Продолжение темы

Публикация о питерском хакере Владимире Левине (№ 6, № 7, № 8) вызвала в кругах околокомпьютерных немалый интерес. Сегодня мы продолжаем тему статьей московского... даже не хакера, а, как он себя скромно называет, «простого юзера», известного в интернетовских кругах под именем Бонифаций. Он считает, что слава Левина дутая и что не украсть через Интернет деньги может только ленивый

ИМЯ ЛЕВИНА В СЕРДЦЕ КАЖДОМ,
ВЕРНОСТЬ ЛЕВИНУ ДЕЛОМ ДОКАЖЕМ!

Хакеры — народ не злой. Чаще всего виртуальными взломщиками движет не стремление к наживе, а желание узнать побольше о том, что же находится там, за барьером, обозначенным грозным, но заманчивым словом «password» (пароль). Это настоящие компьютерные наркоманы, живущие в виртуальном мире без границ и с минимумом запретов. За весьма короткий срок хакеры выработали собственную культуру, включающую в себя особый язык, своеобразную «табель о рангах», сетевой этикет и даже особые виды хакерского искусства, совершенно непонятного для непосвященных, но приводящего в экстаз соплеменников.

Язык хакеров представляет собой сильно испорченный английский. Причем для сокращений хакеры подменяют группы букв цифрами и значками — предлог «for» (для) частенько записывается просто как «4» (four), частица «too» (тоже) как «2» (two), а слово «lonely» (одинокий) как «l1ly» (1 — one). Кроме того, окончанием множественного числа у настоящего хакера является не «s», а почему-то «z», а строчные буквы нередко в одном слове чередуются с прописными, например, три буквы строчные, три прописные. Знакомые нам слова в устах хакера могут обозначать совсем не то, что они значат для обычного человека. Так, слово «sex» для них обозначает всего лишь «программный обмен» (Software Exchange).

Но был ли Левин настоящим хакером?.. Простому человеку трудно представить, как непосвященный может пробраться в компьютер крупного банка или фирмы. На самом деле это не сложно. Достаточно представить себе систему защиты банка в виде огромного забора с проходной, на которой сидит грозный вахтер и у каждого входящего спрашивает пропуск-пароль. Но русский человек так устроен и воспитан, что уверен: если есть забор, где-нибудь в нем обязательно должна быть дырка. Отысканием таких дырок, или, говоря по-хакерски, «багов», в системе защиты и занимаются компьютерные взломщики.

Вообще операционная система «Unix», стоящая на подавляющем большинстве корпоративных серверов, по меткому выражению одного из культовых программистов нашей эпохи, представляет собой одну большую дырку, а поэтому проникнуть за границу запретного для настоящего хакера не составляет большого труда. Однако просто найти дырку мало, важно еще остаться не замеченным сторожевыми программами и не «наследить» на чужой территории.

Поэтому весьма интересной представляется история проникновения на сервер Ситибанка питерского хакера... нет, не Вовочки Левина, а господина Протозоида (другая кличка — Мегазоид), стоящего в хакерской табели о рангах где-то в категории небожителей. Этот талантливейший программист проник на территорию знаменитого банка отнюдь не с целью наживы, поскольку денег ему не надо: он и так имеет лучшее в мире развлечение — путешествие по виртуальным мирам. Находясь в банке, Протозоид нашел несколько «дыр» в системе защиты и некоторое время ходил по Ситибанку как по родному дому. Он даже смог пронаблюдать, как работники банка переезжали с этажа на этаж и в спешке забыли дискету в одном из компьютеров, а потом три дня ее искали. Естественно, администратор сети банка скоро заметил, что в системе есть кто-то посторонний. Но заметил только потому, что этот посторонний присвоил себе слишком маленькие права по сравнению с другими пользователями банка. Скромность подвела Протозоида-Мегазоида.

Нащупав постороннего, администратор немного удивился и начал активно выпихивать его из сети. В ответ Мегазоид написал ему письмо приблизительно следующего содержания: я бедный русский хакер из Питера, не трогайте меня, пожалуйста, а я вам за это покажу, где у вас брешь в защите.

На самом деле Мегазоид немного схитрил, он нашел несколько пробоин в системе, а рассказал администратору только об одной. После того как он показал хозяину дыру, администратор повел себя не по-джентльменски и элементарно вырубил Мегазоида из сети банка. В ответ Мегазоид зашел через вторую брешь и навестил администратора снова с пламенным приветом из Питера.

Наверное, вам будет интересно узнать, на какой машине работал в то время Мегазоид. Если вы думаете, что это супернавороченный Пентиум, то ошибаетесь. Это был только монитор с модемом без жесткого диска! Поэтому на жестком диске компьютера Ситибанка Мегазоид скромно отвел себе немного места, на котором держал весь свой софт.

Но в один прекрасный момент гениальному Мегазоиду срочно потребовались деньги, и он продал уже печально известному Вовке Левину за 100 долларов секрет проникновения через систему защиты банка.

Апологетам Вовы Левина трудно допустить, что рассказанная здесь история — правда, это разрушает легенду о суперхакере Левине, который проник в Ситибанк своим умом. Но тогда-то возникает вопрос: почему Левин упрямо качал миллионы именно и только из Ситибанка, а не вытаскивал по 10 — 15 тыс. долларов из разных банков? Ведь понятно, что пропажу такой внушительной суммы не заметить невозможно.

Нет, в мировом списке хакеров Левин не попадает даже в первую сотню. А первые три места в мировой хакерской элите прочно и по праву заняли Кевин Митник по кличке Кондор, немецкий агент КГБ Ханс Хайнрих по кличке Пенго и крушитель Интернета Роберт Моррис.

О похождениях Митника можно рассказывать долго. Человек, при жизни ставший легендой Интернета, он наводил ужас на служащих ФБР, ЦРУ и Пентагона, легко раскусывая их самые изощренные системы защиты. При желании он мог бы похитить и продать любую военную тайну США, зафиксированную на компьютерных дисках, ограбить, не выходя из своей комнаты, любой банк и остаться незамеченным, прослушать любой интересующий его телефонный разговор. Однако Митник никогда не зарывался, не хапал «баксы» охапками и не наносил вреда своей стране.

А левинское ограбление было, с точки зрения хакеров, удивительно безграмотным и неизящным. Настоящие хакеры никогда не полезут в такую защищенную систему со своего компьютера и не станут перечислять такие огромные деньги на счет, выводящий в конце концов лично на них. Обычно, планируя подобную операцию, «плохие» хакеры предварительно открывают в одном из on-line (то есть доступном из Интернета) банков левый счет на какое-нибудь фиктивное лицо. Затем с помощью telenet они связываются с каким-нибудь действующим компьютером в другой части земного шара и приказывают ему связаться с другим компьютером, а тому с третьим и т. д., вплоть до конечного, которому и предстоит произвести операцию перевода денег из банка-жертвы на левый счет. Затем деньги быстро-быстро переводятся на счет хакера, а информация обо всех сделках и связях оперативно уничтожается. Подобные операции с тем же банком больше не повторяются, ибо сторожевые программы, написанные тоже бывшими хакерами, вполне могут засечь налетчика.

Самый опасный момент здесь — получение наличных денег, но и он грамотными людьми уже отработан. Например, в Москве существуют филиалы реальных иностранных банков, работающие на территории посольств. Это удобно — в посольство не ворвутся люди в масках из налоговой полиции. А перевести туда деньги и потом получить их, используя личные связи в посольстве, можно.

Самая красивая операция, о которой мне пришлось слышать, выглядела так. Некий хакер, предположительно из Германии, перечислил из Бэнк оф Америка на счет некоего банка в Австралии 22 миллиарда долларов, продержал их там пятнадцать минут. Снял набежавшие за это время проценты в виде 20 000 долларов, которые перевел в третий банк, а 22 миллиарда незамедлительно вернул Бэнк оф Америка. Вся операция заняла около 20 минут и на компьютерах обоих банков выглядела как кратковременный сбой. Завершив свой грамотный и изящный налет тем, что уничтожил информацию о вхождениях в банковские системы, хакер остался в наваре с кругленькой суммой. Вот это и называется — хороший хак. Это и есть искусство, отделяющее настоящего хакера от обычного «ламмера», то есть человека, немного соображающего в компьютерах, но зазря считающего себя настоящим профессионалом, коим он не является.

Так что Владимир Левин хакером в высоком смысле этого слова не является. Это человек, неумело попытавшийся воспользоваться плодами трудов настоящего хакера и по неуемной жадности своей испортивший всю малину для тех «взломщиков», которые осторожно тянули из Сити по тысяче долларов в неделю. Недаром все мировое сообщество хакеров, которое не покладая рук борется за освобождение К. Митника, томящегося сейчас в заключении, не замолвило пока ни слова за бедного Левина! Лишь изредка можно встретить в сети робкие намеки на то, что питерец, может, не виноват, что его, дескать, оклеветали спецслужбы, что он еще молодой и глупый и т. д.

А вообще, ребята, тянуть деньги и товары из Интернета гораздо проще, чем представляют многие. Дело в том, что в сети очень развиты операции с кредитными картами. Чтобы что-нибудь купить в виртуальном магазине или перевести деньги на свою карту в on-line банке, вам необходимо лишь знать номер какой-нибудь действующей кредитки. И все! Ни pin-кода, ни тем более личной подписи у вас никто не спросит. Все надеются на вашу кристальную честность. Ну, чем-чем, а честностью-то мы богаты! У нашего человека при игре на честность сразу пять тузов в колоде появляются. Русичи на честности собаку съели. Поэтому в полном соответствии с нашим менталитетом подавляющее большинство интернетовских страничек, посвященных кредитным картам, посвящено проблеме взлома.

В некоторых документах содержалось целомудренное заявление, что написаны они с одной только целью — научить людей бороться с компьютерным воровством путем его подробного описания. На других без всяких экивоков — точные пошаговые инструкции, указывающие, как именно проникать в банковские и магазинные сети и что там делать. Несколько документов просто и бесхитростно перечисляли номера проверенных действующих кредиток всех видов.

Я начал свою деятельность с того, что скачал себе две программки, умеющие генерировать номера кредитных карт. Дело в том, что номера кредиткам присваиваются не по порядку, а в соответствии с определенным алгоритмом. Программы, создающие эти номера, есть у любого банка-эмитента. Соответственно, подобные программы есть и у любого, даже совсем слабенького хакера. Причем у хакеров выбор этих программ гораздо шире и многообразнее. Первую из выбранных мною программ я скачал из-за того, что она рекламировалась как лучшая среди равных. Вторая мне понравилась тем, что она умела не только «выдумывать» кредитки, но и создавала к ним самые настоящие виртуальные личности — с именами, адресами, почтовыми индексами, домашними и рабочими телефонами и номерами карточек медицинского страхования, совершенно необходимыми при открытии счета в виртуальном банке. Кстати, информация о почтовом индексе оказалась очень полезной, поскольку программы-кассиры в виртуальных магазинах четко отслеживают соответствие индекса адресу, который вы вводите при покупке.

Конечно, я мог сразу взять первый попавшийся номер кредитки из найденного списка уже готовых номеров, но это было бы не так интересно, а поэтому я решил пойти по пути наибольшего сопротивления. Первой жертвой моих хакерских амбиций я избрал один из многих тысяч сайтов, показывающих за небольшую плату порнокартинки. Назвавшись Кристофером Дж. Линком, проживающим в штате Нью-Джерси, я дрожащей рукой ввел первый сгенерированный умной программкой номер карточки VISA. Минуту мой компьютер совещался со своим западным коллегой и наконец разразился длинной тирадой, смысл которой сводился к тому, что введенный мною индекс не соответствует адресу. Ага! Исправив досадную оплошность, я снова ткнул кнопку «Ввод» и через некоторое время узнал, что указанной карточки не существует. Иначе говоря, она или еще не родилась или уже умерла. Тут бы тому компьютеру и понять, что в него лезет жулик, но вежливая западная машина, наверное, просто не могла себе представить, что ее могут обманывать, а поэтому она не только не населила мой компьютер кучей вирусов, что вполне могла сделать, но даже не выбросила меня с сайта с запретом заходить туда впредь.

Наконец мне надоело действовать вслепую, и я решил использовать метод «экстраполяции». В соответствии с этим методом, если вы знаете один действующий номер кредитки, по нему генератор кредиток может предъявить вам еще кучу почти гарантированно действующих номеров. Действующий номер у меня был заготовлен заранее. Дело в том, что моя знакомая работает официанткой в одном из престижных московских ресторанов и часто имеет дело с кредитками. Она по моей просьбе и переписала мне номер одной карточки. В принципе я мог, не мудрствуя лукаво, воспользоваться и ею, но это было бы не так интересно. Поэтому я просто ввел номер в первую из моих программ и мгновенно получил список из 999 карточек. Преодолевая внутреннюю робость, я ввел первый из них, и — о чудо! — машина поздравила меня с успешной регистрацией и сообщила пароль, под которым я смогу в течение года посещать порносайт.

Теперь, обладая проверенным номером, я уже полез в магазин. Тут я долго выбирал, что бы прикупить, и наконец остановился на довольно оригинальном будильнике с четырьмя циферблатами и стоимостью 32$. Я старался, чтобы сумма вместе с таможенным платежом (50%) не вылезла за пределы 50$. Дело в том, что интернет-магазины проверяют кредитки, по которым совершают мелкие покупки (до 50$), менее тщательно. Зато после первой покупки вам присваивают личный код, и в следующий раз, когда вы приходите сюда, вашу кредитку не проверяют вообще, так как считается, что кредитка уже проверена. Теперь вы можете покупать уже что угодно, хоть автомобиль.

Главная опасность заключается в самом моменте получения товара. Профессиональные компьютерные жулики решают этот вопрос так: снимают где-нибудь в пригороде самое дешевое жилье, сажают в него девочку-хохлушку, которая и получает для них всю приходящую почту и посылки. У меня такой вариант не вытанцовывался, поэтому я просто дал адрес соседа-алкоголика, почтовый ящик которого всегда открыт, а вот фамилию пришлось указать свою. Опасно, конечно, но, с другой стороны, маловероятно, что за человеком, снявшим с фальшивой карты 50 баксов, будет гоняться Интерпол.

Любопытства ради зашел я и на банковские сайты, однако экспериментировать здесь не стал (зарываться не стоит), а лишь почитал правила открытия счетов. Открываешь себе счет, перекачиваешь на него по 10$ с каждой известной кредитки, а суммарный результат отправляешь через виртуальные банки на свой счет в Сбербанк или в Альфа-банк, или... в общем, кому куда нужно. И вряд ли кто будет искать в Интернете следы своих затерявшихся 10 долларов. А хакер обработал 100 карточек — получил 1000 долларов. Работы — на два часа.

Сейчас появилась новая мода — покупать на свои карточки. Лазает человек по платным сайтам, постоянно и плодотворно заходит в интернет-магазины — и все это на свои кровные. А по получении отчета из банка идет туда и устраивает скандал, утверждая, что никаких денег не снимал и вообще кредиткой в последнее время не пользовался. Ему говорят, что он, наверное, потерял pin-код и кто-то снимал его кровные через банкомат. Возмущенный гражданин просит выяснить, снимались ли деньги через банкомат. Оказывается, что нет. Далее гражданин требует предъявить чеки со своей подписью (слимы), коих, естественно, не оказывается. Через некоторое время «справедливость торжествует», и потраченные деньги банком восстанавливают на счету.

Русские настолько напугали весь мир своей находчивостью, что некоторые интернет-магазины уже отказываются иметь дело с россиянами. А что нам до того! Представимся честным негром из Майями. А товар попросим отправить в Израиль к родственникам.

В коллажах использованы фото В. Грицюка, А. Джуса и FOTObank/reХ