如果我们不出面,他们甚至都不知道我们侵入了系统,我们选择潜伏在系统里。

—一名自称“Soupnazi”的黑客于1999年接受至顶网(ZDNet)

的采访中说道

2007年7月,马基姆·亚斯特雷姆斯基正在海滨度假胜地土耳其凯梅尔的一家名为“初光”的夜店里享受他的夜晚。当他跟一个朋友回到宾馆时,一群男人包围了他,他被戴上了手铐,并被塞进了一辆车里。

土耳其警方根据国际刑警组织的逮捕令逮捕了这位乌克兰人,但却无法破解亚斯特雷姆斯基的加密内容。美国特勤局的一名特工后来谈起这件事,说他们当时强行审问了他,让他说出密码来解锁。根据警方已经掌握的种种证据,亚斯特雷姆斯基是一名信用卡罪犯,其仿造了数百万张虚假信用卡。整个过程十分简单:在美国和其他许多国家,只要有信用卡卡号、有效期限和用户名,就能伪造一张信用卡,进行数百美元的小额欺诈交易。

这种小额欺诈非常流行,欺诈者操纵着一个十分短的商品利益链。这些被偷的信用卡大多都有使用限度,过度使用会带来麻烦。而这种欺诈行为很容易被发现,所以欺诈者要尽可能地匿名交易,不要以个人名义去使用信用卡。

正如任何大宗商品交易商都会告诉你的那样,这类交易都是有利可图的。来自乌克兰的亚斯特雷姆斯基据说在信用卡交易中得到了约1100万美元的收入。有消息人士称,亚斯特雷姆斯基是“世界上最多产的信用卡信息供应商”,他永远在收集源源不断的被盗数据。

亚斯特雷姆斯基电脑里有一群信用卡数据窃贼的相关资料,美国特勤局在2016年曾拷贝了他的硬盘,但却无法打开。在得到相关密码后,美国特勤局得以追踪亚斯特雷姆斯基的交易细节。

硬盘里的内容指向了一个叫阿尔伯特·冈萨雷斯的美国人。事实证明,他参与了有史以来最大规模的信用卡失窃案件。

空降资金

TJX是美国零售巨头公司,或者说曾经是。截至2006年1月的财政年度,TJX在美国、波多黎各、加拿大、欧洲和澳大利亚等地拥有2300多家实体店。TJX 2006年收入超过160亿美元,其中80%来自美国。但其利润率很低,净利润只有6.9亿美元,说明大概只有不到5%的净利率,这与该集团的长期数据大致一致。TJX 2006年的银行存款约有4.65亿美元,高于1年前的3.07亿美元。

TJX在2002年的年度报告中说明,“我们的使命是每天以低于百货公司和专卖店20%~60%的价格,提供多种品牌的商品”。1996年以来,TJX的销售额和利润都在迅速增长。当时,TJX的定位是依赖于高商品周转率的低成本零售商,而他们也一直在寻找能够超越其他公司的经营诀窍。TJX是第一代Wi-Fi的使用者,他们将买来的设备安装在所有的零售店里(超过1200家),代替了旧的有线网络系统。当时,大多数人不了解计算机无线连接。1999年6月,苹果公司的史蒂夫·乔布斯发布了带有Wi-Fi功能的iBook笔记本电脑,并发布了第一个苹果AirPort无线基站。同时,他还提供了WEP(有线等效加密)加密应用,这也是当时世界范围内认可的无线网络安全标准。

2000年,大多数人不理解、也不使用Wi-Fi, TJX走在了行业的前列。它新推出的支持Wi-Fi的销售点系统,可以处理数百万张信用卡和借记卡交易,由WEP安全系统连接到其主机上,存储这些交易的细节。和本世纪初的众多零售商一样,TJX试图同时开展实体和网上业务。TJX开设了网上店铺,开始迫切想要获取更多的客户数据。

TJX建立了不断扩充的数据库。和欧洲不同,美国至今没有严格的与数据保护相关的法律,这使得TJX可以收集并存储尽可能多的用户数据。这些信息会被保留很多年,因为你也不知道什么时候能用上它们。

然而,TJX的核心技术并没有运用在系统的各个方面。到了2006年,其在信用卡数据方面的保护,远远落后于行业标准PCI-DSS(银行卡行业数据安全标准)。一些信用卡协会在2004年成立了PCI-DSS,以此避免数据库遭到黑客的侵入。同年,TJX的内部信息安全检测部门注意到了多个安全缺口,比如缺少防火墙、没有加密持卡人数据、没有及时上传防病毒软件、没有定期测试安全系统等。

TJX最薄弱的环节在于它的周边,WEP系统名义上保护了Wi-Fi网络,但其安全性只等同于有两个刻度盘的组合锁。

可疑的安全性

1997年,一个专家小组正致力于研发编写802.11b无线标准,这是一种计算机无线联网的新方法。该无线标准能使无线网络的链接速度与有线电缆一样快,但没有有线电缆的移动限制。除了为互联网数据包制定经过无线网络的标准之外,专家小组也意识到,需要某种形式来保障其安全。有线网络限制了用户的访问范围,而无线网络却一直在扩散其覆盖范围。专家小组确立了一个加密系统,也就是WEP系统,并将其写入了802.11b无线标准,作为一种加密无线网络的默认方法。

WEP意味着它跟实体电缆一样安全,然而也有着不可弥补的缺陷。

2000年10月,杰西·沃克第一次公开发表了对WEP安全性的质疑。那时,他是芯片制造商英特尔的密码学专家。他告诉我:

2000年的一天,802.11b工作组副主席、英特尔员工邓肯·基钦走进了我的办公室。我们讨论了验证协议,但是高级协议可以轻易摧毁这个验证协议。他离开的时候,给了我一个802.11b无线标准的副本。我研究了协议中的标准定义,然后推导出了可能的结果。就这么简单。

他推导出的结果是灾难性的。WEP并不安全,因为其关键的设计并不完美。

沃克向802.11b委员会上交了一份否定性评论。这让人想起了拉尔夫·纳德在1965年出版的《任何速度都是不安全的》(Unsafe at AnySpeed),它讲述了美国制造的汽车在设计中的固有缺陷和随之而来的致命风险。正如沃克指出的,WEP存在固有的缺陷,无法保障安全的通信。其缺陷的原因来自技术层面,这十分重要。

WEP的密码长达63个字符,可以转换成一个40比特的二进制字符串,用于加密。WEP系统还试图在40比特字符串中添加另一个24比特字符串作为“初始向量”(即IV)来增加加密的难度。每发送一个数据包,初始向量也会发生改变。一个24位的比特能产生1680万个不同的初始向量,然后一个可逆加密算法RC4会运行数据包和64比特的字符。此处需要一个可逆的算法,否则接收器就无法解密数据包,也就无法通信了。

重要的是,未加密的IV会和加密的Wi-Fi数据包一起发送,这样接收器就可以同步解密IV。仅通过未加密的IV无法解锁数据包,还需要密码,因为它构成了64比特的其余部分。

这一切看起来很简单,但实际操作起来就会遇到大量问题。一个Wi-Fi接入点最初的速度是每秒11兆比特,最初的802.11b无线标准能在1小时内运算得出可行的初始向量IV,并将其重启。因为是无线网络,数据是向四周传播的,人们能从各种地方收集到各色数据包,并对其进行分析。

要侵入典型的WEP加密网络,黑客只需设置一个Wi-Fi天线,运行一个能收集数据包的程序,寻找拥有同一个IV的数据包,反向运行RC4编码,计算出加密数据包的其余40比特的密钥,就能得出整个网络的密码。

这听起来很复杂,但实际上,一名黑客只需要几分钟,就能破解无线系统的密码。

沃克解释道,加长IV的值也无法改变这一现象,只不过增加了侵入的时间而已。他表示,WEP的设计试图适应RC4算法,但可能给用户带来灾难性的后果。

沃克还指出,黑客只需要下点功夫,就几乎可以破坏所有的基站,“向黑客泄露任何隐私都是不值得的”。

在沃克的警告之后,2001年,一系列的学术论文也展示了WEP的诸多缺陷。就像纳德的警告那样,只有等出现了受害者,沃克等专家的话才能受到重视。

黑客也同样看到了这些学术论文。有时,计算机专业的学生相当于间接帮助了黑客,他们会找来这些论文,然后按照其中的描述编写程序,看看是否会奏效。这种情况下,这些程序及概念会很快流入网络,沦为黑客的武器储备。

到2001年年中,市面上甚至出现了免费的黑客程序。8月20日,《连线》杂志发表的线上文章开篇这么写道,“今天,随着AirSnort的发布,无线网络变得愈发不安全,它能偷偷地捕捉并分析无线网络中的每个重要数据”。

“WEP存在大量安全漏洞,”AirSnort的下载界面提示道,“AirSnort需要收集大约500万~1000万个加密数据包。一旦收集到足够的数据包,AirSnort不用1秒就能破译出密码。”

要多久能收集到500万~1000万个数据包呢?网络每秒约产生800个数据包,所以只需2~4个小时就可以了。但一些破解系统可以每秒产生85000个数据包,并有95%的成功率去破译密码,所以只需要不到2分钟就可以获得这么多数据包。评估无线网络安全的免责声明骗了很多人,用户下载AirSnort要么是为了检验自己系统的安全系数,要么是为了恶意侵入他人系统。

AirSnort创作者之一的杰里米·布鲁斯特尔告诉《连线》杂志,联系他的人当中有很多是系统管理员,他们对他的程序表示感激,称通过使用这个工具,明确了“WEP真的很不安全”。他说,太多人都轻易相信WEP的安全性了。

关于WEP漏洞的言论持续发酵。2003年6月,电气和电子工程师学会(IEEE)建议废除WEP系统,改用更强大的Wi-Fi保护接入算法WPA。WPA使用48比特密钥,有50万亿排列组合,相比之下WEP只有1670万排列组合。一个认证和推广Wi-Fi的行业团体宣布,自2004年2月起,WEP不再被视为保护Wi-Fi无线局域网的安全机制,并且WPA将应用于数据安全很重要的领域。WEP因此退出了官方舞台,但至今仍有部分人在使用。

2005年3月,在信息系统安全协会于洛杉矶举行的会议上,FBI的特工证明了使用两台笔记本电脑,就能破坏一个128比特的WEP系统保护的网络。他们仅通过简单的键盘操作,就能在3分钟内创建一个随机的密码,FBI的特工说道,“通常只需5~10分钟”。

2005年10月,TJX首席执行官保罗·布特卡签署了协议,同意将1200家门店的WEP系统换成WPA系统。

但是,由于旧的基地不能运行WPA算法,要到2007年1月才能实施WPA的试点项目。与此同时,TJX还有一个更加紧迫的任务——达到PCI-DSS 1.1版的要求,所有保有用户信用卡数据的组织都必须在2006年9月前达到这一标准。升级系统十分费时费力,TJX已经感受到了压力。如果他们没有按时达到标准,将面临巨额罚款。布特卡不希望那样,TJX的电商专卖店已经有1500万美元的亏损了,没有钱应对罚款了。是选择PCI还是WPA,成了TJX面临的首要问题。

升级失败

2005年11月23日,布特卡给IT技术人员发了邮件,建议延迟从WEP到WPA的升级,尽管他认为WPA是“最优方案”,但大多数商店尚不能运行WPA系统,这能从当年的IT预算中省下一大笔钱。在采取措施前,他还试图让技术人员承认,不升级的风险“很小,可以忽略不计”。

大多数IT技术人员同意布特卡的想法,有一部分表示不同意。有人回复道,尽管PCI有时间期限,但使用WEP意味着“我们仍然很脆弱”。技术人员警告,“如果发现WEP有漏洞,事态可能会恶化”。

TJX不仅依旧使用公认不安全的系统,还保留了对商业黑客来说最有价值的东西——信用卡数据,这些数据足以伪造一张全新的假卡。TJX仅遵守了PCI-DSS的“控制目标”12项中的3项,集团管理层也意识到了这一点,后来提交给法庭的内部备忘录中也提及了此处。剩下的9项,包括加密卡的信息、访问控制和防火墙等。2006年9月,PCI-DSS的一位外部审计师曾斥责TJX的系统安全性很差,依旧使用WEP,也没有对老化系统中的软件进行修补,内部边界也没有防火墙。“这些都是最简单的部分,”2007年11月,缅因州毕德福德储蓄银行的IT主管基思·戈塞林向Tech Target网络公司表示,“公司的管理层为什么不愿意做呢?”他很困惑,像TJX这样的大公司怎么会有这样的失败。

更坏的消息尚未到来。虽然TJX的高层在2005年11月曾讨论过升级WEP的紧迫性,但WEP的漏洞却已经让系统处于高危状态长达6个月之久,黑客侵入也已持续1年以上。

公之于众

2006年10月初,有关部门联系了TJX,指出在该公司网点使用过的信用卡所遭受的欺诈交易数量出现了大幅的增加。2006年11月,佛罗里达州警方向TJX表达了自己的担忧,称这是一次系统性的侵入行为。

而TJX的问题在于它不知道是谁主使了这次侵入,也不知道黑客做了什么以及是如何侵入的。12月21日,TJX的律师给美国司法部打电话解释了这一问题:他们的系统似乎有侵入者,但他们尚不知道侵入者的意图。美国特勤局要求他们不要对外宣布,黑客可能依旧存在于系统里。节礼日(12月26日),TJX通知了银行和信用卡公司有关侵入的情况。截至12月27日,TJX发现黑客窃取了客户数据,但他们不确定具体被窃取的数量。

现在,他们必须将这一切公之于众。2007年1月17日,TJX公司董事长兼代理首席执行官本·坎马拉塔公开了这次黑客事件。他采用了高管典型的推卸责任式的官方语言,表示“我们用于处理和存储客户交易信息的计算机系统遭受了非法侵入,我们对此十分失望”。他没有说清楚究竟对什么感到失望,“遭受非法侵入”这一被动表述听上去像是感染了一次流感,相关的新闻标题也大多为“遭受计算机系统侵入的TJX公司,正全力保护客户信息”。一系列的措辞均使用被动语态,这令人感到震惊,好像一家价值数十亿美元的公司受到了不公平的攻击。

TJX表示被窃取的信用卡和借记卡的数量是“有限”的,却没有提及“有限”的数额是以百万计的。公司接着补充道,那些信息主要来自2003年的交易,以及2006年在美国、波多黎各和加拿大的门店约7个月的交易。“目前,我们认为个人身份号码(PIN)并未泄露”,事实却没有听上去那么安全。那时美国几乎所有的商店交易都只需要签名验证,而且很少被检查,这使得伪造更加便利。

在TJX购物还安全吗?“我们相信客户可以安心购物。”TJX声称已经采取了措施,现在计算机专家可以确保交易安全,但他们并没有提及这些专家是否和之前的是同一批。

2007年5月,一个“熟悉调查流程”的匿名人士告诉《信息周刊》,问题出在店内供顾客查找商品的自助电脑上。那里的电脑连接主网络,不受防火墙阻挡。他们认为,黑客将USB接入了服务台的电脑。还有一种说法,认为Wi-Fi网络是被商店停车场里的人黑的。

针对TJX网络安全的审查愈加严厉,但还是远远不够。甚至在2007年8月,黑客侵入的几个月后,TJX当时的一名雇员对网络安全提出了严厉的批评,“我妈妈都比他们会选密码”。他说,在黑客侵入前,有一段时间里,人们都把密码写在便利贴上,有时甚至没有密码,或者密码跟用户名相同。即便现在,情况也没有改观。公司解雇了他,并让他写下网络安全的漏洞,还威胁他,如果继续泄露公司信息将起诉他。

2007年9月,加拿大相关专员发表了一份言辞激烈的有关TJX的报告,当时,黑客的身份依旧是个谜。这一事件也表明,将过多的敏感信息保存太久,将造成不必要的安全负担。

如果来退货的客户没有收据,TJX会收集他们的驾照号码,这也助长了诈骗行为,驾照号码对于窃取身份来说是非常有用的。

所有人都有嫌疑

2007年秋,政府的调查人员也同样感到困惑,人们并没有将亚斯特雷姆斯基事件与TJX联系起来。TJX黑客攻击的背后主使依旧是一个巨大的谜团。马萨诸塞州助理律师斯蒂芬·海曼告诉《纽约时报》,“那时,我们认为世界上的所有人都有嫌疑”。

黑客通过无线网络侵入,这并不是秘密。然而,TJX的做法在零售界也十分普遍。2007年5月,乔治·欧在ZDNet上写道,他曾于2004—2005年担任大型零售商的安全顾问,他意识到脆弱的无线网络安全意味着“一颗定时炸弹即将爆炸”。但是,他的一位客户就曾因为公司总部的规定,没有购买WPA系统,而只能继续使用WEP系统。

然而,即使TJX黑客事件已经广为人知,零售商依旧不重视安全问题。2007年11月,无线安全系统制造商Air Defense发现,在调查的4748个访问点中,有1/4根本没有加密,还有1/4仍在使用WEP系统,而只有不到一半的人使用了WPA或是WPA2。Air Defense还对几个优先项表示了质疑,“大多数零售商的实体安全都优于无线安全,95%的零售商都装有类似RFID安全警报的实体安全系统。近70%的商家安装了安全摄像头,约10%的商家在门口雇用了警卫”。

与计算机联手

1998年,17岁的阿尔伯特·冈萨雷斯利用迈阿密学校的电脑侵入了印度政府网站。他出生于1981年,8岁就开始使用计算机,12岁时拥有了第一台属于自己的计算机。当他的计算机感染了病毒的时候,他先是愤怒,继而被迷住了,然后他一次又一次地尝试,想要看看自己能侵入他人的计算机到什么地步。14岁的时候,他黑进了NASA(美国国家航空航天局)。这是他第一次与政府产生冲突,FBI警告他要守规矩。但这并没有阻挡他的脚步,他因侵入学校网络而被勒令“远离”计算机6个月。他以前的老师告诉《纽约每日新闻》:“他能做到很多同龄人无法做到的事。他是那种会戴着眼镜摆弄计算机的人,但却从不缺少朋友。他们都是孩子,但他往往是其中的领导者。”老师补充道:“冈萨雷斯常常会在计算机研究中遭遇问题,这并不新鲜,我会放任他自己研究。”

冈萨雷斯的家庭背景并不差,他的父亲经营着一家园艺公司。计算机、黑客以及相关黑色利益对冈萨雷斯来说,具有极大的诱惑力。就算是在学校,他也会去窃取信用卡信息来购买东西。他会阅读软件手册,研究获取免费网络连接的方法,然后植入黑客程序,来获取用户名跟密码。然而冈萨雷斯并不擅长编程,但他知道如何获取他人的程序,也知道如何部署这些程序以获得最佳的效果。他有自己偏好的黑客方式,1999年7月,在一次匿名采访中,他表示不喜欢破坏网站的黑客行为。他的做法是,“诱导管理员登录网站,管理员并不知道黑客的存在,除非黑客主动攻击”。

高中毕业后,他搬到了曼哈顿,后来又去了新泽西。在那里,他受雇于一家网络安全公司,职责是向人们阐述他侵入计算机系统的过程。

2003年7月,冈萨雷斯又有了麻烦。这一次,问题比侵入政府网站要严重得多。

新泽西的一个晚上,一名纽约警探在午夜的收款机旁注意到一名可疑的年轻人。几分钟后,他的可疑行径就被机器里接连吐出的成百上千的美元所证实了,这与他的穿着并不吻合。那个年轻人就是冈萨雷斯,他之所以在午夜使用自动取款机,是为了在一天结束前取完一张卡的日限额,零点过后再取一次。

警探随即逮捕了他,并在冈萨雷斯的电脑里发现了数百万张信用卡的数据。冈萨雷斯耐心地解释了自己是怎么做到的,他是在线网络犯罪论坛ShadowCrew的核心人物,论坛成员会在那里交换窃取的信用卡数据,并交流制作假卡的经验。这也是冈萨雷斯的多面性,他既是一名安全顾问,又是疯狂的信用卡窃贼。

冈萨雷斯告诉《纽约时报》:“当时我22岁,被吓坏了。如果你的公寓里出现了一名特勤局特工,告诉你将要被关20年,你肯定什么都交代了。”他同时还是个瘾君子,因吸食可卡因、摇头丸等毒品而导致自身营养不良、体重不足。但某位跟他打过交道的人说,冈萨雷斯特别擅长“消除别人的戒备心”,是“社交与欺骗的大师”。特勤局给他生活费,还帮他戒毒,而他面临两个选择——坐牢或是合作。冈萨雷斯决定帮助特勤局起诉其他ShadowCrew的用户——他曾帮这些用户建立虚拟专用网(VPN),供2000多名网站用户使用。冈萨雷斯将这个VPN交给了特勤局新泽西办公室,他们能借此看到访问该VPN的人的IP地址。

Shadow Crew被捕的人很快就意识到冈萨雷斯背叛了他们。2004年10月,特勤局让他搬去迈阿密,以保证他的安全。同时,他在新泽西的电脑里还保留着所有文件的副本。而他正在使用的邮箱soupnazi@efnet.ru,成了后续事件发展的关键。

冈萨雷斯曾在迈阿密协助过另一起调查,是特勤局的线人,每个月有1200美元的工资。在特勤局看来,他们不仅抓住了罪犯,还用最小的成本改造了冈萨雷斯。

真相却并不是如此。2003年,冈萨雷斯跟另一名黑客克里斯托弗·斯科特共同想出了侵入Wi-Fi网络的方法,并黑进了另一家零售连锁店BJ的批发部,窃取了他们的数据。冈萨雷斯又一次成了双面黑客,开始了犯罪。

迈阿密风云

抵达迈阿密后,冈萨雷斯又结交了一群黑客朋友,其中有两位分别叫帕特里克·托伊和斯科特·瓦特,他们形成了一个松散的团伙。冈萨雷斯教唆斯科特和托伊侵入一家名为Office Max的商店的Wi-Fi系统,他们获取了该商店用户信用卡的相关信息和PIN。但PIN是加密过的,冈萨雷斯找到了会解锁的人。之后,冈萨雷斯便带领二人一同开始黑客侵入行为,寻找容易侵入的零售商Wi-Fi系统。

2005年7月12日,斯科特开车去了TJX在迈阿密的商店。那天是星期二,商店照常营业。他坐在车里,笔记本电脑连接着一条天线,这看上去像是一罐空的品客薯片盒,能放大Wi-Fi的信号。他一直等待着,直到电脑程序破解了密码。

侵入Wi-Fi之后,他就能获取管理员的登录信息,进而进入整个公司的主要服务器。对于数据窃贼来说,那里可以说是名副其实的宝库。

斯科特黑进了其中的一个服务器,安装了一个黑客程序,该程序能监视网络的每一个数据包,寻找有用的信息。这个程序是史蒂芬·瓦特为冈萨雷斯写的,名字叫“blablabla”,这个黑客程序在服务器中潜伏了数月。

2005年9月,斯科特重新登录了系统,窃取了3个月来一直在悄悄收集的数据。

黑客都不喜欢繁重的工作,黑客想要一个能够不会被探测到的程序以及一种可靠的接收数据的方式。毕竟,TJX已经察觉到WEP的危险之处,并随时可能更改安保措施,这将会把他们的路封锁住。2006年5月14日,星期天,斯科特再次侵入了TJX的服务器。这一次,他在TJX的服务器跟冈萨雷斯黑掉的服务器之间搭建了VPN,以获取数百万名客户的信用卡信息。冈萨雷斯在加利福尼亚的服务器中接收到了总共80千兆字节的数据,斯科特随后删除了一些日志文件,以掩盖自己的踪迹。

这一举动十分大胆,但是并没有人察觉到。TJX并没有针对未授权渠道侵入Wi-Fi网络设置提醒,也没有应对未授权来源而关闭程序的控件,更没有针对侵入行为制定对应的安全措施。这是冈萨雷斯的理想计划,他们深潜在系统之中,但没有人察觉到他们的存在。他们最后一次提取数据是在2006年12月18日,TJX的IT安全小组发现了他们的存在。

2005年4月,美国特勤局圣地亚哥办公室开展了一项名为“Carder Kaos”的线上卧底行动,旨在找到并逮捕参与互联网金融犯罪的嫌疑犯,这最终导致了亚斯特雷姆斯基在土耳其的被捕。对他的审讯指向了两个人,在网上化名为“Johnnyhell”和“Segvec”,他们向亚斯特雷姆斯基出售了数百万的信用卡信息堆。通过比对信息堆的内容,特勤局很快锁定了目标人物。Johnnyhell是亚历山大·苏沃洛夫,他于2008年3月在德国被捕,当时的他正准备前往巴厘岛。

亚斯特雷姆斯基将IRC日志保存得很好,这也给那些试图寻找蛛丝马迹的人带来了很大的困难。金·佩雷蒂是华盛顿的计算机犯罪和知识产权保护方面的高级律师,她曾与冈萨雷斯合作过一次围剿Shadowcrew成员的行动。佩雷蒂搜索亚斯特雷姆斯基的电脑聊天日志,试图弄清他在和什么人打交道。佩雷蒂回忆道:

那里有成千上万条聊天记录,大部分都是胡说八道,或者是没有实际意义的聊天。在这些聊天内容中混杂着交易内容,你会看到被黑企业的名字。

大部分的聊天日志都是实时讨论文件,他们在线寻求其他黑客的帮助。另一起逮捕行为发生在西班牙,特勤局发现了一个邮箱,用于与亚斯特雷姆斯基保持联系,那个邮箱是:soupnazi@efnet.ru。

“噢,我的天!”佩雷蒂立即意识到了它的重要性。

捆紧线头

2008年5月7日,亚斯特雷姆斯基销声匿迹10个月后,美国特勤局逮捕了冈萨雷斯,指控其黑入了戴夫&巴斯特连锁餐厅的企业网络,并在其系统里植入了blablabla程序,以获取信用卡和借记卡相关信息。

该版本的blablabla有一个问题:企业网络系统关闭的时候,该程序也会自动关闭,但其不会随着系统一起重新启动。所以冈萨雷斯不得不开车去这家餐厅,重新黑入企业网络,收集相关数据。

如果你反复去一家餐厅,却不消费任何东西,你的踪迹就会被记录。

2008年8月,冈萨雷斯因为TJX以及戴夫&巴斯特餐厅两起事件被起诉。2009年1月,哈特兰支付系统公司发生了一起严重的侵入事件,并有1.3亿张信用卡信息被窃取,冈萨雷斯也参与了这起案件。

冈萨雷斯称他“要么发财,要么战死”,但这两者均未发生。2009年1月,亚斯特雷姆斯基被捕,土耳其法庭判其30年徒刑,这也推下了一连串事件的多米诺骨牌。2010年3月,冈萨雷斯签订了认罪协议,期待特勤局能撤诉。令他没想到的是,他被判处20年徒刑,立即执行,这也是当时身份信息盗窃罪及网络犯罪最重的刑罚。TJX黑客事件是第一起商业黑客事件,也是历史上最大的一起商业黑客事件。

但冈萨雷斯并没有弄到很多钱,他被指控骗取了165万美元的现金(其中约110万美元埋在了后院)。斯科特诈骗金额为40万美元,托伊只得到9500美元。

2008年9月,TJX的副主席表示,如果美国能实施EMV支付标准,侵入或许可以避免。英国和很多欧洲国家已于2006年实施了EMV标准(芯片密码付款系统),它会在终端验证卡和PIN,在确认身份前对卡的信息进行加密。美国没有强制要求零售商使用EMV标准,2016年年底美国运通公司才提供了EMV标准,直到2020年10月才会全部覆盖。EMV标准能减少银行卡信息被盗的危险,但当时的美国对此并不积极。

TJX潜在的损失难以估量。2008年8月,服务供应商杰斐逊·威尔斯和麦克唐纳·乌尔希表示,假设有4100万张卡失窃,每张卡损失了300美元,你就有123亿美元的损失,这还不算法律和解和民事诉讼的相关费用。

然而实际上的损失却少得很。2009年6月,TJX向美国41个州支付了975万美元,用于对数据泄露的相关调查。TJX当时的首席财务官表示,TJX将“在探索美国信用卡支付行为中起领导作用”。根据这些年来的文件显示,TJX的直接损失共达2.56亿美元。

专业知识缺口

沃克现任俄勒冈州立大学计算机专业研究员,我询问他,听说TJX黑客攻击是在WEP系统崩溃时发生的,对此他有何看法,是理解,还是担忧,又或是早就习惯了?“是的,‘习惯了’是个很不错的说法,”他回答,“一旦安全协定出现了明显的漏洞,就一定会有罪犯乘虚而入。”

他认为,发生这类事件的问题在于设计系统很简单,而设计一个安全系数高的系统却很难。

在专业知识上,我们的设计团队仍然有许多的不足。大多数系统工程师在大学时没有学过加密算法,他们的专业知识有限,只能尽可能地做到最好。在测试实验阶段,工程师需要让系统的所有软件库(包括所运用的加密算法)都适应其前期设计。但加密算法是一种非常优化的算法,因此它很难适用前期设计这种标准化的编程操作。并且实际上,加密算法的应用要求人们对此重新设计一个系统,以使得其密码库里的预设密码是可以运行其系统的,可通常人们的做法是相反的。

换句话说,WEP系统的加密方式并不适用于其本身。设计者曾尝试让该加密方式在传输破译信息的同时也给系统提供保护,但最终失败了,该加密方式无法达到这一预想的结果。

信用卡行业也注意到了TJX商店的黑客事件,但他们却并不焦虑,而是不紧不慢地实施应对措施。2008年3月,支付卡行业安全标准委员会宣布,从2010年7月起,禁止使用运行WEP系统的信用卡支付业务。当时,WEP系统的漏洞问题已存在了10年之久,即便想要破解WEP最复杂的密码系统,也不过是几分钟的事。

保罗·布特卡于2008年升任TJX的全球应用开发部主任,于2009年11月离职。2017年年底,他担任康涅狄格州鲍勃折扣商店的首席信息官。2012年,在一次采访中,记者问他,在数据泄露事件中,他学到了什么,他回答,“我学到了很多有关信用卡行业数据安全标准的知识”。

大多数信用卡数据被窃的客户并没有得到现金补偿,他们只收到了代金券,可以凭借该代金券去TJX旗下的商店购物,而这些商店也就是他们的卡户信息被窃的源点。

代金券能挽回用户的信任吗?2007年2月,贾夫林研究所发布的数据表明,3/4的借记卡持有者表示,他们不会在发生数据泄露的商店继续购物。但这种态度和决心都是十分短暂的。2007年8月,高德纳咨询公司的一项调查表明,只有22%的客户选择“不继续在TJX购物”。“他们知道会由银行来承担他们的潜在损失,”高德纳公司的阿维瓦·利坦表示,“更多的TJX顾客显然更加在意他们可以享受的折扣,而不是信用卡的安全。”

与此同时,冈萨雷斯和其他囚犯一起被关押在了密西西比州的监狱。他的释放时间暂定在2025年10月29日,届时他年满44岁。

小结|TJX黑客事件

在采用新的技术之前,需要先彻底调查该技术的安全性。TJX早期引进的Wi-Fi,仅仅是为了给企业带来利益,但他们破坏了无线安全的标准,这一事实也被公之于众了。

如果你在系统里发现了安全漏洞,不要为了节省开支而延迟关闭系统。考虑到互联网的规模,迟早有人会发现这些漏洞。

在系统周边建立监控设备,对每一次网络连接都保持警惕。

在遵守财务安全要求上不能马虎。如果别人比你做得更好更快,你就会成为攻击的目标。

数据泄露的第一个迹象通常是地下论坛对客户及其财务数据的交易。

公司在运营过程中极容易遭遇黑客攻击,同时,公司的处理方式也决定了客户之后对你的态度。

黑客会十分努力地获取财务信息。在他们眼里,大公司的客户财务信息基本都交给了一些安全性较差的银行。