Вадим Проскурин - Хоббит, который познал истину
— Разве нельзя было перечислить эти деньги не на сирот, а на закупку компьютера?
— Нельзя. Во-первых, этих денег не хватит, а во-вторых, в компании действует очень жесткая отчетность. Завести несуществующий отдел можно легко, а если потратить деньги не на то, на что положено, менеджеры сразу все поймут и попытаются обратиться в нуменорскую полицию. Ничего у них, конечно, не получится, но операция накроется. Понимаешь, никто никогда не пытался надуть компанию так крупно, обычно мошенники работают по мелочам, чаще всего они просто пытаются потратить деньги компании нецелевым образом. Служба безопасности очень внимательно отслеживает такие попытки, обмануть ее, наверное, можно, но лучше не пробовать, риск слишком велик.
— Подожди, Хэмфаст, но ведь нам потребуется закупить очень мощный компьютер, из таких, которые не используются для бумаготворчества. Как ты обоснуешь его необходимость?
— Никак. Я вообще не рассчитываю получить большую сумму с этого мошенничества. Мы получим легальный банковский счет, а вместе с ним доступ к банковскому компьютеру. А все остальное — твоя забота. Ты справишься?
— Не могу ничего обещать, но попробую. Ты молодец, Хэмфаст!
14
На следующий день мы получили легальный банковский счет, а вместе с ним и пропуск за огненную стену, отделяющую от остального Междусетья внутреннюю сеть одного очень большого международного банка. Вот, кстати, еще один образец экономического бреда — международный банк. Нет, вы только вдумайтесь в смысл этих слов! Подумайте, что произойдет с этим банком, когда страны, в которых живут основные акционеры, начнут воевать между собой. Я не понимаю, те, кто основывает такие банки, они вообще об этом не думают?
Но вернемся к нашим делам. Не могу сказать, что дальнейшее было простым делом. Уриэль возился с этим банком почти до конца марта, он пытался подробно объяснять мне, что именно он делал, но я не понял почти ничего. Могу пересказать только основные моменты.
Итак, вначале мы имели минимальный доступ во внутреннюю сеть банка, нам не позволялось почти ничего — только класть деньги на свой счет, снимать их для перевода на другой счет, да еще получать справку о состоянии счета. Любые другие запросы сгорали на огненной стене. Целая неделя потребовалась Уриэлю, чтобы найти в стене проход.
Проход оказался совсем простым. Те, кто проектировал банковскую сеть, в самом начале работы сделали большую глупость — установили на вход недостаточно мощный маршрутизатор. Вначале он работал очень даже хорошо, но нагрузка росла, и скоро он стал самым узким местом сети. Надо сказать, что этот маршрутизатор не был компьютером, он представлял собой специализированное устройство, и потому его нельзя было переконфигурировать, как это обычно делают с устаревшими компьютерами, то есть заменить только отдельные узлы, что стоит гораздо дешевле, чем менять весь компьютер. Специализированный маршрутизатор можно поменять только весь целиком.
В один прекрасный момент администраторы банка поняли, что маршрутизатор нужно менять. И тогда они сделали вторую глупость. Они не стали его менять, они решили сэкономить деньги и поставили параллельно со старым маршрутизатором новый. Они не учли факт, известный любому алхимику: две субстанции, каждая из которых совершенно безобидна, при смешивании могут дать совсем небезобидную смесь. Два сигнала, идущие от одного источника к одному приемнику по двум разным маршрутам, соединившись, дают третий сигнал, который может приобрести совсем другой смысл по сравнению с тем, что был введен во внутреннюю сеть. По-научному это называется “фрагментация пакетов”. Отправляем один пакет, отправляем другой, через огненную стену они проходят по отдельности, каждый через свой маршрутизатор, а у получателя два пакета сливаются и образуют третий, да такой, что огненная стена ни за что бы его не пропустила. И в конечном итоге все оказалось предельно просто — Уриэль сотворил специальное заклинание, или, в терминологии реального мира, написал специальную программу, которая преобразует входные данные к такому формату, что они гарантированно проходят через огненную стену, хотя защита сочла бы их угрожающими, будь данные представлены в обычном формате.
Вот так и был пройден первый эшелон защиты, мы получили нормальный доступ к внутренней сети. Многие хакеры после этого забывают об осторожности, и их необдуманные действия привлекают внимание демона-хранителя, который правильно называется “система обнаружения вторжений”. Но Уриэль знал об этой опасности, он действовал умело и тщательно, и демон-хранитель нас так и не заметил.
В первую очередь Уриэль получил список компьютеров внутренней сети, из которых выбрал тот, который показался ему наименее значительным и потому наиболее уязвимым. Когда мы проникли во внутренности этого компьютера, оказалось, что с ним работает одна пожилая женщина, работа которой состоит в том, что она составляет никому не нужные бумажки, которые никто никогда не читает, но их нужно составлять, потому что так велит закон. Эта женщина прекрасно понимает, что ее работа никому не нужна, и большую часть рабочего времени она проводит, играя в глупые игры. Ей всегда очень скучно, она рада любому событию, нарушающему однообразный распорядок жизни, и, когда она получила письмо, явно направленное по ошибочному адресу, она не заподозрила ничего дурного. Прикрепленный к письму боевой артефакт активизировался без всяких проблем.
Мы установили контроль над одним из компьютеров внутренней сети банка и тем самым прошли второй эшелон обороны. И неожиданно оказалось, что дальше обороны нет. Ну, не совсем нет, кое-что есть, но то, что осталось преодолеть, ограничивается стандартными защитными функциями установленных в банке программ. Очевидно, администраторы не думали всерьез, что взломщики смогут забраться в их сеть, и не предусмотрели специальной защиты от внутреннего врага. Дальнейшее было совсем просто.
На захваченный компьютер ушло заклинание Уриэля, с помощью которого два года назад он скопировал ключ силы Олорина, и уже через полчаса мы имели к компьютеру административный доступ. Оказывается, администраторы банка для облегчения своего труда использовали особую программу, которая по очереди подключалась к компьютерам сети, собирала с них информацию о последних событиях и складывала ее в одно место. Никому и в голову не приходило, что, с точки зрения заклинания Уриэля, подключение к компьютеру этой программы ничем не отличается от прохода майара через врата миров.
Наш доступ к компьютеру глупой женщины стал неограниченным, и через минуту после этого в наших руках были пароли всех людей, когда-либо работавших с этим компьютером. Пароли, естественно, были зашифрованы, но компьютер, поддерживающий Средиземье, очень мощный, достаточно мощный, чтобы справиться с этим шифром. И спустя девять дней мы с Уриэлем стали администраторами всей банковской сети. Последний этап взлома, проникновение в базу данных, потребовал так мало усилий, что об этом вообще нечего говорить.
И вот настал решающий момент. Сейф открыт, деньги перед тобой, но как их взять и унести, оставшись незамеченным? Большинство хакеров полагают, что существует только один способ — взять чей-нибудь счет и снять с него деньги от имени владельца. На самом деле это совсем непросто, ведь для того, чтобы деньги переместились с одного счета на другой, нужно сделать столько сложных действий, что практически невозможно правильно провести эту процедуру, не будучи досконально осведомленным о внутренних порядках конкретного банка. Уриэль пошел другим путем.
Чего боится банк? Что у него украдут деньги. А если ему дадут деньги, что в этом плохого? Никто не защищает свои счета от несанкционированного перевода денег на них. Считается, что за корректность перевода в первую очередь отвечает тот, кто дает деньги, и, в общем, это правильно. Поэтому, когда на центральный банковский компьютер пришел внешний запрос о переводе ста пятидесяти тысяч долларов на счет одного из крупнейших клиентов, никто и не подумал проверить, откуда пришел запрос. А запрос пришел с компьютера пожилой женщины, которая в этот момент с упорством, достойным лучшего применения, выкладывала в линию пять одноцветных шариков.
Первый запрос отработал безупречно, и следом пошли еще десять. Во всех фигурировали суммы от ста тысяч до миллиона долларов, и только один из самых незначительных увеличил сумму на нашем с Уриэлем счете. То, что началось дальше, придумал я, и я очень горжусь этим. Едва оказавшись на нашем счете, деньги пустились в нескончаемое путешествие по двадцати восьми различным банкам, в которых было создано около тысячи новых счетов. Деньги перемещались из одного места в другое, их поток дробился на мелкие, почти незаметные ручейки, которые потом сливались воедино, деньги бессмысленно метались туда-сюда, нигде не задерживаясь дольше часа, и, поскольку за каждый перевод банк вычитает из переводимой суммы небольшую долю, через неделю от трехсот тысяч долларов осталось пятьдесят, но зато теперь их происхождение не отследит никто и никогда. А если не верите, попробуйте как-нибудь отследить сто тысяч трансакций!