Федеральная Служба Опасности

Хорошая статья в New York Times про знаменитого хакера Sabu из LulzSec, который, как известно, оказался стукачом из ФБР

Hacker, Informant and Party Boy of the Projects

Вдогонку:
* Обвинительное заключение по делу членов LulzSec
* Обвинительное заключение по делу Гектора Ксавье Монсегура, он же Xavier De Leon, он же Leon, он же Sabu

(Нельзя не отметить, что Сабу поставили в вину не только атаки на Визу, HBGary, Fox и прочие американские интересы, но и, например, взлом почты правительства Зимбабве и даже дефейсинг сайта правительства Туниса, которые на тот момент официально числились антинародной диктатурой)

Тема кардинга и фрода богата на драматизм. Казалось бы: цифирь цифирью, BINы, CVV, скучная бухгалтерия, а если присмотреться наметанным глазом, то чувствуешь себя почти героем "Матрицы" - за каждой колонкой информации видятся живые люди. А среди них иногда такие персонажи...

Вот тихий ухогорлонос из сельской местности. Живет размеренной деревенской жизнью, увлекается математикой. Покупает в основном софтверные обучалки по физике и математике. Имеет семнадцать мобильных телефонов. Все работают. Просто человек очень любит телефоны.

Или вот кардер из Индии (я уже когда-то писал про него, кажется). Снял 500 баксов с карты. Снял еще 500. И еще, и еще. Все, лимит исчерпан, больше  по 500 долларов не дают. Но не пропадать же добру. На последние 20 долларов он идет в местную лавку и покупает себе футболку. Мне до сих пор интересно, что на ней было написано.

Или приходит турист в мексиканский бар и покупает стопочку горячительного. Платит карточкой. Бармен немедленно идет к себе в закуток, включает Интернет, и покупает себе на эту карточку самый дорогой телевизор. При чем, даже не заморачивается с прокси, подставными лицами и другим мещанством, заказывает прямо на рабочий адрес. Естественно, туристу сразу звонят из банка, он даже из бара еще не вышел, прихуевает от таких раскладов, и блокирует транзакцию. Но ведь стоило же попробовать? А вдруг получилось бы? 

Другой кардер вообще поставил в тупик. Угнал американскую платиновую карту с лимитом, аж дух захватывает, что-то под пол-миллиона. Считай, козырного туза вытащил. И заказал в Турцию штанг и гантелей. На все. Перехватить-то перехватили, но вопрос остался: как обналичить сто тонн железа?

Или вот недавний случай. Два года назад человек завел себе аккаунт и купил с него какую-то ерундистику, типа карманного калькулятора. Покупка прошла удачно. Адрес подтвердился. посылка доставлена, все довольны. Больше никакой активности. Проходит время, аккаунт стоит брошенный, срок годности карточки истекает, запустение.
Внезапно, месяц назад, человек возвращается с новой карточкой. Адрес тот же, телефон тот же, аккаунт тот же. И начинает - дорогую камеру, ноут, планшетник... понеслась. Народ беспокоится - уж очень похоже на кардинг. Отвечаем: ну вот же адрес доставки совпадает, раньше уже проверялся, все пучком. Да, говорят, действительно. Транзакция проходит.
А через месяц приходит чарджбек на всю сумму (т.е. заявление владельца карты о неправомерных платежах и требование вернуть деньги назад).  Вот мы сидим и думаем, "и что только кокаин с людьми творит!"   

Нервный - Абдулла Сервис

GuantaNoMo - Спам

Желтая ветка - Кардинг

Верона - Кардер

Jerr feat. Нервный - Туса-Фрауд

??? - Заливалы (Дроповоды)

ShutnicK - Кардеры

Хроники - Про кардеров

Нервный - Тонны картона

NTL feat. Нервный - Про кардера Джакса

3gun aka Coob - Я кардер

Нервный - Бобби

НоГГано feat. Купэ - Компутер Бутор

NTL - Ебать Банеров

M-traffic - Dark Life

Nice - Пластик


This entry was originally posted at http://malaya-zemlya.dreamwidth.org/9356.html. Please comment there using OpenID.

Щас я буду вредные советы давать.
Разговоры про кардеров напомнили про следующую задачу:
Вот я Альберто Гонзалез украл большую партию кредиток и хочу их продать (если кому не нравится про кредитки, пусть будет "разложил N составных чисел на множители" или "нашел остроумные решения у серии NP-сложных задач"). Ко мне приходят покупатели и говорят: "А хороший товар?" Я, конечно, отвечаю "Наилучший!" А те мне: "А чем докажешь?"
Вот тут возникает проблема: показать товар - значит его отдать. Биты и байты нельзя дать повертеть в руках, а потом забрать назад. Можно дать на проверку, как это иногда водится, несколько тестовых номеров, но где гарантия, для что все остальное не фуфло? Нет гарантии.

Обычно дело решается социальными методами: через репутацию владельца, всевозможные блэк-листы и долгие разборки на форумах соответствующего профиля. Но это долго, нервно и зачастую скатывается в ситуацию "мое слово против твоего". Можно ли задачу решить как-то более элегантно?

Думаю так: я публикую для всеобщего обозрения список хэшей номеров. Покупатель выбирает из опубликованных хэшей M случайных и просит их открыть. Я пересылаю ему номера, покупатель сверяет, что хэши совпадают. Потом проверяет сами номера на валидность. Если все M номеров прошли, то по правилу Лапласа можно рассчитывать, что в среднем (M+1)/(M+2) ото всех номеров в партии будет работать. Обращаю внимание, что доля не зависит от размера всей партии.

* Зачем проверять хэши? Чтоб не дать возможности продавцу сначала подсунуть единственные работающие номера (как в случае с открытыми тестовыми номерами), а потом отдать мусор.

* Что если пространство возможных номеров недостаточно велико? Тогда хэши можно брутфорсить. Например, число возможных карточек "Виза" около 10¹⁵ ~ 2⁵⁰ Вполне доступно для перебора. Решение: солить хэши, то есть перед хэшированием дописывать к номеру случайную строку. Естественно, покупателю открывается все вместе: и номер, и соль - иначе хэш нельзя проверить.

* Что мешает покупателю взять тестовые номера, убедиться, что они работают и скрыться? С мира по нитке, голому рубашка (в англоязычных форумах этот метод так и зовется нищенством). Тогда проблема сводится к задаче продажи малой партии, где статистических методов валидации недостаточно. Что в этом случае делать? об этом в следующей части.

kavkaz.org, известный Чеченский сепаратистский сайт, находится в глубоком дауне. www.kavkaz.org вообще не находится, а если искать по IPшнику, то получается This site is currently under construction.
В принципе, это не удивительно, если учесть, что сайт физически располагался в городе Атланта (штат Джорджия). Американцы к терроризму относяться последнее время нервно.