Zpět na seznam článků     Číst komentáře (6)     Verze pro tisk

Proměna

Autor: .cCuMiNn.   
1.7.2013

Po Internetových stránkách brouzdal vždy se zapnutým add-onem Tamper Data a čas od času stiskl klávesovou zkratku CTRL+U, aby se podíval do zdrojového kódu stránky. Jeho pozornosti neuniklo jediné vstupní pole nebo parametr, který se objevil v URL. Bylo přitom zcela jedno, zda si jen v rychlosti potřeboval vyhledat vlakové spojení, nebo zda si chtěl přečíst světové novinky v oblasti ICT security.


Byl už prostě takový. Webové stránky pro něj nebyly pouze o shánění informací, nebo prostředkem ke komunikaci. Byly pro něj hlavně výzvou, které nemohl odolat. Zranitelnosti, na které při procházení stránek narážel, ho už ale nepřekvapovaly. Věděl, že alespoň jednu chybu objeví během několika málo minut snad všude.

Dál ale většinou nezacházel. Nalezení zranitelnosti mu stačilo k tomu, aby se ujistil o katastrofálním stavu bezpečnosti a jako mávnutím kouzelného proutku se už zase věnoval něčemu jinému. Ve chvílích, kdy narazil na bezpečnostní problém ve webové prezentaci nějaké větší společnosti, o které si myslel, že by měla více dbát na zabezpečení dat svých klientů, upozornil ji zpravidla o nalezených zranitelnostech e-mailem. Někdy zaslal detailní popis nalezených chyb a více se tím nezabýval, jindy společnost upozornil na skutečnost, že její webová aplikace trpí vážnými nedostatky, a nabídl svou pomoc při jejich vyhledávání. Když byly chyby opravdu zásadního charakteru a on cítil, že by za jejich nalezení mohl být odměněn, troufnul si dokonce říci o drobnou odměnu.

Ne vždy se mu ale na jeho zprávy dostalo odpovědi a ani náprava se často nekonala. Nijak ho to ale netrápilo. Pro něj to byla uzavřená kapitola. Nevzpomínal si dokonce ani na to, komu psal a kde na jakou chybu narazil. Jeho činy byly tak čisté, že ani křišťál křišťálověji čistší být nemůže, nikdy nikoho nepoškodil a ani se o to nepokoušel.

Jednoho dne, který se zatím nijak nelišil od ostatních dní, se náhle rozdrnčel zvonek u vchodových dveří jeho bytu. Trochu podrážděný z toho, že ho někdo vyrušuje právě ve chvíli, kdy ve své hlavě řeší zajímavý problém, se pomalu blížil ke dveřím. Zvonek se rozezněl podruhé. „No jo, vždyť už jdu!“ „Koho to sem čerti nesou?“, stačil ještě procedit mezi zuby, když otevíral dveře.

„Policie České republiky“, vypravil ze sebe urostlý muž v nažehleném obleku, který mu současně mával před očima nějakým lejstrem a služebním průkazem. Byl natolik zaskočen situací, která nastala, že si ani nevšiml dalších tří policistů, kteří si podél něj našli bez pozvání cestu do útrob jeho bytu. „Mám zde povolení k domovní prohlídce a příkaz k Vašemu zadržení. Máte právo nevypovídat…“. Dalších několik minut měl trochu nejasných. Jeho mozek se ze všech sil snažil vybavit událost, která by mohla vést k takovéto razii. Nic ho nenapadalo. Vždy se snažil žít nekonfliktním způsobem a se svou povahou jen málokdy vycházel ze svého bytu…

„Co se děje?“, podařilo se mu po chvíli odtržení od reality vykoktat. „Provedl jsem snad něco?“ „Poručík Záleský“, představil se muž v obleku. „Na základě příkazu k zadržení jste podezřelý ze spáchání několika kybernetických trestných činů. Máme příkaz Vás zadržet a převést do vyšetřovací cely. Mí muži zatím prohledají Váš byt a zajistí potřebné důkazy.“

Po převozu do vyšetřovací cely se ho hned ujal vyšetřovatel. „Je proti Vám vedeno trestní řízení ve věci neoprávněného přístupu k počítačovému systému a nosiči informací.“ Pak náhle plynule přešel k tykání, „Za to ti hrozí až pět let odnětí svobody, ale věř mi, že osobně udělám vše proto, abys seděl, až zčernáš!“. Poslední uvedenou frázi měl vyšetřovatel zřejmě v oblibě, protože slova „budeš sedět, až zčernáš“ slýchával z jeho úst během výslechů poměrně často. Vyšetřovatel je používal vždy, když se na něj snažil zatlačit. Tehdy ještě netušil, jak blízko budou mít tato slova k pravdě.

Během vyšetřování se dozvěděl, že na něho podaly trestní oznámení hned čtyři společnosti, které v dobré víře upozornil na chyby v zabezpečení jejich aplikací. První ze společností vyvíjela redakční systém, který následně v hojné míře prodávala firmám, jež na tomto systému stavěly své webové prezentace. Redakční systém ovšem na mnoha místech trpěl na LFI a SQL injection. Prezentace všech firem, které si tento systém koupily, tak byly velice snadno hacknutelné.

Druhou společností byla bankovní instituce UniCracking, jejíž aplikace byly děravé jak cedník. Není se proto čemu divit, že se během posledních několika let stal web této banky cílem několika útoků. Bohužel pro něj byl ale jediný, kdo je na některé zranitelnosti otevřeně upozornil. Měl se tak stát snadnou kořistí a pykat za všechny útoky, které kdy proti této bance byly vedeny. „Exemplární potrestání odradí další útočníky“, říkával před ním právní zástupce banky.

Společnosti Edibell se zase nelíbilo, jak snadno se díky jejím chybám dala kontrolovat elektronická fakturace. Aby se nedostalo na veřejnost, že elektronickou komunikaci mohl ovlivňovat kdokoliv pouhým použitím kouzelného zaříkávadla ‘ or ‘‘=‘ v přístupovém formuláři, rozhodli se ho na dlouhé roky umlčet tímto způsobem. No a konečně poslední ze žalujících společností, Happysnake, si chtěla pro změnu na tomto případu ohřát polívčičku, když ucítila, že by mohlo jít o mediálně sledovaný případ.

Nemá smysl se zaobírat detaily celého vyšetřování a soudních líčení. Při kterých se z něj žalující strany snažili udělat toho největšího kriminálníka, jenž kdy usedl za klávesnici, a který jim údajně způsobil na dobrém jméně milionové škody. Faktem je, že ve vazební věznici strávil dlouhé čtyři měsíce, než konečně zasedl soud, který vynesl konečný verdikt: „Obžalovaný se odsuzuje k trestu odnětí svobody v trvání deseti měsíců s podmínečným odkladem na dva roky. Současně je obžalovaný povinen uhradit žalujícím stranám náhradu škody ve výši 250.000,-Kč.“

Co k tomu mám dodat? Nikomu nikdy neudělal nic zlého. Naopak z něj měli všichni jen užitek. A čeho jsem se za to dočkal… místo slov díků… trest! Ano, je pravda, že občas nevědomě porušil nějaký ten zákon, ale vždy pouze v dobré víře. Koho by napadlo, že člověka odsoudí za jeho zvídavost? No, alespoň, že jde jen o podmínku…

Větší starosti mu ale dělala finanční náhrada škody. Čtvrt milionu není deset korun, a člověk je na chodníku prostě nenajde. Nemluvě o tom, že zrovna neměl ani na to, aby si mohl zajít koupit základní potraviny a oblíbené kafe. Nedá se nic dělat, je na čase, aby si vybral svou odměnu…

Váhavým pohybem otevřel svůj starý notebook a pomalu přesunul ukazováček k tlačítku power. Po té, co nabootoval operační systém, přistoupil k první fázi svého plánu. Anonymita. Dříve svou identitu nikdy neskrýval. Dnes si ale stáhl klienta anonymizační sítě TOR a poprvé přistoupil na síť jako anonymní. Všemu, co od této chvíle dělal, to dodávalo úplně jiný rozměr. Byl zcela novým člověkem. Už nebyl tak naivní a ani tak čistý. Byl pošpiněn. Co víc může ztratit?

Aby ukojil své základní potřeby, musel si opatřit něco do žaludku a potřeboval také alespoň trochu peněz do svého nového začátku. „Za můj dnešní hlad nemůže nikdo jiný, než žalující společnosti“, proběhlo mu myslí. Dříve měl základní výdělek jistý, ale o své zaměstnání díky nim během vazby přišel. Vzpomněl si na Happysnake. Společnost, která dodává automaty se zdravou výživu dotovanou z Evropské Unie do škol. Žáci dostanou jakousi kreditní kartu, nebo lépe řečeno papírovou kartičku s vytištěným čárovým kódem, kterou jim rodiče nabijí potřebným kreditem. Za něj pak mohou děti z automatů čerpat, na co mají zrovna chuť.

Skryt za anonymizační sítí navštívil web této společnosti. Rychlý průzkum, aby zjistil, že se společnost raději soudila, než aby opravila nahlášené zranitelnosti. V URL jednotlivých stránek stále přetrvávala možnost SQL injekce. Pár pokusů pro vytvoření správného dotazu, a už se na něj sypou informace snad o všech školácích. Teď si jen vybrat některého s bohatými rodiči a vysokým kreditem, zjistit kód, vytisknout kartičku a jde se nakupovat… I když má jednu školu hned za domem, rozhodl se raději udělat pár kroků navíc a dojít do trochu vzdálenější školní budovy o pár bloků dál. Automat poslušně naskenoval čárový kód z kartičky a on začal plnit svou nákupní tašku…

„Jídlo bychom tedy měli“, řekl si v duchu, „teď ještě trochu těch peněz“. Vzpomněl si na jednoho kamaráda, se kterým se seznámil a pár dní pobýval ve vazební věznici. Čekal jej prý soud za podvody. Rozvážel totiž po restauracích nevyžádané zásilky, o kterých tvrdil, že si je objednal majitel podniku. Od obsluhy vždy vyzvedl hotovostní dobírku a rychle zmizel dříve, než se provalilo, že jsou balíky plné bezcenného odpadu. Docela dlouho mu to procházelo. Říkával ale, že na tyto podvody musí mít člověk náturu. Vnutit někomu na dobírku něco, co nečeká, prý není žádná hračka, a v mnoha případech to ani nevyjde.

„Nápad bychom tedy měli“, zamnul si rukama. Na tomto osvědčeném postupu se dá stavět. Chtělo by to ale trochu vylepšit. Navštívil webové stránky přepravní společnosti Glaich, na kterých vyhledal formulář umožňující sledování zásilek. Sledování zásilek je služba poskytující klientům informaci o aktuálním stavu zásilky během jejího doručovacího procesu. Zákazník se tak snadno dozví, kdy mu bude doručována konkrétní zásilka, pouze na základě znalosti jejího identifikačního kódu. Chvíle zkoušení mu prozradila, že přepravce čísluje zásilky sekvenční číselnou řadou. Našel tedy konec této řady a postupně procházel informacemi o jednotlivých zásilkách. Našel jednu, která podle zjištěné informace měla vážit tři a půl kila a byla na ní poměrně vysoká dobírka. Více než dvanáct tisíc. Zásilka navíc směřovala do firmy, která sídlila, jen pár kilometrů jeho domu.

Vyhledal si telefonní číslo společnosti a zavolal na něj. „Dobrý den. Tady přepravce společnosti Glaich. Vezu vám zásilku s dobírkou dvanáct tisíc tři sta dvacet korun. Budu u Vás zhruba za třicet minut.“ Z druhého konce se ozvalo hluboké oddechnutí „Děkuji za informaci, už na Vás čekáme. Snažte se prosím dojet co nejdříve, peníze máme připraveny.“ „A copak důležitého očekáváte, že to tak hoří, smím-li se zeptat?“ „To víte, stojí nám výroba. Bez těch olejů, které nám vezete, nemůžeme pokračovat.“ „Dobře budu se snažit, abych u Vás byl co nejdříve. Na shledanou“, rozloučil se a zavěsil. Takhle hladký průběh nečekal. Rychle sehnat zhruba čtyřlitrovou krabici, která by odpovídala tří a půl kilům oleje, vložit do ní plastové láhve naplněné vodou a vyrazit. Paní na příjmu ho přivítala s otevřenou náručí. „No zaplať pánbůh, že už jste tu. Tady máte peníze, kde to chcete podepsat? Děkuji, na shledanou…“ Vzala od něj krabici a spěchala s ní někam dozadu. Nejvyšší čas zmizet…

Nikdy ho nenapadlo, jak snadné může vydělávání peněz být. Co takhle podívat se na web UniCracking banky. Jestli si dobře vzpomíná, byla na ní útočníkům k dispozici celá plejáda zranitelností. Od cross-site-scriptingu, který by mohl využít při útocích na koncové klienty banky, až po SQL injekci, jejímž využitím se dala zjistit přístupová hesla jednotlivých poboček. Chvíli přemýšlel nad vhodným typem útoku.

Nakonec se rozhodl chyb na webu banky zatím nevyužít. Může přeci zaútočit na EDI komunikaci nebo na web jakékoliv společnosti, která si pořídila zranitelný redakční systém, jehož tvůrce se s ním soudil. A co víc… může přeci zaútočit na jakýkoliv web, počítač, systém… Může přeci hacknout celý svět, když zrovna bude chtít. A důvod? Na co důvod? Důvody jsou k ničemu, může přeci hackovat jen tak… Jen pro lulz…

Býval čestný, s čistými úmysly. Býval to white hat, který rád pomohl vždy, když mohl. Režim ho ale semlel. Za jeho zvídavost a upřímnost ho potrestali. Vyšetřovatel to odhadl správně. Seděl příliš dlouho. Seděl tak dlouho až zčernal. Až jej seberou příště, budou mít rozhodně za co. Jako black hat si ani nic jiného nezaslouží. Jenže teď je anonymní. Anonymní a nevypočitatelný…



Celý příběh je smyšlený. Jakákoliv podobnost s fyzickými a právnickými osobami z reálného světa, je čistě náhodná.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 1.13/55

1  2  3  4  5    
(známkování jako ve škole)