Никрон взломал небольшую сеть супермаркетов в Атланте, где было всего восемь POS-терминалов, но данные с них стекались в очень простую для взлома SQL-базу. Базы данных являются основой многих современных веб-приложений. В них хранятся параметры доступа и аутентификации, финансовая информация, контакты клиентов, их предпочтения, данные о покупке и т. п. SQL является базовым языком запросов современных баз данных, которые делают веб-сайты комфортными для клиентов. Но именно атаки типа SQL-injection превращают сайты, использующие базы данных, в уязвимые объекты. На сегодняшний день этот способ вторжения является самым массовым — 62 % веб-приложений уязвимо для SQL-инъекции.

Когда твоя карта прокаталась в POS-терминале, существует два варианта развития событий: если магазин небольшой, то POS созванивается непосредственно с процессинговым центром банка, который и выдал этот терминал, — по модему, GSM-каналу или через Интернет. Если это магазин побольше или целая торговая сеть, POS соединяется с главным сервером магазина (или сразу нескольких магазинов), а тот уже соединяется с мерчантом или банком-эмитентом для подтверждения транзакции. Практически все мерчанты — это интернет-организации, соответственно, и большинство POS-терминалов оказываются подключенными к Интернету. Наша сеть супермаркетов как раз относилась ко второму типу. Вдобавок, помимо дампов, там сохранялись и PIN-блоки.

Что такое PIN-блоки? По правилам платежных систем PIN-код нигде не должен появляться в открытом виде, за исключением хорошо защищенных криптографических HSM-модулей, поэтому на незащищенных участках сети он «путешествует» в специальной «лодке», называемой PIN-блоком. Задача осложнялась тем, что «пины» были зашифрованы симметричным блочным шифром TripleDES, который может быть взломан только методом полного перебора ключа, причем длина ключа 112 бит существенно превышает сегодняшний порог «вскрытия» симметричных алгоритмов шифрования (примерно 80 бит) и будет оставаться достаточной в течение следующих примерно тридцати лет. Тем не менее мы не оставляли попыток расшифровать «пины». Объясню, на что мы рассчитывали.

Откуда вообще берется PIN? Например, система VISA при выпуске новых карт в целях безопасности рекомендует, чтобы PIN к конкретной карточке не выбирался случайным образом (тем более нельзя позволять его выбирать кардхолдеру, так как он может выбрать PIN, который легко угадать), а получался посредством криптографического преобразования номера счета. Затем получившееся значение «пина» банки должны комбинировать с номером карты и зашифровать полученную комбинацию еще раз. Однако не все банки это делают, а некоторые «особо одаренные» еще и держат зашифрованное значение «пина» (PIN-блок) в файле. Это значит, что хакер может получить зашифрованное значение PIN-кода от собственной карты и выполнить в базе поиск всех других дампов с тем же «пином». Как видишь, на каждого мудреца довольно простоты. Применив данный принцип к нашей базе из Атланты, я нашел человека, который пошел в нужный магазин, совершил покупку по своей кредитке, сообщил нам свой PIN-код (а затем и «пины» от еще сотен других карт), мы нашли шифрованные значения этих «пинов» и таким образом узнали все PIN-коды, имевшиеся в базе.

— Обвиняемый, — отвлекла меня от воспоминаний судья Гончар, — повторяю свой вопрос: где вы брали PIN-коды к дампам?

— Ваша честь, карточки с «пинами» я купил у кого-то в Интернете. У кого точно — я уже не вспомню, — несу я какой-то бред, который, на удивление, принимается.

— А вам известно, где сейчас находится ваш друг с «исконно русской» фамилией Дранкман? — словно прочитав, о чем я только что думал, задала судья вопрос о Никроне.

— Нет, неизвестно, — ответил я, а сам подумал, что, слава Богу, у Никрона сейчас все хорошо — семья, дети и легальная, как это ни удивительно, работа.

На этом рассмотрение дела в суде было закончено, и прокурор попросил назначить мне общий срок наказания в виде восьми лет лишения свободы. Учитывая непредсказуемость судьи Гончар, влепившей мне «пятерку» по первому делу при запросе всего в три с половиной, я внутренне настроился услышать цифру «десять». К счастью, обошлось, и мне добавили всего год к четырем имевшимся ранее.

Ошибок мы наделали много. Здесь и человеческий фактор — утром начальник охраны был предупрежден об участившихся случаях хищений, а вечером мы зарулили именно в этот магазин; и длительная работа в одном месте (в Минске мы работали в течение трех недель); и несоответствие внешнего вида и поведения стоимости приобретаемой вещи. Приезжать за краденым товаром на инкассаторском автомобиле — это, конечно, уже был верх глупости.

Глава 27

Цена свободы

— Галина Аркадьевна, мне этот год, что добавили, всю картину портит, — начал я разговор со своим адвокатом назавтра. — Надо бы его убрать. Тогда я отсижу в общей сложности всего два года и сорвусь на замену режима, я уже все подсчитал. А так мне придется «висеть» здесь на полгода больше.

— И что ты предлагаешь?