Попробуйте произнести вслух: «взлом национальной банковской системы». В сознании сразу же возникает образ международной хакерской группировки, тщательно планирующей и осуществляющей атаки высочайшей технической сложности. И как-то не приходит в голову, что за таким взломом может стоять один человек, который, в общем-то, никогда раньше не задумывался о карьере хакера. Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.
Серж родился в 1963 году во французской коммуне Мюлуз в Эльзасе: его мать преподавала шитье в местном колледже, а отец занимался сбором поташа. Окончив школу, Хумпич поступил в инженерный колледж INSA в Лионе, где получил диплом бакалавра, и следующие 12 лет своей жизни посвятил разработке софта. А именно, писал программы для управления заявками биржевых трейдеров. Именно тогда он с головой погрузился в архитектуру финансового ПО, для создания которого требовалось изучать большие объемы технической документации. Еще одним увлечением Сержа Хумпича стало исследование безопасности различных электронных устройств.
Голубая карта
В середине 1990-х годов во Франции все большее значение приобретали кредитные и дебетовые карты. Система Carte Bleue, используемая с конца 1960-х годов, считалась крайне надежной и эффективной. Она была запущена в 1967 году консорциумом французских банков, в который входили Banque Nationale de Paris (BNP), Societe Generale, Credit Lyonnais и несколько других. Идея Carte Bleue заключалась в создании единого метода оплаты в магазинах, общественных местах и на транспорте, который упростил бы безналичные операции и уменьшил зависимость граждан от наличных денег и чеков.
В 1960-х годах Франция, как и многие другие европейские страны, переживала бум потребления, а вместе с ним возникла потребность в более эффективных платежных системах. Наличные деньги и чеки считались основным платежным средством, но они несли в себе значительные риски с точки зрения безопасности как для потребителей, так и для продавцов. Да и банки, в стремлении отслеживать транзакции клиентов и сократить накладные расходы, мечтали о более безопасном и удобном способе оплаты. Так и появилась на свет межбанковская пластиковая карта с магнитной полосой Carte Bleue.
Carte Bleue, что в переводе означает «Голубая карта», быстро завоевала популярность. Изначально эти карты работали в основном как кредитные, позволяя держателям совершать покупки, стоимость которых они могли погасить с течением времени. Банки использовали подобные краткосрочные кредиты для получения прибыли за счет процентов по отложенным платежам. Функции дебетовой карты подключили к Carte Bleue чуть позже: их стали напрямую привязывать к банковским счетам, позволяя клиентам совершать платежи в режиме реального времени, при этом средства с карты списывались немедленно. Здесь следует сделать небольшую ремарку, точнее, две. Во-первых, Carte Bleue являлась национальной платежной системой, то есть, такие карты не работали за пределами Франции (со временем французские банки стали выпускать международную версию под названием Carte Bleue Internationale, но она представляла собой всего лишь брендированную Visa). Во-вторых, в отличие от аналогичных карт международных платежных систем вроде той же Visa и MasterCard, Carte Bleue позволяла совершать транзакции без необходимости авторизации на стороне банка-эмитента.
В 1992 году французы решили следовать веяниям технического прогресса, и добавили на свои карты Carte Bleue встроенный чип в дополнение к магнитной полосе. При этом по таким картам все равно можно было совершать покупки без подтверждения со стороны банка: в любом французском магазине держатель Carte Bleue должен был использовать PIN-код, а микрочип на карте подтверждал и удостоверял транзакцию. Микроплатежи вроде оплаты за проезд или парковки и вовсе осуществлялись без подтверждения PIN-кодом. Внедрение этой системы объяснялось необходимостью борьбы с мошенничеством, которое все чаще становилось проблемой карт с магнитной полосой. Чип, в отличие от магнитной полосы, было гораздо сложнее прочитать и клонировать. В сочетании с требованием вводить идентификационный код для авторизации транзакций новая система обеспечивала гораздо более высокий уровень безопасности как для держателей карт, так и для продавцов. Так, по крайней мере, казалось французским банкирам.
Белый хакер
В 1997 году Серж Хумпич купил у знакомого коммерсанта платежный терминал для Carte Bleue, разобрал его, а потом сдампил и дизассемблировал прошивку. Он тщательно проанализировал каждый этап процедуры оплаты смарт-картой и воссоздал алгоритм генерации 96-значного закрытого ключа, с помощью которого выполнялась аутентификация транзакций. Это позволило Хумпичу изготовить поддельную карту, не привязанную к банковскому счету, которая, тем не менее, принималась платежными терминалами Carte Bleue и позволяла совершать покупки. Более того, Хумпич был убеждён: то же самое мог проделать любой другой специалист по компьютерным технологиям, а затем выпустить сколько угодно таких карт, например, чтобы продавать их злоумышленникам.
Многие хакеры, совершив подобное открытие, наверняка бросились бы закупать товары с помощью поддельных карточек, имея целью их последующую перепродажу. Но Серж Хумпич решил избежать риска стать главным героем криминальной хроники в вечерних новостях, и начал действовать более законными, как он считал, методами. По большому счету, Хумпич выступил основоположником и первооткрывателем явления, которое впоследствии получило название «White Hat Hacking», то есть, «этичный взлом», которым занимаются специалисты по информационной безопасности с целью помочь компаниям устранить выявленные уязвимости.
Летом 1998 года Хумпич нанял юриста, специализирующегося на промышленном праве, и двух экспертов по корпоративной собственности, с помощью которых составил обращение в консорциум банков, управлявших платежной системой Carte Bleue. В документе он подробно и в деталях описал выполненные им действия, продемонстрировал результаты своих исследований и приложил изготовленную им карту, позволявшую оплачивать что угодно на территории Франции даже не имея банковского счета. Более того: Хумпич сообщил, что знает, как исправить дефект используемого системой Carte Bleue алгоритма генерации закрытого ключа, чтобы злоумышленники больше не могли воспользоваться этой уязвимостью. За свою работу он попросил у банкиров небольшое вознаграждение, которое он позже назвал формой профессионального признания своей работы. В процессе взлома Carte Bleue Хумпич использовал свои глубокие знания в области криптографии и банковских протоколов, по сути, он взломал основную логику системы Carte Bleue, доказав, что даже самые современные механизмы цифровой безопасности могут быть использованы злоумышленниками в собственных интересах.
Банки не отреагировали на обращение Хумпича, и тогда он провел публичную демонстрацию своего открытия, представив, как сейчас бы сказали, proof-of-concept. С помощью десяти поддельных карточек Carte Bleue он купил десять билетов на метро в кассовых автоматах на станциях «Балар» и «Чарльз Михельс» парижского метрополитена. Результатом этого действия стал арест, обыск и изъятие всего обнаруженного в его доме электронного оборудования.
Преступление и наказание
25 февраля 2000 года состоялся суд, на котором Сержу Хумпичу предъявили обвинение в подделке банковских карт и мошенническом входе в автоматизированную процессинговую систему. Банки, которым Хумпич разослал свой доклад, также выдвинули против него обвинение в вымогательстве, но его суд в конечном итоге отклонил, постановив, что «белый хакер» не требовал у банкиров денег, а лишь предлагал добровольно заплатить за предоставленную информацию.
В зале суда аргументы Хумпича сводились к тому, что он оказывает банкам ценную услугу, раскрывая недостатки используемых ими технологий. Однако французский суд рассматривал его действия через более строгую призму, сосредоточившись на потенциальных последствиях его взлома, которые могли подорвать доверие общества к банковской системе страны.
Доводы о том, что если бы Хумпич не рассказал консорциуму о своем открытии, а опубликовал его в свободном доступе в интернете, это нанесло бы ущерб французской банковской системе на сотни миллионов долларов, не сработали: банкиры упорно называли Хумпича шантажистом, а десять купленных им билетов метро — невосполнимым ущербом для экономики Франции. В итоге суд согласился с ними: Хумпича признали виновным, приговорили к 10 месяцам тюремного заключения условно и штрафу в 12000 франков, что по нынешнему курсу составляет примерно 1900 евро. Кроме того, его обязали выплатить 1 франк банковскому консорциуму в качестве компенсации морального вреда за испытанные банкирами душевные страдания. В добавок его, ставшего уголовным преступником, уволили с работы. Несмотря на то, что наказание было относительно мягким по сравнению с возможными максимальными сроками, это дело подняло серьезные этические вопросы о тонкой грани между «белым» хакингом и настоящей киберпреступностью.
«Моим намерением всегда было обсудить результаты этого исследования», — рассказывал Хумпич в интервью изданию The Register, — «моя ошибка заключалась в том, что я имел дело с таким грозным противником. Если бы я знал их истинные намерения, никто бы никогда не услышал ни слова обо всем этом».
После отбытия наказания Серж Хумпич на некоторое время исчез из поля зрения общественности. В 2001 году вышла в свет его книга «Голубой мозг» (Le cerveau bleu), в которой Хумпич рассказывал историю взлома платежной системы Carte Bleue и судебного процесса над ним. Позже он уехал в США, основал там технологический стартап, но не добился успеха и вернулся во Францию, где нанялся в компанию Bearstech.
Дело Сержа Хумпича часто упоминается в дискуссиях о том, как правительства и корпорации должны относиться к хакерам, которые раскрывают уязвимости, не прибегая к злонамеренным действиям. Его решение взломать национальную банковскую систему с целью выявления слабых мест остается поворотным моментом в истории кибербезопасности — отчасти благодаря ему сфера ИБ стала более зрелой. Многие компании и учреждения теперь предлагают программы «bug bounty», приглашая хакеров сообщать об уязвимостях в обмен на финансовое вознаграждение. В некотором смысле Хумпич опередил свое время — его действия предвосхитили эти современные инициативы, хотя и привели его на скамью подсудимых. Он, возможно, и не добился признания, на которое рассчитывал, но изменил отношение к таким же, как он, независимым исследователям.
Статья поддерживается командой Serverspace.
Serverspace — провайдер облачных сервисов, предоставляющий в аренду виртуальные серверы с ОС Linux и Windows в 8 дата-центрах: Россия, Беларусь, Казахстан, Нидерланды, Турция, США, Канада и Бразилия. Для построения ИТ-инфраструктуры провайдер также предлагает: создание сетей, шлюзов, бэкапы, сервисы CDN, DNS, объектное хранилище S3.
IT-инфраструктура | Удвоение первого платежа по коду HABR
Комментарии (20)
lesa80
13.09.2024 18:35+8Привет мосгортрансу и ржд, которые банят карты "Тройка" из-за своих же багов или нежелания проверить перед баном историю поездок, из которых бы даже недоджун с онлайн курсов по анализу данных увидел, что нужно не забанить карту, а вернуть излишне снятые средства. Простите, накипело.
krote
13.09.2024 18:35+1По интернету гуляет такая хакерская юморная байка "Хакер приходит в общественную столовую". Пусть столовая не банк, но создать проблемы или шантажировать можно много какие заведения.
Так что мое мнение - дело организации решать, вознаграждать добровольца или нет, ведь его никто не нанимал. Ну а его воплощенные действия уже действительно могут быть по закону расценены как ущерб.
TimsTims
13.09.2024 18:35+1В те времена вообще даже понятия не существовало этичного хакинга. Тут обоюдоострый вопрос - если в системе есть уязвимость, и вы о ней узнали, что вы сделаете? Скажем, безлимитная выдача денег, если на цифербладе банкомата набрать секретную комбинацию.
Пройдете мимо, попытаетесь помочь, или используете чтобы нажиться на этом? Могу поспорить, большая часть просто проходит мимо. Некоторая часть желает это эксплуатировать. И лишь малая часть пойдет убиваться в компанию, достукиваться, и предупреждать всех о надвигающемся пмздеце, если это не пофиксить.
DGN
13.09.2024 18:35+1Грубо говоря, использование уязвимости, то есть забрать деньги - это воровство. А продажа уязвимости - продажа своего труда.
Наверное, самое идеалистическо-альтруистически, это послать уязвимость владельцу, а в общественный доступ выложить с задержкой. Но не все волки сыты, да и овцы не всегда целы (пока уязвимость не используется, не все торопятся чинить).
TimsTims
13.09.2024 18:35послать уязвимость владельцу
Прям самому главному посылать? А если он не поймет нихера, или секретарь не пропустит. Самому обычному специалисту в отделении? Тоже самое. Скорее всего они бы подумали что вы шарлатан.
DGN
13.09.2024 18:35Значит он плохо организовал свой бизнес, ну бывает.
TimsTims
13.09.2024 18:35Значит он плохо организовал свой бизнес, ну бывает.
Ещё раз. Речь про 1970 год. Появляется человек, который взломал банк. Наказать или помиловать?
Вот выше первый пост - пишут что его надо наказать. А я говорю, что наказывать не за что, тк тогда некуда было обратиться даже с такими репортами.
Вы же пишете что "сам дурак раз не сделал такого места куда можно пожаловаться. Хаха надо было сразу такое предусмотреть".
Ну как бы вы тут скапитанили: да ему, некуда было пожаловаться, но этого не было ещё потому что инцидентов таких ещё не было. Все кто взламывали - были только плохими людьми, не было разделения на плохой/хороший. Поэтому с ними и не церемонились, сразу сажали. И тут первый такой кейс, когда нужно изменить закостенелую систему.
piton_nsk
13.09.2024 18:35+1Ещё раз. Речь про 1970 год.
Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.
Все-таки был уже 1997 год.
DGN
13.09.2024 18:35У любой компании есть официальные контакты, всякие там референты. И если ты банк, то и отдел безопасности. В который референт и должен отправить такое письмо, чтобы они оценили серьезность.
Помню, в 97 году в попытке продать банку патч, делали контрольный экспертмент. И да, когда зафиксирована недостача, этот документ читается куда как быстрее, чем если просто технически изложить проблему.
TimsTims
13.09.2024 18:35Да это всё понятно. Вы пишете что небо голубое, а трава зеленая, что о уязвимостях надо сообщать кому надо, что герой статьи и сделал:
с помощью которых составил обращение в консорциум банков, управлявших платежной системой Carte Bleue
Никто не отреагировал, дальше что?
когда зафиксирована недостача, этот документ читается куда как быстрее
Вот и вы пример такой приводите. Никто не отреагировал пока не укусит. Нужно добиваться чтоб услышали, или не лезть ждать пока самих укусит?
В первом варианте ты рискуешь личным юридическим преследованием (т.к. нет законов), а во втором - что ситуация никогда не будет меняться, об уязвимостях не принято будет сообщать, они никуда не будут деваться, и уязвимостями будут пользоваться только black hat.
Donkeyhot_kgd
13.09.2024 18:35+2А надо было просто стрясти с системы бабла и жить в свое удовольствие. Тоже мне, моральна дилемма.
anonymous
НЛО прилетело и опубликовало эту надпись здесь
salnicoff
Похоже, что он не ездил по этим билетам. Получается, метрополитен не получил денег, но и не оказал услугу.