Xakep #305. Многошаговые SQL-инъекции
21-летний житель штата Мичиган Брайан
Сальседо проведет 9 лет в тюрьме за взлом
компьютерной сети магазинов Lowe. Такое
решение принял суд города Шарлотт, штат
Северная Каролина, в котором
рассматривалось дело хакера. Согласно
действующим законам, наказанием для
Сальседо мог стать тюремный срок в 12-15 лет,
однако суд учел смягчающие обстоятельства:
преступник признал свою вину и помог
потерпевшим - сети магазинов Lowe. «Он
встретился с представителями Lowe, рассказал
им об уязвимых местах компьютерной сети и
сообщил, каким образом можно ее
усовершенствовать во избежание следующих
нападений хакеров», — пояснил помощник
прокурора Мэтью Мартенс. Соучастник
преступления, за которое осужден Сальседо,
— 21-летний Эдам Ботбил — также признал себя
виновным. Суд приговорил его к 26 месяцам
лишения свободы, после которых в течение
двух лет Ботбил будет житель под судебным
надзором. В августе прошлого года Ботбил
заявил, что сожалеет о своем участии в
преступлении. «Похоже, понадобится много
времени, чтобы восстановить свою репутацию.
Это происшествие внесло сумбур в мою жизнь
на ближайшие 10-15 лет», — отметил Ботбил.
Ботбил был первым, кто весной 2003 года
случайно получил доступ к компьютерам Lowe
через Wi-Fi сеть. Полгода спустя Ботбил и его
приятель Сальседо, который в тот момент уже
был условно осужден на три года за
компьютерные преступления, разработали
план похищения номеров кредитных карт
через сеть магазинов Lowe. Используя Wi-Fi,
хакеры получили доступ к главному
корпоративному серверу Lowe в Северной
Каролине и через него подсоединились к
локальным сетям в Канзасе, Кентуки, Южной
Дакоте, Флориде и Калифорнии. В двух
магазинах хакеры изменили программу tcpcredit,
которую Lowe использует для проведения
транзакций. Преступники добавили в tcpcredit
функцию сохранения номеров кредитных карт
в специальный файл, откуда позже
намеревались копировать информацию. Через
некоторое время сетевые администраторы Lowe
обнаружили присутствие в сети посторонних
и обратились в ФБР. После ряда оперативных
мероприятий агенты задержали Сальседо,
Ботбила и соседа Ботбила по комнате — Пола
Тимминса. Последний позднее был оправдан,
но при этом признался, что через сеть Lowe
проверял свою электронную почту. На момент
ареста преступники успели получить в свое
распоряжение только шесть номеров
кредитных карт. Даже с учетом смягчающих
обстоятельств срок, который получил
Сальседо, является необычайно большим для
компьютерных преступников. Приговор в
значительной степени основан на судебном
соглашении, в котором преступник
соглашается с суммой потенциальных убытков
от своей деятельности. Если бы Сальседо не
был задержан, потери Lowe могли превысить 2,5
миллиона долларов.