В общем, я лазил по хакерским серверам Междусетья и читал все подряд. И чем больше я читал, тем сильнее росло во мне восхищение гением Уриэля. Поистине удивительно, как глубоко он сумел вникнуть в то, как работают компьютеры, ничего не зная о том, что это такое — компьютеры. Он называл системный интерфейс высшей магией, а машинный код первоосновой бытия, но, как ни назови вещь, ее суть от этого не изменится. Редко кому из хакеров удается в течение жизни обнаружить хотя бы одну новую дыру в защите какой-нибудь системы, Уриэлю это удалось, но даже он не смог сделать ничего большего, чем установить контроль над несколькими второстепенными серверами Междусетья, которые никто не ломал только потому, что это никому и никогда не было нужно. Чтобы украсть деньги, мало быть толковым специалистом, нужно кое-что еще: опыт, друзья, удача, и, самое главное, первоначальное вложение капитала в виде легального банковского счета. Наверное, раньше никто не задумывался, как трудно украсть деньги, если не иметь денег с самого начала. Странно, но уголовный бизнес, похоже, так же требует инвестиций, как и любой другой.
В конце концов, я бросил читать научные статьи и техническую документацию, и обратился к разделам, которые почему-то называют подземными. Уверен, что девять из каждых десяти размещенных здесь баек выдуманы от начала до конца, а десятая правдива, самое большее, наполовину. Но автор каждой истории клянется, что пишет истинную правду, и смертельно обижается на каждого, кто осмеливается подвергать сомнению правдивость написанного. Впрочем, некоторые байки довольно забавны.
А потом я набрел на одну историю, которая заставила меня задуматься. А почему бы и нет, подумал я, на практике такого никто, конечно, не делал, но почему бы не попробовать превратить этот бред в реальность? Готов поклясться, так нагло не действовал еще никто. Попробуем.
13.
— Смотри, Уриэль, что у меня есть!
— Это что такое? Неужели банковский счет??
— Он самый. Не спеши радоваться, на нем лежит меньше ста долларов и он годится только на то, чтобы оплачивать коммунальные услуги.
— Какие услуги?
— Коммунальные. Отопление, освещение, вывоз мусора и тому подобное. Ты знаешь, в реальном мире большинство людей живут в больших домах, в которых каждая семья занимает только малую часть общей площади. Коммунальные услуги в таких домах выполняются особыми компаниями и для оплаты этих услуг используются особые счета.
— Так что, этот счет нельзя использовать для наших целей?
— Нельзя.
— Тогда зачем он нужен?
— Смотри.
И я показал Уриэлю подборку документов. Уриэль просмотрел их, вначале бегло, потом более внимательно.
— И что? — спросил он. — Что это все значит?
Я начал объяснять.
— В реальном мире есть одна компания, которая называется "Раптор-кола" и производит какую-то гнусную жижу. То ли люди пьют эту жижу, то ли травят ей насекомых, я так и не понял, да это и неважно. В общем, эта компания очень большая, она имеет филиалы почти во всех странах мира, причем во многих странах их имеется несколько, и некоторые из них, чтобы платить меньше налогов, оформлены как независимые компании, словом, эта компания настолько огромна, что даже руководящие менеджеры точно не знают, чем именно они владеют.
Уриэль начал понимать.
— Ага, — сказал он, — ты создал новое представительство... Нуменор?! Да ты издеваешься над ними! Нет, Хэмфаст, я, конечно, ценю твое чувство юмора, но всему есть предел! Ты уверен, что никто из менеджеров этой рапоколы не читал Красную книгу?
— В Красной книге Нуменор упоминается только несколько раз. Легенда о Нуменоре полностью приведена в другой книге, которая называется "Сильмариллион", а ее мало кто читал, потому что она чудовищно занудна. Не думаю, что в ближайшее время кто-нибудь поймет, что Нуменор — несуществующая страна. А если менеджеры и поймут это, они наверняка предпочтут замять дело, чтобы не выглядеть посмешищем.
— Ну, не знаю... Может, ты и прав, но, по-моему, это все равно слишком рискованно. Но как ты сумел организовать несуществующее представительство, да еще и в Нуменоре? Ты взломал сервер этой компании? Тогда почему ты просто не взял деньги?
— Я ничего не взламывал, я пошел другим путем. Вначале я послал самое обычное письмо одному из рядовых клерков, я задал один простой вопрос, на который получил вполне очевидный ответ.
— Как ты узнал адрес этого клерка?
— Почтовые адреса сотрудников компании не считаются секретом, в тайне держат только адреса высших менеджеров. Наверное, чтобы им не докучали всякие деятели вроде меня.
— Понятно. Ты отправил ему письмо, получил ответ, а что дальше?
— Я отправил другое письмо, в котором поблагодарил за оказанную помощь. Потом, через два дня, я отправил еще одно подобное письмо другому клерку, который, судя по открытым данным компании, был знаком с первым.
— Зачем?
— Во всех письмах был фальшивый обратный адрес, он указывал на несуществующее нуменорское представительство.
— Но как ты получал ответы на свои письма?
— Я взломал один из вспомогательных серверов компании, участвующих в пересылке почты. Вся серьезная переписка идет в зашифрованном виде, и взлом почтового сервера не представляет для компании серьезной угрозы. А открытая переписка не стоит того, чтобы ее защищать. В общем, этот компьютер никто особо не защищал, проникнуть в него не составило большого труда.
— Значит, ты научился отправлять письма из Нуменора и получать ответы на них. Но какой в этом смысл?
— Слушай дальше. Через неделю после отправки первого письма я отправил письмо, в котором была очень смешная ошибка. Люди реального мира пишут письма с помощью клавиатуры, это такая штука...
— Не надо объяснять, я знаю, что это такое.
— Так вот, когда на клавиатуре набирается текст, легко можно перепутать руны, клавиши которых расположены по соседству. В моем письме были перепутаны две руны, из-за чего имя одного из младших менеджеров превратилось в грязное ругательство. Поскольку ошибка была в имени адресата, письмо было перенаправлено администратору почты, который долго смеялся и показывал это письмо всем друзьям.
— Но зачем это было нужно?
— Затем, что через две недели после начала операции половина сотрудников центрального представительства знала, что в Нуменоре существует подразделение их компании, в котором работают довольно странные люди, настоящие чудаки. И, когда я прислал в центральный офис... ну, офис — это...
— Я знаю, что такое офис. Продолжай.
— Так вот, я прислал в центральный офис отчет об открытии нового представительства. Этот отчет никого не удивил, все знали, что представительство в Нуменоре существует, а то, что оно открыто только что, объясняет то, почему раньше никто о нем не слышал. К письму был приложено небольшой артефакт, я взял его текст с одного хакерского сервера и немного подправил, чтобы на него не отреагировала защита... в общем, я получил контроль над всеми компьютерами, на которых читали этот отчет.
— Но как ты узнал, что писать в отчете? Я так понимаю, в каждой организации отчеты пишутся по своим правилам.
— Я и не знал, что писать в отчете. В первом варианте отчета вообще не было текста, а артефакт, который я приложил к тексту, создавал видимость, что файл испорчен. Мне ответили, что отчет не читается и попросили переслать его еще раз. А к этому времени я уже получил доступ к архивам компании и смог написать правдоподобный текст. Я отправил его, меня похвалили и попросили перечислить регистрационные данные нашего представительства, потому что, как мне сказали, какой-то дурак забыл внести их в общую базу.
— Базу?
— Ну... правильно это называется база данных, это вроде списка сложного формата с возможностью быстрого поиска. В общем, они подумали, что кто-то забыл внести данные о нашем отделении в общий список, и я направил им то, что они просили. Теперь Нуменорское представительство официально зарегистрировано!
— А откуда взялся счет на коммунальные услуги?
— Его номер прислали из центрального офиса. Деньги на текущие расходы выдаются подразделениям компании централизованно, и при регистрации нового представительства автоматически заводится соответствующий счет. Завтра или послезавтра я получу номера счетов, через которые оплачиваются другие расходы, и тогда мы получим настоящие деньги реального мира! Как тебе моя идея?
— Замечательно! Я даже немного завидую тебе. И я рад за тебя, честное слово, Хэмфаст, я не ожидал, что ученик так быстро превзойдет учителя.
— Я еще не превзошел тебя! То, что эта вещь получилась у меня, а не у тебя, еще ни о чем не говорит. Да и вообще, мы ничего еще получили. С коммунального счета деньги снимать нельзя.
— Кстати! А куда они уходят? Какие коммунальные услуги могут быть в Нуменоре?
— Никаких. Эти деньги автоматически перечисляются в один сиротский приют. При перемещении денег указывается только банковский адрес, а не географический, и не так просто понять, что деньги идут совсем не туда, куда должны идти. А в приюте думают, что это очередное благотворительное пожертвование, они привыкли к таким вещам.
— Разве нельзя было перечислить эти деньги не на заботу о сиротах, а на закупку компьютера?
— Нельзя. Во-первых, этих денег не хватит, а во-вторых, в компании действует очень жесткая отчетность. Завести несуществующий отдел можно легко, а если потратить деньги не на то, на что положено, менеджеры сразу все поймут и попытаются обратиться в нуменорскую полицию. Ничего у них, конечно, не получится, но операция накроется. Понимаешь, никто никогда не пытался надуть компанию так крупно, обычно мошенники работают по мелочам, чаще всего они просто пытаются потратить деньги компании нецелевым образом. Служба безопасности очень внимательно отслеживает такие попытки, обмануть ее, наверное, можно, но лучше не пробовать, риск слишком велик.
— Подожди, Хэмфаст, но ведь нам потребуется закупить очень мощный компьютер, из таких, которые не используются для бумаготворчества. Как ты обоснуешь его необходимость?
— Никак. Я вообще не рассчитываю получить большую сумму с этого мошенничества. Мы получим легальный банковский счет, а вместе с ним доступ к банковскому компьютеру. А все остальное — твоя забота. Ты справишься?
— Не могу ничего обещать, но попробую. Ты молодец, Хэмфаст!
14.
На следующий день мы получили легальный банковский счет, а вместе с ним и пропуск за огненную стену, отделяющую от остального Междусетья внутреннюю сеть одного очень большого международного банка. Вот, кстати, еще один образец экономического бреда — международный банк. Нет, вы только вдумайтесь в смысл этих слов! Подумайте, что произойдет с этим банком, когда страны, в которых живут основные акционеры, начнут воевать между собой. Я не понимаю, те, кто основывает такие банки, они, что, вообще об этом не думают?
Но вернемся к нашим делам. Не могу сказать, что дальнейшее было простым делом, Уриэль возился с этим банком почти до конца марта, он пытался подробно объяснять мне, что именно он делал, но я не понял почти ничего. Могу пересказать только основные моменты.
Итак, вначале мы имели минимальный доступ во внутреннюю сеть банка, нам не позволялось почти ничего — только класть деньги на свой счет, снимать их для перевода на другой счет, да еще получать справку о состоянии счета. Любые другие запросы сгорали на огненной стене. Целая неделя потребовалась Уриэлю, чтобы найти в стене проход.
Проход оказался совсем простым. Те, кто проектировал банковскую сеть, в самом начале работы сделали большую глупость — установили на вход недостаточно мощный маршрутизатор. Нельзя сказать, что он с самого начала не справлялся с возложенными задачами, как раз наоборот, вначале он работал очень даже хорошо, но нагрузка росла, и скоро он стал самым узким местом сети. Надо сказать, что этот маршрутизатор не был компьютером, он представлял собой специализированное устройство, и потому его нельзя было переконфигурировать, как это обычно делают с устаревшими компьютерами, когда заменяются только отдельные узлы и это стоит гораздо дешевле, чем менять весь компьютер. Специализированный маршрутизатор можно поменять только весь целиком.
В один прекрасный момент администраторы банка поняли, что маршрутизатор нужно менять. И тогда они сделали вторую глупость. Они не стали его менять, они решили сэкономить деньги, и они поставили параллельно со старым маршрутизатором новый. Они не учли то, что известно любому алхимику: две субстанции, каждая из которых совершенно безобидна, при смешивании могут дать совсем небезобидную смесь. Два сигнала, идущие от одного источника к одному приемнику по двум разным маршрутам, соединившись, дают третий сигнал, который может иметь совершенно другой смысл, чем то, что вошло во внутреннюю сеть. По научному это называется "фрагментация пакетов". Отправляем один пакет, отправляем другой, через огненную стену они проходят по отдельности, каждый через свой маршрутизатор, а у получателя два пакета сливаются и образуют третий, да такой, что огненная стена ни за что бы его не пропустила. И в конечном итоге все оказалось предельно просто — Уриэль сотворил специальное заклинание, или, в терминологии реального мира, написал специальную программу, которая преобразует входные данные к такому формату, что они гарантированно проходят через огненную стену, независимо от того, насколько угрожающими сочла бы их защита, будь данные представлены в обычном формате.
Вот так и был пройден первый эшелон защиты, мы получили нормальный доступ к внутренней сети. Многие хакеры после этого забывают об осторожности и их необдуманные действия привлекают внимание демона-хранителя, который правильно называется "система обнаружения вторжений". Но Уриэль знал об этой опасности, он действовал осторожно и демон-хранитель нас так и не заметил.
В первую очередь Уриэль получил список компьютеров внутренней сети, из которых выбрал тот, который показался ему наименее значительным и потому наиболее уязвимым. Когда мы проникли во внутренности этого компьютера, оказалось, что с ним работает одна пожилая женщина, работа которой состоит в том, что она составляет никому не нужные бумажки, которые никто никогда не читает, но их нужно составлять, потому что так велит закон. Эта женщина прекрасно понимает, что ее работа никому не нужна, и большую часть рабочего времени она проводит, играя в глупые игры. Ей всегда очень скучно, она рада любому событию, нарушающему однообразный распорядок жизни, и, когда она получила письмо, явно направленное по ошибочному адресу, она не заподозрила ничего дурного. Прикрепленный к письму боевой артефакт активизировался без всяких проблем.
Мы установили контроль над одним из компьютеров внутренней сети банка и тем самым прошли второй эшелон обороны. И неожиданно оказалось, что дальше обороны нет. Ну, не совсем нет, кое-что есть, но то, что осталось преодолеть, ограничивается стандартными защитными функциями установленных в банке программ. Очевидно, администраторы не думали всерьез, что взломщики смогут забраться в их сеть, и не предусмотрели специальной защиты от внутреннего врага. Дальнейшее было совсем просто.