Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hackerből biztonsági szakértő - Adrian Lamo

2009.06.27. 19:16 | buherator | 3 komment

A CNet interjúsorozatot készített három "hírességgel", akiknek hackerként meggyűlt a bajuk az igazságszolgáltatással, de biztonsági szakértővé avanzsálva most már nagy megbecsülésnek örvendenek.

A három írás közül először az utolsó, Adrian Lamoról szóló rész fordítását olvashatjátok a hajtás után.

Adrian Lamo @ xkcd #343

Hogyan kezdtél hackelni?

Már nagyon kicsi gyerekként is számítógépek közelében voltam. Hatéves korom környékén már volt egy Commodore 64-em vagy ilyemi. Érdeklődésem a dolgok színfalak mögötti működése iránt, vagy az iránt, amit mások hackelésnek neveznek nem feltétlenül a technológiáról szólt... Nem olyan szexi, amikor a világ olyan kevésbe nyilvánvaló területeire evezek, melynek nem részei a multimilliárd dolláros vállalatok. Bizonyos mértékű szűklátókörűség mutatkozik ezen a területen.

Gyerekként, mielőtt elkezdett volna érdekelni, hogy hogyan működik a számítógépem, egyszerűen csak beraktam egy focis játékkazettát és futtattam. Ezzel szemben már akkor is minden különösebb ok nélkül izgatott, hogy rájöjjek, hogyan működik az iskola hangosbemondó rendszere, vagy hogy milyen ütemezéssel hordják el a szemetet az irodákból, és így megszerezzem a tanárok eldobott emlékeztetőit, melyekből megtudtam, hogy kivel találkoznak tanítás után, mikor lesz tűzriadó, meg ilyesmi.

Mindezt csak a megismerés öröméért csináltam, és lenyűgözött a tény, hogy létezik egy olyan réteg, amelyett kisiskolásként addig soha nem láthattam. Nyilván tudnék mesélni történeteket, melyekben hőstetteket hajtok végre gyerekként a számítógépen, és bár ez  részeiben még igaz is lenne, a dolog nem erről szól.

Techát nem a technológia imádatáról van szó? Inkább az információszerzés áll a háttérben?

Ismered a "hack érték" [hack value] kifejezés jelentését? A Wikipedia is definiálja, és valójában én sem voltam tisztában vele, amíg valaki be nem linkelte róla a rólam szóló szócikket, példaként egy olyan valakire, aki méltányolja a dolgok "hack értékét", és rájöttem, hogy ez tényleg teljesen illik rám. A hack érték "a hackerek között azt jelzi, hogy valamit érdemes csinálni, vagy hogy valami érdekes. Ezt a hackerek gyakran intuitívan érzik meg egy problémával vagy egy megoldással kapcsolatban; néhányakban misztikus érzést kelt". (A misztikus szó mutat Lamo szócikkére) Nem is az információkról van szó... nekem mindig a folyamat volt a lényeg, és ezért állíthatom túlzás nélkül azt, hogy egyik általam komprommitált rendszer esetében sem használtam nyilvános vagy nem nyilvános "exploitokat" abban az értelemben, hogy nem kerestem puffer túlcsordulásokat, vagy más hibákat a szoftverben. Én csak megpróbáltam egyszerű, mindennapi információforrásokat váratlan módokon összerendezni. Nem töltöttem az időt azzal, hogy ügyféladatbázisokat töltsek le.

Példaként mondhatom az Excite@Home-ot ami persze ma már nem létezik. Amikor bejutottam hozzájuk, teljes hozzáférésem volt az ügyféladatokhoz, ideértve a hitelkártyaadatokat is. Ezek nem érdekeltek. Amit tényleg nagyon ütősnek tartottam, aminek hack értéke volt számomra, az az volt, hogy be tudtam jelentkezni azokba a támogatói fiókokba, amiket már nem ellenőriztek, és válaszolhattam azoknak a felhasználóknak az ügyfélszolgálatos igényeire, akik egyébként soha nem kaptak volna választ. Imádom a gondolatát egy olyan világnak, amiben ilyesmi megtörténhet. Hogy beküldesz egy kérést az ügyfélszolgálatra, amit a cég figyelmen kívül hagy, de jön egy hacker és elmondja, hogy "nem, ezt így és így kell csinálni, hogy megoldódjon a problémád".

Válaszoltál rájuk?

Igen. Azt hiszem több mint 100 esetben. Egyszer fel is hívtam az egyik fickót, akinek egy IRC-s veszekedés során valaki bemásolta a számlázási adatait, jelezve, hogy "Ha-ha, Most megvagy! Mindent tudok rólad!". Ezek után panaszt tett és az Excite arra jutott, hogy valószínűleg az egyik outsource-olt ügyfélszolgálatos alkalmazott lehetett a ludas. Ennek eredményeként nem tettek további lépéseket és nem foglalkoztak a bejelentővel. Ő Kanadában lakott, elmondtam neki, hogy rosszul érzem magam amiatt, hogy nem kapott választ, és ezért elküldtem neki az összes felvételt és e-mail logot, amiben az Excite alkalmazottak elmondják, hogy "a fickót megszívatták, de nem fogunk tenni az ügyében semmit".

Hogyan reagált?

Egyszerűen örült, hogy valaki foglalkozott vele. Hogy valaki időt áldozott arra, hogy a panaszával foglalkozzon. Sokszor mondom, hogy hiszek egy olyan világban, ahol ilyen dolgok megtörténhetnek, még akkor is ha minden esetben nekem személyesen kell közbenjárnom. Azt hiszem, hogy a világ sokkal unalmasabb lenne, ha az események fenti láncolata nem szivároghatna ki. Azért kerülnek elő olyan sokszor a behatolásaimról szóló viták során a sorsa történő utalások, az, hogy a dolgoknak célja van, mert mélyen hiszem, hogy az univerzum értékeli az iróniát és az abszurditást. És ha van valami célja annak, hogy itt vagyunk, az az, hogy olyan újszerű szituációkat hozzunk létre, melyek addig nem léteztek az emberi tapasztalás során. Spider Robinsontól (sci-fi szerző) származik egy fantasztikus idézet: "If a person who indulges in gluttony is a glutton, and a person who commits a felony is a felon, then God is an iron" [ennek a szójátéknak a lefordítására nem vállalkoznék...]. Pontosan ezt értem hack érték alatt. Nem az a lényeg, hogy mekkora egy adott cég, vagy hogy mennyire volt érzékeny az információ, hanem az, hogy mekkora eréllyel tehettem fel a kérdést, hogy mindez kit érdekel?

Csak heccből, és a kihívás miatt csináltad?

Nem. Illetve igen is meg nem is. A hecc stimmel. De a kihívás másodlagos, nem lényegtelen, de őszintén szólva a biztonság a legtöbb nagy cég esetében nem jelent akkora kihívást. Az viszont annál inkább, hogy a biztonság hiányát úgy használd ki, hogy ne csak egy srác legyél aki betört, és ellopott némi adatot, hanem hogy egy újszerű élmény kerekedjen a dologból. Amit újra és újra elmesélhetek, és még azokat az embereket is megnevetteti, akiket maghackeltem. Ez az amiről a dolog leginkább szól. Ha valódi kihívást kerestem volna, jobban rámentem volna a technikai vonalra. De azt hiszem az is elmondható, hogy egy cég komprommitálása egy Windows 98-on futó Internet Explorer segítségével önmagában elegendő kihívást jelenthet egyesek számára.

Mikor kezdtél weboldalak feltörésével foglalkozni?

Mikor is tették az internetes weboldalakat a 80-as portra? Nem tudom. 1996 körül talán. Előtte más szolgáltatásokkal foglalkoztam. Órákat töltöttem a san franciscoi könyvtárban hogy az Internet termináljaikról áttelneteljek más rendszerekre, melyek közül néhány hagyta, hogy kitárcsázásra használjam a saját modemét.

Melyik hackre vagy a legbüszkébb, melyiket élvezted legjobban?

Amelyik  a legtöbb belső céges alkalmazottnak vagy az esetről értesülő olvasónak csalt mosolyt az arcára. Egy nagyon régi, meddő és végül kiadatlan Rolling Stone-os interjú során a srácok elkötelezték magukat a gondolat mellett, hogy amit csináltam az valójában performansz művészet volt. És ezzel valójában nem tudok vitatkozni.

Mi volt az, amiért elkaptak?

Azért tartóztattak le, mert engedély nélkül behatoltam a New York Times és a  Reed Elsevier Lexis-Nexis oldalához tartozó hálózatokba, ezzel megsértve a 18 U.S.C.1030(a)(5)(A)(ii) és 1029(a)(2) paragrafusokat. Súlyosbító körülményként szerepelt a vádiratban, hogy más céges hálózatokat is kompromitáltam. Ezek között szerepelt az Excite@Home, a Yahoo, a Microsoft, az MCI Worldcom, az SBC és a Cingular... Az ítéletben csak a NYT-al, a Lexis-Nexis-el és a Microsofttal kapcsolatos vádpontokat tartották megalapozottnak. Ezt a három esetet összesítve számították bele az ítéletbe.

Miért csináltad? Az Excite@Home hálás volt amiért tájékoztattad őket a biztonsági résről amit találtál. Szándékosan mutattál rá a weboldalak hibáira?

Hálás vagyok az Excite@Hoime, a Google, az MCI WorldCom és a többiek köszönetéért. A miértekkel kapcsolatban azt hiszem, hogy a cselekedeteim, a mai napig tett nyilatkozataim, és viselkedésem magukért beszélnek. Nem tudnék olyan dolgot ajánlani, amely hozzátenne ahhoz amit már eddig is elmondtam a témával kapcsolatban, ugyanakkor ismét szeretném hangsúlyozni, hogy annak idején sem mérlegeltem a cselekedeteimet, és ez most sem áll szándékomban. Vannak dolgok, melyek nem szorulnak magyarázatra.

 Soha nem tartottam magam hackernek. Most sem tartom magam annak. Jó helyen voltam jó időben. Még mindig ez a helyzet. De ez inkább vallási, mintsem technológiai kérdés.

Mi lett az ügyed kimenetele?

A beismerő vallomásom alapján minimum 6 hónap szabadságvesztést kellett kiróni. A bíró 6 hónap háziőrizetre ítélt és 24 hónap próbaidőt, valamint 60.000$ pénzbüntetést szabott ki. Én vagyok az utolsó ember a világon, aki azt állítaná, hogy amit csináltam az nem volt illegális, vagy nem kellett volna annak lennie, mivel végtére is csak segíteni akartam az embereknek. Végig tudtam, hogy amit teszek az illegális. Arra gondoltam, hogy ha már bűnt követek el, tegyem azt legalább tisztességes emberként. Megértettem, hogy a tetteknek következményei vannak, és hogy valószínűleg nem lehet a dolgot a végtelenségig csinálni, de hát istenem,  élveztem a dolgot, tartott amíg tartott.

Megtennéd újra?

Az univerzum nem tűri meg az ismétlést. Ami történt megtörtént, és nincs helye visszajátszásnak. Talán még fontosabb, hogy már nem vagyok 19-20 éves. Nem mehetek vissza újra megtenni, várva, hogy majd normális életem lesz. Rengeteg út áll rendelkezésre a kíváncsiságom, a felfedezés és az abszurditás számára melyek ugyanolyan kecsegtetőek. Mint már említettem, nem vagyok egy technikai ember. Csak a technikai vonatkozások kapják a legtöbb figyelmet. Még mindig nagy erőkkel feszegetem a határokat, de nem adom meg még egyszer az esélyt az államnak arra hogy b*szogathasson. Szereném kiemelni, hogy az első adandó alkalommal bűnösnek vallottam magam, mivel tényleg bűnös is voltam, és mindig is mondtam, hogy az vagyok. De voltak az ügynek olyan vetületei, melyekkel nem értettem egyet, kiváltképp az, amikor belekeverték a Microsoftos esetet, ami mindössze arról szólt, hogy ellátogattam egy URL-re, ami egy alap nyitóoldal volt, nem kért jelszót nem volt feltüntetve hogy bizalmas információkat tartalmaz, és ott volt rajta a teljes Microsoft ügyféladatbázis. És ezt belevették az általam fizetendő kártérítésbe, ugyanis nyilvánvalóan nekem kellett megtéríteni az a mérhetetlen energiát, amelyet a Microsoftnak be kellett fektetni abba, hogy a kib*szott ügyféladatbázisukat ne egy nyilvánosan elérhető weboldalon tárolják. Te jó ég, ez több ezer dollárba fájhatott!

Erre kellett az a 60.000$?

Nem. A 60.000$ a New York Times, a Microsoft és a LexisNexis között nagyjából egyenlően került elosztásra. A LexisNexis eléggé bosszantotta őket, mivel elég sok időt töltöttem kormánytagokról szóló információk gyüjtésével. Tulajdonjogi infókat kerestem minden USA-beli Crown Victoria Police Interceptorról [rendőrautó típus] csak úgy. Ilyesmi... Meg akartam tudni, hogy ki a tulajdonosuk, hogy kiderítsem, a flotta mely tagjai tartoztak valójában a szövetségi igazságszolgáltatás járműállományához.

Sajnos nem emlékszem a fickó nevére, de egyszer találtam egy hitelkártyaigénylési bejegyzést, ami egy igen szokatlan névhez, egy kolumbiai drogdíleréhez tartozott. A csókának halottnak kellett volna lennie, mégis egész jól eléldegélt New York-ban. És tekintettel arra, hogy semmilyen erőfeszítést nem tett kilétének elfedésére, csak arra tudok gondolni, hogy a kormány tudtával volt ott, ami az egyik oka lehetett annak, hogy nem nagyon akartak belemenni a LexisNexis-es balhé részleteibe. Minden alkalommal, amikor az ügyészség a cselekedeteimről beszélt azt mondták, hogy csak a saját adataimat keresgéltem, holott szó szerint több száz emberről volt szó, mégis úgy próbálták beállítani, mintha valamiféle egó-szörfölésről lett volna szó.

Mit csinálsz most?

Jelenleg kockázatelemző vagyok egy magáncégnél, és egy "ellenfél karakterizációs" tudományos szakértői lehetőséggel szemezek, ami annyit jelent, hogy megpróbálom kitalálni, hogy kik akarnak majd bejutni a cuccodba, mielőtt még megtennék, és hogy hogyan fogják megtenni, még mielőtt akár csak megterveznék a dolgot. Nem hackereket akarok felnyomni. Itt szinte kizárólag rossz szándékú külföldiekről van szó.

Elmondanád, hogy mi a cég neve, ahol most dolgozol, és hogy kinél keresel tudományos pozíciót?

A magáncég a Reality Planning LLC, a tudományos munkatársi pozícióval kapcsolatban viszont nem lenne helyes konkrét nevet mondanom.

Állami munkáról lenne szó?

Nem vennék részt egy kormányügynökség munkájában. Nem.

A büntetés kiszabásakor fiatalkorúként tekintettek rád?

Negatív. Bűnözői karrierem során végig nagykorú voltam. 22 voltam mikor értem jöttek... Ez 2003-ban volt. 2004-ben bűnösnek vallottam magam.

Rádrúgták az ajtót és lefoglalták a számítógépeidet?

Soha nem kaparintották meg a számítógépeimet. Rossz helyre mentek. A szüleim házához mentek, azt remélve, hogy ott megtalálnak. Napokra körbevették a házat, és végül az utcán kellett vallomást tennem, hogy bebizonyítsem, nem voltam otthon, és végre békénhagyják a szüleimet.

Hogyan végződött a letartóztatás?

Önként feladtam magam, miután megegyeztem az ügyészhelyettessel, aki lényegében vitte az ügyet. Feltételként szabtam, hogy mondják el mivel vádolnak, mivel ezt nem hozták nyilvánosságra. Azt akartam, hogy küldjék el a szövetségieket a családomtól, a barátaimtól és tőlem amíg feladom magam, és becsületükre legyen mondva, tartották a szavukat. Rájöttek, hogy a jó utat akarom válsztani. Leköteleztek. Emellett egy halk "b*sszátok meg" gyanánt a Marshall Szolgálatnak adtam meg magam, és nem az FBI-nak, mivel nem akartam megadni nekik az örömöt, hogy egyedül maradjak velük egy szobában.

Te voltál a "hajléktalan hacker". Ez honnan jött?

Néhány évig Greyhounddal [ez a helyi Volán busz] járod az országot,félbehagyott épületekben alszol és máris te leszel a hajléktalan hacker. Ez teljes mértékben egy média által kreált jelsző volt. Nem igazán érdekel, hogy milyen szavakat használnak velem kapcsolatban. Minden bizonnyal hívtak már rosszabbul is. De ezek azok a dolgok, amik azt éreztetik velem, hogy valaki másról beszélek, mikor elmagyarázom ezeket a dolgokat. Nem arról az Adrian Lamoról beszélek, aki reggel felkel és bevásárlóközpontos gyíkokkal vitatkozik egy kedvezménykuponon (több kupont használva...). Inkább egy média és a nyilvánosság által kreált személyiségről beszélek, amely csak egy szerep, amibe beléptem és amiből kiléptem és ez egyáltalán nem szokatlan. Mindannyiunknak megvannak a saját arcaink, személyiségeink, amelyek egy-egy szituációhoz fejlődnek ki... Csak én mindezt kicsit talán tudatosabb felismerésként kaptam az arcomba. De nem akarok panaszkodni. Ismerem a hírgyűjtési folyamatot. Ismerem, hogy hogyan írják a történeteket. És igazából soha nem próbáltam megmondani senkinek, hogy hogyan írjon rólam, mivel az esetek többségében úgyis a maguk módján fogják ezt megtenni.

 Mit gondolsz arról, hogy szembekerültél a törvénnyel vagy arról, hogy hogyan hatnak vissza a történtek, és hogy merre tartasz most?

Őszintén mondhatom, hogy rosszul érzem magam azok miatt a hálózati adminisztrátorok miatt, akikett felhívott a főnök, hogy "Haver, mégis mi a f*sz folyik itt? Azért fizetünk, hogy ilyen dolgok ne történhessenek meg". Azt hiszem, hogy ezek az emberek voltak az egyik ok, ami miatt olyan nyíltan bűnbánó magatartást tanúsítottam a letartóztatásom során. Könnyű volt úgy tekintenem a dologra, mint egy következmények nélküli környezet, ahol valójában senkinek nem esik bántódása, és sokan mondják, hogy ha az illetékesek jobban végezték volna a munkájukat, akkor az egész soha nem történik meg. De ez baromság, mert senki nem tud védekezni az összes lehetséges eshetőséggel szemben.

Szerettem volna, ha egy nem profitorientált számítógépes behatolást nem katasztrófaként értékelnek, hanem egy olyan eseményként, amit a cég a saját javára fordíthat, ha akar.  Ahonnan ... továbbfejlődhetnek. Nyomás hatására a komplex rendszerek fejlődnek, és azt hiszem ez a nézőpont igen előnyös. De akárhogy is, rosszul érzem magam azok miatt az emberek miatt, akik kárt szenvedtek útközben, legyenek ők az emberek a drót túlvégén, a saját családom, vagy a barátaim, akiknek azon kellett gondolkodniuk, hogy mégis mit keres az FBI az ajtajuk előtt.

Azt akarom mondani, hogy a jószándékú behatolás nagyon-nagyon fontos a biztonsági folyamatokban, és a technológia fejlődésének folyamatában. A mai technológiánk nem tartana ott ahol tart, ha nem lettek volna emberek, akik a határokat feszegetik, akik olyan dolgokat akartak csinálni, amiket mások lehetetlennek, hülyeségnek vagy egyszerűen csak alapjaiban rossznak tartottak.

Bármi egyéb?

Hihetetlenül szerencsés voltam az időzítéssel, mert az utóbbi években a hackerekre kiszabott büntetések sokkal kevésbé voltak jóindulatúak. Nem hiszem, hogy ez pozitív irányvonal, mivel a törvényhozás és a pereskedés nem teremt biztonságot... Ezen kívül a hacker múlttal rendelkezők kiközösítése jelentős veszélyt jelent a biztonsági közösség számára és a biztonság egészére is a nemzeti infrastruktúra szempontjából, mivel azok az emberek, akiket manapság a rendszereink biztosítására alkalmazunk, nagyon gyakran ugyanolyan oktatási háttérrel rendelkeznek és ugyanazokat a könyveket olvasták.  Hogyha fiatal korukban megkérdezték valakitől, hogy mit tegyenek ha biztonsággal akarnak foglalkozni, valószínűleg mind valami olyasmit hallottak, hogy "Hát, installálj egy Linuxot, tedd fel ezeket a programokat, tanuld meg ezt és ezt" És kineveltünk egy halom embert, akik ugyanúgy állnak hozzá a biztonsághoz.

Azt hiszem a betörésekkel kapcsolatos sikereim ennek a tünetei, mivel soha nem vettem részt semmilyen, a biztonság területével kapcsolatos képzésben. Nincsenek előre definiált vagy kigondolt koncepcióim arról, hogy hogyan kellene betörnöm egy rendszerbe. Ha tíz évvel ezelőtt valaki azt mondja, hogy ezen a hosszú listán szereplő cégek mindegyikéhez egy webböngészővel lehet betörni, valószínűleg kiröhögik. A büntetett hacker múlttal rendelkezők kirekesztése távolról tekintve olyan rendszerekhez vezet minket, melyeket csupa hasonló gondolkodású ember biztosított. A biztonsági problémák kiújulását nem a megvalósítás, hanem a koncepció szüli. Az emberek ugyanazokat a hibákat követik el újra és újra, és nem tudok másra gondolni, csak arra, hogy ez az oktatási hátterükből adódik. Nincs elég sokszínű génállományunk a biztonságtudatosság oktatásakor, és ez vissza fog ütni. A biztonsági szakértők szokásos válasza az, hogy míg nekik mindig mindent jól kell csinálni, a hackereknek elég csak ha egyszer igazuk van. De ez nem érv azzal szemben,hogy a szakértőknek nincs tiszta képük arról, hogy mi lesz a következő támadástípus, vagy hogy milyen elemekből fog felépülni.

 

Címkék: adrian lamo

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2009.06.29. 10:30:12

Ha egy személy aki a falánkságának eleget tesz falánk és aki egy bűnt elkövet bűnös, akkor isten gúnyos.

azthiszem. :)

buherator · http://buhera.blog.hu 2009.06.29. 10:43:05

Nem rossz, de az iron-irony kombó visszaadásához minimum egy Karinthy kaliber kellene ;)

synapse · http://www.synsecblog.com 2009.06.29. 19:33:29

Az ilyen magyarban nem nyelvi elem.

Status: Wontfix