Читаем Kingpin полностью

Зная что его Калифорнийский хостинг не удовлетворит подполье, Макс продолжил свои поиски за рубежом. Уже в следующем месяце он взломал для себя новый сервер, на этот раз в стране, которая была настолько далеко от США, как никто другой в Сети; в стране, которая вряд ли ответит на жалобы Дэйва Томаса или даже Американского правительства.

«Cardersmarket теперь находится в ИРАНЕ,» - 11 августа объявил он, - «Регистрация возобновлена.»

Глава 25. «Захват территории»

В войне самое главное — быстрота: надо овладевать тем, до чего он успел дойти; идти по тому пути, о котором он и не помышляет; нападать там, где он не остерегается.

«Искусство войны» Сунь Цзы было настольной книгой Макса. Сидя в своём тайном убежище, он набросал план наступления. Было пять англоязычных подпольных кардинговых сайтов, и четыре из них были лишними. Недели ушли на изучение противника: ScandinavianCarding, Vouched, TalkCash и, его главный враг, — DarkMarket. Этот английский сайт появился на месяц раньше CardersMarket и прилагал большие усилия, добиваясь репутации зоны, защищенной от взлома.

В известном смысле, планы Макса проникнуть на другие площадки, строились на его положительных качествах. На руку ему играло, что он не был жадным, и что он делал бизнес на CardersMarket. Теневая кардинговая сцена была разрушена, а когда Макс сталкивался с чем-то разбитым, он не мог отказаться восстановить это, совсем как делал это несколько лет назад для Пентагона.

Играло свою роль и самолюбие. Казалось, весь кардинговый мир думал, что Iceman всего лишь администратор, способный только устанавливать ПО. Макс видел прекрасную возможность показать кардерам, как они ошибались.

На DarkMarket нашлось слабое место. Британский кардер JiLsi пользовался этим сайтом. Он использовал один и тот же пароль: “MSR206” везде, включая и CardersMarket, где Макс имел доступ ко всем паролям. Теперь Макс мог проникнуть и хозяйничать на DarkMarket.

А вот Vouched был крепостью, вы даже не могли зайти на сайт без доверенного цифрового сертификата, установленного на вашем браузере. К счастью JiLsi был зарегистрирован и здесь, и даже имел модераторские права. Макс нашел копию доверенного сертификата на одном из почтовых аккаунтов JiLsi, который был защищен обычным паролем “MSR206”. Теперь оставалось лишь зайти на Vouched как JiLsi, и вся база данных была доступна.

Макс установил, что поиск по сайту на TalkCash и ScandinavianCarding был уязвим для атаки SQL injection. Макс не был в этом деле первооткрывателем. Уязвимость к такой атаке — обычное дело для сайтов.

SQL injection использует архитектуру сложных по своей структуре сайтов. Когда вы заходите на веб-сайт с динамическим содержимым: новостными заметками, записями в блог, биржевыми котировками, на сайты интернет-магазинов программное обеспечение (ПО) сайта предоставляет информацию, извлекаемую из базы данных. Эта база данных обычно находится на другом компьютере, а не на хосте, к которому подсоединен ваш компьютер. Веб-сайт — это фасад, а сервер с данными — заблокирован. В идеале, он вообще не доступен из интернета.

Программное обеспечение сайта общается с сервером, хранящим данные, на языке SQL (Structured Query Language язык структурированных запросов). К примеру, команда SELECT запрашивает у сервера всю информацию, которая подходит под определенные критерии. INSERT добавляет информацию в базу данных. Редко используемая инструкция DROP удаляет большие объёмы данных.

Это опасный инструмент, потому что зачастую ПО должно отправить запрос посетителя сайта, как часть SQL- команды серверу. Если посетитель сайта напишет в строку поиска: Sinatra, ПО сайта запросит у сервера информацию следующим образом:

SELECT titles FROM music_catalog WHERE artist = ‘Sinatra’;

SQL injection случается, когда ПО неправильно обрабатывает запрос пользователя перед передачей его в виде команды серверу. Пунктуация может сбить ПО с толку. Если в выше приведённом примере написать в строку поиска сайта: Sinatra’; DROP music_catalog; обратите внимание на апостроф и на точки с запятыми, из-за них сервер получит команду в виде:

SELECT * FROM music_catalog WHERE artist = ‘Sinatra’; DROP music_catalog;’;

Для базы данных это две последовательные команды, разделенные точкой с запятой. Первая найдет альбомы Синатры, вторая — удалит музыкальный каталог.

SQL injection обычное оружие в арсенале хакера. Даже сегодня таким образом проникают на сайты всех уровней, в том числе сайты электронной коммерции и сайты банков. Итак, в 2005 ПО TalkCash и ScandinavianCarding оказались под прицелом.

Чтобы воспользоваться уязвимостью TalkCash, Макс зарегистрировался, и послал невинное на вид сообщение. В теле сообщения скрывалась SQL команда, написанная шрифтом, цвет которого совпадал с цветом фона, а потому невидимая глазу. Он ввел поисковый запрос, а ПО сайта передало скрытую команду в базу данных, где она была выполнена. Эта команда была INSERT, и она добавила на сайт еще одного администратора — Макса. То же самое он проделал и на ScandinavianCarding.