по электроннным сетям весь мир. Само словосочетание "ограбление банка по модему" - абсурд, ибо собственные средства банка, то есть уставной капитал и прибыль, лежат на определенных счетах, которые не только по модему недоступны, но даже и многим сотрудникам открыты лишь для просмотра. Что-то снять и перевести, не имея санкции руководства, просто невозможно. А все остальное - лишь средства клиентов, и банк временно распоряжается ими только по поручениям владельцев. Посредством связи через модем управляются только клиентские счета, и кроме того окончательное решение о проводке той или иной суммы принимает человек.
Деньги всегда привлекали преступников. Неважно, хранятся наличные под сейфовыми замками или в виде строчки цифр на расчетном счету фирмы - обязательно найдется некто, размышляющий о способах их изъятия. Но ни один "медвежатник" не полезет наобум снимать сигнализацию и резать сейфы, если не будет в достаточной степени уверен, что там есть чем поживиться. Точно так же ни один хакер даже не попытается "ломать" защиту, если не будет точно знать, что на конкретном счету есть некая (и не малая) сумма, которой можно распорядиться втихоря от хозяина. Ведь, как и медвежатнику, ему дается всего одна попытка (вспомним про лог-файл: если кто-то начал подбирать пароли, то это тотчас можно отследить и принять меры). Откуда он получает эту информацию?
Чаще всего - от самого клиента, хозяина денег. Взять, к примеру, случай с Владимиром Левиным, снявшим, не выходя из своей петербургской квартиры, с некоего расчетного счета Сити-бэнк 80 тыс. долл. и отправившего затем их в Израиль. Вы считаете, он Сити-бэнк ограбил? Нет, он обворовал одного из клиентов банка, также проживавшего в Петербурге. То есть - послал платежное поручение от лица реального человека, используя его имя, пароль, шифр. У банка не было оснований отказать в исполнении, а когда настоящий клиент получил очередную выписку со счета, тут-то все и вскрылось. И при повторной попытке Левина засекла служба безопасности. Спросите, как он узнал чужой расчетный счет, имеющуюся там сумму, имена, пароли и прочее?
Для этого совсем не обязательно выезжать в Америку и выпытывать означенные сведения у тамошних специалистов. Скорее всего, либо проговорился сам потерпевший, либо (с меньшей вероятностью) В.Левин встроил "программный жучок" на петербургском сайте компьютерной сети и длительное время снимал копии со всех проходящих документов, чтобы затем, наработав статистику, проанализировать шифр. Другое дело, что банк взял на себя весь ущерб, причиненный клиенту, но реально - мог и отказать ему, ведь вины банка тут не было. Конфедициальная информация "ушла" не от него.
В связи с этим вспоминается обсуждение в сетевых телеконференциях летом 1996 года проделки Левина. Некто (имя не запомнилось, назовем его условно А.) поведал такую историю. Года за два до известных событий, когда о модемах знали лишь немногие, вызывает его начальство и просит помочь с настройкой модемной связи для другой фирмы - партнера по бизнесу. "Прихожу, - говорит, - стоит компьютер, модем. Выдали мне две дискеты с программным обеспечением для связи аккурат с тем самым Сити-бэнк. Есть и документация на английском, но терминологии никто не понимает. Подключил модем, запустил инсталляционную дискету. Коммуникационная программа установилась успешно, но - не работает. Начал разбираться - налицо конфликт с какими-то другими программами, установленными ранее. Долго менял настройки, конфигурировал систему, и наконец запустил программу - модем стал набирать номер. Но смотрю - номер-то американский, без междугородных префиксов. А если их вставить - получается слишком длинное число, не влезающее в отведенное для него место. Заказчик, узнав суть проблемы, стал звонить в Штаты. Там ему сообщили, что в Москве тоже есть некий телефонный номер, через который можно связаться напрямую с американским банком (номер-то сказали, а пароли для входа в сеть - нет, сами их не знали)…" Короче, до первого тестового звонка в банк прошло дня три. За это время А. узнал и пароли, и телефоны, и подержал в руках сами кодировочные таблицы (собственно говоря, сам все узнавал, проверял, тестировал, чтобы потом объяснить и показать заказчику, как что делать). Месяц спустя - земля слухом полнится - другой бизнес-партнер попросил оказать аналогичную услугу. Еще через несколько месяцев - третий. За год А. настроил эту программу в восьми фирмах. Прошло еще некоторое время, и вот, удаляя лишние программы на своем компьютере, он случайно наткнулся на копию одной из тех самых банковских программ. Ради интереса решил проверить, сменил ли хозяин пакета тестовые пароли. Запустил программу, модем набрал номер, спокойно подключился к московскому хосту, тот благополучно переключил его на Сити-бэнк, и на экран монитора поползла выписка… Дальше А. заверял, что тут же выключил модем, ибо если он получит выписку, то владелец счета ее уже не получит и начнет разбираться, в чем тут дело, да и не собирался А. "ломать" банк. Но сам факт, что абсолютно конфиденциальная информация свободно гуляет по разным компьютерам, говорит о многом. И не нужны в подобной ситуации какие-то особые хакерские таланты…
Попробуем подвести итог. Если фирма не держит большие суммы длительное время на своем расчетном счете, пуская их в оборот, если система "Банк-Клиент" не пользуется услугами посредников - электронных сетей типа Интернет, Спринта и прочих, а ведет все дела напрямую, если доступ посторонних лиц к коммуникационному компьютеру ограничен, а кодировочные таблицы хранятся в сейфе, если приходы и расходы денег проверяются ежедневно (в течение суток любой ошибочный платеж можно отозвать), то оснований для беспокойства нет. Грех обижаться на подложную бумажную платежку, если печать предприятия валяется где попало.
(с) Техника молодежи N 07 за 1997 г.
This file was created
with BookDesigner program
[email protected]
18.01.2024