Откуда деньги у хакеров?

Этот вопрос, заданный мне одним журналистом, заставил меня задуматься. Неужели люди, пишущие об ИТ-преступности, считают, что преступность в области высоких технологий отличается от другой криминальной активности? И что хакеры нарушают закон из альтруистических побуждений?

Оставив в стороне голливудские сюжеты о взломе военных систем и угоне космических кораблей через Интернет, обратимся к тем областям компьютерных преступлений, уровень распространенности которых можно назвать промышленным.

Каждый сталкивался с ситуациями, когда программа "выполнила недопустимую операцию" или операционная система без особых причин отказывалась загружаться. Большинство пользователей привычно ругнется на Microsoft (или другого производителя) и позвонит в службу технической поддержки. Администратор сети устранит проблему или, возможно, объяснит сотруднику, какие действия ведут к появлению ошибки. После чего инцидент будет забыт как малосущественный.

Однако некоторые люди пойдут дальше и попытаются установить причину некорректного поведения системы. Довольно часто это приводит к обнаружению уязвимости, связанной с безопасностью системы. После достижения определенного уровня знаний и опыта работы с сетями такие ситуации начинают возникать сами по себе. Однако существуют группы специалистов (BUGTRAQers), целенаправленно ищущие уязвимости в системах. Нередко они работают в компаниях, специализирующихся на компьютерной безопасности.

В настоящее время методы поиска типичных уязвимостей в компьютерных системах недостаточно формализованы и предполагают значительные затраты ручного труда высококвалифицированных специалистов, хотя работы по автоматизации поиска уязвимостей ведутся постоянно и идентификация некоторых классов уязвимостей уже с большой степенью достоверности может быть проведена с помощью специализированных утилит [1].

Уязвимость может быть найдена в любой системе, если искать целенаправленно. Заявление о том, что на 1000 строк кода приходится от 5 до 15 ошибок, еще никто не опроверг [2]. Несмотря на слабую формализацию методов поиска уязвимостей, методы их эксплуатации сегодня неплохо изучены, что позволяет человеку, поверхностно знакомому с предметом, довольно быстро собрать из готовых компонентов exploit [3] для обнаруженной уязвимости [4]. Имеются и готовые продукты, подобные Metasploit Framework (www.securitylab.ru/47497. html), облегчающие разработку таких программ. Если за дело берется профессионал, то между получением сообщения "Программа выполнила недопустимую операцию" или "Segmentation fault" и появлением работоспособного PoC проходит около получаса.

И в этот момент возникает вопрос: что делать с обнаруженной уязвимостью? Вариантов на самом деле немного. Можно связаться с производителем и долго пытаться объяснить ему суть и потенциальную опасность уязвимости. Можно опубликовать ее в соответствии с одной из принятых политик разглашения [5]. Наконец, можно просто принять наличие уязвимости к сведению и никому ничего не рассказывать.

Однако очень часто возникает соблазн продать информацию об уязвимости третьей стороне. В большинстве своем производители не покупают данные об ошибках в собственных продуктах в буквальном смысле этого слова, предоставляя лицу, обнаружившему проблему, менее осязаемые бонусы. Однако есть ряд компаний-посредников, скупающих информацию об уязвимостях в различных системах.

Для человека, нашедшего уязвимость, преимущества последнего подхода очевидны: он получает вознаграждение за свою работу, ему приходится взаимодействовать не с разработчиками, а с экспертами в области безопасности из компании-посредника, зачастую он может сохранить за собой право публикации информации об уязвимости. У данного подхода только один недостаток - обычно компенсации, предлагаемые компаниями-посредниками, невелики.

Но есть и еще один путь. Человек, обнаруживший уязвимость, может зайти на подходящий форум в Интернете и оставить сообщение примерно следующего содержания: "Выполнение произвольного кода в Internet Explorer, XP SP2 и ниже. На продажу". Именно с этого момента он становится "хакером" [6]. Покупатель обычно не заставляет себя долго ждать.

Расценки "на дыру" колеблются в зависимости от продукта и характера уязвимости. В большинстве случаев уязвимость, приводящая к удаленному выполнению кода, стоит в районе $1000. Если проблема затрагивает недавно выпущенные продукты (такие, как Service Pack 2 для Windows XP), стоимость возрастает в полтора раза. Это в два-три раза выше, чем у легальных компаний-посредников. Кроме того, при продаже уязвимости на черный рынок хакер не связан моральными обязательствами и может продать ее нескольким покупателям одновременно.

После этого уязвимость идет в разработку. Первые и самые денежные клиенты - это кардеры [7]. По стилю работы их можно условно разбить на виртуальных и реальных. Многие мошенники не занимаются работой с реальными карточками, они тем или иным способом добывают информацию о карточке, достаточную для проведения операций через Интернет, а потом проводят массовые покупки различных товаров. Затем эти товары перепродаются и полученные деньги после соответствующей отмывки поступают взломщикам.

Это только один из способов мошенничества. Возможны варианты, когда для получения наличных денег используются системы online banking, обеспечивающие прямой доступ к текущему счету клиента и перевод с него денег. В дальнейшем масса переводов на небольшие суммы сливается вместе и обналичивается доверенными лицами.

Более серьезными операциями занимаются мошенники, получающие полную информацию о пластиковых карточках. Эта информация позволяет скопировать карточку и использовать ее параллельно оригиналу.

Зачем кардерам уязвимости? Для двух основных целей - получения информации о кредитных карточках и сокрытия своих действий.

Наличие уязвимости в Интернет-магазине зачастую открывает доступ к истории покупок, что дает возможность узнать номер карточки и информацию о ее владельце. Получив доступ к клиентскому компьютеру, специализированная троянская программа может собирать информацию о действиях ее владельца, сохранять нажатия клавиш, копии экрана браузера и других программ и пересылаться мошеннику.

Поскольку подобная деятельность большинством уголовных кодексов рассматривается как преступление, кардеры используют для своей работы специализированные компьютеры. Причем основной выделенный сервер обычно закупается почти легально, с помощью одной из украденных карточек, а дополнительные socks [8] получают путем взлома. Эти машины служат посредниками между компьютером мошенника и основным сервером, а также между основным сервером и системой, с которой злоумышленник работает в настоящий момент. Выстраиваемая таким образом цепочка из нескольких компьютеров, нередко разбросанных по разным странам, позволяет сохранять высокую степень анонимности.

Подобной техникой владеют и рыбари [9]. Их цель - различные системы платежей через Интернет или те же пластиковые карточки. В данном виде мошенничества либо клиенту предлагается зайти на поддельный сервер платежной системы, либо используется уязвимость в Web-интерфейсе системы для "доработки" сервера таким образом, чтобы данные, необходимые для аутентификации, попадали мошенникам. Очень часто для этого применяются различные троянские программы, собирающие информацию о работе пользователя с той или иной платежной системой.

Причем взлом клиентов и серверов может происходить в связке. Например, после взлома популярного Web-сервера злоумышленник устанавливает на него дроппер [10] для троянской программы. После того как клиент посещает сервер, ему автоматически устанавливается троянская программа, осуществляющая мониторинг его действий. Часто этот подход используется для мошенничества с платными звонками, когда атакуемый компьютер перенастраивается на дозвон к определенному платному номеру, прибыль с которого получает мошенник.

После одной или нескольких мошеннических операций работать как с закупленными, так и взломанными дедиками [11] становится опасно, и они перепродаются следующей группе - спамерам. С одной стороны, рассылка спама является менее прибыльным бизнесом, чем мошенничество с пластиковыми карточками и платежными системами, но с другой - в большинстве стран она не является уголовно наказуемым деянием.

Современные технологии рассылки спама используют специализированное ПО, позволяющее распределять нагрузку между несколькими серверами и генерировать сообщения, обходящие различные фильтры против спама. В качестве узлов подобного кластера зачастую задействуются выделенные серверы, закупленные у кардеров. Однако если бы рассылка проводилась непосредственно с выделенных серверов, это быстро привело бы к занесению их в черные списки и, как следствие, невозможности дальнейшего применения.

Поэтому на рынке присутствуют базы данных socks-серверов, обновляющиеся практически в режиме реального времени [12]. Часто в эти базы попадают машины, уже задействованные в мошеннических операциях. Параллельно ведется активный взлом новых машин для использования в качестве посредников.

Индустрия спама гораздо быстрее, чем индустрия ИТ, перешла на продажу услуг и аутсорсинг. Большинство продавцов socks и выделенных серверов продают не просто IP-адреса взломанных машин, а подписку на определенное количество машин с заданными характеристиками. Также работает служба технической поддержки, система возврата денег в случаях технических сбоев. Многие продавцы предлагают (по более высоким ценам) машины, гарантированно не включенные в черные списки распространителей спама.

То же относится и к выделенным серверам, рассылающим спам. Зачастую продается не просто машина или ПО для массовой рассылки почты, а "учетная запись в кластере", которая предоставляет доступ к специализированному ПО, осуществляющему предобработку и рассылку почтовых сообщений. Причем применяемая grid-технология позволяет практически неограниченно повышать производительность, используя несколько выделенных систем и динамически распределяя нагрузку между ними. В зависимости от требований заказчика предоставляется различное количество воркеров [13], а также необходимое для рассылки количество socks-серверов.

Стоимость аренды выделенного сервера, побывавшего в руках кардеров, колеблется в районе 100 долл. в месяц. Серверы, пока еще не участвовавшие в мошеннических операциях, стоят в два - два с половиной раза дороже. Взломанные компьютеры с серверами socks стоят около десяти центов за штуку, причем продается обычно не статический список, а постоянно обновляемая информация, учитывающая отключение, заражение новых. Машины, которые прошли предварительную проверку на отсутствие в черных списках распространителей спама, стоят в два раза дороже.

Минимальный тариф [14] подключения к "кластерной системе для массовых рассылок Reactor Mailer компании Elphisoft" - $500 в месяц. Если вы не хотите самостоятельно заниматься поиском socks-серверов, сумма увеличивается до 700 долл.

В последнее время часто стали появляться предложения по рассылке спама в сетях GSM. Стоимость рассылки SMS на 10 000 номеров составляет около $250. Однако пока этот сервис не приобрел промышленных масштабов [15].

Спамеры очень тесно связаны с кардерами. Во-первых, они используют схожие технологии и ресурсы, а во-вторых, осуществление некоторых операций кардеров, например фишинга или установки троянских программ, требует массовой рассылки электронной почты.

После того как socks-серверы и выделенные компьютеры стали непригодны для рассылки спама, они поступают на рынок DDoS [16]. Люди, занимающиеся DdoS, по сути - сетевые рэкетиры. Периодически они демонстрируют свои возможности, подвергая атаке выбранную систему, после чего приступают к шантажу. Обычно они выбирают для своих атак те компании, бизнес которых тесно связан с доступностью их ресурсов в Интернете. В случае, если компания не поддается шантажу, атаки продолжаются. Учитывая, что в распоряжении атакующих практически неограниченные ресурсы Интернета [17], вторая атака заставляет шантажируемого либо заплатить деньги, либо прекратить свой бизнес. Обычно лица, осуществляющие атаки, не связаны непосредственно с шантажистами, а предоставляют сервис по выведению систем из строя по заказу.

Можно назвать следующие продукты и услуги, широко представленные на рынке:

  • поиск и разработка методов использования уязвимостей в системах;
  • разработка ПО для взлома систем, червей и троянских программ;
  • взлом систем для сбора специфической информации (номеров пластиковых карточек, данных аутентификации в платежных системах и т. д.);
  • взлом серверов и клиентских машин для установки socks-серверов и специализированного ПО;
  • разработка специализированного ПО для рассылки спама и осуществления DDoS-атак.

Кроме того, широко развит рынок взлома защиты от несанкционированного копирования и использования различных программ. Здесь особый спрос на средства обхода защиты специализированных программных пакетов, применяемых в промышленности, и различных программно-аппаратных комплексов защиты.

От редакции
Материал, предлагаемый читателю, посвящен экономике хакерства и рынку уязвимостей и написан человеком, знающим эту предметную область изнутри. По понятным причинам автор статьи не пожелал раскрывать свое имя.

Уровень компетентности автора не вызывает сомнения у редакции, однако специфичность темы и наличие в тексте профессиональных "хакерских" терминов требовали внешней экспертизы и подтверждения достоверности изложенного. В качестве эксперта редакция привлекла Сергея Гордейчика, преподавателя УЦ "Информзащита", MCSE, MCT, CISSP. Его комментарии помещены в конце статьи.

 


Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=6273