англоязычного форума на замену Carders Market‘у и DarkMarket‘у, а восточноевропейские борды стали более закрытыми и защищёнными. Серьёзные игроки стали использовать шифрованные чат-серверы, работающие только по инвайтам. Чёрный рынок до сих пор жив, однако кардеры потеряли чувство безнаказанности, и их деятельность пропиталась паранойей и недоверием, благодаря, в основном, деятельности ФБР, Секретной Службы и содействующим им почтовым отделениям, а также их международным партнёрам.
Завеса секретности, что некогда окружала хакеров и корпорации, похоже, начала испаряться, а законодательство более не позволяло компаниям оправдываться своей собственной незащищённостью. Несколько имён компаний, пострадавших от взломов Гонсалеса, были обнародованы в ходе судебного процесса.
И наконец, укол, нанесённый Муларски DarkMarket‘у, дал понять, что федералам не обязательно идти на сделку с плохими парнями, чтобы проводить свои рейды.
Все самые подлые эпизоды в войнах компьютерного андеграунда происходили «с руки» информаторов: например Бретт «Gollumfun» Джонсон превратил операцию Секретной Службы «Рыба-Удильщик» в форменный балаган, когда начал проворачивать налоговые афёры на стороне. Альберт Гонсалес тоже был показательным примером - после операции Firewall Секретная Служба платила ему около 75000$ в год, тогда как он сам в это время проворачивал крупнейшие кражи в истории.
Взломы проведённые им уже после выхода из Shadowcrew, привели к множественным судебным тяжбам. TJX выплатила десять миллионов долларов чтобы закрыть судебные дела, возбуждённые против неё в более чем сорока странах мира и ещё 40 миллионов долларов банкам, чьи карты были скомпрометированы. Банки и кредитные организации также подали множество судебных исков против Heartland Payment Systems из-за массовых нарушений обработок транзакций. Атаки Гонсалеса пробили настоящую дыру в главном защитном бастионе всей индустрии кредитных карт: так называемый Payment Card Industry Data Security Standard, стандарт, который описывает все шаги, которые торговцы и процессинговые центры должны предпринимать для защиты данных кредитных карт. Heartland имел сертификат PCI, а Hannaford Brothers прошли сертификацию даже когда хакеры ковырялись в их системах, продолжая воровать данные.
Когда поутихла шумиха вокруг грандиозных краж Гонсалеса, начались менее масштабные, но гораздо более многочисленные атаки на различные сети ресторанов, использующие POS. Семь ресторанов в Миссисипи и Луизиане, которые подверглись взломам, обнаружили, что все они используют один и тот же POS-процессинг - Aloha POS, который, кстати, был одной из любимых мишеней Макса. Рестораны подали групповой иск против производителя и компании, которая продала им терминалы - Computer World из Луизианы, которая якобы установила на всех терминалах ПО для удалённого доступа и установила пароль «computer» на каждом из них.
Первопричиной всех этих взломов была всего лишь одна единственная дыра в безопасности, размером ровно 3.375 дюйма — магнитная полоса на кредитной карте. Это технологический анахронизм, флешбэк из эры кассет на магнитной ленте, и на сегодняшний день США практически единственная во всём мире страна, которая оставляет эту уязвимость открытой. Более сотни стран по всему миру, в Европе, Азии, даже в Канаде и Мексике уже используют или начинают использовать гораздо более защищённую систему под названием EMV, или chip-and-PIN. Вместо пассивной магнитной полосы новые карты используют микрочип встроенный непосредственно в пластик карты, который использует алгоритм криптографического «рукопожатия» для аутентификации в POS-терминале и дальнейшей связи с процессинговым центром. Данная система не позволяет скопировать карту даже взломщику, имеющему полный доступ к линии передачи данных, поскольку последовательность используемая при «рукопожатии» меняется каждый раз.
White-hats разработали несколько атак на систему EMV, но ничего из этого не применимо на современном массовом рынке дампов. На данный момент основная брешь в новой системе это возможность проводить операции по магнитной полосе, в качестве запасного варианта для американцев, выезжающих за рубеж или туристов, посещающих Соединенные Штаты.
Американские банки и кредитные организации отказались вводить chip-and-PIN, из-за космической стоимости замены сотен тысяч POS-терминалов на новые. В конце концов, финансисты решили, что убытки от мошенников вполне приемлемы, даже если взломщики, подобные Iceman‘у, бродят по их сетям.
Эпилог
In the Orange County men’s jail, Chris Aragon is lonely, feeling abandoned by his friends and torn with grief that his children are growing up without him. In October 2009, Clara filed for divorce, seeking custody of their two children. His girlfriend filed for child support.
Chris is studying the Bhagavad Gita and has a full-time job as an inmate representative, helping several hundred prisoners with legal matters, medical complaints, and issues with the jail staff. His lawyer is playing a waiting game, winning endless continuances for the criminal trial that, if he loses, still carries a twenty-five-to-life term. After Chris’s story was featured in a Wired magazine article on Max, Chris was contacted by a Hollywood screenwriter and a producer, but he didn’t respond. His mother suggested he get an agent.
Max was assigned to FCI Lompoc, a low-security prison an hour north of Santa Barbara, California. He hopes to use his time to get a degree in physics or math—finally completing the college education that was interrupted a decade earlier in Boise.
He’s taken a mental inventory and is dismayed to find that, despite everything, he still has the same impulses that guided him into a life of hacking. “I’m not sure how to really mitigate that, except ignore it,” he said in an interview from jail. “I really believe that I’m reformed. But I don’t know what’s going to happen later.”
It might seem a curious confession—admitting that the elements of his personality that landed him in prison still remain buried deep inside. But Max’s new self-awareness shows hope for real change. If one is born a hacker, no amount of prison can drive it out. No therapy, or court supervision, or prison workshop can offer reform. Max has to reform himself—learn to own his actions and channel the useful parts of his nature into something productive.
To that end, Max has volunteered to help the government during his confinement, defending U.S. networks or perhaps counterattacking foreign adversaries online. He wrote out a menu of the services he could offer in a memo headed “Why the USA Needs Max.” “I could penetrate China’s military networks and military contractors,” he suggested. “I can hack al Qaida.” He’s hopeful he might do enough for the government that he could apply for a lowered sentence from his judge.
It’s a long shot, and so far, the feds haven’t taken him up on his offer. But a
