Глава 47 Мы часто даем в руки соперника…
Глава 47
Мы часто даем в руки соперника…
— Ты слышал, что арестовали Миклашевича, еще одного полковника из управления «К»? — спросила меня Воробьева на следующий день после окончания моей голодовки.
— Бог не фраер — он все видит.
— ?..
— Они всем отделом решали, за какую сумму меня отпустить. Называли миллион, — пояснил я. — Юмористы, блин… Вот уже и второй из управления «К» сидит…
— Ну нам от этого не легче. Сейчас Сушко подойдет, он позже меня выехал. Ознакомит тебя с результатами искусствоведческой экспертизы. Он, кстати, теперь замначальника управления — Макаревичу пришлось уволиться, сильно над ним тучи сгустились. Так Сушко его кресло и занял.
Первым из документов, которые в тот день показал мне следователь, оказался обвинительный акт, подписанный специальным агентом Секретной службы США.
— Sonelao… один из моих лучших клиентов, он же surfrider, он же Mr.Towellie, он же Richard Druc, владелец фирмы Surfrider Boards, он же… специальный агент United States Secret Service Райан Книсли… Все тайное когда-либо становится явным…
— Вот-вот. Понимаешь теперь, почему он с тобой в Доминикану не полетел? — разбавил мой монолог Сушко.
— Ясно как белый день: ждал, пока суд выдаст ордер на мой арест, чтобы потом прямо в аэропорту: «Вы арестованы. Вы можете хранить молчание. Все, что вы скажете, может быть использовано против вас
в суде». Представляю, какой бы «полный пансион» ждал нас с братом в Таиланде, не сорвись наша поездка туда в 2004-м…
— А помнишь историю с русскими хакерами Ивановым и Горшковым, которых пригласили на работу в США и там арестовали?
— Припоминаю. Это в 2000 году вроде было. Одному — двадцать лет, другому — девятнадцать. Откуда-то с Урала пацаны, — следак заставил меня вспомнить события десятилетней давности.
— Да, из Челябинска. Занимались вымогательством денег у американских компаний. Вначале сканировали сеть жертвы на уязвимости. Когда таковые находились, хакеры связывались с системным администратором фирмы. Чаще всего это происходило с помощью электронной почты. Текст письма всегда был примерно одинаков: «Здравствуйте! Я представляю группу компьютерных экспертов. Мы специализируемся на проверке защищенности ПО серверов, кредитной системы и т. д. В настоящее время наша группа находится за пределами США, а законы нашей страны лояльны к деятельности подобного рода». Дальше шел список уязвимостей, найденных хакерами. Админу предлагалось потребовать у начальства денег, чтобы «группа компьютерных экспертов» в следующий раз не разнесла все содержимое сервера к чертовой матери. С маленьких фирм требовали пару сотен баксов, с серьезных компаний — по нескольку десятков тысяч.
Чаще всего нападению подвергались интернет-казино (как хранилище информации о кредитных картах), банковские серверы, интернет-провайдеры. В список пострадавших компаний попали финансовый брокер Online Information Bureau (упустил десятки тысяч кредитных карт), интернет-провайдер Speakeasy.net, Korean Bank в Лос-Анджелесе и даже «Вестерн Юнион», которая упустила информацию о 16 тыс. кредитных карт своих клиентов. Когда музыкальный магазин CD Universe отказался платить хакерам выкуп $100 тыс., тысячи кредитных карт его покупателей тут же оказались на публичных интернет-сайтах. Иванов и Горшков были настолько уверены в своей безнаказанности, что нередко оставляли на взломанных серверах текстовые файлы с содержанием типа «Здесь был Алекс». Более того, хакеры предлагали себя в качестве security-консультантов. Иванов высылал свое резюме, сопровождая его фотографией.
Неизвестно, сколько бы еще длился кошмар американских сисадминов, если бы Иванов не выбрал в качестве очередной жертвы компанию E-Money Inс. — крупного игрока на рынке интерактивных расчетов. Было отправлено традиционное письмо приблизительно такого содержания: «Вы не защищены. Чтобы у вас не стало плохо с сердцем, дайте нам бабок». Просили в этот раз хакеры много — $500 тыс.
Американцы отправили материалы о противоправной деятельности Иванова в российскую ФСБ, но там их просто проигнорировали. Стало ясно, что арестовать хакера на территории России будет невозможно. Нужно было заманить его в США. Тогда агенты ФБР создали сайт несуществующей компьютерной фирмы Invita Technologies и сделали Алексею Иванову предложение работать в США в качестве security-эксперта этой фирмы. Перед трудоустройством необходимо было пройти собеседование в Сиэтле. Дорогу ФБР с удовольствием оплатило. Иванов не только сам клюнул на удочку агентов, но и потащил с собой в Америку Василия Горшкова в качестве делового партнера.
«Я слышал о недавних вторжениях в сети американских компаний, некоторые из которых заплатили хакерам деньги за прекращение атак, — начал агент ФБР, который играл роль директора «Инвиты». — Я знаю, что вам это вполне по зубам. Может, это были вы?»
«Несколько месяцев назад мы занимались подобным, — ответил Алексей Иванов, — но сочли, что это не слишком доходное дело». Тем не менее он сел за компьютер и по просьбе американцев тут же взломал несколько сайтов, чтобы продемонстрировать свои профессиональные навыки.
«А что вы скажете по поводу кредитных карт?» — не унимался «директор».
«Поскольку мы находимся на территории США, мы никогда не признаемся, что доставали их», — ответил Василий Горшков.
В это время приглашенный фэбээровцами компьютерный эксперт из Вашингтонского университета, который играл роль еще одного работника «Инвиты», залез в компьютер, с которого Иванов осуществлял демонстрационный дефейс сайтов, и нашел в памяти заранее включенного кейлоггера (программа для запоминания нажатий на клавиши) пароль, который хакер использовал для удаленного доступа к своему домашнему компьютеру в Челябинске (оттуда он брал программы, необходимые ему для взлома сайтов).
Василий Горшков был приговорен к трем годам тюрьмы и $690 тыс. штрафа, его напарник Алексей Иванов получил четыре года.
— Получается, что планы Sonelao заманить меня сначала в Таиланд, а потом в Доминикану дважды сорвались…
— Выходит так. Зато агентам Секретной службы удалось выманить в Турцию Максика, — подключилась к нашему диалогу Воробьева. — И хотя вся важная информация на его ноутбуке была зашифрована с помощью программы PGP, после нескольких дней, проведенных в турецкой тюрьме, Maksik «отчего-то» сообщил следователям свой пароль, состоящий из семи символов.
— Два удара по почкам открывают любой пароль, — попытался пошутить я. — Но вообще современные программы шифрования настолько сложны, что теоретически даже АНБ (Агентство национальной безопасности США) не может их взломать. В 1990-е Министерство юстиции США и ФБР попробовали поставить шифрование на территории Штатов вне закона, мотивируя тем, что его будут использовать террористы, организованная преступность, педофилы и хакеры. Американских математиков предупредили о нежелательности разработки сверхсложных алгоритмов шифрования, но было уже поздно: джинн был выпущен из бутылки. В 1991 году американский программист и общественный деятель Фил Циммерман разработал и выложил в открытый доступ бесплатную программу, которую он назвал PGP (pretty good privacy).
Это не остановило правительственные агентства и спецслужбы в их попытках запретить разработку программного обеспечения для шифрования данных. В 1993 году администрация Клинтона попыталась навязать установку во все компьютеры и телефоны специального clipper-чипа, который, по сути, являлся мастер-ключом, позволяющим правительству взломать любой шифр, но чипы получились несовершенными и в 1996 г. проект свернули.
Тогда законодатели зашли с другой стороны — вспомнили приемы времен холодной войны и приравняли разработку сложных алгоритмов шифрования к экспорту вооружений. Теперь американские разработчики не могли встраивать модули шифрования в создаваемое ими программное обеспечение. Вдобавок федеральное правительство ввело запрет на распространение в Америке программ шифрования, которые бы не имели встроенных бэкдоров — ключей, позволяющих правительственным агентам в любое время взломать шифр. Все эти меры привели к тому, что зарубежные фирмы, не связанные подобными запретами, сильно потеснили Соединенные Штаты на рынке программ для шифрования, и в 2005 году все ограничения отменили.
— Макс Батлер, он же Iceman, владелец форума CardersMarket, шифровал всю нежелательную для лишних глаз информацию с помощью разработанной для израильских военных программы DriveCrypt, имеющей длину ключа 1344 бита, намного превышающую даже стандарты Министерства обороны. Макс рассчитывал, что когда полиция спросит пароли от его зашифрованных дисков, то он ответит отказом и пусть даже под разными предлогами и просидит полгода-год, но после этого будет выпущен на свободу — без его файлов федералы не смогут про-вести расследование его преступлений. Ошибался, — подвел красноречивый итог Сушко.
— ?..
— Ключ к взлому программ полного шифрования дисков наподобие DriveCrypt, BestCrypt и т. п. можно получить в то время, когда программа запущена на компьютере. Даже если ты уже отключил свои зашифрованные диски, единожды введенный пароль к ним все еще хранится в оперативной памяти компьютера (RAM). Когда агенты Секретной службы ворвались в дом Макса, они сразу же уложили его на пол под дула автоматов и не дали ему перезагрузить его сервер и ноутбук. Если бы ему это удалось, все содержимое оперативной памяти исчезло бы. Эксперты из команды CERT сели за компьютеры и начали свою работу: используя программу для захвата содержимого оперативной памяти, они скопировали все «живые» данные из RAM на внешний носитель. Для того чтобы найти пароль Макса в «снимке» памяти его компьютера, исследователям CERT понадобилось всего две недели, после чего прокурор Люк Дембоски передал адвокату Батлера бумажный листок с написанным на нем паролем: «!!One man can make a difference!» («И один человек может что-то изменить!»)
— Вы мне лучше вот что скажите: международный ордер на мой арест был выдан 28 апреля. После этого я успел побывать в Украине, Дубае и на Мальдивах. Как такое возможно?
— Подобное случается нередко: даже по каналам Интерпола информация расходится не слишком быстро. Мы, когда объявляем человека в розыск, первым делом «пробиваем», зарегистрировано ли на него оружие, затем — состоит ли на учете в психоневрологическом и наркологическом диспансерах, место прописки и адрес фактического проживания, состав семьи, какими транспортными средствами владеет, серию и номер паспорта, информацию о пересечении госграниц (с каким государством, когда, каким видом транспорта), приобретал ли билеты на самолет или поезд — есть у нас и такая база данных, — и только после этого ставим объект на «сторожевой контроль» — пограничники обязаны задержать его при первом въезде/выезде из страны.
— Я, конечно, тоже хорош: почта на Yahoo! и в дружественном США Израиле, бин-листы и дампы, пересылаемые по e-mail!.. Чертова Yahoo! вон по три года (а может, и больше) все письма, даже удаленные, хранит, еще и с прикрепленными файлами. Это ж какие серверы надо иметь!..
— Iceman пользовался почтой на Hushmail — канадском почтовом сервере, который обещал своим клиентам обеспечить надежное шифрование их корреспонденции. С помощью специального Java-апплета письма пользователей зашифровывались прямо на их домашних компьютерах, еще до попадания на сервер компании. Hushmail утверждал, что даже ФБР не сможет прочесть переписку его клиентов. Однако, когда в их офис нагрянули американские и канадские копы, вооруженные ордерами на обыск, выданными Верховным судом Британской Колумбии, компания нарушила свои принципы и выдала властям универсальный ключ дешифрования.
— А как его вообще смогли «повязать»? Я слышал, что Iceman продавал дампы под никому не известным вторым ником Digits, изменил стиль своей орфографии, продавал дампы без бин-листа, и всего три человека знали, что Iceman и Digits — это одно лицо.
— Вы отчего-то думаете, что вы самые умные. Но знаешь, как обыграть Гарри Каспарова? Надо играть с ним в любые игры, кроме шахмат. Многие, кто сейчас отдыхает на нарах, ломают голову: «В чем же была моя ошибка? Как меня смогли повязать?» А между тем мы шаг за шагом начинаем разбираться в правилах игры. Для тебя ж не секрет, что во многие преступные группировки по всему миру внедрены «засланцы», на секретных предприятиях работают шпионы, а за высокопоставленными лицами следят доносчики? Было бы странно, если бы спецслужбы, особенно американские, не догадались внедрить своих людей и в кардерское сообщество. Теперь про Айсмэна. Для взлома банка Capital One, одного из крупнейших эмитентов кредитных карт в США, он раздобыл у русских приватный 0day-эксплойт для Internet Explorer, и теперь все, что оставалось сделать, — это с помощью методов социальной инженерии заставить работников банка зайти на сайт, который содержит эксплойт. Имя для сайта Макс выбрал financialedgenews.com. Затем он разослал пятистам служащим банка (начиная от PR-менеджеров и заканчивая IT-специалистами) электронное письмо следующего содержания: «Я, Марк Тильман, репортер Lending News, работаю над статьей о последней утечке персональных данных клиентов Capital One. Я увидел имя… (здесь Ф.И.О. получателя письма) в заметке от Financial Edge и хотел бы поговорить с вами об этом: http://financialedgenews.com/archive/08/31/intrusion_CapOne. Около ста двадцати пяти работников банка «кликнули» на зараженную ссылку и впустили троян в свою корпоративную сеть. Агенты ФБР, расследовавшие данный инцидент, первым делом «пробили» владельца домена financialedgenews.com. Домен был зарегистрирован на «левое» имя в штате Джорджия, но когда регистратор домена, компания Go Daddy, покопалась в своих архивах, она увидела, что этот же пользователь когда-то зарегистрировал через них другой домен — cardersmarket.com. Следователи поняли, что Iceman, как бы он ни пытался дистанцироваться от криминальной деятельности, и есть тот самый хакер, который, конечно же, с корыстной целью взломал сеть пятого по величине эмитента кредитных карт в США. Вдобавок один из админист раторов CardersMarket, Th3C0rrupted0ne, оказался информатором Secret Service и отправил своим кураторам все приватные сообщения (РМ), полученные от Макса через внутреннюю почту CardersMarket. Он сообщил также, что Iceman, владелец форума, имеет второй тайный никнейм Digits. Агенты Секретной службы использовали эту информацию и сделали контрольную закупку у Digits. Этого было достаточно для предъявления обвинений. Однако федералы пошли еще дальше — когда друг Батлера и один из модераторов CardersMarket под ником Zebra продал несколько дампов информатору Секретной службы, известному под ником Gollumfun, и был арестован, ему предложили ближайшие пять лет провести в тюрьме либо рассказать все, что он знает об Айсмэне. Нетрудно догадаться, какой выбор сделал Zebra… Он также «сдал» ближайшего партнера Макса Кристофера Арагона и рассказал, что Iceman использует программу DriveCrypt. Это означало, что даже если агенты и вычислят адрес Батлера, то не найдут на его жестком диске никаких улик.
— Поэтому они и уложили Макса под автоматы, не дав тому выключить свои компьютеры, — перебил я Сушко.
— Да, верно, Крис Арагон изготавливал поддельные пластиковые карточки, записывал на них дампы Макса и имел группу молодых привлекательных девушек студенческого возраста, которых он считал лучшими кандидатурами для шопинга с поддельным «пластиком». Правда, однажды он нарушил собственное правило и сам пошел в магазин. Зашел в «Блуминг-дейл» и купил несколько женских сумочек общей стоимостью $13 тыс. Продавцы, не будь дураками, на всякий случай «маякнули» в полицию. В машине Кристофера нашли семьдесят поддельных кредиток, а также несколько таблеток экстази и ксанакса. Столкнувшись с перспективой провести за решеткой остаток своих дней — в Калифорнии действует закон «три судимости — и ты вне игры», предусматривающий пожизненное заключение для преступников, имевших ранее две судимости по тяжким статьям и признанных виновными в совершении любого третьего преступления (а у Арагона это как раз и была третья судимость), — Крис дал полный «расклад» и предоставил фото Айсмэна.
— Я гляжу, в Америке что ни кардер — то стукач, одни информаторы кругом…
— Ну а что: подобная тактика — использование информаторов — применялась против организованной преступности еще в 1980-х.
— Но у нас-то все иначе — такой повальной «сдачи» нет…
— А ты американский уголовный кодекс видел?! Там половина статей предусматривает пожизненное заключение. Вот преступники и стараются облегчить свою участь — около 87 % американских обвиняемых признают вину и сдают всех и вся в обмен на некоторое сокращение срока наказания. Вот еще один документ, с которым я хочу тебя ознакомить, — следак залез в свой саквояж и извлек оттуда какое-то письмо из Департамента национальной безопасности США.
— Ну и кто тебя, спрашивается, просил пересылать партнеру по грязному бизнесу свои личные фото, сообщать банковский счет своего брата, давать для пересылки товара домашний адрес своей матери и делиться подробностями личной жизни? — спросила после ухода следователя адвокат Воробьева. — Тебе кажется, что ты ведешь невинный разговор, но собеседнику не составит труда узнать, в каком городе вчера был концерт Джорджа Майкла, он узнает твой e-mail и то, что вы связаны с производителем «пластика» slimbady…
— Мы часто даем в руки соперника орудия нашей собственной гибели, — пришло мне на ум изречение Эзопа…
Данный текст является ознакомительным фрагментом.