История моего первого взлома

Веб разработка - Информационная безопасность

Предыстория

Когда-то на самой заре отечественных Интернетов, когда модемы были большими, админы — бородатыми, FIDO — живым, компьютеры — медленными, браузером — IE, вместо провайдера — N, а до модемного пула приходилось дозваниваться по полчаса… в общем давным-давно, в конце прошлого тысячелетия учился я в школе.

То, что в нашем медвежьем углу появилась возможность подключения к интернету в принципе — уже было грандиозным событием районного масштаба. Это было дорого, это было мучительно медленно и тяжело, но это БЫЛО. Как я уже сказал, учился я тогда в школе. Надо признаться, к цифровым наркотикам я пристрастился достаточно рано. Начиналось всё совсем безобидно в пятом классе с аппарата «Электроника МС 0511» и языка BASIC. Ничто, казалось бы, не предвещало беды. Но уже тогда, написав пару своих первых простеньких программ и впоследствии портировав их на личный домашний клон ZX-Spectrum'а (сей аппарат, плод гения советских конструкторов-электронщиков, вообще достоин отдельного толстого обзора), я чётко себе представлял чем буду заниматься после школы и университета. Если честно, так оно в итоге и получилось.
Потом был суровый Assembler, элегантный Delphi, лаконичный Си… а потом я закончил школу В-)
Закончим с ностальгическим вступлением и перейдём непосредственно к сюжету. О том, как всё начиналось написать можно очень много и долго, но лучше как-нибудь в другой раз.

Кем мы были

Учитель информатики души не чаял в нашей банде. С разных классов среднестатистической районной СОШ набралось с десяток человек, чего оказалось достаточно для организации кружка информатики. К тому времени (а это был, если я не ошибаюсь, 97'й год) в школу завезли новенькие сияющие Pentium I с тактовой частотой 166MHz, 64Mb RAM, OS Win95 в количестве четырёх штук и один модем.
Один. Модем! Тогда мы познали FIDO. Мы были восхищены тем, что можно было свободно обмениваться информацией на бордах и эхах. Мы были на гребне волны.
Потом, конечно же, мы вкусили и Win98 с его [J3QQ4...], и возможностей цифрового видео и множество всего прочего.
Но, мне кажется, именно возможность работы в сети окончательно усадили нас на мышь-клавиатурную иглу.

«Взлом»

С появлением ПК в мой дом пришёл Интернет. Нет, не пришёл, а скорее приполз.
Постоянно занятый модемный пул, обрывы связи каждые полчаса, скорость в 20Кбит вместо заявленных пятидесяти — вот то, с чем пришлось столкнуться. И, разумеется, цена. Цены были просто космическими по сравнению с тем, что есть у нас сейчас. Кое-как первое время спасал FIDO, но всего два часа в день — в то время этого уже казалось очень мало.
Интернет-провайдером, единственным на тот момент, был N. Умные «маркетологи» провайдера придумали две хитрых системы честного отъема денег у населения предоставления услуг. В обоих случаях наркотик Интернет выдавался порционно.
В первом случае человек за фиксированную сумму денег покупал конверт, в котором находились заветные логин и пароль на фиксированное количество часов — пять, десять и двадцать.
Во втором случае необходимо было зарегистрироваться в биллинговой системе, приобрести карточку на N-ную сумму российских денег и с помощью неё пополнить свежезарегистрированный аккаунт. После всех этих нехитрых манипуляций дозваниваемся до модемного пула, авторизуемся со своими регистрационными данными и наслаждаемся очередной порцией информационного героина до исчерпания средств на балансе. Специально для тех, у кого регистрационных данных ещё не было или баланс составляет круглый нуль умным админом был предусмотрен гостевой логин, по которому человека не пускало дальше личного кабинета пользователя.
Вот это сервис! В принципе, больше-то и не нужно было ничего для счастливой жизни.
Все были счастливы, карточки и конверты продавались во всех ларьках «Прессы» и отделениях связи, ничто не предвещало беды.
Уж не знаю один ли я был достаточно любознательным и были ли ещё люди в то время с необходимым уровнем компьютерной грамотности… в общем сопоставив всё то, что я имел в тот момент, я провёл некоторый анализ.
А было у меня не так много — накопилась тройка конвертов и десяток карточек по 100 и 500 рублей.
В целом негусто, но даже этого оказалось достаточно для того, что бы провести нехитрый взлом, который сейчас я бы кроме как детским и не назвал.
С конвертами всё было достаточно очевидно. Логин и пароль состояли из сочетания латиницы и цифр и генерировались абсолютно случайным образом. Заниматься брутфорсом было абсолютно бессмысленно. С карточками же всё оказалось намного проще. Непродолжительный мозговой штурм показал, что 13-значный пин состоит из 4 цифр её номинала и 9-значного непосредственно кода карты. А в личном кабинете можно проверять баланс карты. Обычная POST-форма, без необходимости авторизации. Только по пин-коду. Тесты Тьюринга, как Вы сами понимаете, тогда тоже были не особо распространены.
Модемная звонилка есть (гостевой вход обрывался через 15 минут соединения), скрипт, который парсил ответы сервера и писал их в лог был написан за день. Что ещё нужно начинающему скрипт-киддису? Свободный телефон!
На ночь была поставлен первый цикл перебора. С утра у меня на руках было около 50 пин-кодов сторублёвых карт. Окрылённый успехом я отправился в школу, где после уроков в кабинете информатики несколько модернизировал логику скрипта.
На следующую ночь был поставлен второй цикл, собравший порядка двухсот номеров. В итоге я активно брутфорсил форму проверки баланса на протяжении пяти дней.

Кульминация

Ребёнком я был неглупым и прекрасно понимал, что если возникнет малейшее подозрение в мою сторону, номер телефона выдаст меня с потрохами.
Именно поэтому, а так же из-за начавшей усиливаться паранойи, на шестой день атаки я прекратил свою деятельность и ещё через два дня, вычистив все следы на собственном компьютере отправился в центральное отделение связи, где нашёл админа, отвечающего за модемный пул и передал ему все собранные коды и указал на уязвимость, в обмен на что он согласился закрыть дело «по-тихому».
Ему не очень улыбалось иметь дело со своим начальством, да и мне не особенно хотелось иметь дело с милицией.
В итоге вечером форма уже не работала, а ещё через некоторое время для проверки баланса карты необходимо было ввести её номер и, кроме того, по слухам, все запросы писались в логи сервера.
Проверять так это или нет я уже как-то не решился :)