Дело Владимира Левина - 11 лет спустя
Дата: 03.11.2005Источник:
Автор: ArkanoiD
... журналисты в конечной редакции — которую «по техническим причинам» «забывали» мне показать, решали «упростить» мой рассказ и представить дело так, что это я и был тем человеком, который продал Левину материалы исследовательской группы. Хотел бы сказать «бог им судья», но, будучи далек от христианской религии, скажу — плюньте в рожу этой мрази. Подобное обвинение ставит под сомнение не только мой профессионализм, а даже наличие элементарного здравого смысла. Разумеется, я хорошо понимал цену этой информации, и ни о какой подобной сделке и речи быть не могло. Да, я ошибся и моя ошибка меня многому научила — но идиотом я не был никогда.Что касается технической стороны взлома, то увы, тут я вынужден разочаровать читателя — все происходившее было, честно признаюсь, весьма low tech. То есть не было никакого анализа «вслепую» переполнений буфера в неизвестных программах без исходных текстов на экзотических архитектурах и прочего высшего пилотажа. Был системный подход и чуть-чуть везения. Некоторые вещи обнаруживались чисто случайно, как, например, имевшая очень большое значение для нас ошибка в ПО терминального сервера Emulex, позволявшая получить доступ к административной консоли, инициировав перезагрузку через послыку сообщения, содержавшего восьмибитные символы, с одного терминала на другой. А мы всего-то пытались поговорить через него между собой по-русски. Кстати, вполне возможно, что из всех собранных нами данных Левину было бы вполне достаточно перехвата сессий на этом терминальном сервере в Лондоне, да ещё одной ошибки в ПО терминального сервера 3Com в Нью-Йорке, через которые часто осуществлялся доступ операторов Citi Cash Management и прочих АРМ банка, к счастью, как правило, не требовавших никакого специального клиентского софта. В то, что Левин сотоварищи смогли бы разобраться в «сырых» структурах баз данных, используя прямой административный доступ, мне как-то не верится совершенно. Ну, ещё мог пригодиться пароль к дополнительному аутентификатору терминальных сессий из сети X.25, — это такое подобие аутентифицирующего firewall’а, — инструкции по его использованию мы получили «на блюдечке» почти в самом начале. IP-сети мы исследовали с помощью первого тогда бесплатного сканера ISS, — кстати, помнится, появление его коммерческой версии без исходников нас сильно озадачило — ну кому нужна такая штука, если к ней нельзя приделать свои тесты? Юниксовые пароли ломали crack’ом, — в общем, типичный инструментарий того времени.
А потом… Все закончилось. И самое странное, — что закончилось не так быстро. Дело в том, что пока мы изучали системы защиты, — Левин даже не задумывался об их существовании. И как при практически нулевой квалификации — а я знаю, о чем говорю, я видел спутниковые перехваты его терминальных сессий — он успел натворить крупных дел, для меня — до сих пор загадка. (Не спрашивайте меня, как ко мне попали эти данные, — иначе я никогда не смогу доказать, что человек, не имеющий ко всей этой истории никакого отношения, действительно не имел к ней никакого отношения). Вероятно, мы серьезно недооценивали степень безответственности и раздолбайства в самом банке и осторожничали сверх меры.
Вот, собственно, и все. После того, как Citibank закрыл вход из сетей X.25, звонить на прямые модемные входы в Нью-Йорке никто из нас не рискнул. Перед самым финалом я успел кратко пообщаться с одним из сисадминов MRDC, который наконец-то начал замечать «подозрительную» активность в сети, но ничего интересного мы друг другу сказать не успели. Да, — я надеюсь, что им попался таки на глаза оставленный мной документ с описанием, как решить их проблему с печатью на hp laserjet через DECnet.
Это, собственно, ровно треть истории. Другую треть знает Левин и его сомнительные друзья — если, конечно, они его сами не обманывали, после того, как он сделал свое дело, а последнюю — люди, занимавшиеся этим инцидентом в Citibank’е. Так что — куда делись те $400 тыс., которые так и не нашли, списали ли их под шумок и поделили и кто в этом участвовал — об этом я не имею ни малейшего понятия. Впрочем, об этом в сети есть достаточно предположений различной степени достоверности, и некоторые, на мой взгляд заслуживающие интереса, я привожу здесь в качестве ссылок, но давать какую-либо оценку этой информации я не могу, т. к. не владею предметом.
Да, и Интернет тут был совершенно ни при чем.
P.S.
Один из известных мне участников событий, как и я, продолжает заниматься информационной безопасностью, но тоже уже много лет в качестве «white hat». Его проекты весьма интересны, среди них — один из лучших персональных firewall’ов для Windows. Другой работает сейчас «простым» системным администратором, хотя тоже не то чтобы простым, а весьма успешным. Следы остальных затерялись, но я практически уверен, что полученный опыт им пригодился. Я не считаю, что история с Ситибанком — самое интересное в моей жизни. Думаю, более интересные вещи ещё впереди. И предпочитаю, чтобы люди работали со мной потому, что я хороший специалист, а не потому, что я «тот самый».
Если же кто-то, несмотря на мои разъяснения, решит слишком активно ворошить прошлое, то напоминаю, что я, в общем-то, не я, и лошадь, конечно же, не моя.
А примерно за неделю до написания этой статьи мне пришлел SMS от одного знакомого, который немного в курсе событий и решил, что это сообщение меня позабавит: «А я в ситибанке с зубилом, молотком и болгаркой в руках. Б#я, один в серверной.»
