- Что вы! Профессии актрисы и телеведущей категорически различны! Актерская профессия - это игра, создание образа, который чаще всего непохож на самого актера.

"Я абсолютно счастлив. Это большая честь для меня - первым получить "грин кард", -

...так сказал в интервью немецкому телевидению уроженец Индонезии Харианто Виджая - первый иностранец, который получил в Германии "грин кард" - "зелёную карту", дающую право на работу и разрешение на проживание в стране. О том, кому и как предоставляется такая возможность, - наша сегодняшняя передача.

Владимир Крамник

О страхах стало говорить модно. Многие перестали скрывать свои страхи. Но от этого не перестали бояться. По статистике, каждый восьмой человек на планете подвержен какой-нибудь фобии или сразу нескольким. К сожалению, конкретных данных о «фобах» в нашей республике нет. Хотя с уверенностью можно сказать: все мы чего-то боимся. Безусловно, следует различать фобию как симптом психической болезни, проявление депрессивного невроза или нарушений в коре головного мозга. Мы поговорим о фобиях, свойственных каждому. Кто-то боится высоты, кто-то закрытых дверей, есть люди, испытывающие ужас перед самолетами, змеями, грозами и куклами, и есть даже такие, что панически бояться улиток. А недавно мне попалась научная статья про некоего гражданина, который настолько был запуган собственным начальством, что перед уходом на работу раскладывал пасьянс. И только тогда покидал свое жилище, когда пасьянс удавался трижды подряд.

Сравнительно недавно автору этих строк уже доводилось писать о небезопасности онлайнового банки, но в самых общих чертах, без описания конкретных методов действий злоумышленников-кракеров. Теперь же появилась возможность восполнить этот пробел, оперевшись на обширное исследование Дэвида Фридмена (David H. Freedman), получившее непритязательное название "Как хакнуть банк" и опубликованное в одном из недавних номеров американского делового журнала Forbes.

Тщательно и обстоятельно проконсультировавшись с десятком авторитетных экспертов из компаний, занимающихся защитой интернет-банков, а также с известными данными об успешных атаках, Фридмен приходит к следующему выводу: ограбить электронный банк по-крупному - дело непростое, но, как оказалось, и не столь сложное, как можно было бы подумать. Более того, как выразился один из экспертов с 30-летним стажем в области компьютерной безопасности, "если бы я надумал совершить электронное преступление, я бы ограбил банк"...

Шаг первый. Подготовка

Прежде всего, необходимо подобрать команду. Для серьезного дела требуется по меньшей мере полдюжины толковых компьютерных умельцев, включая специалистов по банковским программным приложениям, трансферным сетям, операционным системам IBM MVS, Unix, Sun Microsystems Solaris или Windows NT (в зависимости от того, какие ОС управляют серверами банка), Windows 95 и 98, ну, и по программам защиты, конечно. Подыскать таких людей, возможно, наиболее сложная задача во всем предприятии, поскольку толковые специалисты и так неплохо зарабатывают честным путем. Но не все... Кроме того, понадобится по меньшей мере один человек из внутреннего персонала банка. Это может быть клерк от среднего до нижнего ранга: кассир, помощник менеджера по обработке данных или клерк, занимающийся денежными переводами. Понадобится также человек с опытом в области физических мер безопасности, а также даровитый "инженер человеческих душ", способный вести речи быстро и с обаянием.

При выборе банка-мишени следует избегать банков первого эшелона, поскольку они защищены слишком хорошо. Не имеет смысла нацеливаться и на небольшие банки, особенно представленные лишь в Интернете, поскольку при их ограниченном денежном обороте менеджеры скорее всего сразу заметят, как миллионы вдруг начинают улетучиваться... По этой причине мишенью становится крепенький банк среднего размера.

Наконец, как и во всяком солидном деловом начинании, потребуется время для всех приготовлений и некоторый начальный капитал. Что касается времени подготовки, то по свидетельству экспертов на подготовку солидного электронного ограбления уходит около 6 месяцев. Начальный капитал потребуется на закупку оборудования, сопутствующие операционные издержки, авансы, взятки и тому подобные вещи. В американских условиях на все про все хватит 2 миллионов долларов. Цель мероприятия - похитить от нескольких десятков до 100 миллионов долларов.

Шаг второй. Закладывание фундамента

Специалист по физической защите и его ассистенты нанимаются в банк-мишень в качестве вахтера, электрика, уборщика или еще каких рабочих. Попав внутрь, они расставляют по всему банку "жучков", а также делают копии с потенциально полезных документов, лежащих на рабочих столах, в шкафах и кабинетах. В то же самое время наш "социальный инженер" со своими ассистентами проводят несколько небольших разведывательных операций, с целью получения представления о том, как банк заводит счета, модифицирует их, организует к ним доступ и проводит выплаты. Например, такие люди представляют себя коммерческими клиентами, заводят друзей среди банковских служащих для общения в нерабочее время, а затем, выдавая самих себя за сотрудников банка, собирают по телефону максимум информации от клерков, клиентов, поставщиков программного обеспечения, компьютерных специалистов и других банков. Ну, а тем временем главный "засланный казачок" внутри банка пытается узнать все, что может о банковской сети, программах, процессах и служащих.

Реальное начало мероприятия проводится очень осторожно и на низком уровне в течение нескольких первых недель. На этом этапе не покушаются на системы, связанные с деньгами. Вместо этого сосредотачиваются на отыскании разнообразных путей для проникновения в сеть извне. При этом практически никогда не пытаются ломиться напрямую через межсетевые экраны-брандмауэры, тихо подыскивая черные ходы. Один из таких способов - "сесть на телефон", когда компьютер автоматически прозванивает все телефонные номера банка в поиске ответа от модема. Еще один подход - завести онлайновый счет в банке, а затем с сервера для банкинга попытаться перескочить в основную сеть банка. Хотя всем прекрасно известно, что банкинг-серверы должны быть физически отсоединены от основной сети, по недосмотру или "бедности" многие пренебрегают этой рекомендацией. Третий путь предоставляют сами банковские менеджеры, берущие лэптопы домой и подключающиеся к своему банку через кабельные Интернет-службы (как показывает опыт, этот путь особенно легок для проникновения). Если же у банка есть зарубежные отделения, то многие предпочитают проникать внутрь именно через них, поскольку уровень компьютерной защиты имеет тенденцию существенно понижаться при переходе в офшор.

Какой бы маршрут ни был избран, атакующим нигде не продвинуться вперед, не имея паролей доступа служащих банка. Причем крайне желательно иметь нескольких таких паролей, чтобы не привлекать лишних подозрений, чрезмерно перегружая компьютерное время одного человека. Существует масса способов для достижения этой цели. "Наши люди", работающие внутри банка, сумеют найти пароли, записанные прямо на столе; социальные инженеры сумеют заболтать сотрудников банка, можно использовать широко доступные программы для перебора паролей типа Crack; можно украсть пароли сотрудников банка с веб-сайтов электронной коммерции, поскольку опыт показывает, что многие люди предпочитают пользоваться одним и тем же паролем в разных приложениях; ну и, наконец, масса людей почему-то использует в качестве пароля такие волшебные слова как "password" или "hello". Пробравшись в сеть, мы начинаем искать способы для захода в другие компьютеры и программное обеспечение. При каждом шаге здесь могут потребоваться новые пароли, но суть от этого не меняется, поскольку на данном этапе хакер может загружаться лишь на короткие периоды времени, избегая затрагивать чувствительные системы и не привлекая внимания своей активностью. Одновременно с этим социальные инженеры открывают в банке несколько десятков счетов различных типов и под разными фальшивыми именами. Через эти счета время от времени проводятся небольшие, а иногда и крупные суммы денег.

Шаг третий. Работа с программами

Как только мы "почувствуем" сеть, мы начинаем попытки получить "корневой доступ" на некоторые из серверов. Другими словами, получить на сервере все права и привилегии, которыми обычно обладает лишь системный администратор. Все, что для этого требуется - правильный пароль. Как правило, получить пароль сисадмина оказывается ничуть не сложнее, чем пароль обычный (поскольку администраторы - точно такие же люди, с теми же самыми слабостями и привычками). Кроме того, многие операционные системы поступают с "тайными" паролями доступа для техников обслуживания, и эти пароли часто известны хакерам.

Заполучив корневой доступ, можно выкатывать тяжелую артиллерию из хакерского арсенала. Можно заводить новых пользователей, устанавливать потайные ходы и троянских коней, ставить программы-снифферы для отслеживания трафика и проникновения в архивы электронной почты. На этом этапе мы узнаем те форматы и коды, которые использует банк для перемещения денег. Кроме того, мы проникнем в файлы, хранящие сотни паролей доступа, которые нам еще пригодятся в последующем. И мы сможем запускать общедоступные сетевые программы-анализаторы (такие как Satan, Saint, или Sara), чтобы самым тщательным образом просканировать сеть в поисках слабых мест и дыр в защите. С этого момента мы уже можем заметать свои следы, подменяя журналы загрузки, содержащие записи о том, кто к чему обращался в данной сети, поэтому появляется возможность для более длительного пребывания и для более глубоких проникновений. Одновременно действуя на другом фронте, мы пытаемся заполучить в свои руки копию того программного обеспечения, которое банк использует для управления деньгами и счетами, поскольку нам хотелось бы тайно модифицировать программу к собственной выгоде.

Понятно, что для этих целей необходима не сама работающая программа, а ее исходный код, написанный на понятном для человека языке. Сами программные компании охраняют свои исходные коды чрезвычайно ревниво, однако опыт показывает, что у посредника-поставщика добыть такие тексты много легче. Нередки случаи, когда сам банк вносит для удобства собственные изменения в программу, и в этом случае у него непременно где-то хранится копия. Если ее не удается найти в сети, то иногда помогает подкуп одного из консультантов банка по информационным технологиям. Известны также случаи, когда копию программы добывали через заграничное отделение банка, которому пришлось модифицировать программу для подстраивания к местным требованиям.

Когда программу удается заполучить, отыскиваются способы для полезного изменения одного из ее компонентов, после чего программу компилируют, превращая в работоспособный машинный код. Затем проникают в систему и подменяют настоящую программу на ее модифицированный вариант. При несколько ином сценарии подменяют резервную копию, которая охраняется менее строго, а затем "обрушивают" работающую программу, чтобы вынудить администрацию поставить резервный вариант. Постепенно мы узнаем, как происходят внутренние перемещения денег между счетами (по сути дела, обретая уровень контроля, присущий кассиру), и как управлять денежными трансфертами, когда деньги переводятся в другой банк. Мы узнаем, какого рода проверки и верификации осуществляются при каждой транзакции заданного типа и размера, когда проводится аудиторская проверка, и какого рода действия приводят к подъему тревоги, когда компьютерные системы извещают системного администратора и менеджеров о подозрительных вещах.

Но при этом, мы еще не покушаемся ни на какие деньги. Одновременно, набираясь знаний о том, как функционируют системы банка, мы также накапливаем и все новейшие изобретения в хакерском-кракерском инструментарии: вирусы, автоспаммеры и прочие штучки для организации атак типа "отказ в обслуживании", т.е. атак для простого "опускания" системы без попыток что-либо украсть. Все эти инструменты держатся наготове, но в ход пока что ничего не идет.

Наконец, на завершающей стадии подготовки мы открываем многочисленные банковские счета на Ямайке, на Кипре и в нескольких других странах, обеспечивающих максимальную тайну вкладчикам и минимальное сотрудничество с международными правоохранительными органами. Кроме того, коль скоро подразумевается, что весь этот сценарий разыгрывается в США, мы открываем счета еще в нескольких других американских банках, сопровождая эти действия подробнейшими инструкциями о том, как максимально быстро класть и снимать деньги в каждом из этих банков.

Шаг четвертый. Ограбление

Теперь мы непременно дождемся одного из тех хорошо известных ежегодных периодов, когда наступает пик необычно высокой банковской активности. По свидетельству экспертов, самые напряженные дни наступают в преддверии нового года.

Для начала мы активизируем компьютерные вирусы и другие инструменты атак типа "отказ в обслуживании". Это, так сказать, цивилизованный эквивалент дымовых шашек. Одновременно можно добавить и какие-нибудь трюки с физическими угрозами, типа лопнувшего водопровода, короткого замыкания, сообщения о заложенной бомбе и тому подобные уловки. В результате всех этих напастей банковский персонал из кожи начнет лезть, чтобы удержать систему в работоспособном состоянии. Конечно же, банк можно было бы попросту закрыть и в спокойной обстановке заняться восстановлением и приведением систем в порядок. Однако это наименее вероятный сценарий, поскольку для банков нет ничего ужаснее, чем выглядеть недостаточно надежными. Вся эта разыгравшаяся суматоха, конечно же, служит только в качестве отвлекающего маневра.

Основное же нападение будет происходить на двух фронтах. Во-первых, мы переведем деньги с тысяч чужих счетов на один, который открыли для себя. Мы сделаем это либо став в системе неким тайным суперкассиром, либо запустив встроенные команды в модифицированной версии программы, управляющей счетами, либо же обоими этими способами. Мы будем снимать лишь сравнительно скромные количества денег с каждого из счетов - чуть меньше тех сумм, которые в банке избраны пороговыми для запуска процедур дополнительного контроля. В зависимости оттого, что больше, это может составлять или 1 тысячу долларов, или 3% от общей суммы на счете. Для банковских систем контроля все это будет выглядеть как обработка чеков, выписанных на одном из банковских счетов, и проплачивающих суммы на другой счет того же банка. В это время года дополнительные объемы в потоке обработки чеков будут выглядеть лишь как малосущественная добавка. Если говорить строго, то даже такая небольшая добавка в обычных условиях привлекает внимание администрации, но в данный конкретный момент у менеджеров и персонала будет слишком много других забот. Когда же деньги накопятся на нашем счете, мы начинаем их перевод, по несколько тысяч долларов за раз (опять же, чтобы избежать сигналов тревоги или запросов на одобрение менеджера), на наши разнообразные внешние счета.

Второй фронт атаки строится на перехвате чужих денежных переводов, иными словами, захватываются крупные суммы денег, переводимы легитимными клиентами на счета в других банках. Было бы чрезвычайно сложно сфабриковать ложный трансферт любого значительного размера, поскольку крупные переводы (свыше, скажем, 10 тысяч долларов) требуют физического заверения, по меньшей мере со стороны двух менеджеров. Не удастся нам захватить трансферт и на маршруте доставки между банками, поскольку эти коммуникации зашифрованы. Поэтому мы захватываем трансферт, после того как он заверен, но перед тем, как зашифрован, используя методы так называемой атаки "человек посередине".

Когда предполагается, что одобренный администрацией трансферт находится во внутренней сети на пути к компьютеру, который его зашифрует, на самом деле он отправится на сервер, которым управляем мы, и где информация будет модифицирована так, чтобы получателем трансферта стал один из наших счетов. Как только это сделано, данные направляются в шифратор и для всех выглядят так, будто они пришли непосредственно с первой машины.

Те деньги, что мы перевели на себя с помощью обеих атак за период времени примерно, в несколько часов, будут рассредоточены по нескольким американским банкам, но мы немедленно запустим заготовленные заранее инструкции, которые сведут эти суммы в первом из наших офшорных банков, где сразу же вступят в действие другие инструкции, переводящие деньги во второй банк, в третий и так далее, пока в конечном итоге мы не обналичим эти деньги в самом последнем банке... Как показывает опыт, в процессе последующего расследования все эти банки рано или поздно предоставят соответствующей отчет о прокачанных через них деньгах, однако к тому времени все они уже давно будут переведены в наличные. Ну, а их новые владельцы бесследно исчезают в уютных и укромных местах, чтобы как следует отдохнуть и начать подготовку к следующему мероприятию.

04.11.2000