Сергей Павлович - Как я украл миллион. Исповедь раскаявшегося кардера.

Это не остановило правительственные агентства и спецслужбы в их попытках запретить разработку программного обеспечения для шифрования данных. В 1993 году администрация Клинтона попыталась навязать установку во все компьютеры и телефоны специального clipper-чипа, который, по сути, являлся мастер-ключом, позволяющим правительству взломать любой шифр, но чипы получились несовершенными и в 1996 г. проект свернули.

Тогда законодатели зашли с другой стороны — вспомнили приемы времен холодной войны и приравняли разработку сложных алгоритмов шифрования к экспорту вооружений. Теперь американские разработчики не могли встраивать модули шифрования в создаваемое ими программное обеспечение. Вдобавок федеральное правительство ввело запрет на распространение в Америке программ шифрования, которые бы не имели встроенных бэкдоров — ключей, позволяющих правительственным агентам в любое время взломать шифр. Все эти меры привели к тому, что зарубежные фирмы, не связанные подобными запретами, сильно потеснили Соединенные Штаты на рынке программ для шифрования, и в 2005 году все ограничения отменили.

— Макс Батлер, он же Iceman, владелец форума CardersMarket, шифровал всю нежелательную для лишних глаз информацию с помощью разработанной для израильских военных программы DriveCrypt, имеющей длину ключа 1344 бита, намного превышающую даже стандарты Министерства обороны. Макс рассчитывал, что когда полиция спросит пароли от его зашифрованных дисков, то он ответит отказом и пусть даже под разными предлогами и просидит полгода-год, но после этого будет выпущен на свободу — без его файлов федералы не смогут про-вести расследование его преступлений. Ошибался, — подвел красноречивый итог Сушко.

— ?..

— Ключ к взлому программ полного шифрования дисков наподобие DriveCrypt, BestCrypt и т. п. можно получить в то время, когда программа запущена на компьютере. Даже если ты уже отключил свои зашифрованные диски, единожды введенный пароль к ним все еще хранится в оперативной памяти компьютера (RAM). Когда агенты Секретной службы ворвались в дом Макса, они сразу же уложили его на пол под дула автоматов и не дали ему перезагрузить его сервер и ноутбук. Если бы ему это удалось, все содержимое оперативной памяти исчезло бы. Эксперты из команды CERT сели за компьютеры и начали свою работу: используя программу для захвата содержимого оперативной памяти, они скопировали все «живые» данные из RAM на внешний носитель. Для того чтобы найти пароль Макса в «снимке» памяти его компьютера, исследователям CERT понадобилось всего две недели, после чего прокурор Люк Дембоски передал адвокату Батлера бумажный листок с написанным на нем паролем: «!!One man can make a difference!» («И один человек может что-то изменить!»)

— Вы мне лучше вот что скажите: международный ордер на мой арест был выдан 28 апреля. После этого я успел побывать в Украине, Дубае и на Мальдивах. Как такое возможно?

— Подобное случается нередко: даже по каналам Интерпола информация расходится не слишком быстро. Мы, когда объявляем человека в розыск, первым делом «пробиваем», зарегистрировано ли на него оружие, затем — состоит ли на учете в психоневрологическом и наркологическом диспансерах, место прописки и адрес фактического проживания, состав семьи, какими транспортными средствами владеет, серию и номер паспорта, информацию о пересечении госграниц (с каким государством, когда, каким видом транспорта), приобретал ли билеты на самолет или поезд — есть у нас и такая база данных, — и только после этого ставим объект на «сторожевой контроль» — пограничники обязаны задержать его при первом въезде/выезде из страны.

— Я, конечно, тоже хорош: почта на Yahoo! и в дружественном США Израиле, бин-листы и дампы, пересылаемые по e-mail!.. Чертова Yahoo! вон по три года (а может, и больше) все письма, даже удаленные, хранит, еще и с прикрепленными файлами. Это ж какие серверы надо иметь!..

— Iceman пользовался почтой на Hushmail — канадском почтовом сервере, который обещал своим клиентам обеспечить надежное шифрование их корреспонденции. С помощью специального Java-апплета письма пользователей зашифровывались прямо на их домашних компьютерах, еще до попадания на сервер компании. Hushmail утверждал, что даже ФБР не сможет прочесть переписку его клиентов. Однако, когда в их офис нагрянули американские и канадские копы, вооруженные ордерами на обыск, выданными Верховным судом Британской Колумбии, компания нарушила свои принципы и выдала властям универсальный ключ дешифрования.

— А как его вообще смогли «повязать»? Я слышал, что Iceman продавал дампы под никому не известным вторым ником Digits, изменил стиль своей орфографии, продавал дампы без бин-листа, и всего три человека знали, что Iceman и Digits — это одно лицо.

— Вы отчего-то думаете, что вы самые умные. Но знаешь, как обыграть Гарри Каспарова? Надо играть с ним в любые игры, кроме шахмат. Многие, кто сейчас отдыхает на нарах, ломают голову: «В чем же была моя ошибка? Как меня смогли повязать?» А между тем мы шаг за шагом начинаем разбираться в правилах игры. Для тебя ж не секрет, что во многие преступные группировки по всему миру внедрены «засланцы», на секретных предприятиях работают шпионы, а за высокопоставленными лицами следят доносчики? Было бы странно, если бы спецслужбы, особенно американские, не догадались внедрить своих людей и в кардерское сообщество. Теперь про Айсмэна. Для взлома банка Capital One, одного из крупнейших эмитентов кредитных карт в США, он раздобыл у русских приватный 0day-эксплойт для Internet Explorer, и теперь все, что оставалось сделать, — это с помощью методов социальной инженерии заставить работников банка зайти на сайт, который содержит эксплойт. Имя для сайта Макс выбрал financialedgenews.com. Затем он разослал пятистам служащим банка (начиная от PR-менеджеров и заканчивая IT-специалистами) электронное письмо следующего содержания: «Я, Марк Тильман, репортер Lending News, работаю над статьей о последней утечке персональных данных клиентов Capital One. Я увидел имя… (здесь Ф.И.О. получателя письма) в заметке от Financial Edge и хотел бы поговорить с вами об этом: http://financialedgenews.com/archive/08/31/intrusion_CapOne. Около ста двадцати пяти работников банка «кликнули» на зараженную ссылку и впустили троян в свою корпоративную сеть. Агенты ФБР, расследовавшие данный инцидент, первым делом «пробили» владельца домена financialedgenews.com. Домен был зарегистрирован на «левое» имя в штате Джорджия, но когда регистратор домена, компания Go Daddy, покопалась в своих архивах, она увидела, что этот же пользователь когда-то зарегистрировал через них другой домен — cardersmarket.com. Следователи поняли, что Iceman, как бы он ни пытался дистанцироваться от криминальной деятельности, и есть тот самый хакер, который, конечно же, с корыстной целью взломал сеть пятого по величине эмитента кредитных карт в США. Вдобавок один из админист раторов CardersMarket, Th3C0rrupted0ne, оказался информатором Secret Service и отправил своим кураторам все приватные сообщения (РМ), полученные от Макса через внутреннюю почту CardersMarket. Он сообщил также, что Iceman, владелец форума, имеет второй тайный никнейм Digits. Агенты Секретной службы использовали эту информацию и сделали контрольную закупку у Digits. Этого было достаточно для предъявления обвинений. Однако федералы пошли еще дальше — когда друг Батлера и один из модераторов CardersMarket под ником Zebra продал несколько дампов информатору Секретной службы, известному под ником Gollumfun, и был арестован, ему предложили ближайшие пять лет провести в тюрьме либо рассказать все, что он знает об Айсмэне. Нетрудно догадаться, какой выбор сделал Zebra… Он также «сдал» ближайшего партнера Макса Кристофера Арагона и рассказал, что Iceman использует программу DriveCrypt. Это означало, что даже если агенты и вычислят адрес Батлера, то не найдут на его жестком диске никаких улик.