[recovery mode] Подпольный рынок кардеров. Перевод книги «KingPIN». Глава 36. «Aftermath»
Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».
В книге показывается путь от подростка-гика (но при этом качка), до матерого киберпахана, а так же некоторые методы работы спецслужб по поимке хакеров и кардеров.
Квест по переводу книги начался летом в ИТишном лагере для старшеклассников — «Шкворень: школьники переводят книгу про хакеров», затем к переводу подключились и Хабраюзеры и даже немного редакция.
О том как накрыли всю сеть можно почитать в Главе 34: «DarkMarket». Рассказ о ходе судебного процесса и приговоре изложен в предыдущей главе: Глава 35: «Приговор».
Глава 36. «Последствия»
К тому моменту, когда Макс Вижн был осуждён, Секретная Служба уже смогла идентифицировать загадочного американского хакера, который сделал Maksik’а одним из крутейших кардеров мира, и готовилась его осудить, что стало бы некоторым смягчением ситуации для Макса.
Переломный момент в том деле произошёл после событий в Турции. В июле 2007-ого, турецкая полиция получила от Секретной Службы информацию, что Maksik это двадцатипятилетний Максим Ястремский, отдыхающий в Турции. Агент под прикрытием заманил его в ночной клуб в Кемере, где полиция арестовала его и изъяла ноутбук. Полицейские обнаружили, что жёсткий диск ноута наглухо зашифрован, примерно также как и во время скрытой операции в Дубаи, годом ранее, когда копы пытались незаметно слить его содержимое. Однако проведя несколько дней в турецкой тюрьме, Maksik выдвил из себя нужный семнадцатисимвольный пароль. Полицейские сняли с диска шифрование и передали содержимое в Секретную Службу, где принялись пристально изучать данные. Наибольший интерес для них представляли логи Maksik’а в ICQ.
Один из собеседников отличался от остальных: пользователь с UIN 201679996, по видимому, помогал Maksik’у с атакой на сеть ресторанов Dave & Buster«s и обсуждал с ним некоторые из предыдущих высококвалифицированных взломов, которыми Maksik заявил о себе. Агенты проверили данный UIN и узнали e-mail, использованный при регистрации: soupnazi@efnet.ru.
SoupNazi это псевдоним, ставший известный агентам секретной службы ещё в 2003-м году при аресте Альберта Гонсалеса. Гонсалес был информатором, который сдал секретной службе кардеров из Shadowcrew, заманив их в подставной VPN. Его действия привели к двадцати одному аресту в ходе операции Firewall — легендарному удару секретной службы по кардинг-сцене. За многие годы до участия Гонсалеса в Shadowcrew, его псевдонимом в IRC был SoupNazi.
Похоже, что стукач, ранее позволивший провести операцию Firewall, теперь вышел на новый уровень и стал совершать крупнейшие сетевые кражи в истории США.
Через месяц после операции Firewall Гонасалес получил разрешение переехать из Нью-Джерси обратно домой, в Майами, где он и начал второй эпизод своей хакерской карьеры. Он взял никнейм Segvec и выдавал себя за украинца под ником Mazafaka на Восточно-Европейском форуме. Под девизом «Стань Богатым или Умри Пытаясь» (название альбома 50 Cent’а и девиз Maksik«а в Shadowcrew), Гонсалес начал серию многомиллионных киберкраж, которые коснулись десятков миллионов американцев.
Восьмого мая 2008 года федералы задержали Гонсалеса и его сторонников в США. Пытаясь смягчить приговор, Гонсалес вновь сотрудничал с агентами, сдав им ключ шифрования от собственного диска (Вот не пойму на кой вообще эти ребята шифрованием пользуются… — прим. переводчика), а также информацию обо всех своих соратниках. Он признался во взломах TJX, OfficeMax, DSW, Forever 21 и сети Dave & Buster«s. Помимо этого он также признал, что помогал восточноевропейским хакерам при взломах сети магазинов Hannaford Bros., сетей 7-Eleven«s ATM network и Boston Market, а также процессинговой компании Heartland Payment Systems, из которой хакерам удалось увести около 130 миллионов (!) карт. Это было весьма прибыльное время для хакера. В ходе расследования Гонсалес показал федералам задний двор своих родителей, где он зарыл более миллиона долларов наличными. Правительство добилось конфискации этих денег, а также спортивного BMW Гонсалеса и его огнестрельного Glock 27.
Гонсалес набирал свою команду из «нетронутого резервуара» подпольных хакеров, которых не признали на white-hat сцене. Среди них был и Джонатан «C0mrade» Джеймс. Ещё будучи подростком он взломал NASA и получил за это шесть месяцев условно, кстати, это произошло в ту же неделю, когда Макс Вижн признал себя виновным во взломах Пентагона в 2000-ом. После непродолжительной славы и нескольких интервью в популярных СМИ Джеймс предпочёл уйти за кулисы и спокойно жить в доме, который он унаследовал от своей матери, в Майами. Затем, в 2004-ом он якобы начал работать с Гонсалесом и его помощником Кристофером Скоттом. Федералы были уверены, что Джеймс и Скотт достали первые дампы карт в хранилища Maksik«а, а также были ответственны за взлом Wi-Fi сети магазинов OfficeMax«s и кражу тысяч зашифрованных дампов и PIN… Эти двое обеспечивали Гонсалеса данными, а он договаривался с неким другим хакером на счёт их расшифровки. После этих атак, компании выпустившие украденные карты были вынуждены перевыпустить около 200 000 карт.
Из всех хакеров, Джонатан Джеймс заплатил самую высокую цену за своё преступное прошлое. После майского рейда в 2008-м, Джонатан убедился, что Секретная Служба будет пытаться повесить на него все преступления Гонсалеса, чтобы оправдать своего информатора в глазах общественности. Восемнадцатого мая двадцатичетырёхлетний паренёк пошёл в ванну, взяв свой пистолет, и застрелился.
»Я разочаровался в нашей системе правосудия.» — писал он в своей пятистраничной посмертной записке. «Возможно, это послание и то, что я сделаю сегодня, дойдёт до сознания общественности. Как бы там ни было, я потерял контроль над ситуацией, и это единственное, что я могу сделать, чтобы всё исправить.» В марте 2010-ого Гонсалес был приговорён к двадцати годам тюрьмы. Его соучастники получили от двух до семи лет. А тем временем в Турции Maksik был признан виновным во взломах Турецких банков и приговорён к тридцати годам заключения.
После ареста Макса, мошенники из андеграунда продолжили кидать людей. В худших случаях они использовали трояны, чтобы украсть пароли к online-банкингу жертв и перевести деньги прямо с атакуемого компьютера. Воры придумали достаточно остроумный способ для решения проблемы, беспокоившей когда-то Криса Арагона — как же, собственно, получить деньги?
Они нанимали простых людей, для, якобы, «работы на дому», а сама работа заключалась в получении денег и зарплаты переводами и дальнейшей пересылке основной части денег в Восточную Европу через систему Western Union.
В 2009-ом, когда данная схема впервые стала действительно массовой, банки и их клиенты потеряли около 120 миллионов долларов, а основной целью атак был малый бизнес.
Тем временем продажи дампов продолжаются и по сей день, теперь уже в основном новым поколением «поставщиков», хотя можно встретить и старые имена — Mr. BIN, Prada, Vitrium, The Thief… Правоохранительные органы однако уверяют, что им удалось добиться неких долговременных результатов. К примеру, до сих пор не появилось ни одного известного англоязычного форума на замену Carders Market’у и DarkMarket’у, а восточноевропейские борды стали более закрытыми и защищёнными.
Серьёзные игроки стали использовать шифрованные чат-серверы, работающие только по инвайтам. Чёрный рынок до сих пор жив, однако кардеры потеряли чувство безнаказанности, и их деятельность пропиталась паранойей и недоверием, благодаря, в основном, деятельности ФБР, Секретной Службы и содействующим им почтовым отделениям, а также их международным партнёрам.
Завеса секретности, что некогда окружала хакеров и корпорации, похоже, начала испаряться, а законодательство более не позволяло компаниям оправдываться своей собственной незащищённостью (скорее всего, имеются в виду изменения законодательства, согласно которым компании отныне несли ответственность за слабую защиту данных своих клиентов — прим. переводчика). Несколько имён компаний, пострадавших от взломов Гонсалеса, были обнародованы в ходе судебного процесса. И наконец, укол, нанесённый Муларски DarkMarket’у, дал понять, что федералам не обязательно идти на сделку с плохими парнями, чтобы проводить свои рейды.
Все самые подлые эпизоды в войнах компьютерного андеграунда происходили «с руки» информаторов: например Бретт «Gollumfun» Джонсон (стукач, который какое-то время работал администратором Carders Market’а) превратил операцию Секретной Службы Anglerphish в форменный балаган, когда начал проворачивать налоговые афёры на стороне.
Альберт Гонсалес тоже был показательным примером — после операции Firewall Секретная Служба платила ему около 75000$ в год, тогда как он сам в это время проворачивал крупнейшие кражи в истории. Взломы проведённые им уже после выхода из Shadowcrew, привели к множественным судебным тяжбам. TJX выплатила десять миллионов долларов чтобы закрыть судебные дела, возбуждённые против неё в более чем сорока странах мира и ещё 40 миллионов долларов банкам, чьи карты были скомпрометированы. Банки и кредитные организации также подали множество судебных исков против Heartland Payment Systems (очень крупный американский процессинговый центр — прим. переводчика) из-за массовых нарушений обработок транзакций.
Атаки Гонсалеса пробили настоящую дыру в главном защитном бастионе всей индустрии кредитных карт: так называемый Payment Card Industry Data Security Standard (PCI-Data Security Standard, стандарт безопасности данных индустрии кредитных карт — прим. переводчика), стандарт, который описывает все шаги, которые торговцы и процессинговые центры должны предпринимать для защиты данных кредитных карт. Heartland имел сертификат PCI, а Hannaford Brothers прошли сертификацию даже когда хакеры ковырялись в их системах, продолжая воровать данные.
Когда поутихла шумиха вокруг грандиозных краж Гонсалеса, начались менее масштабные, но гораздо более многочисленные атаки на различные сети ресторанов, используещие POS (Point of Sale — система, позволяющая заведению обслуживать кредитки — прим. переводчика). Семь ресторанов в Миссисипи и Луизиане, которые подверглись взломам, обнаружили, что все они используют один и тот же POS-процессинг — Aloha POS, который, кстати, был одной из любимых мишеней Макса. Рестораны подали групповой иск против производителя и компании, которая продала им терминалы — Computer World из Луизианы, которая якобы установила на всех терминалах ПО для удалённого доступа и установила пароль »computer» на каждом из них. Первопричиной всех этих взломов была всего лишь одна единственная дыра в безопасности, размером ровно 3.375 дюйма — магнитная полоса на кредитной карте. Это технологический анахронизм, флешбэк из эры кассет на магнитной ленте, и на сегодняшний день США практически единственная во всём мире страна, которая оставляет эту уязвимость открытой. Более сотни стран по всему миру, в Европе, Азии, даже в Канаде и Мексике уже используют или начинают использовать гораздо более защищённую систему под названием EMV, или chip-and-PIN. Вместо пассивной магнитной полосы новые карты используют микрочип встроенный непосредственно в пластик карты (близкий используемому в SIM-картах — прим. переводчика), который использует алгоритм криптографического «рукопожатия» для аутентификации в POS-терминале и дальнейшей связи с процессиноговым центром. Данная система не позволяет скопировать карту даже взломщику, имеющему полный доступ к линии передачи данных, поскольку последовательность используемая при «рукопожатии» меняется каждый раз.
Здесь я перевёл слово handshake, хотя в криптографии данный термин обычно не переводят — прим. переводчика.
White-hats разработали несколько атак на систему EMV, но ничего из этого не применимо на современном массовом рынке дампов. На данный момент основная брешь в новой системе это возможность проводить операции по магнитной полосе, в качестве запасного варианта для американцев, выезжающих за рубеж или туристов, посещающих Соединенные Штаты. Американские банки и кредитные организации отказались вводить chip-and-PIN, из-за космической стоимости замены сотен тысяч POS-терминалов на новые. В конце концов, финансисты решили, что убытки от мошенников вполне приемлемы, даже если взломщики, подобные Iceman’у, бродят по их сетям.
—
Это мой первый перевод, он объективно несколько слабоват, поэтому прошу обо всех замеченных недостатках отписывать в ЛС. Спасибо!