Читаем Яйцо кукушки. История разоблачения легендарного хакера полностью

Это серьезно. Это значит, что все файлы с зашифрованными паролями пользователей, которые хакер копировал, могут быть использованы для отгадывания этих паролей. Плохая новость. Я сверился со своим журналом регистрации. Он копировал эти файлы с нашего ЮНИКС-компьютера, с системы в Аннистоне и из компьютера Командования Береговыми Службами ВМФ. Пожалуй, я доказал, что он вполне мог так разгадывать пароли. В словаре английского языка около ста тысяч слов. С момента копирования файла с паролями прошло около трех недель. Допустим, его программа угадывания паролей непрерывно проработала три недели, мог ли он за это время угадать пароль Марва?

На обычном компьютере ВАКС шифрование одного пароля занимает около секунды. Для обработки ста тысяч слов понадобятся целые сутки. На персональном ИБМ, возможно, около месяца. Суперкомпьютер Крей сможет управиться за час. Случай с Марвом показывает, что парню понадобилось три недели. Значит, он не мог это проделать на маленьком домашнем компьютере. Программа угадывания паролей выполнялась на рабочей станции ВАКС или Сан. Может, он изобрел более быстрый алгоритм или, отгадав пароль Марва, просто ждал несколько дней.

А я умник. Когда я понял, как он угадывает пароли, то запросто определил тип его компьютера. Дистанционный телекоммуникационный Шерлок Холмс.

Даже один разгаданный пароль — уже опасно. Теперь, если даже я удалю задание Свентек, он влезет в систему под другим именем. Пуленепробиваемая броня (пароли) оказалась фланелькой. Разгадывание паролей. Прежде я никогда с этим не сталкивался, но эксперты, полагаю, в курсе? Я позвонил Бобу Моррису, который изобрел систему шифрования паролей для ЮНИКСа.

— Мне кажется, хакер отгадывает пароли, — сказал я.

— Что? — Боб явно заинтересовался. — Он использует словарь, или ему удалось обратить алгоритм шифрования?

Думаю, словарь.

— Ну, это банально. У меня есть целых три хороших программы отгадывания паролей, причем одна из них пароли вычисляет заранее, так что отгадывает на два порядка быстрее. Хочешь копию?

Силы небесные! «Нет, нет, не стоит, — ответил я. — Если мне понадобится, то я позвоню. Скажи, а сколько времени известно угадывание паролей?»

— Вот этот метод «в лоб»? Лет пять или десять. Это все детские забавы.

Оба-на! Угадывание паролей для него забава?

Боб продолжал: «Угадать нельзя, если ты правильно выбираешь пароли. По-настоящему мы беспокоимся лишь за программы шифровки. Если кто-нибудь сумеет написать программу, выполняющую обратное действие — мы окажемся по уши в дерьме.»

Я понимал, что он имеет в виду. Программа, переводящая слово «Мессия» в «пЗкузнуиеве», перекручивает поросенка в фарш. Но если кто-нибудь найдет способ заставить ее работать в обратном направлении, т. е. способ переводить «пЗкузнуиеве» в «Мессия», то он может просто вычислять пароли без всякого угадывания, получать из фарша поросят.

Ну что ж, по крайней мере, я рассказал обо всем этом АНБ. Возможно, они знают эту технологию уже многие годы, но теперь им официально заявлено, что кто-то реально пользуется ею. Предадут ли они это дело огласке? Об этой проблеме должны знать проектировщики операционных систем, чтобы делать их более надежными. Компьютерным менеджерам также следует знать об этом. И вообще, предупредить следует каждого, кто пользуется паролем. Ведь правило простое: не выбирай в качестве паролей слова из словаря. Почему мне об этом никто не сказал?

Похоже, что Национальный Центр Компьютерной Безопасности не интересуют реальные проблемы эксплуатации тысяч компьютеров ЮНИКС. Я бы хотел знать слабые места системы ЮНИКС, знать, какие выявлены проблемы при эксплуатации. Я сам обнаружил ошибку в редакторе Гну-Эмакс. Чувство долга заставило меня сообщить об этом в Национальный Центр Компьютерной Безопасности. Но они сами никогда не предупреждали меня об этом. А теперь оказалось, что пароли из словаря ненадежны.

А сколько еще есть скрытых лазеек?

В Национальном Центре может и знают, но молчат.

Наверное, АНБ означает «Абсолютно Незачем Болтать». Однако замалчивание недостатков компьютерной защиты вредит нам всем. Я уже убедился, что хакеры давно обнаружили дыры и вовсю ими пользуются. Почему же никто не просвещает хороших ребят?

— Это не входит в круг наших обязанностей, — сказал Боб Моррис. — Мы собираем информацию, чтобы лучше проектировать компьютеры в будущем.

Ладно, оставим АНБ. Что я могу сделать еще? Настало время пошевелить и другие агентства.

К концу апреля Бундеспост все еще не получил соответствующих бумаг из Соединенных Штатов. Они проводили отслеживание на основе официальной жалобы, поданной университетом Бремена. Но хотя Бундеспост и провел несколько успешных расследований, они не назовут ни имен, ни телефонных номеров. Немецкие законы запрещают это. Звучит знакомо. Я подумал, не захочет ли моя сестра Дженни разузнать что-нибудь в Ганновере? До сих пор она была самым удачливым следователем.

Я позвонил Майку Гиббонсу. «Мы более не рассматриваем это дело как уголовное», — сказал он.