Глава 25. «Захват территории»
В войне самое главное — быстрота: надо овладевать тем, до чего он успел дойти; идти по тому пути, о котором он и не помышляет; нападать там, где он не остерегается.
«Искусство войны» Сунь Цзы было настольной книгой Макса. Сидя в своём тайном убежище, он набросал план наступления. Было пять англоязычных подпольных кардинговых сайтов, и четыре из них были лишними. Недели ушли на изучение противника: ScandinavianCarding, Vouched, TalkCash и, его главный враг, — DarkMarket. Этот английский сайт появился на месяц раньше CardersMarket и прилагал большие усилия, добиваясь репутации зоны, защищенной от взлома.
В известном смысле, планы Макса проникнуть на другие площадки, строились на его положительных качествах. На руку ему играло, что он не был жадным, и что он делал бизнес на CardersMarket. Теневая кардинговая сцена была разрушена, а когда Макс сталкивался с чем-то разбитым, он не мог отказаться восстановить это, совсем как делал это несколько лет назад для Пентагона.
Играло свою роль и самолюбие. Казалось, весь кардинговый мир думал, что Iceman всего лишь администратор, способный только устанавливать ПО. Макс видел прекрасную возможность показать кардерам, как они ошибались.
На DarkMarket нашлось слабое место. Британский кардер JiLsi пользовался этим сайтом. Он использовал один и тот же пароль: “MSR206” везде, включая и CardersMarket, где Макс имел доступ ко всем паролям. Теперь Макс мог проникнуть и хозяйничать на DarkMarket.
А вот Vouched был крепостью, вы даже не могли зайти на сайт без доверенного цифрового сертификата, установленного на вашем браузере. К счастью JiLsi был зарегистрирован и здесь, и даже имел модераторские права. Макс нашел копию доверенного сертификата на одном из почтовых аккаунтов JiLsi, который был защищен обычным паролем “MSR206”. Теперь оставалось лишь зайти на Vouched как JiLsi, и вся база данных была доступна.
Макс установил, что поиск по сайту на TalkCash и ScandinavianCarding был уязвим для атаки SQL injection. Макс не был в этом деле первооткрывателем. Уязвимость к такой атаке — обычное дело для сайтов.
SQL injection использует архитектуру сложных по своей структуре сайтов. Когда вы заходите на веб-сайт с динамическим содержимым: новостными заметками, записями в блог, биржевыми котировками, на сайты интернет-магазинов программное обеспечение (ПО) сайта предоставляет информацию, извлекаемую из базы данных. Эта база данных обычно находится на другом компьютере, а не на хосте, к которому подсоединен ваш компьютер. Веб-сайт — это фасад, а сервер с данными — заблокирован. В идеале, он вообще не доступен из интернета.
Программное обеспечение сайта общается с сервером, хранящим данные, на языке SQL (Structured Query Language язык структурированных запросов). К примеру, команда SELECT запрашивает у сервера всю информацию, которая подходит под определенные критерии. INSERT добавляет информацию в базу данных. Редко используемая инструкция DROP удаляет большие объёмы данных.
Это опасный инструмент, потому что зачастую ПО должно отправить запрос посетителя сайта, как часть SQL- команды серверу. Если посетитель сайта напишет в строку поиска: Sinatra, ПО сайта запросит у сервера информацию следующим образом:
SELECT titles FROM music_catalog WHERE artist = ‘Sinatra’;
SQL injection случается, когда ПО неправильно обрабатывает запрос пользователя перед передачей его в виде команды серверу. Пунктуация может сбить ПО с толку. Если в выше приведённом примере написать в строку поиска сайта: Sinatra’; DROP music_catalog; обратите внимание на апостроф и на точки с запятыми, из-за них сервер получит команду в виде:
SELECT * FROM music_catalog WHERE artist = ‘Sinatra’; DROP music_catalog;’;
Для базы данных это две последовательные команды, разделенные точкой с запятой. Первая найдет альбомы Синатры, вторая — удалит музыкальный каталог.
SQL injection обычное оружие в арсенале хакера. Даже сегодня таким образом проникают на сайты всех уровней, в том числе сайты электронной коммерции и сайты банков. Итак, в 2005 ПО TalkCash и ScandinavianCarding оказались под прицелом.
Чтобы воспользоваться уязвимостью TalkCash, Макс зарегистрировался, и послал невинное на вид сообщение. В теле сообщения скрывалась SQL команда, написанная шрифтом, цвет которого совпадал с цветом фона, а потому невидимая глазу. Он ввел поисковый запрос, а ПО сайта передало скрытую команду в базу данных, где она была выполнена. Эта команда была INSERT, и она добавила на сайт еще одного администратора — Макса. То же самое он проделал и на ScandinavianCarding.
К 14 августа Макс был готов показать миру кардинга, на что он способен. Он проник на сайты через тайно проделанные дыры, и, используя свою поддельную учетную запись администратора, скопировал базы данных. Такой план был достоин Сунь Цзы: никто из конкурирующих площадок не ожидал атаки и захвата. Большинство кардеров избегало публичности, не выставляло себя на показ. Враждебный захват был беспрецедентен.
Покончив с англоязычными сайтами, Макс переключился на Восточную Европу. Было стремление объединить Восточноевропейских кардеров с западными, но усилия Ти были бесплодны. Русским нравился американская Ти, но они ей не доверяли. Дипломатия провалилась, настало время действовать. Он обнаружил, что такие площадки, как Cardingworld.cc и Mazafaka.cc защищены не лучше, чем западные, и вскоре уже скачивал оттуда приватную переписку и статьи с форумов. Мегабайты кириллицы уплыли на его компьютер. Тайны жульнических операций, рассказы о хакерских атаках, которые велись против Запада и продолжались месяцами, теперь получили постоянную прописку на жёстком диске Макса в районе Тенделойн, Сан-Франциско.
Завершив скачивание базы данных, на каждом сайте он запускал команду DROP, стирая оригинал. ScandinavianCarding, TalkCash, Vouched, DarkMarket, Cardingworld — все эти хлопотливые, круглосуточные торговые площадки, которыми пользовались около 10 тысяч человек, обслуживавшие теневую экономику и ворочавшие миллиардами долларов, прекратили своё существование. Шестизначные суммы криминальных структур; деньги на расходы, выданные детям, женам или любовницам; взятки полицейским; ипотечные суммы, дебетовые счета, платежи — всё это в мгновение ока исчезло. Неотвратимо. Деньги утеряны. Всем им предстояло узнать имя Iceman.
Макс продолжил работу с украденной информацией, игнорируя Восточноевропейские данные. После удаления дублирующихся и нежелательных записей с четырех англоязычных площадок, осталось 4500 новых членов для CardersMarket. Всех их он добавил в базу данных своего сайта, так что теперь они могли войти на него, используя свои старые логины и пароли. На CardersMarket теперь было шесть тысяч пользователей. Больше, чем на Shadowcrew когда-либо.
Он объявил о силовом слиянии в массовой рассылке своим новым членам. Когда в Сан-Франциско наступило утро, он увидел их всех вместе, смущенных и яростных, на своём объединённом форуме. Matrix001, немецкий администратор DarkMarket требовал объяснений у Iceman‘а.
Обычно молчаливый король спама Master Splyntr принялся критиковать организацию материалов, похищенных Iceman‘ом. Все содержимое сайтов-конкурентов теперь размещалось в новом разделе CardersMarket, который назывался «История записей с поглощённых форумов.» Эти записи были не отсортирован и было трудно что-либо найти; Макс считал, что эта информация заслуживает сохранения, но не сортировки. Поначалу Макс наблюдал со стороны, затем вступил в беседу и дал понять, кто за всем этим стоит.
@Master Splyntr: «Если у вас нет ничего конструктивного или нового, ваш комментарий нежелателен. Если вам не нравится организация выкладки, проваливайте и возвращайтесь позже, потому что она еще не отсортирована.»
@matrix001: «Старые форумы были небрежны в вопросах безопасности, используя общие хостинги, отказываясь от шифрования данных, входя в систему по IP адресам, используя 1234 как административный пароль (да, действительно, это так!) и вседозволенность администраторов. Некоторые, такие как Vouched, давали ложное чувство безопасности, что, как вам известно, ещё хуже.
Вы спросите, что всё это значит? Если вы имеете в виду слияние пяти кардинговых форумов вместе, то короткий ответ таков: потому, что у меня нет ни времени, ни желания присоединить ещё четыре оставшихся из девяти. По существу этот шаг назрел. Зачем иметь пять форумов с одинаковым содержанием, разделением продавцов и покупателей, со слабой безопасностью, слабым администрированием, слабой модерацией. Это не просто так, это для всех благо. С правильной модерацией мы вернёмся к изначальному „жёсткому“ руководству с нетерпимостью к риппингу и анархии в обсуждении тем и промо-акций. Сейчас много мусора со старых форумов, но мы его вычистим.
Ради чего? Безопасность. Удобство. Повысить качество и уменьшить помехи. Привнести порядок в бардак…»
Канадский хакер Silo заявил, что Iceman разрушил социальные связи, что держали сообщество кардеров вместе. Он погубил доверие.
Silo: «Ты угробил безопасность нашего сообщества. Украл данные с других форумов. Могло бы твоё слияние случиться при согласии администраторов всех форумов? В чём разница, если я взломаю твою почту и прочитаю её или опубликую на форуме? С какой стороны ни посмотри, ты показал как мало следует доверять в нашем сообществе. Моё предложение следующее: ты должен удалить данные, которые украл. Правильно будет СПРОСИТЬ администраторов площадок; правда ли, что единая площадка отвечает интересам нашего сообщества; и подождать, что они ответят. Вот моё мнение.»
Людей с навыками Iceman‘а много. От общества зависит, как они используют их.
Vouched вернулся онлайн, но ненадолго. Предполагалось, что это приватный, безопасный форум, открытый только для избранных. После проделки Макса доверие к нему пошатнулось, и никто не захотел возвращаться. ScandinavianCarding и TalkCash были обречены, у них не было резервных копий баз данных. В основном их клиенты остались на CardersMarket.
Кроме русских форумов, которые Макс не мог использовать из-за незнания языка, триумф Макса омрачало только одно: DarkMarket. Его главный соперник имел резервные копии и занялся восстановлением, обещая вернуться к работе через несколько дней. Это был вызов всему, что Макс пытался достигнуть для себя и для сообщества. Война началась.
Тем временем, в графстве Оранж, Крис тоже укрупнял свой бизнес. Он решил, что было бы удобно, чтобы все сотрудники, занятые полный рабочий день, жили в одном месте. Комплекс квартир Архстоун, сдававшийся в аренду через интернет, прекрасно вписывался в его планы. Желающие могли заполнить заявку на сайте компании, внести задаток $99 и плату за первый месяц картой. Крис всё мог сделать через интернет, и его сотрудники могли не показываться до дня въезда, когда им следовало появиться в офисе арендодателя, предъявить свой ID и получить ключи от квартир. Он отправил двух своих сотрудников и Маркоса, своего связного в Архстоун Мишн Вьехо — меблированные комнаты в виде особняков, раскрашенные в цвета заката и прилегающие к холму, усеянному пальмами и высоковольтными линиями, в пяти минутах ходьбы от его дома. Также он хотел увеличить свою команду. Одна сотрудница уехала в Толедо после вторичного банкротства её магазина, а две другие с омерзением отказались работать, когда подруга-тинэйджер Криса забеременела от него. Сейчас он платил за квартиру молодой мамаши и их сына, чьё существование скрывал даже от своей матери.
В офисе НСФТА (NCFTA) в Питтсбурге Кейт Муларски, писавший под именем Мастера Сплинтера, получил тайное сообщение от Iceman‘а два дня спустя после захвата. Хакер извинялся за некоторые необдуманные слова на форуме. Ожидая следующий этап противостояния DarkMarket и CardersMarket, Iceman похвастал, что легко отразит любую DDoS атаку на свой сайт. Позднее, поискав в интернете информацию о Мастере Сплинтере, он узнал, что это спамер с мировым именем и армией ботов. Кажется Iceman невольно сделал из простого критика непримиримого врага.
Не обижайся на мои комментарии. Это правда, что если кто-либо попытается напасть на мой сайт, я отслежу его и поддену или завалю. Но я не хотел бросить вызов. Никому не хочется терять время на такие дела, по настоящему DDoS не приносит радости и поэтому, пожалуйста, не принимай неверных решений :-)
Муларски начал понимать, что перед ним открываются новые возможности. Никто никому больше не доверял. Все обозлились на всех. Если он сыграет за обе стороны, то сможет устраивать набеги на территорию обоих администраторов, пока они сцепятся в битве за пользователей. У него было три независимых аккаунта. Он воспользовался одним, чтобы ответить.
«Никаких проблем, бро, мы — команда. Я сам могу чего ляпнуть сгоряча. Зачем мне атаковать. Черт, мои боты даже еще не настроены для атаки. Рассылки приносят мне гораздо больше. Я не делаю ничего, что не приносит доход. Только если мне не объявят вендетту, которой пока нет. И если тебя атакуют, я также хорош в отслеживании и нападении, постучись ко мне в ICQ 340572667, если будет нужна помощь :-) MS»
Муларски сидел перед монитором, ожидая ответа. Через несколько минут на экране появилась надпись:
«Огромное спасибо :-), кстати, есть у тебя соображения по ведению дел, помимо банальных советов по организационным моментам? Я собираюсь внести изменения и ты теперь можешь предлагать услуги и можешь выбрать себе любой ник. Не знаю предоставляешь ли ты услуги электронной почты, но думаю, что иметь свою сеть круто. Уверен, что нам лучше иметь возможность нанять тебя. Также, если ты понёс убытки в бизнесе, приношу свои извинения. Я сохранил некоторых вендоров, но часть была утеряна. Просто довожу до твоего сведения. Спасибо, бро :-) Также добавил тебя в группу VIP.»
Это был многообещающий ответ. Муларски обсудил все со своим инспектором. Затем обратился в штаб-квартиру к руководству Группы II. На две ступени ниже «участия под прикрытием» от ФБР, но на ступеньку выше его роли «пассивного наблюдателя». Его положение не позволило бы ему участвовать в каких-либо незаконных делах, но он мог бы наконец активно бороться с подпольем. Он назвал CardersMarket, и все связанное с работой площадки, стало предметом расследования.
Разрешение пришло быстро. Но, несмотря на обнадёживающие слова, Iceman проверял сомнительного партнёра; он держал Муларски на расстоянии, не делился секретами и только переписывался в чате через сайт. Агенту ФБР больше повезло на другой стороне. Он был одним из первых членов DarkMarket и после непродолжительных переговоров JiLsi, основатель сайта, быстро принял Мастера Сплинтра на должность руководителя. В начале сентября Сплинтр стал модератором сайта.
Война разгоралась. Несмотря на уроки августовского вторжения, JiLsi не мог добиться полной защиты DarkMarket. Iceman стал регулярно проникать в базу данных и удалять случайные аккаунты, просто, чтобы досадить JiLsi. Когда DarkMarket в ответ начал яростную DDoS атаку против Иранского хоста CardersMarket, Iceman ответил тем же. Оба сайта затрещали под напором ненужных пакетов. Iceman втайне арендовал место у американской хостинговой компании с широким каналом, пропустив трафик через них, очистив, он пересылал его дальше, на свой настоящий сервер по зашифрованному каналу. JiLsi рвал волосы, делился своими бедами с Мастером Сплинтером. Муларски переместил своё внимание с Iceman‘а на босса Британских кибер-преступников, который начал обращаться с ним как с другом. Он догадался, что JiLsi задумался кому бы доверить на время DarkMarket, чтобы сделать неуязвимый хостинг. Кому-то, кто привык поддерживать работу сайта, который ненавидят все. Спамеру.
«Ну, ты знаешь, на что я способен,» — написал он в чат, — «Я хорош в создании серверов, я охраняю их круглосуточно. Я могу сделать это для тебя.»
Муларски задумал оригинальный план. В прошлом и у «Секретной службы», и у ФБР были администраторы информаторы: Альберт Гонсалес на ShadowCrew и Дейв Томас на Grifters. Но реально работать на площадке, дало бы доступ ко всему от IP адресов кардеров, до любой секретной информации. Если бы Мастер Сплинтр занялся сайтом, он получил бы такое доверие, о котором ни один агент не мог и мечтать. JiLsi заинтересовался предложением Мастера Сплинтра, и Муларски приготовился к следующей поездке в Вашингтон, Округ Колумбия.