Дело Левина: недостающее звено

редакционное вступление

Перед публикацией этого материала реадкция была в некоторой растерянности относительно того, в какую рубрику его следует поместить. Безопасность (save ass...)? Конечно, речь идет именно о ней. «Мнение»? Да, это явно не истина в последней инстанции, точнее – мы не гарантируем, что так оно и есть, хотя на правду очень похоже :) «Фельетон»? Ну если учесть, что тут описывается ротозейство и наивность технического персонала Citibank – очень даже подходит. «Закон и порядок»? Да, и об этом тут речь вроде бы идет.
А к чему я вам это все говорю? К тому, что было бы здорово, если бы вы, дорогие читатели, не сосредотачивались, читая эту статью, на таких вещах, как «правда-неправда», «добро-зло» и т.п., а сконцентрировались на выводах, которые какждый вдумчивый IT-специалист может (и должен!) сделать из этой статьи. Ни коим образом не пытаюсь вам эти выводы навязывать, впрочем... да они же очевидны! :)

шеф-редактор

авторское вступление

В марте 1995 года в британском аэропорту был арестован житель Санкт-Петербурга Владимир Левин. Ему было предъявлено обвинение в хищении более $10 млн. из американского банка Citibank — после того, как в разных странах мира его сообщники с разной степенью успеха пытались получить эти деньги. С разной, значит — некоторые получили, некоторые не получили, а некоторые были арестованы при попытке — а спустя два года сам Левин был выдан в США и приговорен судом Нью-Йорка к трем годам тюрьмы и штрафу в размере $240015. Так или иначе, этот человек попал во все известные редакции списка «зала хакерской славы» и надолго остался самым знаменитым русским хакером.

Несколько озадачивал лишь тот факт, что человек, именуемый в прессе гениальным хакером, программистом, математиком и биотехнологом, был известен в соответствующих кругах как хакер не больше, чем как математик, программист или биотехнолог. А его предыдущая работа лучше всего описывалась, как ни странно, словом «эникейщик». Что, конечно, можно отнести к недюжинному таланту конспирации, но, как говорят, попытки ФБР привлечь его в качестве консультанта по информационной безопасности выявили его полную некомпетентность в этих вопросах. То есть, концы с концами, все же, не очень сходятся.

Сейчас, когда прошло больше десяти лет с момента описываемых событий, может показаться странным, что «человек, похожий на Арканоида», решил поведать миру эту пропахшую нафталином историю. Почему? А почему бы и нет. Все же в первый раз — от первого лица. Интервью, как формат, мне совершенно не подходило, потому что желание рассказать правду и желание сделать интересную новость могут совпасть только в том случае, если объединены в одном человеке. С определенного момента и до недавнего времени на общение с журналистами у меня был установлен «заградительный тариф». Тем не менее, я возвращаюсь к этой истории, потому, что считаю нужным восстановить недостающее звено.

Опасаюсь ли я за свою репутацию? Ведь принято считать, что серьезные фирмы, занимающиеся информационной безопасностью, не берут на работу бывших хакеров — по принципиальным соображениям. Да, десять лет назад и я считал, что эти принципиальные соображения — этического свойства, либо клановая солидарность и боязнь конкуренции под прикрытием этики. Теперь-то я знаю, что соображения эти сугубо практичны, и имеют мало общего с вопросами, например, доверия, но более подробно об этом в другой раз. Что же касается легальной стороны вопроса, то напомню, что по действовавшему на 1994 год российскому законодательству человек, от лица которого ведется этот рассказ, невинен, как младенец, да и мало того, — его идентичность какой-либо физической персоне еще требуется доказать, даже если бы его было в чем обвинить. Срок давности по американскому Computer Fraud and Abuse Act (если даже его как-то исхитриться применить) ограничивается пятью годами. Максимум — восемью для террористов.

дело техники

Итак, начнем сначала: что представлял из себя мир в 1994 году? С точки зрения обывателя все было примерно так же с виду, как сейчас: был Интернет, персоналки, электронная почта, веб, был даже Microsoft Office и даже бета-версия Windows 95, известная тогда, как «Chicago». Серьезные отличия были в том, чего не было видно. Например, хотя все уже в те времена видели тот же Microsoft Office, самым популярным офисным пакетом тогда был не он, а Digital All-In-One. Это вы его, возможно, не видели, так как это — корпоративное решение. А самой большой сетью был, как ни странно, вовсе не Интернет, а совокупность сетей X.25. Насколько большой? Настолько, что всего лишь один платный информационный сервис в этой сети — Dialog — предоставлял доступ к базам данных, по объему примерно в двадцать раз превосходившим суммарный объем всего публичного Интернета на тот момент. Что до России, то карта узлов Sprint — одного из операторов X.25 - на конец 1994 года выглядела заметно более внушительной, чем карта российского Интернета двумя годами позже.

Занимаясь поиском интересных ресурсов в сетях X.25, — а предварительные данные для этого были подготовлены неплохие, благодаря публикации Skylar’а в журнале Phrack #42 — было практически невозможно не обратить внимания на Citibank, занимавший там отдельную сеть вне географической нумерации! Несомненно, он и стал одним из главных объектов интереса для хакеров со всего мира.

Все было бы гораздо менее интересно, если бы Global Finance Technology Division of Citicorp не придумали зачем-то организовать BBS для своих целей; туда допускались новые пользователи с минимальными правами. Однако получить доступ к администраторским паролям, позволявшим переводить «кредит» на использование расширенных сервисов, включая чаты между пользователями и возможность обмениваться файлами, было делом тривиальным, да и вообще особенно серьезно никто этим ресурсом не занимался; помнится, человек, похожий на Тему Лебедева, поступил иначе, — зарегистрировал пользователя от имени Citibank Antartica и получил расширенный доступ «на легальном основании».

Собственно, возможность легкой коммуникации с каждым любопытствующим, бродящим по сети Citibank’а, и позволила организовать ту уникальную исследовательскую группу, о которой я всегда буду вспоминать с некоторой ностальгией и утечка информации из которой привела к скандальному делу. Затем основные события переносится в Mid-Range Data Center, Wall St. 111 Напомню, что времена были другие, и техника тоже была другая; практически ни у одного из членов группы не было постоянного доступа (не говоря уж о том, чтобы иметь его в личном пользовании) к компьютеру с операционной системой VMS, которая использовалась на большинстве интересных нам объектов. Поэтому мы завели себе учетные записи на компьютерах администраторов и разработчиков в MRDC чтобы иметь возможность спокойно экспериментировать с программным обеспечением. Я даже в любимый Star Trek играл, собрав и запустив его «на той стороне». Так как значительная часть этих компьютеров была «коллективного пользования», никто и не обращал внимания на еще одного пользователя, который, вроде как, пользуется терминальным сервером в помещении банка и никому особенно не докучает, тем более, что многие из сотрудников переходили на другие системы, продолжая использовать свои старые машины только для корпоративной и локальной почты. А о том, что на самом деле именно эта почта, часто содержащая пароли и инструкции доступа к десяткам других систем, была ценнейшей находкой для любого хакера, — обычно никто и не думал... Максимум маскировки, который применялся — имитация системного симбионта в VMS, чтобы не отсвечивать лишний раз в списках пользователей, да коррекция дат модификации файлов.

Результаты получились впечатляющие: в руках аналитической группы оказалась подробнейшая информация об устройстве внутренней сети, включая планы развития, размещение техники по этажам и помещениям — и доступ ко многим ключевым узлам — не только ближайшего небольшого фрагмента сети, но и многим другим по всему миру, а при определенном навыке и везении — возможность подключения к существующим терминальным соединениям с теми компьютерами, которые были защищены более надежно системами одноразовых паролей (впрочем, не слишком распространенными в банке). Более чем достаточно для любого вида атаки. Без преувеличения можно сказать, что в некоторых деталях архитектуры сети мы ориентировались лучше, чем многие работники банка — я сам был свидетелем того, как они звонили модемом в другой сегмент сети, хотя туда можно было попасть, набрав две команды на не защищенных даже простейшим паролем маршрутизаторах.

Однако, мы не торопились. Хорошо представляя себе сложность и разнообразие систем защиты, мониторинга и аудита, с одной стороны, и не обладая организационным ресурсом для «оффлайновой» части операции (а в России, если помните, в 1994 году это автоматически означало связаться с, гм, «неприятными» людьми), «слить капусту» представлялось нам трудноосуществимым и малоцелесообразным. Вместо этого сеть использовалась как развлекательный ресурс — бесплатные звонки модемом или оплата X.25-соединения на любой адрес, — и много интересной техники. А это, скажу я вам, совершенно особенные ощущения. Все мы привыкли к демонстрируемой в фантастическом кинематографе «виртуальной реальности» — с помощью всяких штуковин от стереоочков до прямого подключения к глазному нерву. Лишнее оно, красивое, — но совершенно не необходимое. Достаточно суметь немного перестроить восприятие — и монохромные символы на мониторе дадут отличнейший эффект присутствия в том, что вряд ли можно адекватно визуализировать трехмерными картинками...

Но я отвлекся. Кто бы мог подумать, что один из нас окажется таким придурком? Сейчас я понимаю, что это мой просчет, как организатора — то, что я доверил ценную информацию человеку, о котором в общем-то было понятно, что он мог ей злоупотребить, но у нас не было разграничений доступа, — нам казалось, что для успешной работы никакая информация лишней быть не может, — все же свои? Я не про Левина — Левин не был членом группы. Я про того, кто ему ее продал за — тут журналисты не врут — сто долларов.

Что касается технической стороны взлома, то увы, тут я вынужден разочаровать читателя — все происходившее было, честно признаюсь, весьма low tech. То есть не было никакого анализа «вслепую» переполнений буфера в неизвестных программах без исходных текстов на экзотических архитектурах и прочего высшего пилотажа. Был системный подход и чуть-чуть везения. Некоторые вещи обнаруживались чисто случайно, как, например, имевшая очень большое значение для нас ошибка в ПО терминального сервера Emulex, позволявшая получить доступ к административной консоли, инициировав перезагрузку через послыку сообщения, содержавшего восьмибитные символы, с одного терминала на другой. А мы всего-то пытались поговорить через него между собой по-русски. Кстати, вполне возможно, что из всех собранных нами данных Левину было бы вполне достаточно перехвата сессий на этом терминальном сервере в Лондоне, да еще одной ошибки в ПО терминального сервера 3Com в Нью-Йорке, через которые часто осуществлялся доступ операторов Citi Cash Management и прочих АРМ банка, к счастью, как правило, не требовавших никакого специального клиентского софта. В то, что Левин сотоварищи смогли бы разобраться в «сырых» структурах баз данных, используя прямой административный доступ, мне как-то не верится совершенно. Ну, еще мог пригодиться пароль к дополнительному аутентификатору терминальных сессий из сети X.25 — это такое подобие аутентифицирующего файрволла, — инструкции по его использованию мы получили «на блюдечке» почти в самом начале. IP-сети мы исследовали с помощью первого тогда бесплатного сканера ISS. Кстати, помнится, появление его коммерческой версии без исходников нас сильно озадачило — ну кому нужна такая штука, если к ней нельзя приделать свои тесты? Юниксовые пароли ломали crack’ом, — в общем, типичный инструментарий того времени.

А потом... Все закончилось. И самое странное, — что закончилось не так быстро. Дело в том, что пока мы изучали системы защиты, Левин даже не задумывался об их существовании. И как при практически нулевой квалификации — а я знаю, о чем говорю, я видел спутниковые перехваты его терминальных сессий — он успел натворить крупных дел, для меня до сих пор загадка (не спрашивайте меня, как ко мне попали эти данные, — иначе я никогда не смогу доказать, что человек, не имеющий ко всей этой истории никакого отношения, действительно не имел к ней никакого отношения). Вероятно, мы серьезно недооценивали степень безответственности и раздолбайства в самом банке и осторожничали сверх меры.

Вот, собственно, и все. После того, как Citibank закрыл вход из сетей X.25, звонить на прямые модемные входы в Нью-Йорке никто из нас не рискнул. Перед самым финалом я успел кратко пообщаться с одним из сисадминов MRDC, который наконец-то начал замечать «подозрительную» активность в сети, но ничего интересного мы друг другу сказать не успели. Да, я надеюсь, что им попался таки на глаза оставленный мной документ с описанием, как решить их проблему с печатью на HP LaserJet через DECnet.

Это, собственно, ровно треть истории. Другую треть знает Левин и его сомнительные друзья — если, конечно, они его сами не обманывали, после того, как он сделал свое дело, а последнюю — люди, занимавшиеся этим инцидентом в Citibank’е. Так что — куда делись те $400 тыс., которые так и не нашли, списали ли их под шумок и поделили и кто в этом участвовал — об этом я не имею ни малейшего понятия. Впрочем, об этом в сети есть достаточно предположений различной степени достоверности, но давать какую-либо оценку этой информации я не могу, так как не владею предметом. Да, и Интернет тут был совершенно ни при чем.

P.S.

Один из известных мне участников событий, как и я, продолжает заниматься информационной безопасностью, но тоже уже много лет в качестве «white hat». Его проекты весьма интересны, среди них — один из лучших персональных файрволлов для Windows. Другой работает сейчас «простым» системным администратором, хотя тоже не то чтобы простым, а весьма успешным. Следы остальных затерялись, но я практически уверен, что полученный опыт им пригодился. Я не считаю, что история с Ситибанком — самое интересное в моей жизни. Думаю, более интересные вещи еще впереди. И предпочитаю, чтобы люди работали со мной потому, что я хороший специалист, а не потому, что я «тот самый».

Если же кто-то, несмотря на мои разъяснения, решит слишком активно ворошить прошлое, то напоминаю, что я, в общем-то, не я, и лошадь, конечно же, не моя.

А примерно за неделю до написания этой статьи мне пришлел SMS от одного знакомого, который немного в курсе событий и решил, что это сообщение меня позабавит: «А я в ситибанке с зубилом, молотком и болгаркой в руках. Блин, один в серверной.»

Оригинал статьи вы найдете по адресусайт



ArkanoiD, arkenoi@gmail.com.


Сетевые решения. Статья была опубликована в номере 11 за 2005 год в рубрике мнение

©1999-2024 Сетевые решения