вторник, 13 октября 2009 г.

О кардерах и хакерах или "героев" нужно знать в лицо

Попался мне на сайте МинЮста США один любопытный документ: “Data Breaches: What The Underground World Of Carding Reveals”. Если в двух словах – это анализ судебной практики по делам о кардинге. А поскольку в тот момент я как раз готовил доклад для круглого стола на InfoSecurity, пришелся он как раз в тему.

Что мы знаем о кардинге? Что кардинг (англ. carding) - род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Что самый опасный кардинг – это кардинг с использованием клонированнной карты. Что клонирование становится возможным при получении данных магнитной полосы. Что данные магнитной полосы обычно считываются кардерами с помощью скиммера, устанавливаемого на приемное окно банкомата. Что используются и другие методы получения данных магнитной полосы и других реквизитов: фишинг, банальная кража карты вместе с бумажником и т.п.

Так вот, согласно этому документу, преступники действительно используют разные методы кражи данных, такие как рытье в мусоре (в оригинале – dumpster diving), скиминг, фишинг, изменение адреса, традиционные кражи. В каждом из этих случаев количество потерпевших редко превышает несколько сотен, реже – тысяч. Однако основным источником данных для кардеров являются хакеры, уводящие данные кредитных карт непосредственно из банков, процессинга, торговых точек, и речь в этом случае идет о тысячах, а в некоторых случаях – миллионах карт.

Возможно ли такое? Увы, более чем. Вот лишь несколько эпизодов из жизни Альберта Гонзалеса - хакера, который недавно предстал перед судом, признал свою вину и которому грозит до 20 лет тюремного заключения.

В 2007 г. Гонзалес, Максим Ястремский (Украина)  и Александр Суворов (Эстония) организовали атаку на сеть ресторанов Dave & Buster's. Система кассовых терминалов сети ресторанов образовывали своеобразную "звезду": сами терминалы передавали считанные с магнитной полосы данные на сервер ресторана, тот - на сервер головного офиса и, наконец, оттуда данные поступали на авторизацию платежа в процессинг. В апреле 2007 хакеры умудрились получить удаленный доступ к серверу одного из ресторанов и установили на него снифер. Как именно им это удалось, американская Фемида умалчивает (точнее, использует казенное "the defendants made materially false representations indicating that they were authorized to gain such access", то бишь "обошли механизмы аутентификации"). Позже они по той же схеме установили сниферы на серверы еще 11 ресторанов D&B. Перехваченные дампы просто продавались через один из кардерских форумов.

Сниферы работали до сентября 2007 года. Что характерно, прописать их автозапуск, видимо, не удалось, и при каждом перезапуске сервера ребяткам приходилось снова коннектиться к нему и запускать снифер вручную. Только в одном из ресторанов (ресторан №32, который фигурирует в обвинительном заключении) они проделали это трижды.

К слову, из 12 заявленных в преамбуле обвинительного заключения ресторанов в деле фигурирует только этот злосчастный "ресторан №32". Почему только он - загадка. Еще одна странность - относительно небольшое количестов украденных дампов (вего-то 5000). Скорее всего, речь идет именно о тех 5000 дампах, которые были обнаружены на изъятом у Ястремского при аресте нотбуке. Этот момент и стал "началом конца" для Гонзалеса и его сообщников: проведя несколько дней в турецкой тюрьме (а методы ведения допросов у турков жестоки даже по меркам российских следователей), Ястремский начал рассказывать все, что знал о своих знакомых.

Обвинительное заключение:


А впервые эта гоп-компания попала в поле зрения ФБР и Секретной Службы США еще в 2003 г., когда Гонзалес, Ястремский, Деймон Патрик Тои, Кристофер Скотт и другие организовали грандиозный вардрайвинг вокруг магазинов нескольких крупных американских торговых сетей. Гонзалес и Скотт парковались возле магазина и взламывали ее точку доступа (про то, что WEP - это одна большая ошибка, известно давно). Первое время хакеры использовали для доступа к даным различного рода уязвимости, но летом 2005 года, взломав аналогичным образом две точки доступа торговой сети TJX, они поставили свое дело на поток. Им удалось пробиться в процессинговый центр TJX, настроить VPN между процессингом и арендованным сервером и установить на сервер процессинга написанный Ястремским снифер. Отлаженный "пылесос" проработал с мая 2006 г. по март 2008 г. О количестве скопированных дампов можно только догадываться: в новостях фигурирует число 40 000 000, но это всего лишь один аплоад, который Гонзалес сделал, уже находясь под присмотром Секретной Службы, за месяц до своего ареста.

Обвинительное заключение:


Финалом карьеры Гонзалеса стала нашумевшая этой зимой атака на Heartlend Payment Systems. Если верить представителям Heartland, осенью 2008 г.  VISA предупредила их о возможной компрометации. Компания провела внутренний аудит, который не выявил ничего подозрительного. Тогда, на всякий случай, компания обратилась в Секретную Службу, специалисты которой смогли-таки найти хорошо замаскированного "троянца". Ну что ж, поздравляю вас, граждане соврамши.


Все началось с того. что Гонзалесу и его приятелю попался на глаза журнал "Fortune" с рейтингом крупнейших процессинговых компаний. Идея созрела быстро, и к делу сразу же были привлечены два "русских хакера" (в обвинительном заключении фигурирует странный регион "somewhere near Russia", хотя речь, судя по материалам дела, идет о "молодых демократиях" - Латвии и Украине). Кроме того, были арендованы 6 серверов в разных регионах для залива на них украденных дампов.

Ребятки прямо по списку двинулись изучать Web-порталы этих компаний, на трех из них были обнаружены уязвимости SQL injection, и в ноябре 2007 г. началась активная работа. Через полтора месяца (к концу декабря 2007) они уже контролировали процессинг Heartland'а, установив снифер на один из ключевых серверов. Второй процессинговый центр продержался еще месяц, а с третьим пришлось повозиться аж до марта 2008 г.

К этому моменту, опираясь на показания Ястремского, Секретная Cлужба уже практически закончила расследование атаки на TJX и вела активную работу против Гонзалеса. После своего ареста, к концу 2008 г., он уже прекрасно осознавал, во что влип, и начал давать признательные показания, в обмен на отказ от преследования по мелким делам вроде атаки на D&B. Собственно, тогда-то Секретная Служба и заявилась в Heartlend. И тем не менее, официальное уведомление об утечке компания подала только 30 января 2009 г.

Обвинительное заключение



А мораль всей этой истории очень проста. Хакер, использующий типичные ошибки, сплошь и рядом совершаемые администраторами и Web-программистами, - более чем серьезная угроза для любой компании. Насколько серьезна? По-моему, биржевой индекс Heartlend'а показывает это весьма наглядно.





3 коммент.:

Dmitry Evteev 13 октября 2009 г. в 12:16  

все верно, снифер "во вражеской" сети - сильная штука! а sql injection - это, как приглашение во внутреннюю сеть:)

Pento 13 октября 2009 г. в 13:31  

Отличный пост. Прочитал с удовольствием.

Анонимный 19 марта 2010 г. в 05:45  

Хорошая статья. Действительно было интересно почитать. Не часто такое и встречается та.Наверное стоит подписаться на ваше RSS

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP