Взлом CITIBANK

haker1

Больше всего в те времена меня раздражало, как пресса освещала эту историю. Все выглядело так, будто какие-то люди нашли уязвимость и просто влезли в компьютер. На самом деле не просто «влезли в компьютер» — это был большой, масштабный проект по сбору и систематизации информации.
Заварилось все это почти сразу после того, как я увидел Х.25, то есть в конце 1993 года — начале 1994-го. Суммарно все заняло чуть меньше года.
У этого «проекта» не было конкретной цели. Это был challenge, это было интересно как процесс. Мы не собирались воровать деньги: кто-то из моральных принципов, кто-то из-за того, что хорошо представлял себе, насколько это замороченное предприятие и какими последствиями оно чревато. Помимо этого, непременно пришлось бы общаться с разными неприятными людьми, чтобы как-то вывести оттуда деньги, а этого никому не хотелось.
Тогда мейнфреймов, с которыми можно было играть, стало очень мало. Те места, где они еще остались, были недоступны. А в Citibank можно было посмотреть на большие настоящие системы, на большие настоящие сети, которые строились с крупным бюджетом, да и вообще увидеть, как люди решают свои задачи.
Конечно, тогда мы сделали большую глупость, априори сочтя всех членов группы разумными людьми, представляющими себе цену информации, с которой мы работаем. Казалось удивительным, что один из нас решил распорядиться ей так глупо… Сейчас мне кажется, что это было абсолютно ожидаемо.
В группе было чуть больше десятка человек — переменный состав, кто-то приходил, кто-то уходил.
Один из наших продал информацию Левину. Этот человек полез в Citibank и, разумеется, попался.
Общение нашей группы проходило на сервере внутри самого Citibank. Там была одна машинка — фактически публичная BBS. На нее, так или иначе, натыкался любой, кто гулял по сети. Для того чтобы дальше обмениваться личными сообщениями, пользоваться чатом и так далее, нужно было иметь некие внутренние кредиты, но они достаточно легко получались — либо переводом с другого аккаунта, либо можно было зарегистрироваться липовым сотрудником Citibank и получить их.
Мы собирали много информации. Айтишники в Citibank довольно хорошо документировали то, что делали, охотно делясь друг с другом своими планами. Можно было найти любые данные: вплоть до того, у какого ветеринара кто-то из них лечит свою собаку и когда они планируют провести шахматный турнир. И на какие имена в Citibank выписывают пропуск, чтобы их туда пустили.
В основном данные брали из почты. Мы понимали, что читать чужую почту нехорошо, но в то время эти люди находились все равно что на другой планете — они не воспринимались персонально. В основном мы ломали конкретные машины людей, не серверы. Почта проходила через рабочие станции на OpenVMS, и там лежали ящики, где были довольно большие архивы.
Нельзя сказать, что мы нашли какую-то одну уязвимость. Напротив, там было очень много самых разных системных проблем.
Были некоторые баги, на которые мы натолкнулись случайно. К слову, их могли обнаружить только люди, пользующиеся кириллицей. К примеру, некоторый firmware просто падал из-за наличия восьмибитных символов в потоке.
Тогда все было совсем low tech. Эксплойты, в традиционном их понимании, только-только стали известным инструментом. Скорее, все выглядело так: можно было отправить устройство на перезагрузку, подключиться к консольному порту, который торчит в сеть, в первые секунды после перезагрузки и изменить конфигурацию.