Попробуйте произнести вслух: «взлом национальной банковской системы». В сознании сразу же возникает образ международной хакерской группировки, тщательно планирующей и осуществляющей атаки высочайшей технической сложности. И как-то не приходит в голову, что за таким взломом может стоять один человек, который, в общем-то, никогда раньше не задумывался о карьере хакера. Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.
Серж родился в 1963 году во французской коммуне Мюлуз в Эльзасе: его мать преподавала шитье в местном колледже, а отец занимался сбором поташа. Окончив школу, Хумпич поступил в инженерный колледж INSA в Лионе, где получил диплом бакалавра, и следующие 12 лет своей жизни посвятил разработке софта. А именно, писал программы для управления заявками биржевых трейдеров. Именно тогда он с головой погрузился в архитектуру финансового ПО, для создания которого требовалось изучать большие объемы технической документации. Еще одним увлечением Сержа Хумпича стало исследование безопасности различных электронных устройств.
Голубая карта
В середине 1990-х годов во Франции все большее значение приобретали кредитные и дебетовые карты. Система Carte Bleue, используемая с конца 1960-х годов, считалась крайне надежной и эффективной. Она была запущена в 1967 году консорциумом французских банков, в который входили Banque Nationale de Paris (BNP), Societe Generale, Credit Lyonnais и несколько других. Идея Carte Bleue заключалась в создании единого метода оплаты в магазинах, общественных местах и на транспорте, который упростил бы безналичные операции и уменьшил зависимость граждан от наличных денег и чеков.
В 1960-х годах Франция, как и многие другие европейские страны, переживала бум потребления, а вместе с ним возникла потребность в более эффективных платежных системах. Наличные деньги и чеки считались основным платежным средством, но они несли в себе значительные риски с точки зрения безопасности как для потребителей, так и для продавцов. Да и банки, в стремлении отслеживать транзакции клиентов и сократить накладные расходы, мечтали о более безопасном и удобном способе оплаты. Так и появилась на свет межбанковская пластиковая карта с магнитной полосой Carte Bleue.
Carte Bleue, что в переводе означает «Голубая карта», быстро завоевала популярность. Изначально эти карты работали в основном как кредитные, позволяя держателям совершать покупки, стоимость которых они могли погасить с течением времени. Банки использовали подобные краткосрочные кредиты для получения прибыли за счет процентов по отложенным платежам. Функции дебетовой карты подключили к Carte Bleue чуть позже: их стали напрямую привязывать к банковским счетам, позволяя клиентам совершать платежи в режиме реального времени, при этом средства с карты списывались немедленно. Здесь следует сделать небольшую ремарку, точнее, две. Во-первых, Carte Bleue являлась национальной платежной системой, то есть, такие карты не работали за пределами Франции (со временем французские банки стали выпускать международную версию под названием Carte Bleue Internationale, но она представляла собой всего лишь брендированную Visa). Во-вторых, в отличие от аналогичных карт международных платежных систем вроде той же Visa и MasterCard, Carte Bleue позволяла совершать транзакции без необходимости авторизации на стороне банка-эмитента.
В 1992 году французы решили следовать веяниям технического прогресса, и добавили на свои карты Carte Bleue встроенный чип в дополнение к магнитной полосе. При этом по таким картам все равно можно было совершать покупки без подтверждения со стороны банка: в любом французском магазине держатель Carte Bleue должен был использовать PIN-код, а микрочип на карте подтверждал и удостоверял транзакцию. Микроплатежи вроде оплаты за проезд или парковки и вовсе осуществлялись без подтверждения PIN-кодом. Внедрение этой системы объяснялось необходимостью борьбы с мошенничеством, которое все чаще становилось проблемой карт с магнитной полосой. Чип, в отличие от магнитной полосы, было гораздо сложнее прочитать и клонировать. В сочетании с требованием вводить идентификационный код для авторизации транзакций новая система обеспечивала гораздо более высокий уровень безопасности как для держателей карт, так и для продавцов. Так, по крайней мере, казалось французским банкирам.
Белый хакер
В 1997 году Серж Хумпич купил у знакомого коммерсанта платежный терминал для Carte Bleue, разобрал его, а потом сдампил и дизассемблировал прошивку. Он тщательно проанализировал каждый этап процедуры оплаты смарт-картой и воссоздал алгоритм генерации 96-значного закрытого ключа, с помощью которого выполнялась аутентификация транзакций. Это позволило Хумпичу изготовить поддельную карту, не привязанную к банковскому счету, которая, тем не менее, принималась платежными терминалами Carte Bleue и позволяла совершать покупки. Более того, Хумпич был убеждён: то же самое мог проделать любой другой специалист по компьютерным технологиям, а затем выпустить сколько угодно таких карт, например, чтобы продавать их злоумышленникам.
Многие хакеры, совершив подобное открытие, наверняка бросились бы закупать товары с помощью поддельных карточек, имея целью их последующую перепродажу. Но Серж Хумпич решил избежать риска стать главным героем криминальной хроники в вечерних новостях, и начал действовать более законными, как он считал, методами. По большому счету, Хумпич выступил основоположником и первооткрывателем явления, которое впоследствии получило название «White Hat Hacking», то есть, «этичный взлом», которым занимаются специалисты по информационной безопасности с целью помочь компаниям устранить выявленные уязвимости.
Летом 1998 года Хумпич нанял юриста, специализирующегося на промышленном праве, и двух экспертов по корпоративной собственности, с помощью которых составил обращение в консорциум банков, управлявших платежной системой Carte Bleue. В документе он подробно и в деталях описал выполненные им действия, продемонстрировал результаты своих исследований и приложил изготовленную им карту, позволявшую оплачивать что угодно на территории Франции даже не имея банковского счета. Более того: Хумпич сообщил, что знает, как исправить дефект используемого системой Carte Bleue алгоритма генерации закрытого ключа, чтобы злоумышленники больше не могли воспользоваться этой уязвимостью. За свою работу он попросил у банкиров небольшое вознаграждение, которое он позже назвал формой профессионального признания своей работы. В процессе взлома Carte Bleue Хумпич использовал свои глубокие знания в области криптографии и банковских протоколов, по сути, он взломал основную логику системы Carte Bleue, доказав, что даже самые современные механизмы цифровой безопасности могут быть использованы злоумышленниками в собственных интересах.
Банки не отреагировали на обращение Хумпича, и тогда он провел публичную демонстрацию своего открытия, представив, как сейчас бы сказали, proof-of-concept. С помощью десяти поддельных карточек Carte Bleue он купил десять билетов на метро в кассовых автоматах на станциях «Балар» и «Чарльз Михельс» парижского метрополитена. Результатом этого действия стал арест, обыск и изъятие всего обнаруженного в его доме электронного оборудования.
Преступление и наказание
25 февраля 2000 года состоялся суд, на котором Сержу Хумпичу предъявили обвинение в подделке банковских карт и мошенническом входе в автоматизированную процессинговую систему. Банки, которым Хумпич разослал свой доклад, также выдвинули против него обвинение в вымогательстве, но его суд в конечном итоге отклонил, постановив, что «белый хакер» не требовал у банкиров денег, а лишь предлагал добровольно заплатить за предоставленную информацию.
В зале суда аргументы Хумпича сводились к тому, что он оказывает банкам ценную услугу, раскрывая недостатки используемых ими технологий. Однако французский суд рассматривал его действия через более строгую призму, сосредоточившись на потенциальных последствиях его взлома, которые могли подорвать доверие общества к банковской системе страны.
Доводы о том, что если бы Хумпич не рассказал консорциуму о своем открытии, а опубликовал его в свободном доступе в интернете, это нанесло бы ущерб французской банковской системе на сотни миллионов долларов, не сработали: банкиры упорно называли Хумпича шантажистом, а десять купленных им билетов метро — невосполнимым ущербом для экономики Франции. В итоге суд согласился с ними: Хумпича признали виновным, приговорили к 10 месяцам тюремного заключения условно и штрафу в 12000 франков, что по нынешнему курсу составляет примерно 1900 евро. Кроме того, его обязали выплатить 1 франк банковскому консорциуму в качестве компенсации морального вреда за испытанные банкирами душевные страдания. В добавок его, ставшего уголовным преступником, уволили с работы. Несмотря на то, что наказание было относительно мягким по сравнению с возможными максимальными сроками, это дело подняло серьезные этические вопросы о тонкой грани между «белым» хакингом и настоящей киберпреступностью.
«Моим намерением всегда было обсудить результаты этого исследования», — рассказывал Хумпич в интервью изданию The Register, — «моя ошибка заключалась в том, что я имел дело с таким грозным противником. Если бы я знал их истинные намерения, никто бы никогда не услышал ни слова обо всем этом».
После отбытия наказания Серж Хумпич на некоторое время исчез из поля зрения общественности. В 2001 году вышла в свет его книга «Голубой мозг» (Le cerveau bleu), в которой Хумпич рассказывал историю взлома платежной системы Carte Bleue и судебного процесса над ним. Позже он уехал в США, основал там технологический стартап, но не добился успеха и вернулся во Францию, где нанялся в компанию Bearstech.
Дело Сержа Хумпича часто упоминается в дискуссиях о том, как правительства и корпорации должны относиться к хакерам, которые раскрывают уязвимости, не прибегая к злонамеренным действиям. Его решение взломать национальную банковскую систему с целью выявления слабых мест остается поворотным моментом в истории кибербезопасности — отчасти благодаря ему сфера ИБ стала более зрелой. Многие компании и учреждения теперь предлагают программы «bug bounty», приглашая хакеров сообщать об уязвимостях в обмен на финансовое вознаграждение. В некотором смысле Хумпич опередил свое время — его действия предвосхитили эти современные инициативы, хотя и привели его на скамью подсудимых. Он, возможно, и не добился признания, на которое рассчитывал, но изменил отношение к таким же, как он, независимым исследователям.
Статья поддерживается командой Serverspace.
Serverspace — провайдер облачных сервисов, предоставляющий в аренду виртуальные серверы с ОС Linux и Windows в 8 дата-центрах: Россия, Беларусь, Казахстан, Нидерланды, Турция, США, Канада и Бразилия. Для построения ИТ-инфраструктуры провайдер также предлагает: создание сетей, шлюзов, бэкапы, сервисы CDN, DNS, объектное хранилище S3.
IT-инфраструктура | Удвоение первого платежа по коду HABR