Как я украл миллион. Исповедь раскаявшегося кардера.
Шрифт:
— Я, ваша честь, ничего не записывал, Сапрыкину не передавал, PIN-кодов не сообщал и тем более не просил его получить наличные в банкоматах.
— Сапрыкин утверждает, что все было с точностью до наоборот, — включился в судебный процесс прокурор по фамилии Ермошин. — Как вы это объясните?
— Да у него семь пятниц на неделе. Прошу обратить внимание на его первоначальные показания, данные при задержании: «Карточки передал Павлович, назвал PIN-коды к ним и попросил снять кэш в банкоматах». На предварительном следствии у него появилась другая версия: «Павлович “пластик” не передавал, а оставил в своей куртке, которую забыл в моей машине». Сейчас же у него третья версия: «Чьи карточки, я не знаю, мы ехали
— Павлович, а как вы объясните, что на жестком диске вашего компьютера обнаружены те же дампы и «пины», что были на карточках, которые добровольно выдал Сапрыкин? — предчувствуя, что подловила меня, задала вопрос судья.
— А я и не отрицаю, что продавал дампы, в том числе и с «пинами». Сапрыкин вполне мог приобрести их у кого-то из тех, кому я продал.
— Свидетель, — обращаясь к Илье, задал вопрос прокурор, — так на какую из всех ваших версий нам ориентироваться?
— На первую: карточки передал Павлович и попросил снять кэш в банкоматах, — неуверенно пробормотал Илья.
— Да он лжет! — я не выдержал такой наглости.
— Все понятно, — даже удивительно, как до прокурора что-то дошло, — Ваша честь, — обратился «синий пиджак» к судье, — прошу вас написать в прокуратуру представление на возбуждение в отношении Ильи Александровича Сапрыкина уголовного дела за дачу заведомо ложных показаний.
— Все потом, сейчас продолжим заседание. Павлович, давайте вернемся к вопросу о том, откуда у вас появились дампы с PIN-кодами, — задала очередной неудобный вопрос судья Гончар.
* * *
Никрон взломал небольшую сеть супермаркетов в Атланте, где было всего восемь POS-терминалов, но данные с них стекались в очень простую для взлома SQL-базу. Базы данных являются основой многих современных веб-приложений. В них хранятся параметры доступа и аутентификации, финансовая информация, контакты клиентов, их предпочтения, данные о покупке и т. п. SQL является базовым языком запросов современных баз данных, которые делают веб-сайты комфортными для клиентов. Но именно атаки типа SQL-injection превращают сайты, использующие базы данных, в уязвимые объекты. На сегодняшний день этот способ вторжения является самым массовым — 62 % веб-приложений уязвимо для SQL-инъекции.
Когда твоя карта прокаталась в POS-терминале, существует два варианта развития событий: если магазин небольшой, то POS созванивается непосредственно с процессинговым центром банка, который и выдал этот терминал, — по модему, GSM-каналу или через Интернет. Если это магазин побольше или целая торговая сеть, POS соединяется с главным сервером магазина (или сразу нескольких магазинов), а тот уже соединяется с мерчантом или банком-эмитентом для подтверждения транзакции. Практически все мерчанты — это интернет-организации, соответственно, и большинство POS-терминалов оказываются подключенными к Интернету. Наша сеть супермаркетов как раз относилась ко второму типу. Вдобавок, помимо дампов, там сохранялись и PIN-блоки.
Что такое PIN-блоки? По правилам платежных систем PIN-код нигде не должен появляться в открытом виде, за исключением хорошо защищенных криптографических HSM-модулей, поэтому на незащищенных участках сети он «путешествует» в специальной «лодке», называемой PIN-блоком. Задача осложнялась тем, что «пины» были зашифрованы симметричным блочным шифром TripleDES, который может быть взломан только
Откуда вообще берется PIN? Например, система VISA при выпуске новых карт в целях безопасности рекомендует, чтобы PIN к конкретной карточке не выбирался случайным образом (тем более нельзя позволять его выбирать кардхолдеру, так как он может выбрать PIN, который легко угадать), а получался посредством криптографического преобразования номера счета. Затем получившееся значение «пина» банки должны комбинировать с номером карты и зашифровать полученную комбинацию еще раз. Однако не все банки это делают, а некоторые «особо одаренные» еще и держат зашифрованное значение «пина» (PIN-блок) в файле. Это значит, что хакер может получить зашифрованное значение PIN-кода от собственной карты и выполнить в базе поиск всех других дампов с тем же «пином». Как видишь, на каждого мудреца довольно простоты. Применив данный принцип к нашей базе из Атланты, я нашел человека, который пошел в нужный магазин, совершил покупку по своей кредитке, сообщил нам свой PIN-код (а затем и «пины» от еще сотен других карт), мы нашли шифрованные значения этих «пинов» и таким образом узнали все PIN-коды, имевшиеся в базе.
— Обвиняемый, — отвлекла меня от воспоминаний судья Гончар, — повторяю свой вопрос: где вы брали PIN-коды к дампам?
— Ваша честь, карточки с «пинами» я купил у кого-то в Интернете. У кого точно — я уже не вспомню, — несу я какой-то бред, который, на удивление, принимается.
— А вам известно, где сейчас находится ваш друг с «исконно русской» фамилией Дранкман? — словно прочитав, о чем я только что думал, задала судья вопрос о Никроне.
— Нет, неизвестно, — ответил я, а сам подумал, что, слава Богу, у Никрона сейчас все хорошо — семья, дети и легальная, как это ни удивительно, работа.
На этом рассмотрение дела в суде было закончено, и прокурор попросил назначить мне общий срок наказания в виде восьми лет лишения свободы. Учитывая непредсказуемость судьи Гончар, влепившей мне «пятерку» по первому делу при запросе всего в три с половиной, я внутренне настроился услышать цифру «десять». К счастью, обошлось, и мне добавили всего год к четырем имевшимся ранее.
Ошибок мы наделали много. Здесь и человеческий фактор — утром начальник охраны был предупрежден об участившихся случаях хищений, а вечером мы зарулили именно в этот магазин; и длительная работа в одном месте (в Минске мы работали в течение трех недель); и несоответствие внешнего вида и поведения стоимости приобретаемой вещи. Приезжать за краденым товаром на инкассаторском автомобиле — это, конечно, уже был верх глупости.
Глава 27
Цена свободы
— Галина Аркадьевна, мне этот год, что добавили, всю картину портит, — начал я разговор со своим адвокатом назавтра. — Надо бы его убрать. Тогда я отсижу в общей сложности всего два года и сорвусь на замену режима, я уже все подсчитал. А так мне придется «висеть» здесь на полгода больше.