего и кому я эти материалы якобы украл, в материале не уточнялось. Зато показали, как по этому факту обратились в Управление «Р», где им, кстати, тоже ничего не ответили. Это Управление по борьбе с компьютерными преступлениями, и у нас с ними очень хорошие отношения. Поговаривали, что это на них наезд, а не на меня. Правда это или нет, сейчас уже неизвестно. – И что, действительно обыскивали? – Реально у меня обыска не было, и вообще ничего не было. К слову сказать, у моей жены с двумя маленькими детьми (дочке было 3 месяца, сыну 2,5 года) в тот момент, когда показывали этот сюжет, в доме находилась съёмочная группа «РТР». Народ стал звонить на канал и говорить: что же вы делаете, ведь ничего же не было! Но это не помогло. Материал вышел в трёх новостных выпусках. Заменили только, что я украл не ДСП («для служебного пользования») документы, а документы с грифом «секретно», то есть ещё более усугубили мою вину. Миткова (Татьяна Миткова – главный редактор службы информации «НТВ». – Ред.) сказала, что все опровержения только через суд. В суд я подал, как только вернулся, и через 4 года, в 2005-м, его выиграл, получив с «НТВ» опровержение и денежную компенсацию. Кстати, один из авторов того материала – Антон Вольский на процесс так ни разу и не явился . Зато исправно приходила бумага, что он в командировке. Правда, все командировки у него были по Москве. А потом он стал специальным корреспондентом в США, и я часто его видел по телевизору . – Произошедшее с вами как-то изменило отношение к собственной профессии, к миру? – Я, как инженер, до сих пор не вижу никакого криминала в том, что я сделал. Поэтому нет, не изменило. Желание создавать программы никуда не делось. Я по натуре исследователь, я люблю докапываться до каких-то вещей. Мне интересно разобраться, написать инструмент, который помогает эту защиту убрать. А далее уже начинаются юридические, экономические, политические и другие тонкости и нюансы, которые обычному человеку не совсем понятны. Раньше я этого не понимал, а теперь понимаю. – И снова лезете на рожон? «Сталин, размахивающий айфоном» и другие обработанные в специальных программах картинки, которые только условно можно назвать фотографиями, что не мешает им проходить проверку на подлинность изображения, разработанную компаниями Canon и Nikon, – это же ваших рук дело? – Я с детства немножко увлекался фотографией. У меня средний любительский уровень, не более. Но однажды я обнаружил, что у фотоаппаратов Canon есть технология цифровой подписи изображений, удостоверяющая, что эти изображения впоследствии не обрабатывались. После этого я в свободное время стал смотреть, как она изнутри устроена, и обнаружил некоторые вещи, которые были доступны для анализа. Оказалось, что эти подписи сделаны не очень надёжно. Я довожу это до сведения своего начальства. Начальство говорит: «Раз не надёжно, давай об этом расскажем». Причём мы всё сделали в соответствии со стандартной процедурой, то есть известили специальную организацию «Центр реагирования на компьютерные инциденты» (CERT). Но в течение двух с половиной месяцев от производителя ответа не было. И в ноябре 2010 года я поехал в Прагу на конференцию и представил доклад на эту тему . – И что вам это обнародование даёт? – Денег, конечно, мы на этом мы не делаем, то есть мы не продаём программу, которая подделывает изображения. Хотя те самые фотоколлажи со Сталиным, НЛО над горой Фудзиямой, статуей Свободы, поднимающей над головой серп вместо факела, а также Нилом Армстронгом, устанавливающим на Луне флаг СССР, а не США, действительно проходят проверку на подлинность с помощью созданной мною программы. Кстати, когда я сделал то же самое для Nicon, оказалось, что подделывать их снимки можно, даже ни разу не держав в руках соответствующий фотоаппарат. – Если вы говорите, что всё это не хакерство, то в чём тогда конечная цель всей вашей деятельности? – А вы можете отличить хорошее средство безопасности от плохого? Вот вы поставили на дверь новый замок. Когда вы узнаете, что замок плохой? Когда его взломают. Должна быть какая-то третья сила, кроме производителя и грабителя, которая занимается взломом замков, но ничего не ворует . Мы, собственно, и являемся этой третьей силой. От того, что мы обнаруживаем у кого-то дырки в безопасности, производитель начинает шевелиться и эти дырки закрывать. Потому что, если эти дырки не обнаружим мы, их обнаружит кто-нибудь нехороший и обязательно эти дырки использует». Роман Гудяков, «Совершенно секретно», No.2, 2012 год"
631e1fcac8dc17991f13cb1db2038ef8.gif

Ссылки

Источник публикации