Дело Левина: недостающее звено
admin
🕛 03.11.2005, 02:12
В марте 1995 года в британском аэропорту был арестован житель Санкт-Петербурга Владимир Левин. Ему было предъявлено обвинение в хищении более $10 млн. из американского банка Citibank - после того, как в разных странах мира его сообщники с разной степенью успеха пытались получить эти деньги. С разной, значит - некоторые получили, некоторые не получили, а некоторые были арестованы при попытке - а спустя два года сам Левин был выдан в США и приговорен судом Нью-Йорка к трем годам тюрьмы и штрафу в размере $240015. Так или иначе, этот человек попал во все известные редакции списка «зала хакерской славы» и надолго остался самым знаменитым русским хакером. Несколько озадачивал лишь тот факт, что человек, именуемый в прессе гениальным хакером, программистом, математиком и биотехнологом, был известен в соответствующих кругах как хакер не больше, чем как математик, программист или биотехнолог. А его предыдущая работа лучше всего описывалась, как ни странно, словом «эникейщик». Что, конечно, можно отнести к недюжинному таланту конспирации, но, как говорят, попытки ФБР привлечь его в качестве консультанта по информационной безопасности выявили его полную некомпетентность в этих вопросах. То есть, концы с концами, все же, не очень сходятся.
Сейчас, когда прошло больше десяти лет с момента описываемых событий, может показаться странным, что «человек, похожий на Арканоида», решил поведать миру эту пропахшую нафталином историю. Почему? А почему бы и нет. Все же в первый раз - от первого лица. Интервью, как формат, мне совершенно не подходило, потому что желание рассказать правду и желание сделать интересную новость могут совпасть только в том случае, если объединены в одном человеке. С определенного момента и до недавнего времени на общение с журналистами у меня был установлен «заградительный тариф». Тем не менее, я возвращаюсь к этой истории, - не потому, что мне нечего больше написать интересного, - как раз надеюсь, что эта тема не последняя, хотя обещаю, что далее буду рассматривать предметы менее сканндальные, но более практически полезные читателю, - а потому, что считаю нужным восстановить недостающее звено.
Опасаюсь ли я за свою репутацию? Ведь принято считать, что серьезные фирмы, занимающиеся информационной безопасностью, не берут на работу бывших хакеров - по принципиальным соображениям. Да, десять лет назад и я считал, что эти принципиальные соображения - этического свойства, либо клановая солидарность и боязнь конкуренции под прикрытием этики. Теперь-то я знаю, что соображения эти сугубо практичны, и имеют мало общего с вопросами, например, доверия, но более подробно об этом в другой раз. Что же касается легальной стороны вопроса, то напомню, что по действовавшему на 1994 год российскому законодательству человек, от лица которого ведется этот рассказ, невинен, как младенец, да и мало того, - его идентичность какой-либо физической персоне ещё требуется доказать, даже если бы его было в чем обвинить. Срок давности по американскому Computer Fraud and Abuse Act (если даже его как-то исхитриться применить) ограничивается пятью годами. Максимум - восемью для террористов.
Итак, начнем сначала: что представлял из себя мир в 1994 году? С точки зрения обывателя все было примерно так же с виду, как сейчас: был Интернет, персоналки, электронная почта, web, был даже Microsoft Office и даже бета-версия Windows 95, известная тогда, как «Chicago».
Серьезные отличия были в том, чего не было видно. Например, хотя все уже тогда видели все тот же Microsoft Office, самым популярным офисным пакетом тогда был не он, а Digital All-In-One. Это вы его не видели, т.к. это - корпоративное решение. А самой большой сетью был, как ни странно, вовсе не Интернет, а совокупность сетей X.25. Насколько большой? Настолько, что всего лишь один платный информационный сервис в этой сети - Dialog- предоставлял доступ к базам данных, по объему примерно в двадцать раз превосходившим суммарный объем всего публичного Интернета на тот момент. Что до России, то карта узлов Sprint - одного из операторов X.25 на конец 1994 года выглядела заметно более внушительной, чем карта российского Интернета ещё двумя годами позже.
Занимаясь поиском интересных ресурсов в сетях X.25, - а предварительные данные для этого были подготовлены неплохие, благодаря публикации Skylar’а в журнале Phrack #42 - было практически невозможно не обратить внимания на Citibank, занимавший там отдельную сеть вне географической нумерации! Несомненно, он и стал одним из главных объектов интереса для хакеров со всего мира.
Все было бы гораздо менее интересно, если бы Global Finance Technology Division of Citicorp не придумали зачем-то организовать BBS для своих целей; туда допускались новые пользователи с минимальными правами. Однако, получить доступ к администраторским паролям, позволявшим переводить «кредит» на использование расширенных сервисов, включая чаты между пользователями и возможность обмениваться файлами, было делом тривиальным, да и вообще особенно серьезно никто этим ресурсом не занимался; помнится, человек, похожий на Тему Лебедева, поступил иначе, - зарегистрировал пользователя от имени Citibank Antartica и получил расширенный доступ «на легальном основании».
Собственно, возможность легкой коммуникации с каждым любопытствующим, бродящим по сети Citibank’а, и позволила организовать ту уникальную исследовательскую группу, о которой я всегда буду вспоминать с некоторой ностальгией и утечка информации из которой привела к скандальному делу.
Затем основные события переносится в Mid-Range Data Center, Wall St. 111 Напомню, что времена были другие, и техника была тоже другая; практически ни у одного из членов группы не было постоянного доступа (не говоря уж о том, чтобы иметь его в личном пользовании) к компьютеру с операционной системой VMS, которая использовалась на большинстве интересных нам объектов. Поэтому мы завели себе учетные записи на компьютерах администраторов и разработчиков в MRDC, чтобы иметь возможность спокойно экспериментировать с программным обеспечением. Я даже в любимый Star Trek играл, собрав и запустив его «на той стороне». Т.к. значительная часть этих компьютеров была «коллективного пользования», никто и не обращал внимания на ещё одного пользователя, который, вроде как, пользуется терминальным сервером в помещении банка и никому особенно не докучает, тем более, что многие из сотрудников переходили на другие системы, продолжая использовать свои старые машины только для корпоративной и локальной почты. А что на самом деле именно эта почта, часто содержащая пароли и инструкции доступа к десяткам других систем, была ценнейшей находкой для любого хакера, - обычно никто и не думал… Максимум маскировки, который применялся - имитация системного симбионта в VMS, чтобы не отсвечивать лишний раз в списках пользователей, да коррекция дат модификации файлов.
Результаты получились впечатляющие: в руках аналитической группы оказалась подробнейшая информация об устройстве внутренней сети, включая планы развития, размещение техники по этажам и помещениям - и доступ ко многим ключевым узлам - не только ближайшего небольшого фрагмента сети, но и многим другим по всему миру, а при определенном навыке и везении - возможность подключения к существующим терминальным соединениям с теми компьютерами, которые были защищены более надежно системами одноразовых паролей (впрочем, не слишком распространенными в банке). Более чем достаточно для любого вида атаки. Без преувеличения можно сказать, что в некоторых деталях архитектуры сети мы ориентировались лучше, чем многие работники банка - я сам был свидетелем того, как они звонили модемом в другой сегмент сети, хотя туда можно было попасть, набрав две команды на незащищенных даже простейшим паролем маршрутизаторах.
Однако, мы не торопились. Хорошо представляя себе сложность и разнообразие систем защиты, мониторинга и аудита, с одной стороны, и не обладая организационным ресурсом для «оффлайновой» части операции (а в России, если помните, в 1994 году это автоматически означало связаться с, гм, «неприятными» людьми), «слить капусту» представлялось нам трудноосуществимым и малоцелесообразным. Вместо этого сеть использовалась как развлекательный ресурс - бесплатные звонки модемом или оплата X.25-соединения на любой адрес, - и много интересной техники. А это, скажу я вам, совершенно особенные ощущения. Все мы привыкли к демонстрируемой в фантастическом кинематографе «виртуальной реальности» - с помощью всяких штуковин от стереоочков до прямого подключения к глазному нерву. Лишнее оно, красивое, - но совершенно не необходимое. Достаточно суметь немного перестроить восприятие - и монохромные символы на мониторе дадут отличнейший эффект присутствия в том, что вряд ли можно адекватно визуализировать трехмерными картинками. Но я отвлекся. Кто бы мог подумать, что один из нас окажется таким придурком? Сейчас я понимаю, что это мой просчет, как организатора - то, что я доверил ценную информацию человеку, о котором в общем-то было понятно, что он мог ей злоупотребить, но у нас не было разграничений доступа, - нам казалось, что для успешной работы никакая информация лишней быть не может, - все же свои? Я не про Левина - Левин не был членом группы. Я про того, кто ему её продал за - тут журналисты не врут - сто долларов.
К вопросу о том, за что я не люблю журналистов. Я уже делал несколько попыток так или иначе рассказать эту историю - и каждый раз она была чудовищно переврана. В частности, особенно меня раздражает тот факт, что каждый (!) раз, когда мне случалось давать интервью, журналисты в конечной редакции - которую «по техническим причинам» «забывали» мне показать, решали «упростить» мой рассказ и представить дело так, что это я и был тем человеком, который продал Левину материалы исследовательской группы. Хотел бы сказать «бог им судья», но, будучи далек от христианской религии, скажу - плюньте в рожу этой мрази. Подобное обвинение ставит под сомнение не только мой профессионализм, а даже наличие элементарного здравого смысла. Разумеется, я хорошо понимал цену этой информации, и ни о какой подобной сделке и речи быть не могло. Да, я ошибся и моя ошибка меня многому научила - но идиотом я не был никогда.
Что касается технической стороны взлома, то увы, тут я вынужден разочаровать читателя - все происходившее было, честно признаюсь, весьма low tech. То есть не было никакого анализа «вслепую» переполнений буфера в неизвестных программах без исходных текстов на экзотических архитектурах и прочего высшего пилотажа. Был системный подход и чуть-чуть везения. Некоторые вещи обнаруживались чисто случайно, как, например, имевшая очень большое значение для нас ошибка в ПО терминального сервера Emulex, позволявшая получить доступ к административной консоли, инициировав перезагрузку через послыку сообщения, содержавшего восьмибитные символы, с одного терминала на другой. А мы всего-то пытались поговорить через него между собой по-русски. Кстати, вполне возможно, что из всех собранных нами данных Левину было бы вполне достаточно перехвата сессий на этом терминальном сервере в Лондоне, да ещё одной ошибки в ПО терминального сервера 3Com в Нью-Йорке, через которые часто осуществлялся доступ операторов Citi Cash Management и прочих АРМ банка, к счастью, как правило, не требовавших никакого специального клиентского софта. В то, что Левин сотоварищи смогли бы разобраться в «сырых» структурах баз данных, используя прямой административный доступ, мне как-то не верится совершенно. Ну, ещё мог пригодиться пароль к дополнительному аутентификатору терминальных сессий из сети X.25, - это такое подобие аутентифицирующего firewall’а, - инструкции по его использованию мы получили «на блюдечке» почти в самом начале. IP-сети мы исследовали с помощью первого тогда бесплатного сканера ISS, - кстати, помнится, появление его коммерческой версии без исходников нас сильно озадачило - ну кому нужна такая штука, если к ней нельзя приделать свои тесты? Юниксовые пароли ломали crack’ом, - в общем, типичный инструментарий того времени.
А потом… Все закончилось. И самое странное, - что закончилось не так быстро. Дело в том, что пока мы изучали системы защиты, - Левин даже не задумывался об их существовании. И как при практически нулевой квалификации - а я знаю, о чем говорю, я видел спутниковые перехваты его терминальных сессий - он успел натворить крупных дел, для меня - до сих пор загадка. (Не спрашивайте меня, как ко мне попали эти данные, - иначе я никогда не смогу доказать, что человек, не имеющий ко всей этой истории никакого отношения, действительно не имел к ней никакого отношения). Вероятно, мы серьезно недооценивали степень безответственности и раздолбайства в самом банке и осторожничали сверх меры.
Вот, собственно, и все. После того, как Citibank закрыл вход из сетей X.25, звонить на прямые модемные входы в Нью-Йорке никто из нас не рискнул. Перед самым финалом я успел кратко пообщаться с одним из сисадминов MRDC, который наконец-то начал замечать «подозрительную» активность в сети, но ничего интересного мы друг другу сказать не успели. Да, - я надеюсь, что им попался таки на глаза оставленный мной документ с описанием, как решить их проблему с печатью на hp laserjet через DECnet.
Это, собственно, ровно треть истории. Другую треть знает Левин и его сомнительные друзья - если, конечно, они его сами не обманывали, после того, как он сделал свое дело, а последнюю - люди, занимавшиеся этим инцидентом в Citibank’е. Так что - куда делись те $400 тыс., которые так и не нашли, списали ли их под шумок и поделили и кто в этом участвовал - об этом я не имею ни малейшего понятия. Впрочем, об этом в сети есть достаточно предположений различной степени достоверности, и некоторые, на мой взгляд заслуживающие интереса, я привожу здесь в качестве ссылок, но давать какую-либо оценку этой информации я не могу, т. к. не владею предметом.
Да, и Интернет тут был совершенно ни при чем.
P.S.
Один из известных мне участников событий, как и я, продолжает заниматься информационной безопасностью, но тоже уже много лет в качестве «white hat». Его проекты весьма интересны, среди них - один из лучших персональных firewall’ов для Windows. Другой работает сейчас «простым» системным администратором, хотя тоже не то чтобы простым, а весьма успешным. Следы остальных затерялись, но я практически уверен, что полученный опыт им пригодился. Я не считаю, что история с Ситибанком - самое интересное в моей жизни. Думаю, более интересные вещи ещё впереди. И предпочитаю, чтобы люди работали со мной потому, что я хороший специалист, а не потому, что я «тот самый».
Если же кто-то, несмотря на мои разъяснения, решит слишком активно ворошить прошлое, то напоминаю, что я, в общем-то, не я, и лошадь, конечно же, не моя.
А примерно за неделю до написания этой статьи мне пришлел SMS от одного знакомого, который немного в курсе событий и решил, что это сообщение меня позабавит: «А я в ситибанке с зубилом, молотком и болгаркой в руках. Б#я, один в серверной.»
автор ArkanoiD