Сергей Павлович - Как я украл миллион. Исповедь раскаявшегося кардера.

— Sonelao… один из моих лучших клиентов, он же surfrider, он же Mr.Towellie, он же Richard Druc, владелец фирмы Surfrider Boards, он же… специальный агент United States Secret Service Райан Книсли… Все тайное когда-либо становится явным…

— Вот-вот. Понимаешь теперь, почему он с тобой в Доминикану не полетел? — разбавил мой монолог Сушко.

— Ясно как белый день: ждал, пока суд выдаст ордер на мой арест, чтобы потом прямо в аэропорту: «Вы арестованы. Вы можете хранить молчание. Все, что вы скажете, может быть использовано против вас

в суде». Представляю, какой бы «полный пансион» ждал нас с братом в Таиланде, не сорвись наша поездка туда в 2004-м…

— А помнишь историю с русскими хакерами Ивановым и Горшковым, которых пригласили на работу в США и там арестовали?

— Припоминаю. Это в 2000 году вроде было. Одному — двадцать лет, другому — девятнадцать. Откуда-то с Урала пацаны, — следак заставил меня вспомнить события десятилетней давности.

— Да, из Челябинска. Занимались вымогательством денег у американских компаний. Вначале сканировали сеть жертвы на уязвимости. Когда таковые находились, хакеры связывались с системным администратором фирмы. Чаще всего это происходило с помощью электронной почты. Текст письма всегда был примерно одинаков: «Здравствуйте! Я представляю группу компьютерных экспертов. Мы специализируемся на проверке защищенности ПО серверов, кредитной системы и т. д. В настоящее время наша группа находится за пределами США, а законы нашей страны лояльны к деятельности подобного рода». Дальше шел список уязвимостей, найденных хакерами. Админу предлагалось потребовать у начальства денег, чтобы «группа компьютерных экспертов» в следующий раз не разнесла все содержимое сервера к чертовой матери. С маленьких фирм требовали пару сотен баксов, с серьезных компаний — по нескольку десятков тысяч.

Чаще всего нападению подвергались интернет-казино (как хранилище информации о кредитных картах), банковские серверы, интернет-провайдеры. В список пострадавших компаний попали финансовый брокер Online Information Bureau (упустил десятки тысяч кредитных карт), интернет-провайдер Speakeasy.net, Korean Bank в Лос-Анджелесе и даже «Вестерн Юнион», которая упустила информацию о 16 тыс. кредитных карт своих клиентов. Когда музыкальный магазин CD Universe отказался платить хакерам выкуп $100 тыс., тысячи кредитных карт его покупателей тут же оказались на публичных интернет-сайтах. Иванов и Горшков были настолько уверены в своей безнаказанности, что нередко оставляли на взломанных серверах текстовые файлы с содержанием типа «Здесь был Алекс». Более того, хакеры предлагали себя в качестве security-консультантов. Иванов высылал свое резюме, сопровождая его фотографией.

Неизвестно, сколько бы еще длился кошмар американских сисадминов, если бы Иванов не выбрал в качестве очередной жертвы компанию E-Money Inс. — крупного игрока на рынке интерактивных расчетов. Было отправлено традиционное письмо приблизительно такого содержания: «Вы не защищены. Чтобы у вас не стало плохо с сердцем, дайте нам бабок». Просили в этот раз хакеры много — $500 тыс.

Американцы отправили материалы о противоправной деятельности Иванова в российскую ФСБ, но там их просто проигнорировали. Стало ясно, что арестовать хакера на территории России будет невозможно. Нужно было заманить его в США. Тогда агенты ФБР создали сайт несуществующей компьютерной фирмы Invita Technologies и сделали Алексею Иванову предложение работать в США в качестве security-эксперта этой фирмы. Перед трудоустройством необходимо было пройти собеседование в Сиэтле. Дорогу ФБР с удовольствием оплатило. Иванов не только сам клюнул на удочку агентов, но и потащил с собой в Америку Василия Горшкова в качестве делового партнера.

«Я слышал о недавних вторжениях в сети американских компаний, некоторые из которых заплатили хакерам деньги за прекращение атак, — начал агент ФБР, который играл роль директора «Инвиты». — Я знаю, что вам это вполне по зубам. Может, это были вы?»

«Несколько месяцев назад мы занимались подобным, — ответил Алексей Иванов, — но сочли, что это не слишком доходное дело». Тем не менее он сел за компьютер и по просьбе американцев тут же взломал несколько сайтов, чтобы продемонстрировать свои профессиональные навыки.

«А что вы скажете по поводу кредитных карт?» — не унимался «директор».

«Поскольку мы находимся на территории США, мы никогда не признаемся, что доставали их», — ответил Василий Горшков.

В это время приглашенный фэбээровцами компьютерный эксперт из Вашингтонского университета, который играл роль еще одного работника «Инвиты», залез в компьютер, с которого Иванов осуществлял демонстрационный дефейс сайтов, и нашел в памяти заранее включенного кейлоггера (программа для запоминания нажатий на клавиши) пароль, который хакер использовал для удаленного доступа к своему домашнему компьютеру в Челябинске (оттуда он брал программы, необходимые ему для взлома сайтов).

Василий Горшков был приговорен к трем годам тюрьмы и $690 тыс. штрафа, его напарник Алексей Иванов получил четыре года.

— Получается, что планы Sonelao заманить меня сначала в Таиланд, а потом в Доминикану дважды сорвались…

— Выходит так. Зато агентам Секретной службы удалось выманить в Турцию Максика, — подключилась к нашему диалогу Воробьева. — И хотя вся важная информация на его ноутбуке была зашифрована с помощью программы PGP, после нескольких дней, проведенных в турецкой тюрьме, Maksik «отчего-то» сообщил следователям свой пароль, состоящий из семи символов.

— Два удара по почкам открывают любой пароль, — попытался пошутить я. — Но вообще современные программы шифрования настолько сложны, что теоретически даже АНБ (Агентство национальной безопасности США) не может их взломать. В 1990-е Министерство юстиции США и ФБР попробовали поставить шифрование на территории Штатов вне закона, мотивируя тем, что его будут использовать террористы, организованная преступность, педофилы и хакеры. Американских математиков предупредили о нежелательности разработки сверхсложных алгоритмов шифрования, но было уже поздно: джинн был выпущен из бутылки. В 1991 году американский программист и общественный деятель Фил Циммерман разработал и выложил в открытый доступ бесплатную программу, которую он назвал PGP (pretty good privacy).