V červenci 1994 zjistilo několik velkých zákazníků Citibank, že jim na účtech chybí dohromady bezmála půl milionu dolarů. Zaměstnancům banky netrvalo dlouho než přišli na to, že se kdosi naboural do systému elektronického bankovnictví FICCM (Finanacial Institutions Citibank Cash Manager). Jednalo se o předchůdce dnešních řešení, který ještě neběžel na internetu, ale na sítích s protokolem x.25 a do nichž se zákazníci přihlašovali pomocí modemu. Systémy FICCM běžely na minipočítačích s operačním systémem VMS, který se stal cílem řady útoků již v minulosti (věnovali jsme se jim v díle seriálu věnovaném hackerům 414s z Milwaukee).
Schéma fungování sítí s protokolem X.25
Interní vyšetřování záhy odhalilo, že nezmizelo „pouhých“ několik set tisíc dolarů, ale celkem více než 10 milionů, které kdosi převedl v celkem 40 různých transakcích. Většina cílových účtů byla v zahraničí a značnou část se na nich poměrně brzy podařilo „zmrazit“, některé převody ale skončily na bankovních účtech v San Franciscu. FBI v té době ještě něměla speciální oddíl pro vyšetřování počítačových zločinů a tak se případu ujali lidé, kteří vyšetřovali „bílé límečky“ – tedy finanční kriminalitu.
San Francisco byla pro FBI první stopa – účty patřily ruskému manželskému páru Jevgeniji a Jekaterině Korolkovým, kteří v USA žili. Když se Jekaterina pokusila peníze ze zablokovaného účtu vyzvednout, byla zadržena. Jevgenij odcestoval zpět do Ruska o něco dříve (v podstatě nechal riskantní operaci na své ženě), ale manželka ho nakonec přesvědčila, aby se vrátil a společně s ní spolupracoval s vyšetřovateli. Korolkovi vypověděli, že celou akci řídil z Petrohradu majitel tamní počítačové firmy Vladimír Levin.
Ukázková spolupráce
Případ Vladimira Levina byl jedním z prvních, na kterém FBI úzce spolupracovala s ruskými úřady – možná i díky tomu, že se tak stalo jen pár dní po otevření kanceláře právního atašé FBI v Moskvě, se jednalo o spolupráci doslova ukázkovou. Ruská strana pomohla sehnat potřebné důkazy, včetně těch, které jasně prokazovaly, že se k bankovním systémům Levin připojoval ze svého laptopu, pomohla se zatčením dalších Levinových spolupracovníků, kteří se pokoušeli vybrat peníze na účtech v zahraničí a nakonec se podařilo společně Levina vylákat v roce 1995 do Londýna, kde byl zatčen.
Levinova fotografie z první poloviny 90. let.
Velká Británie měla, na rozdíl od Ruska, extradiční úmluvu s USA a Levin tak byl přes snahu svých právníků o dva roky později vydán do USA, kde stanul coby „král kyberzlodějů“ a „geniální hacker“ před soudem. Nakonec se přiznal jen k jednomu případu konspirace, defraudace a krádeže 3,7 milionů dolarů. Za to byl odsouzen ke třem letům vězení a pokutě 240 tisíc dolarů. Bance se nakonec podařilo získat zpět 10,3 z ukradených 10,7 milionů dolarů.
Hacker? To zrovna…
S trochou nadsázky lze prohlásit, že v osmdesátých a počátkem devadesátých let byl pro média (a někdy i pro policii či FBI) každý, kdo uměl zacházet s počítačem a modemem, „hrozbou“, „geniálním hackerem“, případně „vůdcem kyberzločinecké organizace“. Není proto divu, že i Levinovi se dostalo podobných mediálních poct, když se o něm psalo jako o geniálním biochemikovi, počítačovém mágovi a vůdci hackerů. Ve skutečnosti byl jen velmi průměrným administrátorem. Ale také výborným obchodníkem.
Už krátce po jeho zatčení v roce 1995 se objevily náznaky, že vše je ve skutečnosti jinak, než jak to média podávají. Postupně vyšlo na jevo že za nabouráním se do systémů FICCM je skupina klasicky „zvědavých“ ruských hackerů, kterým se do systémů podařilo získat přístup a nějakou dobu si zde doslova „hráli“ (mimo jiné skutečně instalovali hry) – Levin od jednoho z nich přístupy k elektronickému bankovnictví koupil údajně za 100 dolarů.
Detailní výpověď nakonec přišla až po deseti letech – v roce 2005 se na stránkách providernet.ru objevil článek podepsaný „Arkanoidem“, který podrobně popisoval celý příběh a stavěl Levina do poněkud jiného světla.
Sítě x.25 a BBS
Internet nebyl na počátku devadesátých let „sítí sítí“. V mnoha zemích, Rusko nevyjímaje, dominovaly v té době sítě předchozí generace, pracující v převážné míře s protokolem x.25. Některé z nich byly veřejné (Compuserve, Tymnet, Euronet, PSS, Datapac, Datanet 1 či Telenet), jiné byly provozované privátně. Poslední jmenovaná se v roce 1994 již jmenovala Sprintnet. O rok dříve zveřejnil kompletní sken jejího adresáře elektronický magazín Phrack, včetně bezpočtu systémů, které provozovala Citibank. Je pochopitelné, že takový „cíl“ zajímal hackery po celém světě, Rusko nevyjímaje.
Díky tomu narazila skupina hackerů i na zvláštní BBS, kterou si zřídila skupina Global Finance Technology Division a na níž bylo možné zakládat uživatelské účty i bez administrátorských práv. Hackerům se postupně dařilo pronikat hlouběji – měli přístup ke sdíleným souborům a uživatelským diskusím, z nichž se dozvídali další užitečné informace. Posléze se jim podařilo proniknout i do operačního systému VMS jednoho z počítačů datového centra Citibank. Ten je velmi zajímal z čistě technického hlediska – prohledávali dostupné informace, pokoušeli se instalovat programy (včetně her) a zjišťovali stále více podrobnosti o architektuře systémů Citibank a přístupových právech, včetně hesel.
Neměli jsme naspěch. Znali jsme podrobně architekturu systémů, způsob jejich ochrany, monitorování a auditu, zároveň jsme ale neměli organizační možnosti pro „offline“ část případné „operace“ – v Rusku to v roce 1994 znamenalo, že se musíte dát do kupy s jistými, řekněmě „nepříjemnými“ lidmi. A tak se nám síť stala zdrojem zábavy. Mohli jsme se zdarma připojovat kamkoliv protokolem x.25, hledat zajímavé informace a podněcovat svou vlastní představivost.
Arkanoid – úryvek z článku na providernet.ru
10 milionů za 100 dolarů
Přesto se pro jednoho z hackerů stalo nabourání do systémů Citibank ziskovým, když část informací o tom, jak se do bankovních počítačů dostat, prodal Levinovi za rovných sto dolarů. V tom se média skutečně nemýlila. Levin a jeho spolupracovníci ale nebyli špičkoví hackeři (Levin sám studoval mikrobiologii). Neměli za sebou několik měsíců pohybu v systémech a monitorování bezpečnostních pravidel. Dokázali získané informace využít k přístupu k účtům a převodům peněz, tím se ale limity jejich „profesionality“ vyčerpaly a zbytek bylo spíše amatérství. Počínaje digitálními „stopami“ které za sebou Levin zanechával, přes špatně naplánovaný systém převodů a výběrů peněz až po jistou naivitu, s níž se postupně všichni nechali zatknout. Své místo v kyberzločinecké „síni slávy“, nebo mezi nejslavnějšími ruskými hackery, si Levin zkrátka jen stěží zaslouží. Skuteční hackeři zůstali, vyjma článku z roku 2005, zcela v anonymitě.
Možná vás zklamu, ale všechno to bylo poněkud „low-tech“. Žádná analýza děr v aplikacích či exotických systémech a architekturách. Jen systematický přístup a trocha štěstí. Na něco jsme přišli zcela náhodou – například na chybu v terminálovém software Emulex, díky které bylo možné získat administrátorský přístup.
Arkanoid – úryvek z článku na providernet.ru
A Vladimír Leonidovič Levin? Přestože mu hrozil trest v délce mnoha desítek let, dokázal to nakonec s omezeným doznáním „uhrát“ na pouhé tři roky. Je otázkou, zda díky problematické připustitelnosti důkazů získaných mimo USA u amerického soudu, nebo díky kvalitě právníků. Po skončení trestu se vrátil do Evropy. Dnes údajně žije a podniká v Litvě.
Kdo nakonec získal oněch 400 tisíc dolarů, které se Citibank nepodařilo dohledat, není známo.
Poslední sítí, která pracovala nativně na protokolu X.25, byl Francouzský minitel (věnovali jsme mu také jeden z dílů), jeho provoz byl ukončen 30. června 2012, kdy jej stále ještě mělo kolem milionu uživatelů.
P.S. Pro úpnost dodáváme, že existují i verze příběhu, v nichž je Levin vydáván nejen za génia a ruského velikána, ale též za takřka nevinnou oběť „spiknutí západu“.
ČLÁNKY DO MAILU