О чем эта книга

"... В моем уме не оставалось места для беспокой­ства об успехе или провале книги. Было лишь желание работать над ее созданием." Ф. Херберт. "Еретики Дюны".

Эта книга не предназначена специально для кракеров. Несмотря на то что в ней рассматриваются и даются в виде законченных технологий механизмы атак на широко распространенные системы, эту информацию не следует принимать как руководство к действию. В любом случае правовую ответственность за компьютер­ный вандализм еще никто не отменял и прежде чем использовать полученные знания на деле, неплохо бы ознакомиться с уголовным кодексом и запастись адвокатом.

Не предназначена эта книга и для разработчиков защит. Я не хотел делать упор ни на одну из социальных категорий, потому что проблемы защиты инфор­мации скорее организационные, чем технические. Разработчики ПО не нуждают­ся в таких книгах и вообще редко прислушиваются к советам по реализации защитных алгоритмов, а хакеры от всего этого просто балдеют и морально разлагаются, теряя стимул к развитию.

Термин "хакер" имеет множественные трактовки, которые было бы бессмыс­ленно перечислять здесь и тем более останавливаться на какой-то из них, игнорируя остальные. Но в лучшем значении хакер — это индивидуал, смотрящий в корень и стремящийся разобраться во всем до конца. Для таких людей и предназначена эта книга.

Большая часть этой книги посвящена истории и социологии. Такова уж специфика проблемы защиты информации. Кроме того, знание истории — долг каждого культурного человека. Невозможно глубокое понимание предмета без четкого представления его основ. Везде, где это только возможно, я буду стремиться к обобщению и постараюсь не акцентировать внимание на конкретных реализациях. Это не означает, что в книге не встретится законченных схем. Напротив, в них не будет недостатка. Но я не ставлю перед собой цель снабдить хакера готовым инструментарием.

Я даже не буду пытаться научить читателей "ловить рыбу", а рискну пойти немного дальше и дать навыки самообучения. Из любой самой нестандартной ситуации и при самом скудном инструментарии всегда можно найти выход. Типовые схемы часто оказываются бессильными и бесполезными. Любые навыки слишком привязаны к конкретному окружению. В наше время больших перемен уже поздно хвататься за традиционные схемы обучения. На обучение просто нет времени. Большинству программистов приходится осваивать новые технологии "на ходу", и задолго до конца обучения они уже полностью устаревают.

Возьмем популярную платформу Windows, находящуюся в состоянии бурного развития. Разве можно сопоставить наше время с вялым развитием компьютерных систем только десятилетней давности? Объем электронной документации для сегодняшней платформы Win32 (MSDN) перевалил за отметку одного гигабайта и стремительно продолжает расти!

Системы зашиты, заметны, развиваются заметно более медленно и ничего принципиально ноцого за последние год-два не было придумано нли широко внедрено. Это обнадеживает, особенно на фоне деградации качества реализации широко распространенных систем безопасности.

С другой стороны, толковых учебников и изданий по данной тематике тоже не выходило. Это привело к тому, что действительно грамотно спроектированных и качественно реализованных защит сегодня на массовом рынке практически не наблюдается. Большинство авторов, с трудом припоминая школьный курс алгеб­ры, разрабатывают собственные алгоритмы, которые при близком рассмотрении криптостойкими не являются. Все математическое богатство валяется бесхозным и нетронутым, хотя на рынке достаточно много качественных и вполне современ­ных изданий. Я не стремлюсь повторить уже проделанную работу, а просто буду отсылать по ходу дела к конкретным источникам.

Цель этой книги — научить читателя самостоятельно добывать необходимые ему знания и навыки, порой не имея соответствующей литературы и информации. Современное информационное изобилие приводит к атрофированию навыка само­стоятельного получения необходимых знаний. Парадоксально на первый нзгляд, но недостаток литературы развивает и тренирует мозги куда лучше, чем ее избыток. Сам я осваивал ассемблер 8086 с помощью утилиты debug.com: кроме нее (и свободного времени) у меня в ту пору не былоничего. Логика работы команд изучалась анализом воздействия последних на регистры и память. Эта было утомительное занятие, и свободное владение ассемблером (без учета ряда некритичных команд) ко мне пришло приблизительно через три месяца. Наличие инструкции сократило бы этот срок до двух-трех дней (с учетом знания ассемб­лера других платформ), но зато не дало бы никаких полезных навыков.

Инструкция исключительно редко бывает исчерпывающей и доступной. Полу­ченные давным-давно навыки актуальны для меня до сих пор, ибо тенденция обратной зависимости качества инструкции от ее объема в последнее время стала угрожающе превращаться из метафоры в реальность.

Главный психологический барьер для многих — это ощущение беспомощно­сти перед компьютером. Человек ощущает себя не хозяином ситуации, а незадач­ливым экзаменуемым, наобум пытающимся угадать, чего же от него хочет машина. Знакомая ситуация: вызываемая функция упрямо ведет себя не так, как описано в документации, и не работает. В данном случае не помещает прибегнуть к дизассемблированию и анализу ситуации, но, возможно, оптимальным окажется другое решение. В любом случае возможны свои нетривиальные варианты. Наивно полагать, что схема "нажал на кнопку — получил банан" работает но всех ситуациях. Или что банан непременно удастся достать с помощью палки либо ящика. А если нет? Если задача не имеет известного и опробованного решения? Вот тогда и приходится действовать, как говорят, "по обстоятельствам". Научить этому читателя — моя задача.