Большой передел мира

Наверное многие из нас слышали о знаменитом хакере Владимире Левине, взломавшем в 1994 году американский CITIBANK и похитившим $10 млн. долларов. Один из участников этого процесса дал очень интересное интервью...


В марте 1995 года в британском аэропорту был арестован житель Санкт-Петербурга Владимир Левин. Ему было предъявлено обвинение в хищении более $10 млн. из американского банка Citibank — после того, как в разных странах мира его сообщники с разной степенью успеха пытались получить эти деньги. С разной, значит — некоторые получили, некоторые не получили, а некоторые были арестованы при попытке — а спустя два года сам Левин был выдан в США и приговорен судом Нью-Йорка к трем годам тюрьмы и штрафу в размере $240015. Так или иначе, этот человек попал во все известные редакции списка «зала хакерской славы» и надолго остался самым знаменитым русским хакером 

Несколько озадачивал лишь тот факт, что человек, именуемый в прессе гениальным хакером, программистом, математиком и биотехнологом, был известен в соответствующих кругах как хакер не больше, чем как математик, программист или биотехнолог. А его предыдущая работа лучше всего описывалась, как ни странно, словом «эникейщик». Что, конечно, можно отнести к недюжинному таланту конспирации, но, как говорят, попытки ФБР привлечь его в качестве консультанта по информационной безопасности выявили его полную некомпетентность в этих вопросах. То есть, концы с концами, все же, не очень сходятся.

Сейчас, когда прошло больше десяти лет с момента описываемых событий, может показаться странным, что «человек, похожий на Арканоида», решил поведать миру эту пропахшую нафталином историю. Почему? А почему бы и нет. Все же в первый раз — от первого лица. Интервью, как формат, мне совершенно не подходило, потому что желание рассказать правду и желание сделать интересную новость могут совпасть только в том случае, если объединены в одном человеке. С определенного момента и до недавнего времени на общение с журналистами у меня был установлен «заградительный тариф». Тем не менее, я возвращаюсь к этой истории, — не потому, что мне нечего больше написать интересного, — как раз надеюсь, что эта тема не последняя, хотя обещаю, что далее буду рассматривать предметы менее сканндальные, но более практически полезные читателю, — а потому, что считаю нужным восстановить недостающее звено.

Опасаюсь ли я за свою репутацию? Ведь принято считать, что серьезные фирмы, занимающиеся информационной безопасностью, не берут на работу бывших хакеров — по принципиальным соображениям. Да, десять лет назад и я считал, что эти принципиальные соображения — этического свойства, либо клановая солидарность и боязнь конкуренции под прикрытием этики. Теперь-то я знаю, что соображения эти сугубо практичны, и имеют мало общего с вопросами, например, доверия, но более подробно об этом в другой раз. Что же касается легальной стороны вопроса, то напомню, что по действовавшему на 1994 год российскому законодательству человек, от лица которого ведется этот рассказ, невинен, как младенец, да и мало того, — его идентичность какой-либо физической персоне ещё требуется доказать, даже если бы его было в чем обвинить. Срок давности по американскому Computer Fraud and Abuse Act (если даже его как-то исхитриться применить) ограничивается пятью годами. Максимум — восемью для террористов.

Итак, начнем сначала: что представлял из себя мир в 1994 году? С точки зрения обывателя все было примерно так же с виду, как сейчас: был Интернет, персоналки, электронная почта, web, был даже Microsoft Office и даже бета-версия Windows 95, известная тогда, как «Chicago».

Серьезные отличия были в том, чего не было видно. Например, хотя все уже тогда видели все тот же Microsoft Office, самым популярным офисным пакетом тогда был не он, а Digital All-In-One. Это вы его не видели, т.к. это — корпоративное решение. А самой большой сетью был, как ни странно, вовсе не Интернет, а совокупность сетей X.25. Насколько большой? Настолько, что всего лишь один платный информационный сервис в этой сети — Dialog — предоставлял доступ к базам данных, по объему примерно в двадцать раз превосходившим суммарный объем всего публичного Интернета на тот момент. Что до России, то карта узлов Sprint — одного из операторов X.25 на конец 1994 года выглядела заметно более внушительной, чем карта российского Интернета ещё двумя годами позже.

Занимаясь поиском интересных ресурсов в сетях X.25, — а предварительные данные для этого были подготовлены неплохие, благодаря публикации Skylar’а в журнале Phrack #42 — было практически невозможно не обратить внимания на Citibank, занимавший там отдельную сеть вне географической нумерации! Несомненно, он и стал одним из главных объектов интереса для хакеров со всего мира.

Все было бы гораздо менее интересно, если бы Global Finance Technology Division of Citicorp не придумали зачем-то организовать BBS для своих целей; туда допускались новые пользователи с минимальными правами. Однако, получить доступ к администраторским паролям, позволявшим переводить «кредит» на использование расширенных сервисов, включая чаи между пользователями и возможность обмениваться файлами, было делом тривиальным, да и вообще особенно серьезно никто этим ресурсом не залимался; помнится, человек, похожий на Тему Лебедева, поступил иначе, — зарегистрировал пользователя от имени Citibank Antartica и получил расширенный доступ «на легальном основании».

Собственно, возможность легкой коммуникации с каждым любопытствующим, бродящим по сети Citibank’а, и позволила организовать ту уникальную исследовательскую группу, о которой я всегда буду вспоминать с некоторой ностальгией и утечка информации из которой привела к скандальному делу.

Затем основные события переносится в Mid-Range Data Center, Wall St. 111 Напомню, что времена были другие, и техинка была тоже другая; практически ни у одного из членов группы не было постоянного доступа (не говоря уж о том, чтобы иметь его в личном пользовании) к компьютеру с операционной системой VMS, которая использовалась на большинстве интересных нам объектов. Поэтому мы завели себе учетные записи на компьютерах администраторов и разработчиков в MRDC, чтобы иметь возможность спокойно эксперимернтировать с программным обеспечением. Я даже в любимый Star Trek играл, собрав и запустив его «на той стороне». Т.к. значительная часть этих компьютеров была «коллективного пользования», никто и не обращал внимания на ещё одного пользователя, который, вроде как, пользуется терминальным сервером в помещении банка и никому особенно не докучает, тем более, что многие из сотрудников переходили на другие системы, продолжая использовать свои старые машины только для корпоративной и локальной почты. А что на самом деле именно эта почта, часто содержащая пароли и инструкции доступа к десяткам других систем, была ценнейшей находкой для любого хакера, — обычно никто и не думал… Максимум маскировки, который применялся — имитация системного симбионта в VMS, чтобы не отсвечивать лишний раз в списках пользователей, да коррекция дат модификации файлов.

Результаты получились впечатляющие: в руках аналитической группы оказалась подробнейшая информация об устройстве внутренней сети, включая планы развития, размещение техники по этажам и помещениям — и доступ ко многим ключевым узлам — не только ближайшего небольшого фрагмента сети, но и многим другим по всему миру, а при определенном навыке и везении — возможность подключения к существующим терминальным соединениям с теми компьютерами, которые были защищены более надежно системами одноразовых паролей (впрочем, не слишком распространенными в банке). Более чем достаточно для любого вида атаки. Без преувеличения можно сказать, что в некоторых деталях архитектуры сети мы ориентировались лучше, чем многие работники банка — я сам был свидетелем того, как они звонили модемом в другой сегмент сети, хотя туда можно было попасть, набрав две команды на незащищенных даже простейшим паролем маршрутизаторах.

Однако, мы не торопились. Хорошо представляя себе сложность и разнообразие систем защиты, мониторинга и аудита, с одной стороны, и не обладая организационным ресурсом для «оффлайновой» части операции (а в России, если помните, в 1994 году это автоматически означало связаться с, гм, «неприятными» людьми), «слить капусту» представлялось нам трудноосуществимым и малоцелесообразным. Вместо этого сеть использовалась как развлекательный ресурс — бесплатные звонки модемом или оплата X.25-соединения на любой адрес, — и много интересной техники. А это, скажу я вам, совершенно особенные ощущения. Все мы привыкли к демонстрируемой в фантастическом кинематографе «виртуальной реальности» — с помощью всяких штуковин от стереоочков до прямого подключения к глазному нерву. Лишнее оно, красивое, — но совершенно не необходимое. Достаточно суметь немного перестроить восприятие — и монохромные символы на мониторе дадут отличнейший эффект присутствия в том, что вряд ли можно адекватно визуализировать трехмерными картинками. Но я отвлекся. Кто бы мог подумать, что один из нас окажется таким придурком? Сейчас я понимаю, что это мой просчет, как организатора — то, что я доверил ценную информацию человеку, о котором в общем-то было понятно, что он мог ей злоупотребить, но у нас не было разграничений доступа, — нам казалось, что для успешной работы никакая информация лишней быть не может, — все же свои? Я не про Левина — Левин не был членом группы. Я про того, кто ему её продал за — тут журналисты не врут — сто долларов.

К вопросу о том, за что я не люблю журналистов. Я уже делал несколько попыток так или иначе рассказать эту историю — и каждый раз она была чудовищно переврана. В частности, особенно меня раздражает тот факт, что каждый (!) раз, когда мне случалось давать интервью, журналисты в конечной редакции — которую «по техническим причинам» «забывали» мне показать, решали «упростить» мой рассказ и представить дело так, что это я и был тем человеком, который продал Левину материалы исследовательской группы. Хотел бы сказать «бог им судья», но, будучи далек от христианской религии, скажу — плюньте в рожу этой мрази. Подобное обвинение ставит под сомнение не только мой профессионализм, а даже наличие элементарного здравого смысла. Разумеется, я хорошо понимал цену этой информации, и ни о какой подобной сделке и речи быть не могло. Да, я ошибся и моя ошибка меня многому научила — но идиотом я не был никогда.

Что касается технической стороны взлома, то увы, тут я вынужден разочаровать читателя — все происходившее было, честно признаюсь, весьма low tech. То есть не было никакого анализа «вслепую» переполнений буфера в неизвестных программах без исходных текстов на экзотических архитектурах и прочего высшего пилотажа. Был системный подход и чуть-чуть везения. Некоторые вещи обнаруживались чисто случайно, как, например, имевшая очень большое значение для нас ошибка в ПО терминального сервера Emulex, позволявшая получить доступ к административной консоли, инициировав перезагрузку через послыку сообщения, содержавшего восьмибитные символы, с одного терминала на другой. А мы всего-то пытались поговорить через него между собой по-русски. Кстати, вполне возможно, что из всех собранных нами данных Левину было бы вполне достаточно перехвата сессий на этом терминальном сервере в Лондоне, да ещё одной ошибки в ПО терминального сервера 3Com в Нью-Йорке, через которые часто осуществлялся доступ операторов Citi Cash Management и прочих АРМ банка, к счастью, как правило, не требовавших никакого специального клиентского софта. В то, что Левин сотоварищи смогли бы разобраться в «сырых» структурах баз данных, используя прямой административный доступ, мне как-то не верится совершенно. Ну, ещё мог пригодиться пароль к дополнительному аутентификатору терминальных сессий из сети X.25, — это такое подобие аутентифицирующего firewall’а, — инструкции по его использованию мы получили «на блюдечке» почти в самом начале. IP-сети мы исследовали с помощью первого тогда бесплатного сканера ISS, — кстати, помнится, появление его коммерческой версии без исходников нас сильно озадачило — ну кому нужна такая штука, если к ней нельзя приделать свои тесты? Юниксовые пароли ломали crack’ом, — в общем, типичный инструментарий того времени.

А потом… Все закончилось. И самое странное, — что закончилось не так быстро. Дело в том, что пока мы изучали системы защиты, — Левин даже не задумывался об их существовании. И как при практически нулевой квалификации — а я знаю, о чем говорю, я видел спутниковые перехваты его терминальных сессий — он успел натворить крупных дел, для меня — до сих пор загадка. (Не спрашивайте меня, как ко мне попали эти данные, — иначе я никогда не смогу доказать, что человек, не имеющий ко всей этой истории никакого отношения, действительно не имел к ней никакого отношения). Вероятно, мы серьезно недооценивали степень безответственности и раздолбайства в самом банке и осторожничали сверх меры.

Вот, собственно, и все. После того, как Citibank закрыл вход из сетей X.25, звонить на прямые модемные входы в Нью-Йорке никто из нас не рискнул. Перед самым финалом я успел кратко пообщаться с одним из сисадминов MRDC, который наконец-то начал замечать «подозрительную» активность в сети, но ничего интересного мы друг другу сказать не успели. Да, — я надеюсь, что им попался таки на глаза оставленный мной документ с описанием, как решить их проблему с печатью на hp laserjet через DECnet.

Это, собственно, ровно треть истории. Другую треть знает Левин и его сомнительные друзья — если, конечно, они его сами не обманывали, после того, как он сделал свое дело, а последнюю — люди, занимавшиеся этим инцидентом в Citibank’е. Так что — куда делись те $400 тыс., которые так и не нашли, списали ли их под шумок и поделили и кто в этом участвовал — об этом я не имею ни малейшего понятия. Впрочем, об этом в сети есть достаточно предположений различной степени достоверности, и некоторые, на мой взгляд заслуживающие интереса, я привожу здесь в качестве ссылок, но давать какую-либо оценку этой информации я не могу, т. к. не владею предметом.

Да, и Интернет тут был совершенно ни при чем.

P.S.

Один из известных мне участников событий, как и я, продолжает заниматься информационной безопасностью, но тоже уже много лет в качестве «white hat». Его проекты весьма интересны, среди них — один из лучших персональных firewall’ов для Windows. Другой работает сейчас «простым» системным администратором, хотя тоже не то чтобы простым, а весьма успешным. Следы остальных затерялись, но я практически уверен, что полученный опыт им пригодился. Я не считаю, что история с Ситибанком — самое интересное в моей жизни. Думаю, более интересные вещи ещё впереди. И предпочитаю, чтобы люди работали со мной потому, что я хороший специалист, а не потому, что я «тот самый».

Если же кто-то, несмотря на мои разъяснения, решит слишком активно ворошить прошлое, то напоминаю, что я, в общем-то, не я, и лошадь, конечно же, не моя.

А примерно за неделю до написания этой статьи мне пришлел SMS от одного знакомого, который немного в курсе событий и решил, что это сообщение меня позабавит: «А я в ситибанке с зубилом, молотком и болгаркой в руках. Б#я, один в серверной.»