Підпільний ринок кардерів. Переклад книги «KingPIN». Глава 25. «Hostile Takeover»

Кевін Поульсен, редактор журналу WIRED, а в дитинстві blackhat хакер Dark Dante, написав книгу про «одного свого знайомого».

У книзі показується шлях від підлітка-гика (але при цьому качка), до запеклого киберпахана, а так само деякі методи роботи спецслужб по затриманню хакерів і кардерів.

Квест з перекладу книги розпочався влітку в ИТшном таборі для старшокласників — «Шворінь: школярі переводять книгу про хакерів», потім до перекладу підключилися і Хабраюзеры і навіть трохи редакція.

Друге дихання «квест з перекладу книги» отримав завдяки компанії Edison.

MagisterLudi: «Приношу вибачення, під кінець року знову почалася плутанина з готовими головами, викладаємо що є, не за порядком.»

Глава 25. «Захоплення території»

(за переклад спасибі fantom)

«У війні найголовніше — швидкість: треба опановувати тим, до чого він встиг дійти; йти по тому шляху, про яке він і не думає; нападати там, де він не остерігається.»

«Мистецтво війни» Сунь Цзи було настільною книгою Макса. Сидячи у своєму таємному притулок, він накидав план наступу. Було п'ять англомовних підпільних кардинговых сайтів, і чотири з них були зайвими. Тижні пішли на вивчення противника: ScandinavianCarding, Vouched, TalkCash і його головний ворог, — DarkMarket. Цей англійський сайт з'явився на місяць раніше CardersMarket і прикладав великі зусилля, домагаючись репутації зони, захищеної від злому.

У відомому сенсі, плани Макса проникнути на інші майданчики, будувалися на його позитивних якостях. На руку йому грало, що він не був жадібним, і що він робив бізнес на CardersMarket. Тіньова кардинговая сцена була зруйнована, а коли Макс стикався з чимось розбитим, він не міг відмовитися відновити це, зовсім як робив це кілька років тому для Пентагону.

Відігравала свою роль і самолюбство. Здавалося, весь кардинговый світ думав, що Iceman лише адміністратор, здатний тільки встановлювати. Макс бачив прекрасну можливість показати кардерам, як вони помилялися.

На DarkMarket знайшлося слабке місце. Британський кардер Jils користувався цим сайтом. Він використовував один і той же пароль: «MSR206» скрізь, включаючи і CardersMarket, де Макс мав доступ до всіх паролів. Тепер Макс міг проникнути і господарювати на DarkMarket.

А ось Vouched був фортецею, ви навіть не могли зайти на сайт без модуля цифрового сертифіката, встановленого на вашому браузері. На щастя Jils був зареєстрований і тут, і навіть мав модераторські права. Макс знайшов копію довіреної сертифіката на одному з поштових акаунтів Jils, який був захищений звичайним паролем «MSR206». Тепер залишалося лише зайти на Vouched як Jils, і вся база даних була доступна.

Макс встановив, що пошук по сайту на TalkCash і ScandinavianCarding був вразливий для атаки SQL injection. Макс не був у цьому першовідкривачем. Вразливість до такої атаки — звичайна справа для сайтів. SQL injection використовує архітектуру складних по своїй структурі сайтів. Коли ви заходите на веб-сайт з динамічним вмістом: новинними нотатками, записами у блозі, біржовими котируваннями, на сайти інтернет-магазинів програмне забезпечення (ПО) сайту надає інформацію, видобуту з бази даних. Ця база даних зазвичай знаходиться на іншому комп'ютері, а не на хості, до якого приєднаний ваш комп'ютер. Веб-сайт — це фасад, а сервер з даними — заблокований. В ідеалі, він взагалі не доступний з інтернету. Програмне забезпечення сайту спілкується з сервером, що зберігають дані, на мові SQL (Structured Query Language-мова структурованих запитів). Наприклад, команда SELECT запитує у сервера всю інформацію, яка підходить під певні критерії. INSERT додає інформацію в базу даних. Рідко використовувана інструкція DROP видаляє великі обсяги даних. Це небезпечний інструмент, тому що найчастіше має відправити запит відвідувача сайту, як частина SQL — команди сервера. Якщо відвідувач сайту напише в рядок пошуку:
Sinatra
З сайту запросить у сервера інформацію наступним чином:

SELECT titles FROM music_catalog
WHERE artist = 'Sinatra';


SQL injection трапляється, коли ЗА неправильно обробляє запит користувача перед передачею його у вигляді команди сервера. Пунктуація може збити з пантелику. Якщо в наведеному вище прикладі написати у рядок пошуку сайту:

Sinatra'; DROP music_catalog;

зверніть увагу на апостроф і на крапки з комами, із-за них сервер отримає команду у вигляді:

SELECT * FROM music_catalog
WHERE artist = 'Sinatra'; DROP music_catalog;';


Для бази даних це дві послідовні команди, розділені крапкою з комою. Перша знайде альбоми Сінатри, друга — видалить музичний каталог.

SQL injection звичайна зброя в арсеналі хакера. Навіть сьогодні таким чином проникають на сайти всіх рівнів, в тому числі сайти електронної комерції і сайти банків. Отже, у 2005 ЗА TalkCash і ScandinavianCarding опинилися під прицілом.

Щоб скористатися уразливістю TalkCash, Макс зареєструвався, і послав безневинна на вигляд повідомлення. У тілі повідомлення ховалася SQL команда, написана шрифтом, колір якого збігався з кольором фону, а тому невидима оку. Він ввів пошуковий запит, а ПО сайту передало приховану команду в базу даних, де вона була виконана. Ця команда була INSERT, і вона додала на сайт ще одного адміністратора — Макса. Те ж саме він проробив і на ScandinavianCarding.

До 14 серпня Макс був готовий показати світу кардинга, на що він здатний. Він проник на сайти через таємно зроблені дірки, і, використовуючи свою підроблену обліковий запис адміністратора, скопіював бази даних. Такий план був гідний Сунь Цзи: ніхто з конкуруирующих майданчиків не чекав атаки і захоплення. Більшість кардерів уникало публічності, не виставляла себе на показ. Ворожий захоплення був беспрецендентен.

Покінчивши з англомовними сайтами, Макс переключився на Східну Європу. Було прагнення об'єднати Східноєвропейських кардерів з західними, але зусилля Tea були безплідні. Російським подобався американський Tea, але вони йому не довіряли. Дипломатія провалилася, настав час діяти. Він виявив, що такі майданчики, як Cardingworld.cc і Mazafaka.cc захищені не краще, ніж західні, і незабаром вже скачував звідти приватну переписку та статті з форумів. Мегабайти кирилиці попливли на його комп'ютер. Таємниці шахрайських операцій, розповіді про хакерські атаки, які велися проти Заходу і тривали місяцями, тепер отримали постійну прописку на жорсткому диску Макса в районі Тенделойн, Сан-Франциско.

Завершивши завантаження бази даних, на кожному сайті він запускав команду DROP, стираючи оригінал. ScandinavianCarding, TalkCash, Vouched, DarkMarket, Cardingworld — всі ці клопітливі, цілодобові торгові майданчики, якими користувалися близько 10 тисяч чоловік, які обслуговували тіньову економіку і ворочавшие мільярдами доларів, припинили своє існування. Шестизначні суми кримінальних структур; гроші на витрати, видані дітям, дружинам або коханкам; хабарі поліцейським; іпотечні суми, дебітові рахунки, платежі — все це вмить зникло. Невідворотно. Гроші втрачені. Всім їм належало дізнатися ім'я Iceman.

Макс продовжив роботу з вкраденої інформацією, ігноруючи Східноєвропейські дані. Після видалення дубльованих і небажаних записів з чотирьох англомовних майданчиків, залишилося 4500 нових членів для CardersMarket. Всіх їх він додав в базу даних свого сайту, так що тепер вони могли увійти на нього, використовуючи свої старі логіни і паролі. На CardersMarket тепер було шість тисяч користувачів. Більше, ніж на Shadowcrew коли-небудь.

Він оголосив про силове злиття в масовій розсилці своїм новим членам. Коли в Сан-Франциско настав ранок, він побачив їх усіх разом, збентежених і лютих, на своєму об'єднаному форумі. Matrix001, німецький адміністратор DarkMarket вимагав пояснень у Iceman'а.

Зазвичай мовчазний король спаму Master Splyntr взявся критикувати організацію матеріалів, викрадених Iceman'ом. Весь вміст сайтів-конкурентів тепер розміщувалося в новому розділі CardersMarket, який називався «Історія записів з поглинених форумів.» Ці записи були неотсортированы і важко було знайти; Макс вважав, що ця інформація заслуговує на збереження, але не сортування. Спочатку Макс спостерігав з боку, потім вступив в розмову і дав зрозуміти, хто за всім цим стоїть.

@Master Splyntr: «Якщо у вас немає нічого конструктивного або нового, ваш коментар небажаний. Якщо вам не подобається організація викладки, забирайтеся і повертайтеся пізніше, тому що вона ще не відсортована.»


@matrix001: «Старі форуми були недбалі в питаннях безпеки, використовуючи загальні хостинги, відмовляючись від шифрування даних, входячи в систему по IP адресам, використовуючи 1234 як адміністративний пароль (так, дійсно, це так!) і вседозволеність адміністраторів. Деякі, такі як Vouched, давали помилкове відчуття безпеки, що, як вам відомо, ще гірше.

Ви запитаєте, що все це значить? Якщо ви маєте на увазі злиття п'яти кардинговых форумів разом, то коротка відповідь така: тому, що в мене немає ні часу, ні бажання приєднати ще чотири, що залишилися з дев'яти. По суті цей крок назріло. Навіщо мати п'ять форумів з однаковим змістом, поділом продавців і покупців, зі слабкою безпекою, слабким адмініструванням, слабкою модерацією. Це не просто так, це для всіх благо. З правильною модерацією ми повернемося до початкового „жорсткого“ керівництва з нетерпимістю до риппингу і анархії в обговоренні тем і промо-акцій. Зараз багато сміття і зі старих форумів, але ми його вичистимо.
Заради чого? Безпека. Зручність. Підвищити якість і зменшити перешкоди. Внести порядок у бардак...»

Канадський хакер Silo заявив, що Iceman зруйнував соціальні зв'язки, що тримали співтовариство кардерів разом. Він згубив довіру.

Silo: «Ти угробив безпеку нашої спільноти. Вкрав дані з інших форумів. Могло б твоє злиття статися при згоді адміністраторів всіх форумів? У чому різниця, якщо я зламати твою пошту і прочитаю її або опублікую на форумі? З якого боку не подивися, ти показав як мало слід довіряти в нашому співтоваристві. Моя пропозиція така: ти повинен видалити дані, які вкрав. Правильно буде ЗАПИТАТИ адміністраторів майданчиків; правда, що єдина площадка відповідає інтересам нашої спільноти; і почекати, що вони дадуть відповідь. Ось моя думка.»


Людей з навичками Iceman'а багато. Від суспільства залежить, як вони використовують їх.

Vouched повернувся онлайн, але ненадовго. Передбачалося, що це приватний, безпечний форум відкритий тільки для обраних. Після витівки Макса довіру до нього похитнулося, і ніхто не захотів повертатися. ScandinavianCarding і TalkCash були приречені, у них не було резервних копій баз даних. В основному їх клієнти залишилися на CardersMarket.

Крім російських форумів, що Макс не міг використовувати із-за незнання мови, тріумф Макса затьмарювало тільки одне: DarkMarket." Його головний суперник мав резервні копії і зайнявся відновленням, обіцяючи повернутися до роботи через кілька днів. Це був виклик всьому, що Макс намагався досягти для себе і для співтовариства. Війна почалася.

Тим часом, в графстві Оранж, Кріс теж зміцнював свій бізнес. Він вирішив, що було б зручно, щоб усі працівники, зайняті повний робочий день, жили в одному місці. Комплекс квартир Архстоун (Archstone), здавався в оренду через інтернет, чудово вписувався в його плани. Бажаючі могли заповнити заявку на сайті компанії, внести завдаток $99 і плату за перший місяць картою. Кріс все міг зробити через інтернет, і його співробітники могли не показуватися до дня в'їзду, коли їм варто було з'явитися в офісі орендодавця, пред'явити свій ID і отримати ключі від квартир. Він відправив двох своїх співробітників і Маркоса, свого зв'язкового в Архстоун Мішн Велья (Archstone Mission Viejo) — мебльовані кімнати у вигляді особняків, розфарбовані в кольори заходу сонця і прилеглі до пагорба, усіяний пальмами і високовольтними лініями, в п'яти хвилинах ходьби від його будинку. Також він хотів збільшити свою команду. Одна співробітниця поїхала в Толедо після вторинного банкрутства її магазину, а дві інші з огидою відмовилися працювати, коли подруга-тінейджер Кріса завагітніла від нього. Зараз він платив за квартиру молодій матусі і їх сина, чиє існування приховував навіть від своєї матері.

В офісі НСФТА (NCFTA) в Піттсбурзі Кейт Муларски (Keith Mularski), що писав під ім'ям Майстра Сплинтера (Master Splyntr), отримав таємне повідомлення від Iceman'а два дні після захоплення. Хакер вибачався за деякі необдумані слова на форумі. Очікуючи наступний етап протистояння DarkMarket і CardersMarket, Iceman похвалився, що легко відіб'є будь-яку DDoS атаку на свій сайт. Пізніше, шукаючи в інтернеті інформацію про Майстер Сплинтере, він дізнався, що це спамер з світовим ім'ям і армією роботів. Здається Iceman мимоволі зробив з простого критика непримиренного ворога.

«Не ображайся на мої коментарі. Це правда, що якщо хто-небудь спробує напасти на мій сайт, я отслежу його і зачеплю або завалю. Але я не хотів кинути виклик. Нікому не хочеться втрачати час на такі справи, по справжньому DDoS не приносить радості і тому, будь ласка, не бери невірних рішень :-)»


Муларски почав розуміти, що перед ним відкриваються нові можливості. Ніхто нікому більше не довіряв. Всі озлилися на всіх. Якщо він зіграє за обидві сторони, то зможе влаштовувати набіги на територію обох адміністраторів, поки вони зчепляться в битві за користувачів. У нього було три незалежних облікового запису. Він скористався одним, щоб відповісти.

«Ніяких проблем, бро, ми — команда. Я сам можу ляпнути чого зопалу. Навіщо мені атакувати. Чорт, мої боти навіть ще не налаштовані для атаки. Розсилки приносять мені набагато більше. Я не роблю нічого, що не приносить дохід. Тільки якщо мені не оголосять вендету, якої поки немає. І якщо тебе атакують, я також гарний у відстеженні і нападі, постучись до мене в ICQ 340572667, якщо буде потрібна допомога. :-) МС»


Муларски сидів перед монітором, чекаючи відповіді. Через кілька хвилин на екрані з'явився напис:

«Величезне спасибі :-), до речі, є у тебе міркування щодо ведення справ, крім банальних рад по організаційним моментам? Я збираюся внести зміни і тепер ти можеш пропонувати послуги і можеш вибрати собі будь-нік. Не знаю ти надаєш послуги електронної пошти, але думаю, що мати свою мережу круто. Впевнений, що нам краще мати можливість найняти тебе. Також, якщо ти поніс збитки в бізнесі, приношу свої вибачення. Я зберіг деяких вендорів, але частина була втрачена. Просто доводжу до твого відома. Дякую, бро :-) Також додав тебе в групу VIP.»


Це був багатообіцяючий відповідь. Муларски обговорив все зі своїм інспектором. Потім звернувся в штаб-квартиру до керівництва Групи II. На дві сходинки нижче «участі під прикриттям» від ФБР, але на сходинку вище його ролі пасивного спостерігача». Його становище не дозволило б йому брати участь у будь-яких незаконних справах, але він міг би нарешті активно боротися з підпіллям. Він назвав CardersMarket, і все пов'язане з роботою майданчики, стало предметом розслідування.

Дозвіл прийшло швидко. Але, незважаючи на обнадійливі слова, Iceman перевіряв сумнівної партнера; він тримав Муларски на відстані, не ділився секретами і тільки прерписывался в чаті через сайт. Агентові ФБР більше пощастило на іншій стороні. Він був одним з перших членів DarkMarket і після нетривалих переговорів Jils, засновник сайту, швидко прийняв Майстра Сплинтра на посаду керівника. На початку вересня Сплинтр став модератором сайту.

Війна розгоралася. Незважаючи на уроки серпневого вторгнення, Jils не міг домогтися повного захисту DarkMarket. Iceman став регулярно проникати в базу даних і видаляти випадкові акаунти, просто, щоб досадити Jils. Коли DarkMarket у відповідь почав запеклу DDoS атаку проти Іранського хоста CardersMarket, Iceman відповів тим же. Обидва сайту затріщали під напором непотрібних пакетів. Iceman потай орендував місце у американської хостингової компанії з широким каналом, пропустивши трафік через них, очистивши, він пересилав його далі, на свій справжній сервер по зашифрованому каналу. Jils рвав волосся, ділився своїми бідами з Майстром Спинтром. Муларски перемістив свою увагу з Iceman'а на боса Британських кібер-злочинців, який почав звертатися з ним як з другом. Він здогадався, що Jils задумався кому б довірити на час DarkMarket, щоб зробити невразливий хостинг. Комусь, хто звик підтримувати роботу сайту, який ненавидять все. Спамеру.

«Ну, ти знаєш, на що я здатний», — написав він у чат, «Я хороший в створенні серверів, я охороняю їх цілодобово. Я можу зробити це саме для тебе.»


Муларски задумав оригінальний план. У минулому й у «Секретної служби»(Secret Service), і у ФБР були адміністратори інформатори: Альберт Гонсалес на ShadowCrew і Дейв Томас на Grifters. Але реально працювати на майданчику, дало б доступ до всього від IP адрес кардерів, до будь-якої секретної інформації. Якби Майстер Сплинтр зайнявся сайтом, він отримав би таку довіру, про який жоден агент не міг і мріяти. Jils зацікавився пропозицією Майстра Сплинтра, і Муларски приготувався до наступної поїздки до Вашингтона, Округ Колумбія.

Продовження слід

Опубліковані переклади і план публікацій (стан на 18 грудня)PROLOGUE (Школярі табору GoTo)
1. The Key (Гриша, Саша, Катя, Олена, Соня)
2. Deadly Weapons (Юні програмісти ФСБ РФ, 23 сер)
3. The Hungry Programmers (Юні програмісти ФСБ РФ)
4. The White Hat (Саша,
ShiawasenaHoshi
5. Cyberwar! (
ShiawasenaHoshi
6. I Miss Crime (Валентин)
7. Max Vision (Валентин, 14 сер)
8. Welcome to America (Alexander Ivanov, 16 сер)
9. Opportunities (jellyprol)
10. Chris Aragon (Timur Usmanov)
11. Script's Twenty-Dollar Dumps (Жорж)
12. Free Amex! Теплиця соціальних технологій
13. Siena Villa (Lorian_Grace)
14. The Raid (Жорж)
15. UBuyWeRush (Ungswar)
16. Operation Firewall (Жорж)
17. Pizza and Plastic (готове)
18. The Briefing (Жорж)
19. Carders Market (Ungswar)
20. The Starlight Room (???)
21. Master Splyntr (Ungswar)
22. Enemies (Alexander Ivanov)
23. Anglerphish (Жорж)
24. Exposure (+)
25. Hostile Takeover (fantom)
26. What's in Your Wallet? (done)
27. Web War One (Lorian_Grace ?)
28. Carder Court (drak0sha)
29. One Plat and Six Classics (+)
30. Maksik (+)
31. The Trial (+)
32. The Mall (Shuflin+)
33. Exit Strategy (done)
34. DarkMarket (Валера ака Діма)
35. Sentencing (comodohacker+)
36. Aftermath (ex-er-sis ?)
EPILOGUE


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.