Počátkem roku 1998 se začal rýsovat nový počítačový útok na Spojené státy americké, který měl za cíl získat především tajné informace z počítačů různých vládních a vojenských organizací. Již od začátku se útok jevil jako pečlivě připravovaný a promyšlený, takže bylo celkem rychle jasné, že za útokem nestojí jen pouhé nutkání proniknout do vnitřku systému, jak to bývá u většiny těchto případů. Dle vyšetřovatelů se tehdy jednalo o nejsystematičtější a nejorganizovanější útoky na počítačové systémy do té doby.
Operace „Solar Sunrise“
V lednu roku 1998 Saddam Hussein vyhostil zbraňové kontrolní inspektory Spojených států. USA se tak pomalu obávalo možného vojenského útoku a začalo připravovat vojenskou sílu pro případné nasazení. Začátkem února byly zaznamenány první útoky na počítačové systémy Národního úřadu pro bezpečnost a obranu. Velmi podobné útoky se během dalšího týdne objevily i v rámci dalších vojenských systémů, které se nachází po celém USA.
Podivně koordinované průniky mohly v těchto zmíněných systémech způsobit zpomalení a narušení organizace vojenských sil (problém je i narušení funkčnosti e-mailového serveru, který slouží k běžné administrativní komunikaci), samozřejmostí pak jsou úniky citlivých informací, které lze využít či dále prodat. Útoky byly velmi dobře kryté a zdrojové počítače nebylo možné snadno vystopovat.
Informace se vzhledem k nebezpečnosti dostala až k samému prezidentovi (tehdy ještě Bill Clinton), přičemž následně byla vytvořena specializovaná skupina agentů, kteří byli součástí organizací jako například FBI (Federal Bureau of Investigation), CIA (Central Intelligence Agency), NSA (National Security Agency), NASA (National Aeronautics and Space Administration), DISA (Defense Information Systems Agency), AFOSI (U.S. Air Force Office of Special Investigations) nebo DOJ (Department of Justice).
Neznámí útočnici využívali specifických děr unixového operačního systému Sun Solaris ve verzích 2.4 a 2.6, které jim umožňovaly poměrně snadný průnik do vnitřní sítě a serverů. Bezpečnostní díry byly sice zveřejněny již v prosinci roku 1997, administrátoři z Pentagonu jim však nevěnovali dostatečnou pozornost v rámci jejich možnosti využití k nelegálním průnikům. Nově založené vyšetřování tak dostalo krycí název „Solar Sunrise“.
Agenti sbírali informace a data jednotlivých útoků a hledali souvislosti, k útokům byli využíváni různí provideři a mnoho vodítek a stop vedlo do univerzitních sítí, kde je samozřejmě mnohem těžší vypátrat konkrétní počítač či jinak zpřesňující údaje. Zaměřili se především na ISP Sonic.Net (Kalifornie) a Emirnet (Spojené arabské emiráty), které jako jedni z mála vlastní bránu spojující internet a další systémy s Irákem.
Emirnet samozřejmě nebyl v americké jurisdikci, vyšetřování u tohoto ISP tak nebylo možné, respektive tak snadné a rychlé. Agenti tak začali zkoumat server Maroon.com, který poskytoval webhosting stránek a sloužil hackerům k útokům na některé systémy. Podle logů byl vysledováno spojení až do Izraele.
Hra o čas aneb jak Mac a Stinky k dovednosti přišli
Souběžně s tímto vyšetřováním běželo i jiné, které mělo za úkol zjistit narušitele systémů základny Andrews Air Force Base, odkud byly staženy přihlašovací údaje a soubory s hesly na již sledovaný server Sonic.Net v Kalifornii. Vyšetřovatelé tak měli jedinečnou šanci počkat na to, až se hacker tyto informace pokusí vyzvednout. Jak říká známé rčení „štěstí přeje připraveným“, v tu samou dobu byly prováděny hackerské útoky skrze tento server na počítačové systémy Harvardské univerzity a MIT.
Pentagon
Teprve po čtyřech dnech od založení zmíněné vyšetřovací skupiny tak byla odhalena dvojice tamních středoškolských hackerů s přezdívkami Mac a Stinky. Jejich zadržení však nebylo snadné. O tomto konkrétním vyšetřování se dozvěděla média a chystala se tuto kauzu zveřejnit. Vyšetřovatelé tak hráli o čas, pokud nestihnou hackery překvapit s povolením k prohlídce co nejdříve, tak hrozilo, že se o vyšetřování dozvědí a začnou mazat všechny dostupné stopy a důkazy.
Vzhledem k tomu, že vyšetřovatelé již věděli, které počítače v internetu byly k útoku použity, začali díky podpoře ISP a dalších možností rekonstruovat a sledovat veškerá propojení a data, která byla z těchto počítačů uskutečněna a přenesena. Tím dostali nejen podrobný obraz některých útoků, ale také rozhovory mezi uživatelem s přezdívkou Mac a někým dalším, který se zdál být velmi zkušeným hackerem, jež tohoto středoškoláka učil hackerským trikům a využíval ho i ke svým útokům. Tajemný a zkušený hacker s přezdívkou „Analyzer“ pocházel dle zjištěných logů z Izraele, respektive údaje ukazovali na ISP v tomto státě. A zde se vracíme k původnímu vyšetřování s krycím názvem „Solar Sunrise“, které se tímto vodítkem spojilo i s tímto vyšetřováním a jejím týmem agentů.
Vyšetřovatelé z FBI dorazili do domů těchto dvou „začátečnických“ hackerů 25. února v půl sedmé večer tamního času a v ten samý den, kdy bylo původní vyšetřování odhaleno v médiích. Oba středoškoláci byli zatčení a jejich počítače byly pochopitelně zabaveny. Studenti byli obviněni z porušení zákona a vzhledem k jejich věku dostali pouze podmínečný trest a 100 hodin veřejně prospěšných prací. Na internet mohli pouze s dozorem dospělé osoby. Vyšetřování záhadného hackera z Izraele, který byl strůjcem většiny útoků v rámci „Solar Sunrise“ a stál za hlavním útokem na vojenské a další systémy, tak mohlo pokračovat.
„Analyzer“
Vystrašený Mac prozradil vyšetřovatelům vše, co věděl o tajemném hackerovi s přezdívkou „Analyzer“, mělo se jednat o 18letého studenta z Izraele. Po týdnu se již sledovaný ale stále záhadný „Analyzer“ objevil v rozhovoru na serveru Anti-Online, kde se zdržovali především hackeři. Za průniky do Pentagonu a výuku technik (v tu dobu již zatčených) studentů si užíval ocenění od ostatních a během této konverzace i živě ukázal, jak proniká do jednoho z vojenských serverů.
Vyšetřovatelé z různých případů tak díky prokázaným informacím a přezdívce spojili své informace a zjistili reálné jméno tohoto hackera – Ehud Tenenbaum, včetně jeho adresy. Za pomoci Izraelských úřadů a díky důkazům dostali vyšetřovatelé z týmu „Solar Sunrise“ povolení prohledat útočníkův dům a samozřejmě povolení k zatčení a následnému výslechu. Odhalený „Analyzer“ se přiznal k průnikům, ze kterých byl obviněn, dle podrobného zkoumání jeho počítače a logů měl však proniknout do více než 500 různých sítí, serverů a počítačových systémů. Žádné spojení v rámci Iráku, které bylo původně uvažováno jako důvod připravovaného vojenského útoku, nebylo prokázáno.
Po roce byl zmíněný hacker odsouzen podle Izraelských zákonů, dostal podmínečný trest (během následujících tří let se nesměl jakýmkoli způsobem podílet na počítačové kriminalitě), šest měsíců obecně prospěšných prací a samozřejmě pokutu ve výši 18 000 USD (přibližně 400 000 Kč s DPH). Po této události začal pracovat coby odborník a konzultant v bezpečnostní problematice a pomáhal Izraelských organizacím zlepšit jejich zabezpečení proti útokům případných hackerů. Později založil svou vlastní počítačovou bezpečnostní firmu.
Ehud Tenenbaum
Temná síla
Jak už to ale bývá, minulost se někdy opakuje a stejně tak u Ehuda Tenenbauma a vidiny snadno vydělaných peněz. V roce 2008 byl totiž kvůli průnikům zatčen kanadskou policí v Montrealu. Byl obviněn z (prokázaných) šesti podvodů s kreditními kartami s celkovou hodnotou přes 1,5 milionů dolarů. Dle vyšetřování byl součástí hackerské sítě typu „scam“, která získává čísla kreditních karet a ty pak následně prodává dalším skupinám, které se soustředí na samotný výběr nebo přesun peněz z těchto účtů.
Podle vyšetřování je jedním z hlavních lídrů velkých hackerských skupin, které se zabývají právě krádežemi kreditních karet a s tím spojených peněz na těchto účtech. Podle odhadů se jedná o více než desítky milionů dolarů, které byly postupně odcizeny. Nynější, již 33letý „majitel bezpečnostní firmy“ čelí obvinění, které by mu mohlo přinést až 15 let ve vězení.
Pokud vás tato bezpečnostní problematika zajímá, určitě musíme doporučit slovenský bezpečnostní blog Synopsi. Zajímavou přednášku tohoto autora o problematice bezpečnosti kreditních karet a souvisejících systémů, která vám dá nahlédnout do tajů velkých hackerských skupin a používaných triků, si můžete prohlédnout například zde.
Otázka do diskuze: stali jste se někdy obětí hackerského útoku, nebo jste se někdy pokoušeli sami „hackovat“?