Підпільний ринок кардерів. Переклад книги «KingPIN». Глава 16. «Operation Firewall»

Кевін Поульсен, редактор журналу WIRED, а в дитинстві blackhat хакер Dark Dante, написав книгу про «одного свого знайомого».

У книзі показується шлях від підлітка-гика (але при цьому качка), до запеклого киберпахана, а так само деякі методи роботи спецслужб по затриманню хакерів і кардерів.

Квест з перекладу книги розпочався влітку в ИТшном таборі для старшокласників — «Шворінь: школярі переводять книгу про хакерів», потім до перекладу підключилися і Хабраюзеры і навіть трохи редакція.

Друге дихання «квест з перекладу книги» отримав завдяки компанії Edison, коли я дав їм прочитати чернетку, а вони поділилися своїм досвідом у створенні VPN-мережі для анонімних клієнтів.

До них звернувся хтось через анонімний ICQ, писав спотворено, як-ніби через перекладач. Дав ТЗ англійською, розплатився вебманями. Сказав, що навіть якщо його і будуть відслідковувати, то він про все подбав. Над завданням працювали 2 програміста місяць, здали в строк, претензій не було. (Є трохи подробиць, про які можна розповісти в окремій статті, якщо кому цікаво)

Розділ 16. Операція Фаєрвол

(за переклад спасибі хабраюзеру Find_The_Truth)

Щось дивне відбувалося з ShadowCrew.

Макс намагався не світитися на одному з найбільш кримінальних сайтів в усьому інтернеті. Для нього ShadowCrew була лише майданчиком, де можна було зламати пару-трійку кардерів. Однак, у травні 2004 року, адміністратор сайту зробив заяву, яка привернула увагу Макса. Адмін КумбаДжонни (Cumbajohnny) представив новий VPN сервіс тільки для учасників сайту.

VPN — віртуальна приватна мережа, використовується для забезпечення віддаленого доступу до мережі поверх іншої мережі. Наприклад, доступ співробітника з дому до офісної мережі компанії. Але основною причиною появи VPN сервісу стала можливість шифрування даних, переданих через ці мережі. Для підпілля це був ідеальний варіант, щоб убезпечити свої угоди від цікавих провайдерів або правоохоронних органів, так як будь-які спроби відстежити кримінальну діяльність закінчаться там, де почнуться.

КумбаДжонни був останнім поповненням в керівництві, — колишній модератор швидко піднявся в ієрархії сайту і став мати вплив на настрій форуму. Інші адміни навіть відзначили збільшення активності користувачів на форумі. Нагорі сайту висіли банери: «Годі базікати, роби гроші. Розміщуй рекламу тут. Зв'яжися з КумбаДжонни.» ShadowCrew став схожий на вивіску в Лас-Вегасі: спалахуючі банери, обіцяють вічне вечірку, жінок і купу грошей.

imageГоллумфан (Gollumfun), відомий засновник, публічно заявив про свій відхід від справ ShadowCrew, коли інший засновник BlackOps також зібрався йти. Він написав: «Будучи прекрасним майданчиком, ShadowCrew принизливо впав в оточенні дітей, які не цінують знання, навички і спілкування з іншими членами сайту в позитивному ключі. Згинули ті продумані тьюторіали, зникли вельмишановні користувачі, зникла цивілізація. Ми більше не будемо допомагати новачкам шукати їх покликання, відтепер ми будемо ганьбити їх, поки вони не підуть з сайту, поки не зрозуміють, що нових користувачів немає і не буде. BlackOps, тебе не вистачатиме. Спасибі за твій вклад.» КумбаДжонни відповів дуже коротко: «ShadowCrew змінюється. Це на краще.»

Макса не особливо зацікавили зміни на політичній арені сайту, але поява VPN його досить спантеличило. Виявилося, що КумбаДжонни продавав послуги його особистої VPN верхівці ShadowCrew протягом трьох місяців. Тепер же Кумба писав, що будь-який член ShadowCrew, не має штрафів, може купити шматочок спокою за 30-50 доларів в місяць.

Однак добре відомо, що VPN мережі мають одне слабке місце — все, що передається по мережі, проходить через центральну точку в не зашифрованому і вразливому вигляді. Як зауважив один з учасників форуму: «Якщо ФБР або хтось, кому дуже потрібно отримати дані потрапить в датацентр і змінить деякі налаштування VPN сервера, то користувачам цього сервера доведеться несолодко.» «Але це просто параноя.» — зізнався він.

КумбаДжонии поспішив його заспокоїти: «Ніхто не зможе колупатися в VPN без мого відома».

Максу ці повідомлення не здалися переконливими. Будучи білим капелюхом, він якось він писав програму для проекту Honeynet, звану Privmsg. Це був скрипт на PERL, який брав дані з сніффер пакетів даних і відновлював на їх основі IRC-чат. Коли зловмисник починав злом однією з пасток honeypot'а, він намагався підтримувати зв'язок з іншими хакерами. За допомогою програми Макса PRIVMSG, фахівці могли бачити всю цю переписку. Це було сильним проривом в боротьбі з хакерами, перетворюючи пасивні honeypot'и в потужні пастки, проливаючи світло на мотиви і культуру підпілля.

У даний момент Макс спостерігав ту ж картину з перехопленням даних в реченні Кумбы. Були й інші причини підозрювати Кумбу. Як-то зламуючи випадкових кардерів, Макс побачив повідомлення, відправлене адміністратору ShadowCrew, яке виглядало як інструкція для інформатора федерального агентства. Щось підказувало Максу, що зміни з ShadowCrew перетворили сайт в новий Honeypot. Після обговорення своїх здогадок з Крісом, Макс запостив кілька повідомлень на форумі, висловивши свої підозри. Повідомлення зникли відразу ж. Підозри Макса підтвердилися.

imageПоліція Нью-Йорка затримала Альберта КумбаДжонни Гонзалеса дев'ять місяців тому, коли він знімав гроші в банкоматі на Uper West Side. Родом з Майамі, Гонзалес був 21 річним сином двох кубинських іммігрантів. Довгий час він займався зломом, зважившись одного разу відвідати Def con в Вегасі в 2001 році. Спілкуючись з Гонзалесом в ув'язненні, Секретна Служба швидко зметикували про корисність Кумбы. Альберт жив садовому будиночку Кірні за 700 доларів на місяць, мав борг в 12000 доларів і офіційно значився безробітним. Але як КумбаДжонни він був довіреною особою і колегою у кардерів по всьому світу і, що найголовніше, модератором ShadowCrew. Він був в лігві звіра і, підготувавшись належним чином, він міг завдати нищівного удару по форуму.

Під свою відповідальність Секретна Служба звільнила Гонзалеса і стала використовувати його в якості інформатора. VPN була майстерним трюком агенства. Обладнання було куплено і сплачено федералами, і вони ж отримали ордери на перехоплення даних всіх користувачів сайту. КумбаДжонни лише запрошував кардерів на цей паноптикум.

Великі гравці ShadowCrew відразу ж потрапили під нагляд Секретної Служби. Дірява VPN оголила весь процес кардинга, який до цього залишався в тіні — жорсткі переговори, які велися за допомогою електронної пошти і месенджерів.

Кожен день і кожну ніч проводилися які-небудь угоди, зі сплеском торгівлі недільними вечорами. Угоди варіювалися від маленьких до гігантських. 19 травня агенти спостерігали за трансфером Скарфейса і іншим членом сайту на 115695 кредитних карт; у липні АПК передав підроблений Британський паспорт; у серпні Минтфлосс продав підроблені водійські права Нью-Йорка, картку медичної страховки та студентський квиток міського університету Нью-Йорка людині, який запросив повний набір документів. Кілька днів тому пройшла ще одна угода Скарфейса — цього разу лише дві кредитки; після МАЛпадре купив відразу дев'ять. У вересні Дек продав свої напрацювання у вигляді бази 18 мільйонів зламаних e-mail адрес, які містили ім'я, паролі і дати народження користувачів.

На Секретну Службу працювало п'ятдесят агентів, які відстежували кожну транзакцію на сайті, готуючи обвинувальну базу. Однак, найгірше було те, що більша частина мешканців ShadowCrew платила за те, щоб їх відстежували агенти Секретної Служби.

Незабаром агенти дізналися, що їх, здавалося б, продуманої операції проти хакерів, були прогалини. 28 липня 2004 року Гонзалес повідомив його наемщиков, що кардер під ніком Міф (Myth), один з кешеров Короля Артура, якимось чином роздобув один з секретних документів Агентства, в якому описувалася операція Фаєрвол. Міф відразу ж похвалився цією новиною в IRC-румі.

Федерали наказали Гонзалесу як можна швидше знайти джерело витоку. Гонзалес зв'язався з Міфом під своїм ніком і дізнався, що озвучені документи лише крапля в морі витекли даних Секретної Служби. Міф також розповів, що відносно ShadowCrew велося кримінальну справу, розповів навіть про те, що агентство мало свій ICQ аккаунт.

На щастя для Гонзалеса, в документах не згадувалося про інформатора. Міф відмовився видавати Гонзалесу своє джерело, але погодився організувати зустріч. на наступний день Гонзалес, Міф і таємничий хакер, що використав тимчасовий нік «Anonyman», зустрілися в IRC. Гонзалез старався з усіх сил, щоб заслужити довіру Anonyman, перш ніж хакер розкрив свою особистість.

Це був Етикс (Ethics), постачальник, якого Кумба вже знав по роботі на ShadowCrew. Витік починала набувати обрисів. У березні Секретна Служба помічала, що Етикс продавав доступ до бази даних великого оператора стільникового зв'язку T-mobile. Він писав на форумі: «Я пропоную доступ до інформації про клієнта за номером оператора T-Mobile. Як мінімум ви отримаєте ім'я, номер соціального страхування і дату народження клієнта. Як максимум ви отримаєте логін і пароль для виходу в інтернет, пароль голосової пошти і секретне питання/відповідь.»

T-Mobile не змогли виправити критичну пролом у захисті програми сервера, яке було куплено в Сан-Хосе у компанії БЕА Сістемс. Діра, яку виявили сторонні дослідниками, була напрочуд проста для використання — недокументированная функція дозволяла видаляти або змінювати файли в системі шляхом подачі спеціального веб-запиту. БЕА випустила патч для цього бага в березні 2003 року і присвоїла йому рейтинг високої небезпеки. У липні того ж року, дослідники, які виявили дірку, виступили з доповіддю на Зборі Чорних Капелюхів у Вегасі з приводу цього бага. Таким чином, пре-Def Con зібрала 1700 фахівців в області захисту інформації та керівників корпорація, дала новий виток інформації про проломи в захисті T-Mobile.

Этикс дізнався про дірку БЕА, написав 21 експлоїт на Visual Basic і почав сканувати інтернет на наявність потенційних жертв, хто не зміг або забув пропатчити програми. До жовтня 2003 року він занурив T-Mobile в бруд. Этикс написав додаток, за допомогою якого міг у будь-який момент звертатися до бази клієнтів.

Для початку він використовував свій доступ для отримання даних зірок Голлівуду. Йому вдалося отримати відверті фото Періс Хілтон, Демі Мур, Ештона Катчера і Ніколь Річі, вкрадені з їх комунікаторів. Тепер було очевидно, що скоро і він стане помічником Секретної Служби.

Простий пошук в гуглі по ICQ номером Этикса видав його справжні ім'я, вказане в резюме 2001 року при пошуку роботи в сфері комп'ютерної безпеки. Це був Ніколас Якобсен, 21 річний орегонец, який переїхав у Ірвін, штат Каліфорнія, щоб працювати сисадміном. Все, що потрібно було Секретній Службі для пред'явлення звинувачень Якобсену — важлива інформація на його комунікаторі.

Тут Гонзалес знову показав себе у всій красі. Тепер, будучи в дружніх стосунках з КумбаДжонни, Этикс зацікавився VPN сервісом лідера ShadowCrew, пояснюючи це тим, що за допомогою віртуальної мережі він зможе безпечніше використовувати базу T-Mobile. Гонзалес з радістю погодився допомогти і його господарі з Секретної Служби почали спостерігати, потираючи руки, як Этикс бродить по базі даних T-Mobile, використовуючи логін і пароль агента Петра Кавиччиа III, ветерана боротьби з кіберзлочинністю, який прославився завдяки арешту співробітника AOL, на крадіжці 92 мільйонів e-mail'ов клієнтів для продажу спаммерам.

Витік була знайдена. Кавиччиа спокійно пішов у відставку три місяці, а Этикс був доданий список цілей операції «FireWall». Була ще одна загроза розслідування і, як не дивно, вона виходила від одного з активів ФБР.

imageДевід Томас — шахрай за життя, виявив кримінальний форум у Фальшивій бібліотеці і незабаром став одним з шахраїв в кримінальному співтоваристві. Тепер 44 річний Ель Маріачі, як він себе називав, був одним з найвпливовіших членів у співтоваристві кардерів, взявши на себе роль наставника для молодих мошеников, роздаючи поради на всі випадки, починаючи крадіжкою особистих даних і закінчуючи уроками життя, які він отримав, живучи на околиці.

Проте його досвід не допоміг йому уникнути небезпек його професії. У жовтні 2002 року Томас з'явився у парку біля офісу в Исаква, штату Вашингтон, де він і його напарник орендували притулок для одного із засновників CardPlanet. Вони сподівалися отримати 30 000 доларів товарами Outpost.com за замовленням Українця. Але замість цього їх чекала місцева поліція.

Заарештувавши Томаса, детектив зачитав йому його права та дав йому папір для підпису, що підтверджує, що він їх зрозумів. Від однієї думки про те, що місцевий коп намагається допитати його, Томас розсміявся. «Ви не знаєте, кого ви взяли.» Томас просив детектива зателефонувати федералам. Секретна служба повинна була знати, хто такий Ель Маріачі, який може дати їм справу про росіян і «мільйони доларів».

Секретна Служба відвідала його в окружній в'язниці, але не була вражена його бізнесом на 30 000 доларів. Потім з'явився агент з місцевого відділення ФБР в Сіетлі. На другу зустріч агент привіз з собою помічника прокурора США і пропозиція — федерали не можуть допомогти Томасу в його місцевому арешт, але коли Томас вийде з в'язниці, він зможе працювати в Північно-Західній цільової групи з розслідування кібер-злочинів.

Це була б розвідувальна місія, офіційна назва для операції ФБР без попередніх цілей. Бюро виділив би Томасу новий комп'ютер, поселило б його в розкішних апартаментах, оплачувало б всі його витрати і давало 1000 доларів в місяць на кишенькові витрати. Натомість Томас повинен був збирати інформацію про підпілля і повідомляти всі новини цільової групи.

Томас ненавидів стукачів, але йому подобалася ідея отримувати гроші за можливість спостереження і коментування підпілля, яким він був одержимий. Однак збір інформації це не доноси, так він вважав. Він міг використовувати матеріал, який збере, щоб написати книгу про кардинг, про те, про що він думав дуже багато останнім часом.

Також він точно знав, як збирати інформацію і про самої цільової групи.

Томас вийшов з в'язниці через п'ять місяців після арешту. А в квітні ФБР отримало новий актив у війні з кіберзлочинністю — Ель Маріачі і його абсолютно новий, фінансований державою форум, названий Кидали (Grifters). Стаття в WIRED

Живучи на проплаченою бюро квартирі в Сіетлі, Томас дуже скоро зібрав достатньо інформації про його братів-кардерах, особливо зі Східної Європи. Хоч Томасі працював на ФБР, не відчував спорідненості з іншими державними органами, і поява новин про VPN сервісі підказало йому вірно — КумбаДжонни був інформатором федералів.

Томас зациклився на викриття його конкурента. Ігноруючи приписи його куратора з ФБР, він постійно вигукував ім'я Гонзалес на форумах. Гонзалес теж у боргу не залишався, він знайшов копію поліцейського звіту про арешт Томаса і розіслав її кардерам Східної Європи, звертаючи увагу на рядки, де Томас пропонував допомогу в затриманні росіян. Через війну двох інформаторів почалася масштабна війна між ФБР і Секретною Службою.

Це був невідповідний час для невдоволення західних європейців американської драмою кардерів. У травні 2004 року один з українських засновників CardPlanet був екстрадований у США, після арешту на відпочинку в Таїланді. В наступному місяці Британська національна поліція переїхав у Лідс, на сайт для англомовних адміністраторів.

Скрипт, якого допікало ФБР з округу Орандж і Американська поштова інспекція, змився з сайту, залишивши на чолі Короля Артура. 28 липня 2004 року Король зробив заяву.

Він написав: «Прийшов час повідомити вам погані новини — форум повинен бути закритий.» «Так, це дійсно означає закриття і тому є багато причин.»

На ламаною англійською пояснив, що CardPlanet став магнітом для правоохоронних органів з усього світу. Коли кардери траплялися, поліція вибивала з них факти про форум та його лідерів. Під тиском він міг помилятися. «Ми всі просто люди і кожен з нас може робити помилки.»

Закривши сайт CardPlanet, він позбавить його ворогів самого жирного шматка.

«Наш форум добре підготував, постійно тримаючи у формі і повідомляючи про всі новинки в світі підпілля. Тепер все буде однаковим. Вони не будуть знати, звідки дме вітер і що з ним робити», — сказав Артур.

З цією прощальною промовою Король Артур, десятикратний мільйонер, став легендою кардерів. Його будуть пам'ятати як людини, який акуратно виношував великий CardPlanet перш, ніж хто-небудь інший зміг отримати задоволення від його руйнування.

Лідерам ShadowCrew пощастило менше. У вересні ФБР махнула рукою на операцію з Томасом і дало йому місяць для виїзду з квартири і завершення його війни з КумбаДжонни. В наступному місяці, 26 жовтня, шістнадцять агентів Секретної Служби зібралися в командному центрі Вашингтона, готові почати Операцію «FireWall». Їхні цілі були відзначені на карті США, заповнює екрани комп'ютерів. Агенти знали, що кожна їхня жертва повинні бути вдома, — за наказом Секретної Служби Гонзалес призначив онлайн зустріч на цей вечір, і ніхто не відмовив Кумбе.

О дев'ятій вечора агенти, збройні напівавтоматичними MP5 увірвалися в будинки членом ShadowCrew, схопивши трьох засновників, хакера Этикса і шістнадцять інших покупців і продавців. Це була найбільша облава на злодіїв в американській історії. Два дні потому федеральне журі винесло шістдесят два вироки, а Міністерство Юстиції виступило перед публікою з інформацією про Операції «FireWall».

«Цей вирок вразив саме серце організації, яка позиціонувала як універсальний ринок для злодіїв персональних даних». — хвалився прокурор Джон Ешкрофт. «Міністерство юстиції прагне ловити тих, хто займається крадіжкою або шахрайством з даними незалежно від того, в інтернеті вони, чи ні.»

З допомогою Гонзалеса Секретна Служба заблокувала залишилися 4000 користувачів сайту і замінило домашню сторінку на банер Секретної Служби у вигляді решітки. Нова сторінка містила новий слоган «Ви більше не анонімні!!»

У паніці кардери по всьому світу почали читати новини і дивитися телевізор в пошуках інформації, так як були стурбовані за своє майбутнє і за майбутнє земляків. Вони зібралися на маленькому форумі, названому Стелс Дівіжн, щоб оцінити збиток і прийняти залишилися. «Я боюся до смерті за мою сім'ю, моїх дітей», — написав один з кібер-злочинців. «Я тільки що усвідомив, що кожен мій крок відслідковувався».

Поступово, учасники сайту зрозуміли, що КумбаДжонни не був у списку обвинувачених. Ось тоді-то він і з'явився в мережі, щоб зробив фінальне заяву.

«Я хочу, щоб кожен знав, що я в бігах і я не маю ні найменшого уявлення, звідки у Секретної Служби США була можливість зробити те, що вони зробили. З новин я дізнався, що вони отримали доступ до VPN і до ShadowCrew. Це мій останній пост, удачі.»

Нік Якобсен, Этикс, не був допущений до прес-релізу і утримувався в Лос-Анджелесі. Після того, як агентство зібрало всі нагороди за Операцію «FireWall», Этиксу було пред'явлено звинувачення за злом електронної пошти Секретної Служби. І все одно це була чиста перемога для уряду. CardPlanet був закритий, ShadowCrew закритий назавжди, їх лідери, крім Гонзалеса, у в'язниці.

Кардери були ошелешені, знесилені й на даний момент позбавлені притулку. «Підуть десятки років, щоб в інтернеті з'явилося щось, подібне ShadowCrew. І навіть якщо така з'явиться, сила правосуддя знову переможе це. А знаючи, яка розплата послідує за цим злочином, я сумніваюся, що хтось ризикне почати нову справу.»

приміткиChapter 16: Operation Firewall

1 Banner ads appeared at the top of the site: This and other reporting on
Shadowcrew's contents comes from a mirror of the public portion of the site captured
in October 2004, immediately before it was shuttered.

2 The posts disappeared at once: Interviews with Max. Aragon independently stated
that he and Max tried to warn Shadowcrew members in advance of the Operation
Firewall raid.

3 The transactions ranged from the petty to the gargantuan: Transaction details come
from the Operation Firewall indictment, U. S. v. Mantovani et al., 2:04-cr-00786, U. S.
District Court for the District of New Jersey.

4 the Secret Service had noticed Ethics was selling: Ethics's hacking of the Secret
Service agent was first reported by the author: “Hacker penetrates T-Mobile
syst ems" Securityfocus.com, January 11, 2005. His use of the BEA Systems exploit
came from sources close to the case and was first reported by the author: “Known
Hole Aided T-Mobile Breach," Wired.com, February 28, 2005
(http://www.wired.com/politics/security/news/2005/02/66735). See Also U. S. v. Nicolas
Lee Jacobsen, 2:04-mj-02550, U. S. District Court for the Central District of California.

5 David Thomas was a lifelong scammer who'd discovered the crime forums: For
Thomas's history with the forums and the details of his work for the FBI, see Kim
Zetter, «I Was a Cybercrook for the FBI,» Wired.com, January 20, 2007. A U. S.
government source confirmed to the author that Thomas had worked for the bureau
while running his forum, the Grifters.

6 «You don't know who you have here»: From the police report of Thomas's arrest.
“The problem with the Bureau and the Secret Service is they look at the largest
biggest deals they can get in on," Thomas said in a 2005 interview with the author.
«They want the big enchilada.»

7 Their targets were marked on a map of the United States: Brian Grow, “Hacker
Hunters," Businessweek, May 30, 2005 (http://www.businessweek.com/magazine
/content/05_22/b3935001_mz001.htm). The identification of the Secret Service
agents' guns also comes from this story.

8 Attorney General John Ashcroft boasted in a press release: “Nineteen Individuals
Indicted in Internet 'Carding' Conspiracy," October 28, 2004
(http://www.justice.gov/usao/nj/press/files/pdffiles/fire1028rel.pdf).

Продовження слід

Опубліковані переклади і план публікацій (стан на 16 листопада)PROLOGUE (Школярі табору GoTo)
1. The Key (Гриша, Саша, Катя, Олена, Соня)
2. Deadly Weapons (Юні програмісти ФСБ РФ, 23 сер)
3. The Hungry Programmers (Юні програмісти ФСБ РФ)
4. The White Hat (Саша, ShiawasenaHoshi
5. Cyberwar! ShiawasenaHoshi
6. I Miss Crime (Валентин)
7. Max Vision (Валентин, 14 сер)
8. Welcome to America (Alexander Ivanov, 16 сер)
9. Opportunities (jellyprol)
10. Chris Aragon (Timur Usmanov)
11. Script's Twenty-Dollar Dumps (Жорж)
12. Free Amex! Теплиця соціальних технологій
13. Siena Villa (Lorian_Grace)
14. The Raid (Жорж)
15. UBuyWeRush (Ungswar)
16. Operation Firewall (Жорж)
17. Pizza and Plastic (готове)
18. The Briefing (Жорж)
19. Carders Market (Ungswar)
20. The Starlight Room (Ungswar)
21. Master Splyntr (Ungswar)
22. Enemies (Alexander Ivanov)
23. Anglerphish (Жорж)
24. Exposure
25. Hostile Takeover
26. What's in Your Wallet?
27. Web War One (Lorian_Grace)
28. Carder Court
29. One Plat and Six Classics
30. Maksik
31. The Trial
32. The Mall (Shuflin)
33. Exit Strategy
34. DarkMarket (Валера ака Діма)
35. Sentencing
36. Aftermath
EPILOGUE


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.