Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах

6

Хакинг банкоматов

Для начала рассмотрим различные виды взломов систем, ограничения которых наиболее очевидны. Это создаст хорошую основу для понимания хакинга систем более сложных: политических, социальных, экономических и когнитивных.

Что такое банкомат? Это компьютер с наличными деньгами внутри. Он подключен к банковской сети через интернет (пару десятилетий назад это было обычное телефонное соединение и модем) и работает под управлением операционной системы Windows. Конечно же, его можно взломать.

В 2011 г. австралийский бармен по имени Дэн Сондерс выяснил, как снимать в банкоматах деньги, которых у тебя нет. Как-то поздно вечером, подойдя к банкомату, он неверно ввел сумму для перевода между своими счетами, случайно завысив ее. К удивлению Сондерса, перевод прошел, а банкомат выдал наличные, которых у него не было на счете, причем без регистрации операции системой. Это стало возможным из-за уязвимости в программном обеспечении банкомата, которое регистрировало переводы между счетами, в сочетании с другой уязвимостью – временной задержкой списаний и зачислений, произведенных посредством банкоматов в ночное время. Однако Сондерс ничего об этом не знал. Он обнаружил хак совершенно случайно и просто понял, что может воспроизвести результат.

В течение следующих пяти месяцев Сондерс снял в австралийских долларах сумму, эквивалентную $1,1 млн{28}. Его так и не смогли поймать. В какой-то момент он сам решил прекратить порочную практику: почувствовал себя виноватым, прошел курс терапии, а затем сделал публичное признание. За полгода банк так и не смог понять, где он теряет столько денег.

Давайте на секунду прервемся и поговорим о том, с какого рода деянием мы имеем дело. Кража денег из банка всегда незаконна. Но в этом случае взломана не банковская система, а система банкоматов и специальное программное обеспечение, написанное для них. Сондерс случайно наткнулся на способ использования этих систем, не предусмотренный их создателями. Иначе говоря, системы сами позволили нарушить заложенные в них правила. А это не что иное, как типичный хак.

Эволюция атак на банкоматы и принимаемых банками ответных мер наглядно иллюстрирует гонку вооружений между хакерами и различными институтами безопасности. Более того, здесь прослеживается несколько важных тем, к которым мы будем возвращаться на протяжении всей книги. Во-первых, системы – это не что-то изолированное: они состоят из более мелких подсистем и сами являются частью систем более крупных. Во-вторых, банкоматы – это не только программное обеспечение, но и «железо»: в процессе использования физического объекта под названием «банкомат» задействованы клиенты и удаленная банковская сеть. Хакеры могут атаковать любой из этих аспектов системы.

1

Автор использует здесь забавное сленговое выражение cybersexcurity (букв. киберсексуальное любопытство), созвучное с термином cybersecurity. – Прим. пер.

2

CliffsNotes – изначально серия брошюр с кратким изложением и готовым анализом литературных произведений. Чтение подобных брошюр экономит студентам время, но снижает качество образования. Сегодня сайт https://cliffsnotes.com по тому же принципу предлагает базовые сведения из разных областей знаний. – Прим. пер.

3

Ангус Макгайвер – секретный агент, герой популярных американских телесериалов. Будучи талантливым ученым и тонким психологом, Макгайвер в любых экстремальных ситуациях полагается исключительно на смекалку, знания и складной швейцарский нож. – Прим. пер.

4

МIT – Массачусетский технологический институт. – Прим. ред.

5

«Черные», «белые» и «серые шляпы» – устоявшаяся классификация хакеров по их мотивации. Взята из голливудских вестернов, где положительные персонажи носили белые шляпы, отрицательные – черные, а неоднозначные, соответственно, серые. «Черные шляпы» из мира хакеров движимы корыстными целями: финансовой выгодой, местью или идеологическими мотивами. «Белые шляпы» работают в интересах компаний и взламывают их системы, чтобы устранить недостатки. «Серые шляпы» ищут уязвимости в системах без разрешения их владельцев, но и без злого умысла. – Прим. пер.

6

Эксплойт (exploit, sploit; проф. сленг) – программа, использующая конкретную уязвимость ПО или создающая условия для исполнения другого кода, который в обычных условиях неисполним. – Прим. пер.

1

Massimo Materni (1 May 2012), "Water never runs uphill / Session Americana," YouTube, https://www.youtube.com/watch?v=0Pe9XdFr_Eo.

2

Это упражнение придумал не я. См.: Gregory Conti and James Caroland (Jul-Aug 2011), "Embracing the Kobayashi Maru: Why you should teach your students to cheat," IEEE Security & Privacy 9, https://www.computer.org/csdl/magazine/sp/2011/04/msp2011040048/13rRUwbs1Z3.

3

См.: Justin Elliott, Patricia Callahan, and James Bandler (24 Jun 2021), "Lord of the Roths: How tech mogul Peter Thiel turned a retirement account for the middle class into a $5 billion tax-free piggy bank," ProPublica, https://www.propublica.org/article/lord-of-the-roths-how-tech-mogul-peter-thiel-turned-a-retirement-account-for-the-middle-class-into-a-5-billion-dollar-tax-free-piggy-bank.

4

Если кто-нибудь в курсе, пожалуйста, напишите мне.

5

См.: Finn Brunton has assembled a list of "significant meanings" of the term. Finn Brunton (2021), "Hacking," in Leah Lievrouw and Brian Loader, eds., Routledge Handbook of Digital Media and Communication, Routledge, pp. 75–86, http://finnb.net/writing/hacking.pdf.

6

Недавно скончавшемуся хакеру Джуд Милхон (Святая Джуд) нравилось другое определение: «Взлом – это умный обход установленных ограничений, независимо от того, установлены они вашим правительством, вашей собственной личностью или законами физики». Jude Milhon (1996), Hackers Conference, Santa Rosa, CA.

7

Bruce Schneier (2003), Beyond Fear: Thinking Sensibly About Security in an Uncertain World, Copernicus Books.

8

Lauren M. Johnson (26 Sep 2019), "A drone was caught on camera delivering contraband to an Ohio prison yard," CNN, https://www.cnn.com/2019/09/26/us/contraband-delivered-by-drone-trnd/index.html.

9

Selina Sykes (2 Nov 2015), "Drug dealer uses fishing rod to smuggle cocaine, alcohol and McDonald's into jail," Express, https://www.express.co.uk/news/uk/616494/Drug-dealer-used-fishing-rod-to-smuggle-cocaine-alcohol-and-McDonald-s-into-jail.

10

Telegraph staff (3 Aug 2020), "Detained 'drug smuggler' cat escapes Sri Lanka prison," Telegraph, https://www.telegraph.co.uk/news/2020/08/03/detained-drug-smuggler-cat-escapes-sri-lanka-prison.

11

Jay London (6 Apr 2015), "Happy 60th birthday to the word 'hack,'" Slice of MIT, https://alum.mit.edu/slice/happy-60th-birthday-word-hack. – Прим. ред.

12

Dylan Matthews (29 Mar 2017), "The myth of the 70,000-page federal tax code," Vox, https://www.vox.com/policy-and-politics/2017/3/29/15109214/tax-code-page-count-complexity-simplification-reform-ways-means.

13

Microsoft (12 Jan 2020), "Windows 10 lines of code," https://answers.microsoft.com/en-us/windows/forum/all/windows-10-lines-of-code/a8f77f5c-0661-4895-9c77-2efd42429409.

14

Naomi Jagoda (14 Nov 2019), "Lawmakers under pressure to pass benefits fix for military families," The Hill, https://thehill.com/policy/national-security/470393-lawmakers-under-pressure-to-pass-benefits-fix-for-military-families.

15

The New York Times (28 Apr 2012), "Double Irish with a Dutch Sandwich" (infographic), https://archive.nytimes.com/www.nytimes.com/interactive/2012/04/28/business/Double-Irish-With-A-Dutch-Sandwich.html.

16

Niall McCarthy (23 Mar 2017), "Tax avoidance costs the U.S. nearly $200 billion every year" (infographic), Forbes, https://www.forbes.com/sites/niallmccarthy/2017/03/23/tax-avoidance-coststhe-u-s-nearly-200-billion-every-year-infographic.

17

US Internal Revenue Services (27 Dec 2017), "IRS Advisory: Prepaid real property taxes may be deductible in 2017 if assessed and paid in 2017," https://www.irs.gov/newsroom/irs-advisory-prepaid-real-property-taxes-may-be-deductible-in-2017-if-assessed-and-paid-in-2017.

18

Помню, как читал об одной налоговой лазейке, которая была показана потенциальным покупателям только после того, как они подписали соглашение о неразглашении, и даже тогда им не сообщили всех деталей. Хотелось бы ссылку на эту историю.

19

Stephanie M. Reich, Rebecca W. Black, and Ksenia Korobkova (Oct 2016), "Connections and communities in virtual worlds designed for children," Journal of Community Psychology 42, no. 3, https://sites.uci.edu/disc/files/2016/10/Reich-Black-Korobkova-2014-JCOP-community-in-virtual-worlds.pdf.

20

Steven Melendez (16 Jun 2018), "Manafort allegedly used 'foldering' to hide emails. Here's how it works," Fast Company, https://www.fastcompany.com/40586130/manafort-allegedly-used-foldering-to-hide-emails-heres-how-it-works.

21

Cara Titilayo Harshman (22 Dec 2010), "Please don't flash me: Cell phones in Nigeria," North of Lagos, https://northoflagos.wordpress.com/2010/12/22/please-dont-flash-me-cell-phones-in-nigeria.

22

Atul Bhattarai (5 April 2021), "Don't pick up! The rise and fall of a massive industry based on missed call," Rest of World, https://restofworld.org/2021/the-rise-and-fall-of-missed-calls-in-india.

23

Tribune Web Desk (14 May 2020), "Students find 'creative' hacks to get out of their Zoom classes, video goes viral," Tribune of India, https://www.tribuneindia.com/news/lifestyle/students-find-creative-hacks-to-get-out-of-their-zoom-classes-video-goes-viral-84706.

24

Anthony Cuthbertson (9 Mar 2020), "Coronavirus: Quarantined school children in China spam homework app with 1-star reviews to get it off app store," Independent, https://www.independent.co.uk/life-style/gadgets-and-tech/news/coronavirus-quarantine-children-china-homework-app-dingtalk-a9387741.html.

25

Kimberly D. Krawiec and Scott Baker (2006), "Incomplete contracts in a complete contract world," Florida State University Law Review 33.

26

Bruce Schneier (2012), Liars and Outliers: Enabling the Trust that Society Needs to Thrive, John Wiley & Sons.

27

Bruce Schneier (19 Nov 1999), "A plea for simplicity: You can't secure what you don't understand," Information Security, https://www.schneier.com/essays/archives/1999/11/a_plea_for_simplicit.html.

28

Jack Dutton (7 Apr 2020), "This Australian bartender found an ATM glitch and blew $1.6 million," Vice, https://www.vice.com/en_au/article/pa5kgg/this-australian-bartender-dan-saunders-found-an-atm-bank-glitch-hack-and-blew-16-million-dollars.