Андрей Попов – Взлом Target: миллионы украденных карт (страница 4)

Он взял мышку. Полистал документ.

– Странно. Не наша фирма-поставщик. Наверное, спам. Удали.

Кэрол пожала плечами. Закрыла документ. Удалила письмо.

Всё. Они забыли об этом через пять минут.

Но было уже поздно.

Когда Кэрол открыла файл, на компьютер установилась вредоносная программа. Тихо. Незаметно. Никаких предупреждений.

Это была программа удаленного доступа. Она позволяла хакерам управлять компьютером так, как будто они сидели прямо за ним.

Программа сразу начала сканировать систему. Искала пароли, документы, файлы.

Нашла.

В папке “Клиенты” лежал файл “Target_доступ.txt”. В нем были логин и пароль для входа в систему управления зданиями Target.

Хакеры скопировали этот файл. Теперь у них был ключ.

Но они не спешили. Сначала изучили сеть. Посмотрели, как устроена система Target изнутри. Какие серверы есть. Как они связаны между собой. Где хранятся данные.

Две недели наблюдений. Никаких активных действий. Просто смотрели и записывали.

А потом начали действовать.

Когда всё раскрылось, в Target началось внутреннее расследование.

Главный вопрос: как вообще подрядчик по кондиционерам получил доступ к системе, через которую можно было пробраться к данным покупателей?

Ответ оказался неутешительным.

Сеть Target была разделена на сегменты. Есть системы для управления магазинами. Есть системы для обработки платежей. Есть корпоративная сеть для офисных сотрудников.

В теории эти сегменты изолированы друг от друга. Если взломали один – не должны получить доступ к другому.

На практике оказалось иначе.

Между системой управления зданиями и корпоративной сетью была связь. Техническая необходимость. Чтобы данные о работе оборудования передавались в центральный офис.

Хакеры нашли эту связь. Использовали ее как мост. Перешли из системы управления зданиями в корпоративную сеть.

А оттуда – в сеть, где работали кассовые терминалы.

Звучит сложно. Но представьте так.

У вас дома несколько комнат. Спальня, кухня, гостиная. Между ними – двери с замками. Чтобы попасть из спальни в гостиную, нужен ключ от двери.

Вы дали ключ от спальни постороннему человеку. Думали – ну что он там сделает в спальне? Ценные вещи в гостиной.

А он нашел в спальне запасной ключ от двери в гостиную. Который вы когда-то там оставили и забыли.

Вот примерно так и получилось у Target.

Фавио Сервисес имела доступ к “спальне” – системе управления кондиционерами. Хакеры взломали Фавио. Получили этот доступ. Нашли “запасной ключ” – связь между системами. Прошли дальше.

И добрались до “гостиной” – данных покупателей.

Когда журналисты взяли интервью у Росса Эйзенберга через месяц после инцидента, он выглядел подавленным.

– Я не понимаю, как это произошло, – говорил он. – Мы просто чинили кондиционеры. Какое отношение мы имеем к краже данных карт?

Журналист задал вопрос:

– Вы осознаете, что через вашу компанию хакеры получили доступ?

Росс кивнул.

– Да. Теперь осознаю. Но мы не знали. Нас никто не предупредил, что нужно усиливать защиту. Target просто дал нам пароль. Мы его использовали. Всё.

– Вы храните пароли в зашифрованном виде?

– Что? Нет. У нас на бумажке записано.

Журналист молчал несколько секунд.

– То есть пароль доступа к системе крупнейшей торговой сети лежал у вас на бумажке?

– Ну… да. А что не так?

Этот диалог потом цитировали все специалисты по безопасности как пример того, чего делать нельзя.

Но виноват ли Росс?

Отчасти да. Он не уделил внимания безопасности. Его сотрудники открывали подозрительные письма. Пароли хранились как попало.

Но и Target виноват не меньше. Крупная компания дала доступ к своим системам мелкому подрядчику. Не проверила, как у них с безопасностью. Не потребовала соблюдения стандартов.

Более того – сама архитектура сети Target оказалась уязвимой. Между разными системами были связи, которых не должно было быть.

Специалисты говорят: безопасность – это не одна стена. Это несколько слоев защиты. Если прорвали один – должен остановить второй. Если прорвали второй – должен остановить третий.

У Target все слои оказались с дырами.

И хакеры прошли насквозь.

Глава 4: Невидимые гости в компьютерной сети

Пятнадцатого ноября хакеры получили доступ к системе Фавио.

Двадцать седьмого ноября они проникли в сеть Target.

А двенадцатого декабря установили вредоносную программу на кассовые терминалы в магазинах.

Между первым и последним шагом прошел почти месяц.

Почему так долго?

Потому что хакеры действовали осторожно. Спешка ведет к ошибкам. Ошибки привлекают внимание. А внимание – последнее, что нужно при взломе.

Представьте: вор залез в дом. Цель – сейф в спальне на втором этаже. Но он не бежит сразу туда. Сначала осматривается. Изучает планировку. Проверяет, нет ли сигнализации. Ищет камеры.

Только убедившись, что всё чисто, движется дальше.

Так же действовали и хакеры.

После взлома Фавио они получили доступ к системе управления зданиями Target. Это была их первая точка входа.

Но оттуда не виден был весь Target. Только небольшой участок сети.

Нужно было двигаться глубже.

Они начали сканировать. Искать другие компьютеры и серверы, к которым можно подключиться.

В большой корпоративной сети тысячи устройств. Компьютеры сотрудников. Серверы для хранения данных. Маршрутизаторы, которые направляют информацию. Все они связаны между собой невидимыми каналами.

Хакеры искали слабые точки. Компьютер с устаревшей операционной системой. Сервер без последних обновлений безопасности. Учетная запись с простым паролем.