Kövesse az Indexet Facebookon is!
Követem!További Biztonság cikkek
Kelet-európai hakniturnéjának első állomására, Budapestre érkezett Kevin Mitnick, a legendás hekker, a kibermártír, a Keselyű, az információs ikon, a börtönt megjárt, emblematikus adatkalóz, a virtuália Houdinije. Az Index legendafeltáró csoportja zsebes gatyát meg kapucnit öltött, és megpróbált elvegyülni a Hiltonba gyűlt hekkerek között. De hekker nem volt egy szál se, sőt kiderült: még maga Mitnick is megjavult.
A zsebes gatyák kora lejárt, a bőrszandálhoz hideg van: hekkernek tűnő hekkert a Hiltonban nem látni egy darabot se. Diszkréten csilingel viszont a lift, bőrtalpak süppednek a pasztellmintás padlószőnyegbe, háromnegyedes fekete szövetkabátok akasztódnak a ruhatárba, kávéscsészék emelődnek céges bajszokhoz, a kezeket pedig mélyre húzzák a brosúrákkal tömött ajándék papírzacskók. Kevin Mitnickre várunk, a legendás kalózra. Volt, aki negyvenötezret fizetett érte, volt, aki hatvanat. Ez itt a béres-fizetéses szakma, konstatáljuk. A rendes hekkernek nincs ilyesmire pénze, ráadásul alig múlt kilenc: a rendes hekker most fordul a másik oldalára, és álmában tesz az élő legendára.
Odabent viszont a szpíker, mert az is van, bejelenti a Keselyűt: "Következik a világ leghíresebb volt hekkere". Leoltják a villanyt, betesznek valami videót, és a felcsendülő vidám, fiatalos rakkendrollbetét hangjaira bekocog egy németfocista-frizurás fémkeretes szemüveg. Kicsit túlszalad a pulpituson, de még idejében eszmél, és visszafordul. Megvárja, míg lecseng a rakkendroll, és elkezd sztorizni.
Mitnick, a Keselyű
Az idén negyvenkét éves Kevin David Mitnick zsenge tinédzserkorában kezdte a hekkelést: 1981 és 1995 között összesen ötször emeltek ellene vádat, többek között a Pacific Bell, a Digital Equipment, egy elektronikus gépjármű-nyilvántartás és az észak-amerikai hadügyi irányítóközpont, a NORAD rendszereibe való behatolásért. Ez alatt az idő alatt Mitnicket többször is elítélték. Egy alkalommal próbaidőre bocsátották, 1989-ben viszont egy évet ült. Egy 1992-es, szintén próbaidős ítéletet követően megszegte a bíróság által szabott feltételeket, és egészen 1995-ig bujkált az őt üldöző rendőrség és az FBI elől. Az elfogásáig eltelt két és fél év alatt ismét számos rendszerbe behatolt - a károsultak között volt a Motorola és a Sun Microsystems is. Végül a szövetségiek bukkantak Mitnick nyomára, miután balszerencséjére egy a hekkertémában járatos szakértő, Cutomu Simomura gépét törte fel, aki a New York Times újságírója, John Markoff közreműködésével rászabadította Mitnickre az FBI-t. A Keselyű utoljára 1995-ben került rács mögé, és egészen 1999-ig előzetesben raboskodott; akkor ítélték huszonöt vádpont alapján 68 hónapos elzárásra. Mivel a vádalku alapján a büntetésbe beszámították az előzetesben eltöltött időt, Mitnick 2000 januárjában szabadult a kaliforniai Lompoc szövetségi börtönéből. Szabadulását követően mindössze 4000 dolláros kártérítést kellet fizetnie, de jóval nagyobb csapást jelentett, hogy a bíróság az ítéletben feltételül szabta: három évig nem nyúlhat számítógéphez, mobiltelefonhoz, de még hordozható telefonkészülékhez sem. Mitnick aktív hekkerkorában és a börtönben töltött évek során a viszkis rablóéhoz hasonló népszerűségre tett szert; kiszabadítására spontán mozgalom szerveződött, a "Free Mitnick" feliratú matricák pedig hosszú ideig ékesítették a világ nagyvárosainak köztereit.
Bujkált, most ródsózik
Van miről mesélnie. Mitnick fénykorában a világ legnagyobb cégeinek és intézményeinek számítógépes rendszereit törte fel. Condornak hívták, azaz Keselyűnek. Belekóstolt a Motorolába, a Sunba és a Hadügyminisztériumba is, miközben Eric Weiss álnéven - ez volt a szabadulóművész Houdini eredeti neve - évekig bujkált az FBI elől. Többször megjárta a börtönt, utoljára 2000-ben szabadult, és azt állítja, azóta nem hekkel. Viszont, mint a legtöbb élelmes exkalóz, alapított egy biztonsági céget, most pedig Budapest után Zágrábban, Prágában, Moszkvában, Varsóban, Bukarestben, Ljubljanában és Bécsben hinti majd az igét arról, hogy milyen fontos a hekkerek elleni védekezés. Kevin Mitnick vystoupí na roadshow. Kelet-Európa örül.
Kár örülnie: a Mitnick-előadásból semmiféle újdonság nem derül ki. Az egyetlen fontos tanulságot már az óvoda hátsó udvarán bonyolított hadijátékok során megtanulhattuk: ne adjuk meg a jelszót senkinek. Igaz, sokkal komolyabban hangzik a dolog, ha mindezt maga a nagybetűs Keselyű rágja a szánkba, nem pedig a középsős Béla. A jelszót nemcsak szóban ne adjuk meg senkinek, figyelmeztet Mitnick, de ne írjuk fel mondjuk egy táblára se, mert onnan is le lehet olvasni. És ne írjuk papírra se. Ha pedig mégis leírjuk, akkor a papírt ne kézzel tépjük szét, mert akkor az olyanok, mint amilyen Mitnick is volt, összerakják a darabkákat, és máris megtörtént a baj. A kukába se dobjunk semmit, mert akkor az olyanok, mint amilyen Mitnick is volt, kiturkálják, és máris újra megtörtént a baj.
Mitnick, az üzletember
Szabadulása után Mitnick megalapította a Defensive Thinking nevű biztonsági céget, ami ma Mitnick Security Consulting néven működik. Ezen kívül a volt hekker társszerzőjével, William L. Simonnal két könyvet is jegyez: az első, A megtévesztés művészete 2002-ben jelent meg a John Wiley and Sonsnál - magyarul a Perfact-Pro adta ki egy évvel később -, a második, a The Art of Intrusion (A behatolás művészete) idén jelent meg angolul, de magyarra még nem fordították le. Az exkeselyű az íráson és a tanácsadáson kívül haknizással is foglalkozik, és meg is kéri az árát. Promóciós cége, a New Leaf Productions árlistája szerint Mitnick egy 45-60 perces előadásért és egy azt követő negyedórás kérdezési lehetőségért Európában 17 500 eurót számít fel. Egy egyórás interjú vagy kerekasztal-beszélgetésben való részvétel 15 000 euróba kerül. Egy egész napos Mitnick szeminárium Amerikában 18 500 dollárt kóstál, a három napos viszont kijön 36 000-ből. Ha pedig Mitnick útra kel, két első osztályú repülőjegyet és teljes költségtérítést igényel, beleértve az étkezést, a közlekedést, a helyi adót, a kiosztandó borravalót és a biztosítást. Mitnick azt is kiköti, hogy a szálloda legyen első osztályú, és legyen benne mosoda, a szobában pedig internetelérés.
A hekker nem hisz a technikában
Mitnick elmondja, hogy nem hisz a technikában. Az adatvédelmi rendszerek egyre fejlettebbek, és ha az információhoz való hozzáférésről van szó, az igazán üdvözítő módszer a social engineering, vagyis az emberi tudatlanság, hiszékenység és segítőkészség kihasználása. A Keselyű mindezt személyes példával illusztrálja: ő például annak idején rettenetesen kíváncsi volt a Motorola legújabb szoftverének forráskódjára. Mit tett tehát? Felhívta a Motorolát, és elkérte a hipertitkos forráskódot. Nem ment nagyon egyszerűen, többekkel is beszélnie kellett, de végül egy segítőkész titkárnő összetömörítette neki a fájlokat, és feleftépézte egy nyilvános szerverre.
Szárnyra kel a Keselyű
Hogyan védekezhetünk a social engineering ellen? Minden cég fogalmazza meg biztonsági alapelveit, figyelmeztet a Keselyű, osztályozza az adatokat titkosságuk alapján, végezzen behatolási teszteket, okítsa az alkalmazottakat és készítse fel őket arra, hogyan reagáljanak éles helyzetekben - például ha egy Keselyű a jelszavukat követeli telefonon.
Felgyullad a teremben villany, bambán hunyorognak a Hiltonba gyűlt álruhás hekkerek. Zene nincs. A Keselyű szélesre tárja szárnyait, hiszen nemsokára elvitorlázik délnek. Holnap már Zágrábban figyelmeztet. Az előtérben a recepciós asztalon néhány át nem vett kitűző árválkodik - az egyiken épp Mitnick neve. Mintha itt sem lett volna.
Hazafelé az Index legendafeltáró csoportja az IDC IT Security Roadshow CEE 2005 prospektusát olvasgatja, abból is a Keselyű bemutatását. Megéri: "Kevin Mitnicknek több, mint 15 év tapasztalata van az IT biztonsági megoldások terén, és autodidakta módon fejlesztette képességeit profi szintre a komplex operációs rendszerek és telekommunikációs eszközök sebezhetőségeinek kiaknázása kapcsán."
Ezt nem hagyhatjuk annyiban: visszaszivárgunk a a Hiltonba, és fel is tesszük Mitnicknek az előzetes számítások alapján legalább 150 euró értékű kérdést, teljesen ingyen: Nem bizalmatlanok-e vele, a volt hekkerrel azok az ügyfelei, akiknek biztonsági tanácsokat árul, és vajon érez-e nosztalgiát a hekkelés iránt. "Sajnálom, amit tettem, mert ezzel kárt okoztam" - kezdi a minimum 300 eurós választ Mitnick, teljesen ingyen. "Nem érzek bizalmatlanságot, senki sem hív fel például telefonon, hogy közölje, nem bízik bennem. Azt viszont tökéletesen megérteném, ha valaki mégsem bízna. Remélem, idővel megteremtődik a bizalom - ebbe az irányba mennek a dolgok". És a nosztalgia? Mitnick hallgat, mismásol, heherészik, majd Keselyűhöz méltatlan módon, mélyen elvörösödik. "Az itt és mostra koncentrálok". Minden meg van bocsátva. Mitnick is Free. Illetve Mitnick 4 President.
Kövesse az Indexet Facebookon is!
Követem!
