Приветствую Вас ГостьВторник, 24.10.2017, 02:14

Технократическое Движение


Каталог статей

Главная » Статьи » Кибернетика

БАНКОВСКАЯ БЕЗОПАСНОСТЬ
ВВЕДЕНИЕ:

Когда говорят о надежности банка, обычно подразумевают его личную финансовую надежность, забывая при этом о мошенниках, грабителях и аферистах. Казалось бы, эпоха гангстеров прошла, ее сменила эпоха безналичных расчетов, привнесшая с собой абсолютную надежность от внешних факторов. Ведь как можно украсть то, что нематериально? Естественно, нематериальные деньги можно украсть только таким же способом - законным экономическим. Но мы живем не в таком простом мире, как кажется на первый взгляд, и законные финансовые махинации - отнюдь не единственная угроза безопасности банка. Природные катаклизмы, термоядерные войны и прочие форс-мажорные обстоятельства мы не берем - их никто не может предвидеть. В этом докладе речь пойдет только об информационной безопасности. Естественно, разорение банка списанием на его счет расходов за электричество всего Поволжья тоже является такой проблемой, поэтому мы будем считать банк не как здание или организацию, а как винтик в финансовом механизме страны и всего мира. Также, здесь не будет идти речь о других "винтиках", это рекламные агентства в Интернете, провайдеры, телефонные компании, курьерские службы, биржи (в том числе и нью-йоркская фондовая биржа на Уолл-Стрит), холдинги (хотя именно они являются наиболее уязвимой частью мировой финансовой системы) и тому подобные объединения. Только банк как финансовая структура и все, что к нему примыкает.

 

Необходимо прояснить ситуацию, связанную с якобы абсолютной надежностью банков, и объяснить, куда ежегодно исчезают триллионы долларов. В первую очередь я хотел бы рассмотреть проблемы пластиковых карт (кредитных, дебетных и расчетных), процессинговых центров, систем подтверждения транзакций и технологию взаимоотношений банка с магазином. Слишком много ходит слухов сейчас вокруг хакеров и банков - эта проблема сейчас актуальна как никогда. 
Итак, что мы имеем. Банки кричат о своей потрясающей защите и невозможности взлома. "Ни одного взлома пока не зарегистрировано" - фраза с рекламного плаката одного американского банка, чье имя я не буду упоминать по понятным причинам. Именно так: "не зарегистрировано". Это может значить только две вещи: либо банк скрывает факты взлома, что вполне вероятно, либо их офицеры безопасности зря едят свой паек, раз не смогли даже обнаружить факт взлома. Почему невозможен третий вариант? Этому и посвящена эта статья.
Здесь не будет ни детального описания используемых в банках защитных систем, ни листингов вредоносных программ. Эта статья - попытка переложить знания по информационной безопасности на банковские структуры, взглянуть изнутри на ставшие уже обыденными расчетные процессы и показать на примерах, насколько они незащищены от информационных атак. Здесь нет универсальных решений - это лишь попытка заставить задуматься над собственной информационной уязвимостью. Есть лишь одно решение - постепенное совершенствование защитных систем и методов подготовки системных администраторов.

ПАРАГРАФ №1: "КАРДИНГ"


"Кредитные карты абсолютно безопасны, ведь они не несут на себе информацию о счете, а лишь являются ключом к системе электронных транзакций", - фраза, встречающаяся в рекламных плакатах ПОВСЕМЕСТНО. Итак, банки считают, что ключ подделать сложнее, чем содержимое сейфа. В этом параграфе я докажу, в своей недальновидности банки совершили громадную ошибку, сделав карты такими, какие они есть, создав вместо сверхнадежных электронных денег некое подобие ничейных банкнот, валяющихся под ногами. 
Итак, разговор пойдет о кардерах, или, как говорят в УЭПовцы, "пластиковых ворах", что не совсем верно, так как кардер может никогда в жизни не видеть ни карточки, ни банкомата, и при этом быть грозой международной финансовой системы (и в конце концов, можно просто взломать банкомат с помощью взрывчатки, жидкого гелия, клещей, кислоты, лазера, лабораторного ускорителя плазмы или монтировки, только это никак не будет "информационной атакой"). Таким образом, мы отметаем проблему банкоматов (эти аппараты давно пора снабдить тяжелым оружием). Остаются карты: кредитные, дебетные и расчетные. Разберем кредитные - этого хватит для разъяснения ситуации. Собственно, что нужно для покупки товара по "кредитке" (назовем ее так для краткости)? Не так давно был нужен номер, который (это самая важная часть) ПРОСТО ДОЛЖЕН УДОВЛЕТВОРЯТЬ ОПРЕДЕЛЕННЫМ УСЛОВИЯМ (это я о контрольной цифре). Итак, вычисли этот наипримитивнейший алгоритм (задача для первого класса) и тебе покорятся финансовые системы всего мира? Не все так просто. Банкиры вовремя одумались и теперь для КРУПНЫХ покупок нужно знать реально существующий номер кредитки, имя владельца и дату окончания действия карты. Но это заслуга не столько банкиров, сколько администраторов магазинов, торгующих по безналичному расчету. Так как же происходит взаиморасчет между покупателем и продавцом, и какую роль здесь играет сам банк (эта схема будет действительна как для покупки "вживую", так и для покупки по телефону, факсу или Интернет)? В сущности, никакую. Когда человек совершает покупку по карте, продавец регистрирует параметры карты (номер, срок действия, иногда сверяет имя на карте с документами). Затем он обращается в локальный процессинговый центр (центр обработки карт) за авторизацией транзакции с такими данными: он (продавец) собирается совершить по данной карте транзакцию на определенную сумму. В ответ он получает либо отказ, либо авторизацию в виде числа, которое продавец немедленно регистрирует. Это число гарантирует, что деньги он получит несмотря ни на что. Сумма транзакции немедленно замораживается, даже если покупатель отказался от покупки в последний момент. Только в конце расчетного периода (обычно он составляет 30 дней) можно будет вновь распоряжаться этой суммой. Само обращение продавца в процессинговый центр может происходить по-разному: продавец может позвонить туда голосом либо касса может сделать все сама. Чаще всего в ход идут промежуточные варианты. Таким образом, продавец не только не знает, сколько денег на карте, он также не знает, есть ли на карте нужная сумма. Все, что он может сделать - это получить авторизацию на перевод. Причем он обращается не в банк, как думают некоторые владельцы карт, а в локальный (местный) процессинговый центр, который обычно расположен в одном из местных банков, то есть банк, выдавший карту, может быть на другом конце света. Далее следует обратить внимание на факт заморозки денег на счете - для легального владельца - мелкая неприятность, для мошенника - проблема, так как отмена авторизации связана с волокитой, и не все продавцы на это соглашаются.
Действительно, система крайне примитивна. Именно поэтому (а еще из-за просто фантастических масштабах мошенничества) некоторые фирмы, принимающие заказы по телефону, факсу или Интернет, то есть те, которые не могут удостовериться в личности заказчика (как я уже упоминал, в других случаях при возможности иногда сверяют имя владельца с документами), требуют дополнительную информацию о владельце, которую кардер, по идее, знать не должен, например, zip-код (почтовый индекс) получателя. Это, однако, не всегда составляет проблему для мошенника, но все же дает надежду, что кардеры-новички будут избегать таких мест. Но не все так просто. Многие фирмы (Россию в расчет не берем) заботятся о своей репутации, и скорость обслуживания клиентов - одна из главных характеристик хорошей компании, поэтому они часто отправляют заказ сразу же, не дожидаясь перевода, убедившись только, есть ли такая карта в природе и есть ли на ней такая сумма. Но и это еще не все. Зачем, например, ждать часы пока проверят номер карточки, по которой была заказана пицца? Лучше заплатить наличными! Выше я предупреждал, что эти правила касаются крупных покупок, система мелких транзакций, наоборот, упрощена ДО ПРЕДЕЛА. Именно по этому система "введи номер, подходящий в формулу, и получи заказ" ЖИВЕТ И ПРОЦВЕТАЕТ. Чтобы узнать, почему, и какая транзакция считается мелкой, обратимся к истории кредитных пластиковых карт.
Кредитная карта называется "кредитной" потому, что для нее существует некая сумма, которой банк БЕЗОГОВОРОЧНО верит. То есть, если размер транзакции не превышает эту сумму, банк АВТОМАТИЧЕСКИ считает, что такая сумма есть на счете, и, в случае если ее там не окажется, сам покрывает расходы. Именно поэтому система расчетов, не превышающих эту сумму, упрощена до предела. Отлично! При такой системе магазинам не надо ждать перевода! Собственно, можно и не продолжать. Заказы на значки, наклейки, коммерческие версии программ (только не на емких физических носителях), платной информации - все это бесплатно для владельца алгоритма вычисления контрольной цифры. Теперь еще один шок: несмотря на то, что алгоритмы достать достаточно просто, некоторые до сих пор не знают, что эти самые алгоритмы нигде не надо искать, потому что они ОБЩЕИЗВЕСТНЫ, ОБЩЕДОСТУПНЫ и АБСОЛЮТНО БЕСПЛАТНЫ. Естественно, это нелегально. Но кто докажет факт? Приводить алгоритмы не буду, это противоречит УК РФ. Программа, выдающая ОГРОМНЫЙ список номеров карт по названию банка, называется кардгенератором. Несколько слов о самом номере карты. Это шестнадцатизначное (реже - тринадцатизначное) число. Первая цифра определяет тип карты (3 - American Еxpress, 4 - VISA, 5 - MasterCard и т.д.), следующие три - банк, к которому относится карта. Далее следуют цифры, идентифицирующие саму карту, и последняя цифра является контрольной. Контрольная цифра получается в результате определенных математических вычислений со всеми остальными цифрами карты. Подробнее на этом останавливаться не буду - все это я уже изложил выше. Теперь, когда технология покупки ясна, объясню технологию самого кардинга. 
Первое - это добыть параметры карты. Второе - заказать товар. Третье - продать его, так как оставленный себе товар - лучшая помощь милиции. Начнем с самого начала. Добыча параметров карты. Это, пожалуй, один из самых ответственных этапов для кардера, но, ПОДЧЕРКИВАЮ, ДАЛЕКО НЕ САМЫЙ СЛОЖНЫЙ. Именно невероятная легкость в получении параметров и является главной слабостью мировой системы кредитных карт. Эта часть параграфа очень важна, и я постараюсь изложить все предельно кратко и ясно, систематизировав методы "кражи". Итак, добыча параметров и методы ее предотвращения.

ВАРИАНТ #1 (физическая кража карты). Не подходит, так как карта блокируется по первому звонку потерпевшего, причем не просто блокируют, а отслеживают нелегальное использование. Метод борьбы - если все-таки украли, сообщить об этом немедленно (между кражей параметров и покупкой товара часто проходит очень мало времени, иногда - несколько минут).

ВАРИАНТ #2 ("кража" параметров с карты). Вполне подходит. Кредитная карта - такой глупый инструмент, что содержит на себе все, что нужно для покупки (впрочем, возможно, ситуация изменится скоро, но я в это не верю). Плюсы метода - жертва не знает о факте "кражи". Метод борьбы - не держать карту на виду.

ПРИМЕЧАНИЕ (фрагменты номеров). Я не зря упомянул программы-кардгенераторы и алгоритмы вычисления контрольной цифры. С помощью этих методов кардер может вычислить полный номер карты по его фрагменту (иногда выходит несколько вариантов, в этом случае кардеру необходима дополнительная информация).

ВАРИАНТ #3 (трэшинг). Трэшингом (от англ. trash - мусор) называется вариант с копанием в мусоре. Этот метод широко применяют не только кардеры, но и хакеры, а также мошенники другого толка. В этом случае кардер ищет рядом с магазином, принимающем кредитные карты, место, куда выкидывают мусор. После того, как весь хлам из магазина выброшен, кардер быстро забирает и уносит его до того, как его увезут. Хакерам же сложнее - крупные компании, их главные цели в экономическом мире, ежедневно продуцируют ТОННЫ мусора, а кража контейнера (забавно - мусорный контейнер с фирменным логотипом) - это серьезное преступление, поэтому им приходится погружаться в мусор, что называется, "с головой". У этого варианта есть, однако, несколько минусов. Во-первых, существует территориальная проблема. Американский мусор на московских улицах - нонсенс, на который нельзя рассчитывать. Во-вторых, никто не гарантирует мошеннику, что тот узнает хоть один номер кредитки. Но все же очень велика вероятность, что в бумагах окажется много полезной информации. Если кардеру повезет, то он может найти, например, слипы от карт (чеки с информацией о карте и покупке) или (очень важная деталь) отчетности бухгалтера по принятым карточкам, который допустил ужасную ошибку, выкинув документ, не превратив его предварительно в мелкую стружку. Методы борьбы очевидны: либо ставить у всех мусорных контейнеров двух охранников с автоматами плюс двух мотоциклистов в качестве конвоя мусоросборнику, либо надо уничтожить все корзины для бумаг на планете и установить вместо них уничтожители документов, устройства не слишком надежные, но экологически безвредные (в отличие от мусоросжигателей - кто захочет платить дополнительный налог?). Вообще, уничтожители бумаг - одни из самых полезных в деле информационной безопасности механизмов. Возможно, их повсеместное распространение (то есть: в каждой квартире, на улицах, в метро) и нанесло бы удар по мошенникам, если бы не существовало миллиона других способов добывать чужие тайны.

ВАРИАНТ #4 (низшая коррупция). Этот вариант базируется на сговоре либо обмане, что для хакера - одно и то же, кардера с продавцом о списывании им номеров и имен с чужих карт (сверхэффективная вариация способа #2). Плюс способа в том, что даже на карте, которую проверяет бармен или официант в мелком ресторане, могут быть суммы, превышающие бюджет Российской Федерации (чисто теоретически, конечно). Второй плюс - нет необходимости запоминать. Поясняю: когда карточка проходит через кассира, после обработки на специальном аппарате выдается два слипа (чека с информацией о карте и покупке). Один отдается клиенту, а второй остается в магазине и затем отправляется в банк, чтобы тот его оплатил. Минус метода - легкая раскрываемость. Покупатель, как правило, знает, ЧТО и ГДЕ он заказывал. За 1998 год отдел УЭП, занимающийся кардерами, задержал за такие операции более 40 кассиров. Поэтому сейчас найти сообщника кардеру труднее. Кроме того, кассиры, в отличие от кардеров, не слишком хорошо представляют себе технологию работы хакеров и УЭПа, поэтому быстро сознаются. Собственно, метод борьбы здесь один - увеличить финансирование УЭПа, ибо читать мысли кассиров удастся еще не скоро, заменить их роботами не позволит профсоюз, а увеличение параметров карты дестабилизирует всю финансово-кредитную систему мира.

ПРИМЕЧАНИЕ (поведение на допросе). Сами кардеры почти никогда не сознаются. Почему это происходит, я объясню позже, когда буду разбирать систему покупки товара.

ВАРИАНТ #5: (социальная инженерия). Социальной инженерией сейчас, почему-то, принято называть чуть ли не всю социологию вместе с психологией, но это не так. Социальная инженерия в оригинале - это наука управления людьми против их воли. Иначе говоря, система морально сильнее отдельного человека, и этим надо пользоваться. Она была изобретена хакерами, а точнее даже далекими предками хакеров - фрикерами, лет двадцать - тридцать тому назад. Если кто-то думает, что социальная инженерия бесполезна, я могу привести факт: случаи, когда хакер заставляет генерала (или еще кого-нибудь) вставать посреди ночи, ехать полстраны (это я про Америку, конечно) и включать абсолютно секретный терминал, после чего этого генерала понижали в звании или отправляли под трибунал, повсеместны. Можно легко довести человека до самоубийства или выведать какую-нибудь государственную тайну. Естественно, это требует фантастических интеллектуальных способностей, поэтому кроме хакеров никто эти технологии не применял, не применяет и вряд ли будет когда-нибудь применять. Впрочем, это, возможно, даже хуже для простого обывателя. Итак, социальная инженерия. Наука сложная и опасная, однако существуют ОЧЕНЬ простые схемы, позволяющие выведать у человека параметры карточки (собственно, это-то нас и интересует). Самый простой, оперируя устройством под названием антиАОН, или синий ящик, как ее называют фрикеры ("телефонные пираты", как нам их преподносит пресса), совершается звонок, кардер представляется служащим банка, к которому пришла информация, означающая, что владелец совершил операцию на крупную сумму (допустим, десять тысяч долларов), и просит подтверждения транзакции. Жертва отвечает отрицательно (при этом ОЧЕНЬ волнуется - сумма-то большая), кардер объясняет эту ошибку либо ошибкой банка, либо происками кардеров (точнее "нелегальным использованием"), затем спрашивает номер карты и дату окончания, после чего просит, например, не совершать покупки в течение определенного времени (чаще в течение текущего дня либо некоторого количества (одних - двое) суток) и обещает после проверки позвонить. Все. Входные данные: имя и название банка (телефон узнается по имени и проверяется "ошибочными звонками"), выходные данные: номер и срок окончания карточки. Далее кардер постарается как можно скорее заказать по этой карточке товар, пока жертва не позвонила в банк. Минусы этого конкретного подхода - жертва может спросить номер (если нет АОНа) и перезвонить в банк, дабы удостовериться, что ей звонят из банка. Методов борьбы с более сложными вариантами социальной инженерии не существует. Даже будучи кардером, можно легко попасться на них. Выход - рисковать.

ВАРИАНТ #6: (хакинг). Самый совершенный метод из всех. Кардер не обязательно является хакером, но если он является или имеет союзников-хакеров (или, как говорят в УЭПэ - сообщников), тогда задача неимоверно упрощается. Сейчас объясню почему. То, что в Интернет идет постоянная война хакеров со всеми остальными - ни для кого не секрет. Но многие не знают, что самый частый трофей в этой войне - параметры кредиток. Они сыплются тысячами даже из самых незначительных серверов. Провайдеры, игровые серверы, рекламные агентства, Интернет-магазины, иммиграционные службы, курьерские службы, платные базы данных, даже благотворительные фонды и лотереи - все, где пользователи оставляет номера кредитных карт, ЛЕГКО ломается (легко - значит доступно новичку) и оставляет от себя количество карточек, всегда исчисляемое ТЫСЯЧАМИ! Почему? Владельцам серверов убыток один - очерненная репутация. Номера накапливаются на жестком диске, посетителей - огромное количество. И что же это? Взломал, прочитал номера - разжился миллионом - другим долларов? Не совсем. Карточки с сорока долларами на счету - невероятно распространенное явление. К тому же, многие регистрируют карточки лишь для того, чтобы оплачивать Интернет-услуги. Но для хакера лучше не просто взломать сервер, а получить долговременные права администратора, оставив страшный след своего пребывания в системе - превосходно замаскированную программу (желательно собственного производства - чтобы уйти от программ-антивирусов) - "троянского коня". О них я расскажу позже, во втором параграфе, а сейчас лишь скажу, что при таком раскладе хакер может всегда проникнуть в ранее взломанную систему, обходя любую защиту. Дальнейшие его действия могут варьироваться, но чаще сводятся к одному - с каждой (или не с каждой, для конспирации) транзакции процент отчисляется на счет хакера (ведь никто будет звонить в банк или магазин из-за 40 копеек). Очень хорошо для этого подходят дробные суммы, округляемые в нужную для хакера сторону (очень полезно, так как при проверке оказывается, что со счетов деньги как бы даже и не исчезали). В принципе, обо всем этом я расскажу во втором параграфе, упомяну только, что намного перспективней взлома банка взлом процессингового центра - мечта для кардера плюс возможность вернуть экономику какой-нибудь страны (а то и всего мира) в зачаточное состояние. О взломе бирж и коммерческих компаний я договорился не упоминать (если только они не связаны с получением номеров), ведь наша тема - банки. Не стоит говорить, что лучший метод борьбы - хорошие специалисты по информационной безопасности, ибо это ясно безо всяких объяснений. Можно, в принципе, нанять на работу хакера, только это ОГРОМНЫЙ риск. Впрочем, нельзя забывать, что хакинг (УК РФ, глава 28, статьи 272, 273, 274) - отягощающее обстоятельство, и некоторые кардеры (в том числе и очень многие кардеры-профессионалы) отказываются от использования его в своем деле.

ВАРИАНТ #7: (обмен). Кардерам нужны параметры, у хакеров же полно других забот, и они часто публикуют эти параметры. Существует огромное количество центров обмена крадеными карточками, все - бесплатные. Закрыть их все невозможно, а если бы и было возможно, то существует огромное количество способов обмена - все, что изобрело человечество с тех пор, как стало ходить на двух ногах. Методы борьбы отсутствуют. Можно, правда, проводить идеологическую пропаганду, развивать нравственность, но это не снизит процент кардеров или, тем более, хакеров.
Итак, я привел здесь лишь основные методы получения номеров, на самом деле их миллионы, а еще точнее, бесконечное множество. Теперь, я надеюсь, что прояснил мою позицию по отношению к кредитным картам. Далее я приведу дальнейшие действия кардера и методы защиты. Итак, покупка товара. Первый вариант - ничего не покупать, а продать краденые карты другим мошенникам. Плюсы - быстрые деньги. Минусы - огромные следы. За партнером могли следить, партнер может сдать кардера властям или вообще являться агентом ФБР. Поэтому кардерам лучше торговать ими не "вживую", а через Интернет или любым другим сложнораскрываемым путем. Что значит "сложнораскрываемым"? Путем широкомасштабного использования криптографических систем! Примитивные "Энигмы" времен второй мировой канули в лету, на дешифровку современных посланий, даже при использовании мощнейших компьютеров американских спецслужб, объединенных в сети именно для такой цели - дешифрации, уйдет время, превышающее возраст Вселенной. Здесь вообще спецслужбы беспомощны. Но чаще всего у кардеров нет покупателей, они просто заказывают по кредиткам товар. Это может происходить и через несколько минут после кражи, и через много лет (хотя безуспешно). Следы - информационные (умелый хакер их скроет - вряд ли ФСБшники смогут пройти тот же путь и взломать полсотни систем, а даже если и сумели бы, след оборвался бы на первой же - лог-файл был бы стерт), о них - в следующем параграфе. Далее - почтовый адрес. Здесь остановимся. На почте кардеров чаще всего и ловят, поэтому более хитрые используют подставные адреса или адреса союзников. В любом случае риск велик. Вроде бы с основными методами все. Таким образом, если кража и заказ были произведены качественно, то след УЭПовцев оборвется на получателе (если тот не сознается или сам кардер его не обманет, что чаще всего и делается).
Следующая деталь махинации - сбыт товара. Если не сбыть товар, то он превратится в вещественное доказательство. Естественно, сбыт незаконный, без уплаты налогов (не из жадности, а чтобы не оставлять следов), и очень быстрый. Для кардера лучше, если покупатель не знает о том, КАК был заказан товар, иначе он может пойти в милицию, так как (очень важная часть) покупатель НЕ БУДЕТ свидетелем, пока его не выдаст кардер, а кардер не будет свидетелем, пока его не выдаст получатель (тот, на чье имя пришел заказ).
А вот здесь всплывает еще один нюанс. Ведь, в принципе, кардер мог бы продавать товары по ценам, составляющим полпроцента (или даже ниже) от рыночных, если бы не один немаловажный факт. Растаможивание стоит 50% от заявленной стоимости товара. Если мелкие фирмы можно уговорить, крупные не откажутся от наживы. Естественно, платить надо наличными. Серьезная проблема для кардеров (и для мирового экономического процветания тоже). Решается, правда, элементарно. Кардер звонит или факсимилирует в нужную фирму и требуют (под угрозой отказа в оплате за покупку), что бы при отправку груза курьерской компанией (наиболее известные - DHL, FedEx, TNT и UPS, особенно часто - FedEx), фирма обязала курьеров оплатить таможню (на посылке ставится надпись "CUSTOMS DUTY 50% PAID"). При этом курьерская компания В МЕСТЕ ОТПРАВКИ (очень важная деталь) выставляет магазину счет на сумму, соответствующую 50% от заявленной стоимости плюс стоимость перевозки. Магазин добавляет эту сумму в общий счет и снимает ее с карты. А курьерская компания В МЕСТЕ ПОЛУЧЕНИЯ (очень важно) расплачивается с местной таможней САМОСТОЯТЕЛЬНО. Таким образом, таможенный сбор входит в счет покупки и оплачивается по той же карте! Соответственно, наличные носить не надо. Как бороться с кардерами на этой стадии? За банки побеспокоилось наше родное правительство: разделение таможенных платежей, разнообразные пошлины и НДС. Как и всегда, нельзя ударить по хакерам, не ударив по честным людям. Пара слов о заказе прямо в России: кардеры это делают редко, у нас слишком малоразвитая система расчетов. Доказательства тому равномерно рассредоточены по всему параграфу.
Подведем итоги. Кардер делает заказ, оставляя владельца карточки и магазин со счетом за покупку. Банк ничего сделать не может, он здесь последнее звено в экономической цепи. Кто может? Может процессинговый центр. На нем лежит и авторизация транзакции и учет блокированных номеров. Он выявляет факт мошенничества (УК РФ, статья 159), а магазин и курьерская компания наведываются к получателю. Индикатором незаконного использования карты, но не абсолютным признаком, являются, например, заказы из России на тысячи долларов по карте, например, американца. Правда, кардеры часто много мелких товаров в разных местах по разным магазинам и на разные адреса, поэтому метод работает только против новичков. Также важно знать, что чаще всего заказывают кардеры. Очень часто это дорогостоящие компьютерные чипы на перепродажу. Плюсы подхода: малый размер и высокая стоимость товара. Минусы: все остальное. Этот вариант - самый простой для поимки кардеров. Во-первых, как я сказал, чипы ДОРОГОСТОЯЩИЕ, во-вторых, на них очень много маркеров и серийных номеров, которые являются прямой уликой против кардера. В-третьих, многие недальновидные кардеры раньше любили заказывать компоненты для своих компьютеров, а многие и вступали на путь кардинга именно из-за этого. Естественно, их ловили быстро и в больших количествах, что заставило УЭПовцев очень подозрительно к ним относиться. Таким образом, это не самый лучший вариант для кардера-новичка, зато один из самых любимых для профессионала. Что еще может заказывать кардер? Компоненты сотовых телефонов на заказ, они дешевле и легко продаются, мелкие автозапчасти на заказ, что особенно актуально для России, всякого рода мелкую электронику или, как это не прозаично, драгоценности. Но чаще всего спецслужбам не следует надеяться на то, что товар залежится у получателя, ведь кардеры делают свои покупки НА ЗАКАЗ, и это очень важная деталь. Естественно, товар они предлагают не всем, а только тем, кто обязательно будет его покупать. Таким образом, покупатель чаще не знает, что купил незаконный товар, а если знает, то не может сдать кардера властям из-за недостатка информации о нем (опять-таки, если кардер - новичок). Поэтому лучшим временем для поимки кардера является время, когда он придет за товаром. Здесь очень важна информационная цепочка этой операции. Ведь за товаром приходит не сам кардер, а получатель. Покупателя незаконного товара тот не знает, зато может выдать кардера (если кардер ему доверял). На кардера также может выйти процессинговый центр (если кардер - новичок). Сам кардер знает всех остальных (если те - тоже новички). Просто так на покупателя незаконного товара выйти нельзя, если только он сам не захочет. Кроме этих трех могут быть еще специальности близкого к кардерам толка, например, агент по поиску покупателя, хакер, крадущий номера кредиток и так далее, поэтому не все так просто. Однако самое сложное - вовремя поймать на почте и заставить сознаться получателя товара. На почте все вещественные доказательства налицо, и получатель вынужден признаться. Но если он не признается или если он имеет мало информации о кардере, то пойти по цепочке дальше УЭП не может. Единственная надежда тогда - поймать кардера при покупке, что весьма сложно, если кардер является еще и хакером, то есть очень хорошо умеет заметать следы.
Итак, сама технология ясна. Тот же метод и при других видах карт (указано в начале параграфа). А какова же здесь роль банка? Роль банка проста: перевести деньги со счета владельца на счет магазина. Вот это и есть слабое место кардеров. Банк может запросить подтверждения транзакции (очень часто так и делают) - схема изложена в пятом варианте способов получения карт. В России это так. При крупных сделках это так. Но, как я уже упоминал, "скорость обслуживания клиентов - одна из главных характеристик хорошей компании", то есть магазин может отправить товар, не дожидаясь перевода, а главное - в большинстве случаев он так и делает. Опять-таки, этот принцип был указан выше. К тому же кардер может заказывать с подставного номера, что показано в шестом варианте способов получения параметров карты.
Собственно, итог может быть только один - ударить по кардерам - значит, В ПЕРВУЮ ОЧЕРЕДЬ, ударить по честным людям. Метод борьбы - эволюционный, хотя я думаю, что со временем кардинг (мошенничество с пластиковыми картами) будет, к сожалению, только процветать. Однако не все так плохо. Будет несправедливо не упомянуть об ужесточении процедур авторизации и о введении новых видов расчетных инструментов, в частности так называемых "смарт-карт", которые хотя и ненадежно защищены, все равно менее уязвимы, чем обычные.
Итак, я показал схему работы кардеров и развеял миф о стопроцентной защищенности пластиковых карт. Ничто не может быть защищено полностью! Безопасность невозможна даже теоретически. Остается только решить, что удобнее и безопаснее - наличные или кредитка.
Но пластиковые карты - далеко не самая слабая часть банковской системы. В следующем параграфе я объясню технологию проникновения в сам банк, перевода денег со счетов и, что самое главное, распространенных ошибках системных операторов и некоторых методах защиты от хакеров.

ПАРАГРАФ №2: "ХАКИНГ"


Традиционно начну с цитаты: "Пока ни одного взлома не было зафиксировано". Да, это еще одна фраза с рекламного плаката знаменитого банка. Ключевым словом здесь является "не зафиксировано", что вовсе не означает отсутствие взломов, а наоборот - защита настолько слаба, что даже не зафиксировала атаку. Но обо всем по порядку.
Первый вопрос: как же все-таки происходит вторжение? Есть два основных способа. Первый - это звонок на банковский терминал. Здесь очень пригодились бы знания фрикера (телефонного пирата). Модемные пулы терминалов получить достаточно легко, однако метод этот понемногу отходит в прошлое, так как банки все-таки обеспокоены своей безопасностью и администраторам кое-как удалось добиться некоторого равновесия между удавшимися и неудавшимися взломами. Подробно на этом способе останавливаться не буду, просто скажу, что сигналы в обычных телефонных сетях не шифруются, а жучки, радиоудлиннители и перехватчики умеют делать все, кто хоть сколько-нибудь разбирается в технике (а если сделать нельзя, то можно купить за копейки на каком-нибудь радиорынке). Кроме того, поменяв линии своего и банковского терминалов, можно эмулировать ввод паролей и обмануть администратора, заставив ввести коды доступа прямо на номер хакера. То есть способов - масса, в том числе и привычные трэшинг и социальная инженерия. Методов защиты очень мало, ибо "внешняя" (не относящаяся к "внутренней", банковской) телефонная сеть вне прямого контроля банковских администраторов, то есть, говоря проще, В ЛЮБЫХ ВНЕШНИХ СЕТЯХ ВОЗМОЖНОСТИ ХАКЕРА НЕСОИЗМЕРИМО ВЫШЕ ВОЗМОЖНОСТЕЙ АДМИНИСТРАТОРА. Вне банков правят хакеры. Это аксиома.
Итак, разобравшись кое-как с первым типом атаки, переходим к самому сложному, то есть к атаке из внешних компьютерных сетей. Сейчас, что бы ни говорили, эта сеть одна - Internet. Внутренние же сети банков - это обычно Ethernet. Это значит, что база большинства атак - протокол TCP/IP, а не IPX, который применяли в банках когда-то, но теперь отказались во имя удобства и пресловутой СОВМЕСТИМОСТИ. Хотя иной (не TCP/IP - Transfer Control Protocol/Internet Protocol) протокол - не проблема, в конце концов, сеть она и есть сеть. Итак, сначала рассмотрим систему банка изнутри.
В последнее время можно слышать о так называемой системе "remote client", или, если по-русски, "удаленный клиент" (имеется в виду не какая-либо определенная программа, а Интернет-банкинг вообще). Кратко, не вдаваясь в ненужные для этого вопроса детали, объясню ее суть. Пользователь заходит на сервер банка и через диалоговые окна и тому подобные системы (в том числе и через электронную почту) осуществляет взаимодействие с ним. Сразу возникает план атаки: либо перехватывать входящие и исходящие пакеты, что не принесет большой прибыли (исключение составляют перехваченные номера счетов и кредитных карт, что было описано в предыдущем параграфе), либо атаковать сам сервер. Как я уже говорил, я не буду говорить о том, что может хакер украсть у самого пользователя, а только о том, что он может сделать с банком, о чем я предупреждал в самом начале. Новый вопрос: что хакер получит от атаки сервера? Ответ прост до примитивности: он получит все. Информация о счетах накапливается во внутренних (в лучшем случае) и внешних сетях, передавать ее через новые шлюзы нет смысла - слишком велик поток данных, а все это говорит о том, что на сервере (либо во внутренней подсети, Ethernet, куда можно попасть с этого сервера) хранится состояние счетов. Поскольку тезисы выбора целей обоснованы и объяснены, приступим к разбору самой атаки. Это самая сложная часть параграфа, ибо ее нельзя изложить сразу, развеивая мифы "на ходу". Чтобы лучше объяснить ее, необходимо разложить эту тему на несколько частей. Первая - это, так сказать, принцип действия, modus operandi, вторжения. Вторая - это пояснение к этой схеме, содержащее в себе распространенные ошибки системных администраторов (я постоянно избегаю использования профессионального жаргона и слов "сисоп", "админ", "сисадмин"). Итак, атака, то есть способы добычи паролей.

ВАРИАНТ #1 (брутфорс). Хакер заходит по FTP (порт 21) на сервер и включает программу типа word cracker, которая начинает перебирать все возможные варианты паролей (эта атака называется "brute force attack", "атака грубой силой", на жаргоне - брутфорс). Обычно сначала по словарю перебираются все занесенные в базу данных слова ("атака по словарю"). Всего обычно надо перебрать несколько триллионов комбинаций. Очевидно, что этот вид атаки абсолютно неэффективен, и я привел его здесь только потому, что некоторые администраторы считают его единственным способом атаки. Это было бы очень смешно, если бы не было так грустно, ибо процентов семьдесят пентагоновских администраторов, похоже, способны представить себе хакера за таким глупым занятием. Причина неэффективности - ограниченная пропускная способность линий. Впрочем, BFA (brute force attack) найдет свое применение чуть позже, при расшифровке файлов паролей, но обо всем по порядку.

ВАРИАНТ #2 (социальная инженерия). Что такое "социальная инженерия" я объяснял в предыдущем параграфе, поэтому всем должно быть понятно, каким образом происходит получение паролей. Метод прост, но по непонятным причинам оказался весьма эффективным. Напомню только, что этим методом было произведено ОДНО ИЗ САМЫХ ГРОМКИХ ПРОНИКНОВЕНИЙ последних дней.

ВАРИАНТ #3 (трэшинг). Этот метод я уже описывал в прошлом параграфе, но здесь он почти не работает, ибо там, где проложены сети, бумага НЕ НУЖНА.

ВАРИАНТ #4 (прямой перехват). Хакер устанавливает радиожучок на линию внутри сети банка. Метод работает при выполнении двух условий. Первое - хакер имеет физический доступ в здание банка (через черный ход или канализацию, например, или через парадный вход в качестве сотрудника или замаскировавшись под него). Второе - внутренний траффик (поток пакетов) не шифруется.

ВАРИАНТ #5 (обход системы защиты). Самый интересный и распространенный способ. Хакер осторожно исследует внутреннюю систему банка и разрабатывает эксплойт (exploit - антисистема, программная реализация найденной бреши в защите системы). Применив эксплойт, хакер получает права администратора (самый главный администратор называется "рутом") или получает доступ к файлу паролей. Расшифровав фай

Источник: http://sanekplus.narod.ru/unpublished/technocommie/carding.htm

Категория: Кибернетика | Добавил: Atoris (24.06.2009) | Автор: interrupt_00h
Просмотров: 13006 | Комментарии: 28 | Теги: технократия, Культура | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Категории раздела
Технократия [55]
Статьи о технократии
Технология [10]
Статьи о технологиях
Биология [4]
Статьи о биологии
Культура [16]
Статьи о культуре
Кибернетика [10]
Статьи о кибернетике
Другое [3]
Разные статьи
Проект "Венера" [0]
Поиск
Статистика



Онлайн всего: 1
Гостей: 1
Пользователей: 0
Locations of visitors to this page




Rambler's Top100