Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Könyvajánló: A legkeresettebb hacker

2012.11.13. 09:19 | detritus | 5 komment

Van egy ősi kínai mondás, miszerint Kevin Mitnick olyan a hackereknek, mint Erdős Pál a matematikusoknak: aki nem ismeri a nevét, nem is lehet igazi szakmabéli. Annyi biztos, hogy akit egyszer elkezd igazán érdekelni a hackelés, előbb-utóbb találkozik Mitnick nevével. A másfél éve amerikában megjelent életrajzi könyvéhez magyarul először az idei ITBN-en lehetett hozzájutni.

Rengeteg legenda és félinformáció kering a tetteiről, sokan valószínűleg a Free Kevin mozgalomról is hallottak. Ez a könyv hivatott hitelesen leírni Mitnick történetét. A sztorikat ő maga szállítja, irodalmi stílusba pedig az a William L. Simon ültette őket, akivel az előző két könyvét is jegyzi, és aki mellesleg a fiatal Kevin Mitnick elleni egyik eljárásban szereplő ügyész ikertestvére.

A könyv Mitnick gyerekkorától indul. Az egész az egyszerű bűvésztrükkökre való rácsodálkozással kezdődött, aztán jöttek az ártalmatlan csibészkedések a haverokkal, belógások ide-oda, majd fokozatosan durvább ügyek következtek. El is kapták, azt gondolná az ember, pár hónap a fiatalkorúak börtönében kijózanító hatással bír. Persze erről szó sincs, a hackelések folytatódtak, a trükkök kifinomultabbak és agyafúrtabbak lettek, az ellenfél és a kihívás egyre nagyobb lett. Közben folyamatosan ment a macska-egér játék a hatóságokkal, eszméletlen izgalmas történeteket kapunk a legnagyobbak meghackeléséről, az FBI csapdáiról, a social engineering igazi erejéről. Mitnick hihetetlen kurázsiról és pofátlanságról tesz tanúbizonyságot (felhívni azt az FBI ügynököt, aki az ellened folyó hajtóvadászat vezetője és megkérdezni tőle, hogy mióta hallgatják le a telefonod nem kis tökösséget kíván :)). A végén persze kattan a bilincs és hosszú évek következnek a hűvösön. A jogi eljárásban tapasztalható alapvető alkotmányos jogok - ami függetlenül attól, hogy mit követett el, mindenkinek jár - megsértése hívta életre a Free Kevin mozgalmat.

Nagyon fontos kiemelni, hogy Mitnick nem angyal és nem is ártatlan áldozat. A könyvben leírt grandiózus és lehetetlennek tűnő törések akkor is törvénytelennek számítanak, ha a hackert csak a kíváncsiság vagy a kihívás hajtja. Aki jó bulinak tartja az így szerzett hírnevet, az gondolkodjon el azon, hogy milyen lehet folyamatosan abban a tudatban élni, hogy nem biztos, hogy haza tud menni este, mert lehet, hogy a rendőrök éppen feltúrják a lakást, és akkor csak az marad, ami épp nála van.

A kép viszont, amit Mitnick önmagáról sugallni próbál, alapvetően követendő hozzáállás lehet mindenkinek. Állítása szerint sosem okozott kárt, a kiválasztott ellenfél legyőzése volt a cél, nem a vandálkodás. Egy jó analógiát is talált erre: a sakkban is csak annyi a cél, hogy feldöntsd az ellenfél királyát, és nem az, hogy ezután még az összes fennmaradt bábuját is leszedd a tábláról. A károkozás persze viszonylagos, hiszen a nyomozati költségek és a rendszergazdai túlórák is átválthatók USD-re. Ezek viszont még mindig eltörpülnek amellett, amit valóban okozhatott volna. Letartóztatásakor több tízmillió dollárnyi, akár azonnal készpénzre váltható információn csücsült, mégis ügyvédet kellett kirendelni mellé, ill. ismerősökön keresztül talált jogászok védték ingyen, mert nem tudta kifizetni a költségeket. (A károk megbecsülésekor persze a cégeket sem kellett félteni...) Összességében végül elég olcsón megúszta. A könyvben leírt hackelések töredékéről tudott egyáltalán a vádhatóság, és ebből sem tudtak mindent rábizonyítani. Egyes tettekről most írt először és én élek a gyanúval, hogy nem is írt le mindent.

Van viszont egy nagyon fontos tanulsága a történetének. Bár az események, főleg a nagy cégek elleni támadások a kilencvenes évek elején-közepén játszódnak, a biztonságtudatosság csöppet sem javult azóta. Mitnick fő fegyvere a social engineering: kidumálni a célpontból a legbizalmasabb titkaikat. Minek jelszavakat találgatni meg exploitokat reszelgetni, ha fel is lehet hívni a fejlesztőt, hogy ugyan csomagolja már be a forráskódot és küldje már el ftp-n? Az informatikai környezet persze hatalmasat változott azóta, de a felhasználók fikarcnyit sem. Talán nem túlzás azt mondani: sőt.

Mitnick 2000 januárjában szabadult, jó útra tért és ma saját biztonsági cégét vezetgeti, miközben körbehaknizza a világot. Hírnevét a médiának köszönheti, mely hisztérikusan karolta fel nem mindennapi történetét. Legnagyobb tragédiája egyben legnagyobb szerencséjévé is vált: nem tudott leállni.

Kevin Mitnick egy TV show keretében használt újra számítógépet, miután letelt 8 éves eltiltása

Címkék: könyv Mitnick

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

b. á. 2012.11.13. 11:09:35

Ahogy a posztodban is kód0ltan megfogalmaztad, Mitnick nem azért a legismertebb hacker, mert a legtehetségesebb lenne, hanem azért, mert minden együtt állt ahhoz, hogy a legismertebb legyen: szerintem egy jó adag exhibicionizmus kellett részéről, másrészt pedig alaposan magára haragította az igazságszolgáltatást, holott nem okozott számottevő kárt.

Elvből nem szoktam megnézni a hekkeres filmeket, mert a blődségek annyira agyonütik az egészet. Múltkor lakótársam mégis rábeszélt, hogy nézzük meg az egyik KM-ről készült filmet, nos, nem csoda, hogy állítólag perelte a producert miatta: úgy mutatja be a film, mintha hirtelen természetű idegbeteg lenne néha.

Amin azt hittem, hogy be kell a seggnek szrnia’, hogy az egyik nagy magyar egyetem jogi karán felvettem szabadon választhatóként az Informatikai bűncselekmények tárgyat, ahol a tanár, aki elvben a téma szakértője, szinte minden előadáson elmondta, hogy ha nagy cége lenne, biztos KM-t bízná meg az audittal. Aztán amikor sokadjára elmondta, rákérdeztem, hogy nem értelmesebb dolog-e olyan biztonsági szakértőt megbízni, aki szintén nagyon jó, viszont makulátlan az előélete?

Mindenesetre a könyvből azért majd zsákolok egyet.

kz71 2012.11.13. 14:10:35

b.á.: hol van ilyen tantárgy, és ki oktatja? Nagy Zotlán, Pécs, doktori iskola?

b. á. 2012.11.13. 22:22:06

@kz71: true. De én szabadon választhatóként vettem fel. Talán ő foglalkozik a témával a legtöbb ideje Magyarisztánban, de döntően jogi szempontból.

detritus 2012.11.14. 09:05:08

@b. á.: Igen, a Takedown című filmről van szó (magyarul A rendszer ellensége címmel jelent meg). Erről is van szó a könyvben, de ha jól emlékszem, pereskedésig talán nem jutottak el. Forgatás előtt a producer és a főszereplő is beszélni akart Mitnickkel (aki ekkor börtönben volt), megmutatták neki a forgatókönyvet, amiből a felét kihúzatta, mert jobb esetben faszság, rosszabb esetben rágalmazás. Végül a film olyan lett, amilyen, a könyvvel csak nyomokban van átfedés.