Стаття присвячена пам'яті Кевіна Мітника, одного з найвідоміших хакерів в історії, який зламував системи ФБР, АНБ та корпорацій Кремнієвої долини.
1271 
Історія Сержа Хумпіча, інженера-програміста, який у 1997 році виявив критичну уразливість у системі Carte Bleue – національній банківській мережі Франції. У статті описано шлях від його досліджень до суду, а також ключові моменти, що зробили його однією з перших фігур у сфері етичного хакінгу. Дізнайтеся, як хакер зміг створити картку для здійснення транзакцій без банківського рахунку, і як його дії допомогли сформувати сучасні стандарти безпеки.
Скажіть вголос: «злом банківської системи країни». Відразу уявляється міжнародна хакерська група, яка ретельно планує складні кібератаки. Проте важко уявити, що за цим може стояти лише одна людина, яка навіть не прагнула стати хакером. Але саме так сталося у 1997 році, коли досвідчений програміст Серж Хумпіч здивував французькі банки, знайшовши спосіб оплачувати покупки картами без банківського рахунку.
Народився Серж у 1963 році у місті Мюлуз в Ельзасі. Його мати викладала у коледжі, а батько працював у промисловості. Після навчання у коледжі INSA в Ліоні, де він отримав диплом інженера, Серж протягом 12 років займався створенням програмного забезпечення для біржових трейдерів. Поглиблюючись у фінансові системи, він також захопився питаннями безпеки різних електронних пристроїв.
У 1990-х роках у Франції почали активно використовувати кредитні та дебетові картки, і особливо популярною стала система Carte Bleue. Її впровадили ще в 1967 році провідні французькі банки, такі як BNP, Societe Generale та Credit Lyonnais. Метою було створення універсального способу оплати в магазинах, громадських місцях і на транспорті, що значно полегшило б безготівкові операції та зменшило залежність від готівки.
У 1960-х роках, на фоні споживчого буму, виникла потреба в більш надійних платіжних системах, оскільки готівка та чеки не тільки несли ризики для безпеки, а й ускладнювали контроль над фінансовими операціями для банків. Саме тому була створена міжбанківська картка з магнітною смугою Carte Bleue, яка стала відповіддю на виклики того часу.
Carte Bleue, що перекладається як «Блакитна карта», швидко стала популярною серед французів. Спочатку вона використовувалася як кредитна картка, дозволяючи власникам купувати товари і поступово сплачувати їхню вартість, а банки отримували прибуток за рахунок відсотків за такими відстроченими платежами. Пізніше систему адаптували для дебетових карток, які напряму прив’язувалися до банківських рахунків, що дозволяло клієнтам миттєво списувати кошти при оплаті. Важливо зазначити, що Carte Bleue була суто національною системою, тому її не можна було використовувати за межами Франції. Водночас вона мала значну перевагу над іншими міжнародними системами, такими як Visa чи MasterCard: для транзакцій не потрібно було отримувати авторизацію від банку-емітента.
У 1992 році французькі банки впровадили на картки Carte Bleue мікрочіп, що підвищив рівень безпеки і дозволяв підтверджувати транзакції за допомогою PIN-коду. Це значно ускладнювало шахраям можливість клонування карток і створювало новий рівень захисту як для покупців, так і для продавців, що на той час здавалося надійним рішенням.
У 1997 році Серж Хумпіч придбав у знайомого платіжний термінал для системи Carte Bleue, після чого розібрав його, витягнув прошивку та здійснив її дизасемблювання. Він детально вивчив кожен етап оплати за допомогою смарт-картки і зміг відтворити алгоритм створення 96-значного закритого ключа, який використовувався для аутентифікації транзакцій. Це дало йому можливість створити підроблену картку, яка не була прив’язана до банківського рахунку, але приймалася терміналами Carte Bleue та дозволяла здійснювати покупки. Хумпіч був упевнений, що будь-який фахівець із комп’ютерних технологій міг би зробити те саме, а також виготовити необмежену кількість таких карток для продажу їх зловмисникам.
Багато хакерів, зробивши подібне відкриття, ймовірно, відразу б почали використовувати підроблені картки для купівлі товарів із метою їх подальшого перепродажу. Однак Серж Хумпіч вирішив уникнути ризику стати героєм кримінальних новин і обрав інший шлях, який він вважав законним. По суті, Хумпіч став одним із перших представників того, що пізніше отримало назву White Hat Hacking — «етичний злом». Етичні хакери займаються пошуком уразливостей у системах з метою їх усунення для покращення безпеки.
У 1998 році Хумпіч звернувся до юриста і двох експертів із корпоративної власності, щоб підготувати детальне звернення до банків, які керували системою Carte Bleue. У своєму листі він пояснив, як здійснив злом, додав результати своїх досліджень та підроблену картку, яка дозволяла оплачувати покупки без наявності банківського рахунку. Також Хумпіч запропонував вирішення проблеми з алгоритмом генерації закритого ключа, що могло б запобігти подальшим атакам. За цю роботу він попросив невелику винагороду, назвавши її професійним визнанням.
Коли банки проігнорували його звернення, Хумпіч вирішив провести публічну демонстрацію. Використовуючи десять підроблених карток, він купив десять квитків у паризькому метро. Ця акція закінчилася його арештом, обшуком і вилученням усіх електронних пристроїв із його дому.
25 лютого 2000 року відбувся судовий процес над Сержем Хумпічем, де його звинуватили у підробці банківських карток та несанкціонованому доступі до автоматизованої процесингової системи. Банки, яким Хумпіч раніше відправив свою доповідь, також спробували звинуватити його у здирстві. Однак суд відхилив це звинувачення, вирішивши, що «білий хакер» не вимагав грошей, а лише пропонував добровільну винагороду за виявлені вразливості.
У суді Хумпіч стверджував, що допомагав банкам, вказуючи на недоліки їхніх технологій. Але суд розглядав ситуацію значно жорсткіше, зосередившись на тому, що подібний злом міг би підірвати довіру громадськості до банківської системи Франції, навіть якщо його наміри були етичними.
Аргументи захисту про те, що якби Серж Хумпіч оприлюднив своє відкриття в інтернеті, збитки для французької банківської системи могли б скласти сотні мільйонів доларів, не вплинули на суд. Банкіри продовжували стверджувати, що дії Хумпіча є шантажем, а придбані ним десять квитків у метро називали серйозною шкодою для економіки країни. У підсумку суд підтримав позицію банків: Хумпіча визнали винним і присудили 10 місяців умовного ув’язнення, а також штраф у розмірі 12000 франків (приблизно 1900 євро). Крім цього, він мав виплатити символічну компенсацію у розмірі 1 франк банківському консорціуму за моральні збитки. На додачу до цього Хумпіча звільнили з роботи, а його репутація була зруйнована. Хоча покарання було відносно легким, ця справа викликала важливі дискусії про межу між «білим» хакінгом, який спрямований на підвищення безпеки, та реальними кіберзлочинами.
«Моїм наміром завжди було обговорити результати цього дослідження», — розповідав Хумпіч в інтерв’ю виданню The Register, — «моя помилка полягала в тому, що я мав справу з таким суворим супротивником. Якби я знав їхні справжні наміри, ніхто б ніколи не почув жодного слова про все це».
Після відбуття покарання Серж Хумпіч на деякий час відійшов від публічного життя. У 2001 році він випустив книгу під назвою «Блакитний мозок» (Le cerveau bleu), де детально описав свій злом платіжної системи Carte Bleue та події судового процесу. Згодом він виїхав до США, де спробував заснувати технологічний стартап, але без успіху. Повернувшись до Франції, Хумпіч знайшов роботу в компанії Bearstech.
Його справа часто згадується під час обговорень того, як уряди та корпорації повинні ставитися до хакерів, які виявляють вразливості без зловмисних намірів. Злом французької банківської системи Хумпічем став важливою віхою в історії кібербезпеки, що сприяло розвитку галузі. Багато компаній сьогодні впроваджують програми «bug bounty», де хакерам пропонують винагороду за виявлення уразливостей. У цьому сенсі Хумпіч був на крок попереду свого часу, хоча його дії і привели до суду. Він не досяг визнання, на яке сподівався, але його внесок змінив ставлення до незалежних дослідників у галузі кібербезпеки.
1271 
1247 
2055