Взломщик-стажер в Apple | Forbes.ru
$59.14
69.44
ММВБ2155.82
BRENT63.00
RTS1147.61
GOLD1281.62

Взломщик-стажер в Apple

читайте также
+77 просмотров за суткиБудущее от Apple: компания создает гаджеты для дополненной реальности +54 просмотров за суткиОбщество потребления. Почему россияне любят стоять в очередях +13 просмотров за суткиЗаявка на рекорд. Apple ждет роста выручки в полтора раза за квартал благодаря iPhone X +66 просмотров за суткиЛицом к Apple. Forbes протестировал новый iPhone X +9 просмотров за суткиНа низком старте: как Россия готовится встретить iPhone X +7 просмотров за суткиВойна с клонами: как Apple борется со спам-приложениями, а компании защищаются +14 просмотров за суткиПатентная война в разгаре: Apple решила отказаться от чипов Qualcomm +83 просмотров за суткиВосемь смартфонов с лучшей камерой на данный момент +9 просмотров за суткиЭволюция браузера. Как Apple обидела рекламную индустрию и усложнила жизнь партнерам +5 просмотров за сутки«Google покупает Apple за $9 млрд»: как рынок переварил странную новость Dow Jones +3 просмотров за суткиПеревод голоса налету и трогательный смартфон: Google показал новые гаджеты +4 просмотров за суткиПеремены для разработчиков: iOS 11 заставит по-новому подойти к популяризации приложений +5 просмотров за суткиВзыскать любой ценой: Еврокомиссия судится с Ирландией за €13 млрд налогов Apple +5 просмотров за суткиПомощник Apple: Samsung заработает на iPhone X больше, чем на Galaxy S8 +4 просмотров за суткиПадающее яблоко: Apple потеряла $65 млрд перед выходом iPhone X +1 просмотров за суткиМаска, я вас знаю. Новинки Apple оценили разработчики приложения дополненной реальности «Маскарад» +4 просмотров за суткиОт Джобса до Кука: 6 вопросов к новинкам Apple +6 просмотров за суткиК ноябрю адаптируются: мнение разработчика об iPhone X +6 просмотров за суткиНовое измерение: дополненная реальность принесет Apple $15 млрд к 2020 году По следам нового iPhone: Apple — инноватор или имитатор? iPhone на триллион: как новинки повлияют на капитализацию Apple

Взломщик-стажер в Apple

Энди Гринберг Forbes Contributor
Как 19-летний хакер Николас Аллегра, взломавший iPhone, попал на стажировку в Apple?

Николас Аллегра живет с родителями в городке Чаппакуа, штат Нью-Йорк. Высокий 19-летний юноша в очках и с всклокоченными волосами с прошлой зимы находится в академическом отпуске (он учится в Университете Брауна) — он ищет, где бы пройти практику. И тем временем тратит свои дни на хобби, от которого периодически сотрясается весь мир компьютерной безопасности: он ищет изъяны в исходном коде iPhone от Apple, устройстве с большим количеством программных ограничений, чем практически любой компьютер на рынке, и играется с ними, пока их защита против хакеров не будет полностью уничтожена. «Это похоже на редактирование газеты на английском языке, — рассказывает Аллегра сиплым голосом, как будто он только проснулся, хотя мы разговаривали в 9:30 вечера. — Просто читаешь и ищешь ошибки. Я не знаю, почему у меня это так хорошо получается».

Аллегра был известен общественности только под хакерским прозвищем Comex, и он старался не привлекать к себе внимания. (Он согласился дать интервью Forbes, после того как, порыскав по Twitter, Facebook и списку учащихся Университета Брауна, мы узнали его имя.) Но по уже практически ежегодной летней традиции хакер, скрывающийся под этим псевдонимом, дважды выкладывал в сеть кусочек кода под названием JailBreakMe, позволяющий миллионам пользователей за несколько секунд избавиться от ультрастрогих мер безопасности, которыми Apple снабдил устройства iPhone и iPad, приносящие более половины из $100 млрд выручки компании.

Его инструмент не предназначен для воровства или вандализма: он просто позволяет пользователям устанавливать любые приложения по своему желанию. Но «побег из тюрьмы» (jailbreaking), как называется эта практика, нарушает маниакальный контроль Apple над гаджетами и демонстрирует дыры в программном обеспечении, которыми могут воспользоваться и не столь великодушные хакеры.

Apple никак не ответила на просьбы дать комментарии, но она не в восторге от деятельности Аллегры. Когда в июле он выпустил JailbreakMe 3, компания всего за 9 дней заделала бреши в системе безопасности. Тем не менее за это время инструментом воспользовались 1,4 млн человек и еще более 600 000 после этого. Аллегра стал таким бельмом на глазу Apple, что во внутренних Wi-Fi-сетях в магазинах Apple сайт JailbreakMe.com блокируется.

«Я не думал, что кто-нибудь сможет сделать нечто подобное, — говорит Чарли Миллер, бывший аналитик сетевого пользования в National Security Agency, который в 2007 году первым взломал iPhone. — А сейчас это сделал пацан, о котором мы никогда и не слышали. Он совершенно убил меня».

Чтобы оценить великолепие JailbreakMe, посмотрите, как крепко Стив Джобс «запирает» свои устройства: с 2008 года Apple ввела в качестве меры безопасности систему «цифровой подписи программ», чтобы хакеры не могли запускать свои команды в ее мобильной операционной системе. Таким образом, даже после обнаружения бреши, которая дает доступ к системе, атакующий может использовать ее только с помощью уже прописанных в приложениях Apple команд, — этот процесс исследователь компьютерной безопасности Дино Даи Зови сравнил с составлением записки из журнальных вырезок.

После того как Аллегра выпустил JailbreakMe 2 в прошлом году, Apple еще больше усовершенствовала свой метод, придав расположению кода в памяти случайный характер, чтобы хакеры даже не могли локализовать команды. Это как собирать записку из случайного, ранее не виденного журнала, в темноте. Тем не менее Аллегра умудрился обойти эти замки. В JailbreakMe 3 Аллегра воспользовался брешью в том, как мобильная операционная система iOS работает со шрифтами в файлах PDF. Это позволило ему и находить команды, и использовать их для своих целей. Из-за этого критического дефекта стал возможен целый ряд атак, позволяющих получить полный контроль над устройством, сохраняя при этом сам код, который активизируется при каждой перезагрузке — и все это без вреда для операционной системы. «Я потратил много времени на полировку», — не без гордости говорит Аллегра.

Соавтор книги «Справочник хакера Macintosh» Дино Даи Зови говорит, что по утонченности JailbreakMe стоит на одном уровне с червем Stuxnet, который, предположительно, был разработан спецслужбами Израиля или США, чтобы заразить ядерные установки в Иране. Он сравнивает Аллегру со взломщиками на службе у государства, которые досаждают корпорациям и правительствам, — теми, что в индустрии кибербезопасности зовутся хакерами «постоянной угрозы направленной атаки» (advanced persistent threat). «Он лет на пять их опережает», — считает Даи Зови.

Аллегра не преследует никакой материальной выгоды: его сайт бесплатный, хотя и принимает пожертвования. Он также не критикует Apple за стремление контролировать то, что их пользователи могут устанавливать на своих устройствах. Он называет себя «фанатом» Apple, а более открытую платформу Android — «врагом». «Думаю, дело здесь в преодолении трудностей, больше, чем в чем-то еще», — говорит он. 

Юный хакер научился писать программы на языке Visual Basic в возрасте 9 лет, собирая информацию по сетевым форумам. «К тому моменту, как я выбрал информатику в старших классах, я уже все знал», — говорит он. Когда он обнаружил, что не может сохранить на своем компьютере скриншот из видеоигры Super Smash Brothers на Nintendo Wii, он провел не один час, расшифровывая файл, а позже работал над другими заданиями в Wii, получая представление об этой смутной операционной системе. «У меня не было такого прошлого, как у остальных в сообществе кибербезопасности, — говорит он. — Поэтому им кажется, что я возник из ниоткуда». 

Аллегра заявляет, что его программа легальна. Бюро охраны авторских прав США прошлым летом разрешило пользователям взламывать собственные мобильные телефоны по Закону об авторском праве в цифровом тысячелетии (Digital Millenium Copyright Act), несмотря на возражения Apple, что это сделает телефоны беззащитными перед хакерами и может даже привести к «катастрофическим» атакам, портящим сотовые базовые станции. 

Хотя предстоит еще решить, можно ли выпускать инструменты, позволяющие людям взламывать телефоны. Три суда постановили, что это законно, а четвертый решил, что это могло нарушить закон об авторском праве. В январе Sony воспользовалась этим решением и другими законами, чтобы подать иск на Джорджа Хотца, одного из коллег Аллегры, за взлом Playstation 3. Иск был удовлетворен, но успел поднять волну ответных кибератак на Sony от хакеров всего мира.

Аллегра признает, что технически разница между взломом телефона для установки любых программ и для более злобных целей невелика. «Страшно, — говорит он. — Я пользуюсь таким же телефоном, что и все остальные, и это совершенно небезопасно». Но по меньшей мере в случае с JailbreakMe 3 Аллегра создал заплатку для уязвимости PDF, чтобы другие хакеры не могли использовать эту брешь. До того как Apple выпустила официальный патч, пользователи, взломавшие свои iPad и iPhone, были в каком-то смысле в большей безопасности, чем те, кто этого не сделал.

P.S. На следующей неделе у Аллегры начинается стажировка в Apple, о чем он написал в своем твиттере в прошлый четверг. 

[processed]

Закрыть
Уведомление в браузере
Будь в курсе самого главного.
Новости и идеи для бизнеса -
не чаще двух раз в день.
Подписаться