Страница 14 из 19
Second Sight также пришла к выводу, что погрешности в работе системы Horizon{83} можно объяснять хитроумными атаками киберпреступников на банкоматы. Злоумышленники разрабатывали вредоносные программные средства, чтобы обойти системы безопасности программного обеспечения Horizon. На самом деле многие из отмеченных случаев хищения денег со счетов происходили через уличные банкоматы Банка Ирландии{84}. Это позволяло сделать предположение о том, что именно эти банкоматы стали уязвимыми. Однако сложность системы Horizon{85} скрыла эту потенциальную опасность на многие годы. Между тем именно в этот период некоторые субпочтмейстеры обанкротились или оказались в тюрьме{86}.
Несмотря на чрезмерную сложность системы Horizon и растущее количество жалоб{87}, руководители британской почтовой службы сохраняли веру в нее, оспаривая выводы доклада фирмы Second Sight{88}. «После двух лет расследования абсолютно отсутствуют какие-либо доказательства того, что компьютерная система Horizon давала систематические сбои»{89}, – настаивали руководители британской почты. Но вопрос остается открытым: почтовая служба выступает ответчиком по коллективному иску{90}, который подали более пятисот субпочтмейстеров. А Комиссия по проверке уголовных дел[8] расследует несколько обвинений, в которых свою роль могла сыграть система Horizon{91}.
Как заявил один из членов британского парламента, мысль, что «субпочтмейстеры, которые неустанно трудились в своих городках и поселках иногда десятками лет, вдруг решили, что могут обмануть компьютерную систему, – полнейшая и абсолютная чепуха»{92}. Или, как сказал один бывший субпочтмейстер: «Людей сажали в тюрьму, хотя было ясно, что виной всему – сбой в компьютерной системе»{93}.
3. Хакерство, мошенничество и все то, о чем не принято писать в газетах
«Им даже не нужно было лгать. Они прикрылись сложностью системы, и этого оказалось достаточно»
I
В 2010 году симпатичный новозеландец, которого звали Барнаби Джек, вышел на сцену на ежегодной хакерской конференции Black Hat[9] в Лас-Вегасе{94}. Справа от него стояло два банкомата, а также два платежных терминала, которые используются по всему миру в барах и небольших магазинчиках. Джек, специалист по кибербезопасности, провел годы, изучая микрокомпьютеры внутри банкоматов. До недавнего времени их производители считали, что цифровая и физическая защита – это одно и то же, и прятали компьютеры в подобия сейфов, намертво прикрученных болтами к полу. Однако Джек собирался продемонстрировать, насколько эфемерна эта безопасность, лишь несколько раз щелкнув компьютерной мышкой. Он готов был показать залу, полному хакеров, как можно быстро разбогатеть.
Собравшиеся внимательно слушали Барнаби, пока тот описывал технические подробности при помощи презентации, сделанной в PowerPoint. А потом началось самое веселое. Чтобы атаковать первый банкомат, Джек написал программу для его удаленного взлома. Хотя машина продолжала функционировать в нормальном режиме и выдавала клиентам деньги, она одновременно сохраняла номера их банковских карт и позволяла Джеку копировать их.
Он также создал «тайный ход» – скрытый путь доступа к машине. Когда он подошел к банкомату, вставил фальшивую карту и нажал кнопку, тот стал без разбора выдавать деньги, не привязывая выдачу наличных ни к какому банковскому счету.
Потом Джек подошел к другому банкомату и воткнул в него флеш-накопитель USB. Компьютер загрузил его программу, высветил на экране слово «ДЖЕКПОТ!» и включил веселую мелодию, как в игровых автоматах, одновременно выбрасывая банкноты на пол. Публика разразилась радостными криками.
Однако Барнаби Джек, которого коллеги считали гением, взламывал банкоматы не с целью украсть деньги. Он был хакером «в белой шляпе»[10] – проникал в системы только для того, чтобы повысить их безопасность. Прежде чем продемонстрировать свои достижения на публике, он передавал результаты своей работы производителям, чтобы они смогли устранить обнаруженные им уязвимости банкоматов.
Однако не все хакеры настроены так дружелюбно. За несколько недель до Рождества в 2013 году хакеры умудрились украсть 40 млн номеров кредитных карт{95} у покупателей розничной сети Target – одной из самых крупных в мире. Преступники использовали учетные данные, украденные у подрядчика по отоплению. Это позволило им проникнуть в компьютерную сеть ретейлера и с его сервера получить доступ к кассовым аппаратам и кардридерам почти в 1800 магазинах сети. Хакеры разослали по ним свою модифицированную программную прошивку, с помощью которой контролировали каждую операцию и собирали содержащиеся на картах клиентов данные.
Обычно мы не осознаем, что кассовые аппараты – это компьютеры. То же можно сказать и о банкоматах. Кассовые аппараты торговой сети Target были частями большой и сложной системы, поэтому, как только хакеры вскрыли ее уязвимость, они смогли воспользоваться своей находкой в каждом магазине. Когда сеть Target объявила, что стала объектом атаки хакеров, продажи резко снизились, а через несколько месяцев ее генеральный директор подал в отставку.
Это было сокрушительное фиаско, но во всяком случае взломанные хакерами кассовые аппараты не подвергают риску жизни людей. А вот взломанный хакерами автомобиль – совсем другое дело.
II
Что бы ни случилось, не паникуйте{96}. Энди Гринберг ехал по хайвею со скоростью 115 км/ч, как вдруг педаль газа в его Jeep Cherokee 2014 года перестала работать. Он давил на нее снова и снова, но безрезультатно. Когда Jeep замедлился в крайней правой полосе, а мимо с визгом проносились огромные трейлеры, Энди прокричал в свой мобильный телефон: «Нужно исправить эту чертову педаль газа. Серьезно, это очень опасно. Мне нужно ехать дальше!» Однако стереосистема машины Энди была включена на полную мощность, и хакеры на другом конце телефона не могли услышать его из-за гремящего хип-хопа.
Не паникуйте. Хорошей новостью было то, что Гринберг был в этом автомобиле, чтобы написать статью для журнала, а хакеры вовсе не пытались сделать ему что-то плохое. Гринберг пишет о новых технологиях и безопасности для журнала Wired. Двое хакеров, Чарли Миллер и Крис Валасек, были далеко. Они устроились в гостиной Миллера и смеялись над тем, как Гринберг бился с неполадками в машине. После нескольких лет исследований эти двое поняли, как с помощью опции подключения к интернету через мобильный телефон взломать автомобильный компьютер. Эти компьютеры управляли всем – от дворников стеклоочистителя до работы спидометра и тормозов. Гринберг стал для Миллера и Валасека объектом тестирования. Хакерская атака пришлась на трансмиссию его автомобиля.
За два года до этого хакеры пригласили Гринберга за руль другого автомобиля, который они взломали. Тогда атака проводилась с ноутбука, подсоединенного к электронной системе машины. Сидя на заднем сиденье, они активировали систему автоматической парковки, заставляли руль свободно и неконтролируемо вращаться и отключали приводы тормозов. Когда эта пара доложила о своих «успехах» на очередной конференции Black Hat, автопроизводители не придали этому особого значения. В конце концов, в то время хакерам все еще был необходим физический контакт с автомобилем.
83
Second Sight, Initial Complaint Review and Mediation Scheme. P. 14–19.
84
Second Sight, Initial Complaint Review and Mediation Scheme. P. 14–19.
85
Parliamentary Debates, Commons, 6th ser., vol. 589, 2014. Например, член парламента Джеймс Арбетнот отметил: «Больше всего я озабочен тем, что зачастую в программном обеспечении нельзя обнаружить те ошибки, которые порождают подобные проблемы». Во время тех же слушаний Джо Суинсон, парламентский заместитель министра по делам коммерции, инноваций и профессионального обучения, заявила, что «многие случаи по вполне понятным причинам очень сложны, поскольку имеют дело с системами и многочисленными транзакциями». Кроме того, газета Financial Times писала: «IT-эксперты утверждают, что отследить причины сбоев в компьютерных системах очень трудно, особенно когда эти системы cложные, а проблемы анализируются задним числом». (Plimmer. MPs Accuse Post Office.) См. также: Second Sight, Initial Complaint Review and Mediation Scheme; Plimmer and Bounds. Dream Turns to Nightmare.
86
Parliamentary Debates, Commons, 6th ser., vol. 589, 2014. В частности, заявления членов парламента Джеймса Арбетнота, Эндрю Бриджена, сэра Оливера Хелда, Кивана Джонса и Иэна Мюррея о судьбах субпочтмейстеров в их избирательных округах. См. также: Sub-Postmasters Fight Back; Plimmer and Bounds. Dream Turns to Nightmare.
87
Parliamentary Debates, Commons, 6th ser., vol. 589, 2014; Second Sight, Initial Complaint Review and Mediation Scheme; Plimmer. MPs Accuse Post Office.
88
Alexander J. Martin. Subpostmasters Prepare to Fight Post Office Over Wrongful Theft and False Accounting Accusations // The Register, April 10, 2017. URL: https://www.theregister.co.uk/2017/04/10/subpostmasters_prepare_tofight_post_office_over_wrongful_theft_and_false_accounting_accusations; The UK’s Post Office Responds to Horizon Report // Post & Parcel, April 20, 2015. URL: http://postandparcel.info/64576/news/the-uks-post-office-responds-to-horizon-report.
89
Post Office IT System Criticized in Report // BBC News, September 9, 2014. URL: http://www.bbc.com/news/uk-29130897. См. также: Karl Flinders. Post Office IT Support Email Reveals Known Horizon Flaw // Computer Weekly, November 18, 2015. URL: http://www.computerweekly.com/news/4500257572/Post-Office-IT-support-email-reveals-known-Horizon-flaw.
90
HM Courts & Tribunals Service, The Post Office Group Litigation; Michael Pooler. Post Office Faces Class Action Over «Faulty» IT System // Financial Times, August 2, 2017. URL: https://www.ft.com/content/f420f2f8-75fa-11e7-a3e8-60495fe6ca71.
8
Комиссия по проверке уголовных дел расследует предполагаемые судебные ошибки в Англии, Уэльсе и Северной Ирландии и имеет право вернуть дело в апелляционный суд, если существует возможность отмены приговора или смягчения наказания.
91
Pooler. Post Office Faces Class Action Over «Faulty» IT System.
92
Заявление члена нижней палаты парламента Кивана Джонса. Parliamentary Debates, Commons, 6th ser., vol. 589, 2014. См. также: выступления на тех же слушаниях членов парламента Джеймса Арбетнота, Эндрю Бриджена, Кэти Кларк, Джонатана Джаногли, сэра Оливера Хелда, Хью Ирранка-Дэвиса, Иэна Мюррея, Алберта Оуэна, Гизелы Стюарт и Майка Вуда; Plimmer and Bounds. Dream Turns to Nightmare.
93
Высказывание Алана Бейтса, создавшего общественную группу Justice for Sub-Postmasters Alliance, приведенное в статье: Steve White. Post Office Wrongly Accused Sub-Postmaster of Stealing Ј85,000 in Five Years of «Torture» // Mirror, August 16, 2013. URL: http://www.mirror.co.uk/news/uk-news/post-office-wrongly– accused-sub-postmaster-2176052.
9
Название конференции Black Hat (англ. «черная шляпа») – выражение из сленга культуры хакеров, обозначающее киберпреступников, которые получают неправомерный доступ к компьютерной информации по злому умыслу или ради личной выгоды. – Прим. ред.
94
Презентация Джека (Jackpotting: Automated Teller Machines) была широко распространена, есть ее видеозапись и слайды. DEFCON conference, November 8, 2013. URL: https://www.youtube.com/watch?v=4StcW9OPpPc.
10
«Белые шляпы» (от англ. White Hat) – хакеры, которые, в отличие от «черных шляп», ищут уязвимости компьютерных систем, чтобы помочь разработчикам сделать их более защищенными. – Прим. ред.
95
Эта история была широко представлена во всех основных СМИ, однако информацию о ее деталях впервые опубликовал Brian Krebs. Sources: Target Investigating Data Breach // Krebs on Security, December 18, 2013. URL: https://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach. Впоследствии он же написал на эту тему много подробных статей.
96
Этот раздел основывается на интервью с Энди Гринбергом от 12 августа 2016 года, а также его статьях, в частности: Hackers Remotely Kill a Jeep on the Highway – With Me in It // Wired, July 21, 2015. URL: https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway; After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix // Wired, July 24, 2015. URL: https://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix; Hackers Reveal Nasty New Car Attacks – With Me Behind the Wheel (Video) // Forbes, August 12, 2013. URL: https://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/#60fde1d9228c.