2. Cikkek
  3. CHIP-sztorik

A rablóból lett pandúr

Trükkök és csapdák

A világ leghírhedtebb hackere. Az internet Robin Hoodja. Az első számú közellenség. A zsenialitás és az őrület határán egyensúlyozó bűnöző... és így tovább, ki tudja, milyen címkéket ragasztott még a sajtó Kevin Mitnickre, a világ kétségtelenül legismertebb hackerére, aki – miután kalandjaiból több könyv és film is készült – átállt az "Erő jó oldalára", és biztonságtechnikai szakértőként küzd a hackerek ellen. De ki is valójában Kevin Mitnick, az ember a legenda mögött?


Hackerből biztonsági szakértő:
a szabadlábra helyezése után, immár a jó oldalon

Kevin David Mitnick 1963. augusztus 6-án született Los Angelesben. A szülei hároméves korában elváltak, így pincérnő anyjával nőtt fel a kaliforniai metropolisz egyik poros külvárosában. Már gyermekkorában kitűnt a többiek közül fantasztikus memóriájával (hatéves volt, amikor unalmában betanulta Los Angeles teljes autóbusz-hálózatát menetrendestül) és a bűvésztrükkök iránti érdeklődésével, fogékonyságával. A középiskolában került a phone phreakerek köreibe – ez a hetvenes években virágzó telefonos hackerek társaságát jelentette, akik a telefontársaságok rendszereit kijátszva biztosítottak magunknak ingyen hívásokat, lenyomozhatatlan telefonvonalakat, és hallgattak bele mások beszélgetéseibe. Mivel az amerikai telefontársaságok ekkoriban kezdtek átállni a mechanikus központokról számítógépes irányításra, Kevin számára egyértelmű volt, hogy programozást tanuljon. Elbűvölték a számítógép lehetőségei, és a számítógépes hálózatok bonyolultsága. Első igazi hackeléseinek a középiskola szervere lett az áldozata – de mivel csak nézelődött, és sosem változtatott meg egyetlen érdemjegyet sem a nyilvántartásban, nem tudtak rábizonyítani semmit.

Az első lebukás

Nem úgy a Pacific Bell telefontársaság nyomozói, akik 81-ben – hosszú hónapokig tartó nyomozás után – eljutottak Kevin társaságához, és rájuk bizonyítottak egy betörést a cég COSMOS nevű San Francisco-i fő adatbázisába. Ironikus módon nem valami technikai részleten bukott el az akció – maga a betörés tökéletes volt. Az egyik hackertársának féltékeny barátnője dobta fel a csapatot a nyomozóknál. Kevin három hónapot töltött fiatalkorúak börtönében, és egy életre megtanulta: minden rendszerben az emberi tényező a leggyengébb láncszem.

A középiskola után a Los Angelesi-i Computer Learning Centerben (a nyugati part egyik első számítógépekkel és programozással foglalkozó főiskolája) tanult tovább, ahol már az első hónapban feltörte az iskola szerverét, és adminisztrátori jogokat adott saját magának. Miután ezt felfedezték, és a teljes tanári kar, a segítségül hívott szakértőkkel együtt képtelen volt megmondani, hogyan csinálta Kevin, válaszút elé állították: vagy azonnal kirúgják az iskolából, vagy ezentúl biztonságtechnikai szakértőként dolgozik a rendszer fejlesztésén és a további betörések elkerülésén. Kevin némi hezitálás után az utóbbit választotta, majd Cum Laude with Honors megjegyzéssel a diplomájában távozott.

Social engineering

A nyolcvanas évek a törvénnyel való folyamatos összeütközéseket jelentették Kevin számára. Bár tökélyre fejlesztette a hálózatokkal, számítógépekkel kapcsolatos technikai tudását, és művészi magasságba emelte a "social engineeringet", vagyis a már említett emberi tényező támadására alapuló hackelést, időről időre azért csak elkapták az utána nyomozó rendőrök vagy akár az FBI. Összesen ötször került hosszabb-rövidebb időre rács mögé, és lassan kivívta magának az Amerika legveszélyesebb hackere címet. A neve ekkor még nem volt közismert, a Keselyű három napja című film hatására felvett Condor néven hajtotta végre a betöréseit.

"A hacker szó eredetileg tiszteletet parancsoló, pozitív kicsengésű kifejezés volt, és nem egy cselekményre utalt, hanem a viselőjének tehetségére, intelligenciájára és kreativitására. Valahogy úgy, ahogy a "doktor" kifejezés sem feltétlenül arra utal, hogy a viselője mivel foglalkozik, hanem arra, hogy az illető magasan képzett, a maga területén nagy szaktudással bír. Annak idején mindenki hacker volt, aki kimagasló módon értett a számítógépekhez, és akit hackernek neveztek, az büszke volt erre. Nagyon sajnálom, hogy a sajtó ezt a szót a "bűnöző" cyber-szinonímájává silányította..." – Kevin Mitnick

1983-ban az University of Southern California egyetemre való betörésért ítélték el hat hónapra, két évvel később szintén fél évet kapott a Pentagon gépeire való betörésért, és az ARPANet katonai hálózat feltöréséért, 1987-ben pedig a Digital Equipments Palo Alto-i kutatólaborjába jutott be, és tulajdonította el a cég VMS operációs rendszerét, amikor elkapták. Kevin betöréseiben egy közös momentum volt: sosem rombolt értelmetlenül, nem zsarolt cégeket a megszerzett adatokkal, nem próbálta eladni a megszerzett dokumentumokat. Csak feltörte a védelmet, körülnézett, lemásolt minden érdekeset – és tanult. Célpontjai elsősorban operációs és védelmi rendszerek dokumentációi, forráskódjai voltak; a tudásszomj és maga a zsákmány hajtotta, nem a pénz, amit esetleg kaphatna érte.

Extra gyors betörések

Kevin legnagyobb fegyvere a social engineering volt: a kiszemelt cég alkalmazottjait felhívva, magát hol rendszergazdának, hol ügyfélnek, hol biztonságtechnikai szakembernek kiadva úgy volt képes információkat, jelszavakat kidumálni az emberekből, hogy azok észre sem vették, milyen létfontosságú adatokat adnak ki éppen – sőt, általában abban a hiszemben voltak, hogy éppen megakadályoznak valami szörnyű betörést a céghez.


Könyv a social engineeringről: Kevinnek köszönhetően
(egy komolyabb cégnél) ma már aligha lehet egy egyszerű
telefonhívással adatokat kiszedni a személyzetből

Hogy mindez milyen egyszerűen és akadálytalanul zajlott, arról Kevin így ír az egyik könyvében: "Egyszer egy haverommal fogadtunk, hogy fél óra alatt megszerzem a telefontársaságtól az előfizetői számát. Felhívtam az ügyfélszolgálatot, és rendszergazdának adtam ki magam. Elmondtam az ügyfélszolgálatos hölgynek, hogy mostanában gondok vannak a számítógépes rendszerrel, és szükségem lenne néhány adatra a gépéről a javításhoz. Minden további nélkül megadta a belépési kódját, jelszavát, mindent... még meg is köszönte a segítséget. Rögtön ezután felhívtam a telefontársaság egy másik irodáját, ügyfélszolgálatos kollégának adtam ki magam, panaszkodtam, hogy nem megy a rendszer, de szükségem lenne sürgősen egy előfizető adataira. Hogy azonosítsam magam, bediktáltam az imént kapott adatokat. Sajnos itt majdnem lebuktam, ugyanis elkezdtek különféle adatokat kérni tőlem a további azonosítás végett (természetesen, ha nem egy fogadásról lett volna szó, hanem komoly betörésről, előzetesen kinyomoztam volna, milyen adatok is szükségesek pontosan, hogy egy ügyfélszolgálatos azonosítsa magát). Így hát improvizálnom kellett: kamu adatokat adtam meg, amelyekkel természetesen azonnal lebuktam. Ezután rögtön visszahívtam a hölgyet, biztonsági szakértőnek adtam ki magam, és elmondtam, hogy az imént jelentették, hogy gyanús hívások érkeztek hozzájuk, előfizetők adatait próbálták kihúzni belőlük. A hölgy lelkendezett, hogy milyen hamar intézkednek, és a kérdésemre, hogy melyik előfizető milyen adatait is próbálták megszerezni, már diktálta is az előfizetői számot... Így nyertem meg nagyjából 10 perc alatt egy vacsorát."

A cikk még nem ért véget, kérlek, lapozz!

1. Trükkök és csapdák
1. Trükkök és csapdák 2. A törvény lecsap

Azóta történt

Előzmények

Hirdetés