A világ leghíresebb hackere Magyarországon
B$H, 2005. február 3. 13:34
A világ leghíresebb hackere az IDC IT Security Roadshow-jának díszvendégeként tartott előadást 2005. február 2-án a Hilton Budapest WestEndben.
Az IDC a világ egyik vezető IT iparágelemzéssel és piackutatással foglalkozó cége. Piaci trendeket jelez előre, üzleti stratégiákat, technológiát stb. Persze mindemellett rendez konferenciákat is. Február másodikán a Hilton Budapest WestEnd adott otthont a rendkívül jól szervezett és igen elegáns biztonságtechnikai konferenciának. A program ígéretesnek tűnt, különösen Kevin Mitnick előadása miatt.
Kevin D. Mitnick - alvilági nevén Condor - a világ legismertebb hackere. Ismert, azért, mert elkapták és börtönbe zárták. Minden valószínűség szerint voltak és vannak nála nagyobb és tehetségesebb hackerek is, akiknek azonban sikerül ismeretlennek maradniuk. Kevin digitális ámokfutását igen fiatalon kezdte. A lapok címoldalaira először 1982-ben került, amikor bejutott az amerikai légvédelem egyik szuperkomputerébe. Tizenhét évesen egy telefonfülkéből feltörte a Pacific Bell számítógéprendszerét, több telefonszámlát lenullázott és ellopott mintegy 200 000 dollár értékű adatot. Hat hónapot kapott egy nevelőintézetben, majd próbaidővel szabadult. A szabadulása után azonnal törölte az ügy részleteit a rendőrségi adatbázisból, valamint megsemmisítette az őt elítélő bíró bankszámláját. Ezek után Izraelbe menekült. Miután ügye kezdett feledésbe merülni, visszatért az államokba, de nemsokára ismét hallatott magáról. 1988-ban - ekkor 25 éves volt - több hiábavaló kísérlet után sikerült rábizonyítani, hogy 4 millió dollár értékű kárt okozott az egyik vezető amerikai számítógépgyár, a Digital Equipment Corporation (DEC) adatbázisaiban biztonsági szoftverek és titkos kódok eltulajdonításával. Ekkor egy évig volt börtönben, mikor is ideiglenesen szabadlábra helyezték. Hősünket azonban nem hatotta meg börtönév, és ismét "munkához látott". Bejutott több telefontársaság és mobilgyártó hálózatába. Az általa okozott kárt egyesek százmilliókra becsülik. Mikor elkapták, 46 hónapnyi letöltendő börtönbüntetésre ítélték, valamint eltiltották a mobiltelefonok, számítógépek és egyéb technikai eszközök használatától. Az amerikai kormány példát akart mindezzel statuálni, azonban a média felfigyelt az ügyre. Mitnick világhírű lett. Mozifilm készült az életéről és megírta "A megtévesztés művészete" című sikerkönyvét. Szabadulása óta járja a világot és a Social Engineering támadásokról tart előadásokat, valamint oktatja az ilyen jellegű betörések elleni védekezést. A mozifilmről annyit, hogy az azt készítő stúdióval perben áll, és igaz történetéről előreláthatólag 2007-ben mutatnak be egy filmet. Ennek részleteit még homály fedi, de azt tudni, hogy februárban jelenik meg új könyve, A behatolás művészete címmel.
A konferenciamegnyitót követően az IDC Magyarország Kft. kutatásvezetője, Komáromi Zoltán bemutatta a magyarországi állapokat, az IT security piac jelenlegi alakulását. Tanulságos volt látni, mennyire le vagyunk maradva nyugati szomszédinktól. Ezután a fények kialudtak, látványos képi és hangi elemek között Mitnick a színpadra lépett. A mintegy félórás előadás osztatlan sikert aratott. A volt hacker rendkívüli előadói képességekről és humorról tett tanúbizonyságot. Előadását egy történettel vezette be, melyben elmesélte a legnagyobb értékű számítógépes visszaélés történetét: Stanley Mark Rifkin 1980-ban 10,2 millió dollárt utalt át magának. A történet befejeztével beszélt a módszerről, mely szinte az ő nevéhez fűződik. Ez a módszer nem más, mint a Social Engineering (SE). Röviden összefoglalva: "a Social Engineering az emberek természetes, bizalomra való hajlamának kihasználása. Hackerek vagy akár egyszerűen rossz szándékú emberek is gyakran használják ezt a módszert a számítógépekhez való illetéktelen hozzáférésre és információk megszerzésére. A Social Engineering nem a hardver, a szoftver vagy a hálózat hibáit, hanem az emberi természet gyengeségeit használja ki a számítógépek feltörésére. Alkalmazásával bárki, aki csak minimális hackelési képességekkel is rendelkezik, behatolhat egy biztonságosnak tartott rendszerbe, majd hozzáférhet, módosíthatja vagy akár törölheti az ott tárolt adatokat." Mitnick szerint nincs az a biztonsági megoldás, ami megvédene az SE támadásokkal szemben - a biztonsági megoldásokat szállító cégek képviselői csúnyán néznek -, "sőt akár a Windows updatet is feltehetik, az sem ér semmit" - Stephen McGibbon, a Microsoft Security Consulting LLC vezetője is csúnyán néz.
Mitnick ennek ellenére természetesen folytatta. Elmesélte hogyan szerezte meg a Motorola titkos forráskódjait mindössze fél óra alatt, hét darab telefonhívással. Előadása végén elmondta, hogy mennyire könnyen védekezhetnének az emberek, csupán törődni kéne a problémával.
Őt az eddig csúnyán néző McGibbon követte, aki elmondta, hogy mennyire hatékonyan véd az XP a betörések ellen. Azzal folytatta, hogy bemutatta az SP2 biztonsági újdonságait - az nem zavarta, hogy az általa bemutatott újdonságok mindegyike mára kijátszható -, majd jellemezte a számítógépes támadókat. Vagyis pontosabban terroristákat. Elmélete szerint van vandál, tolvaj és kém. Későbbiekben elemezte, hogy a Microsoft milyen hatékonyan feszi fel ezen terroristák ellen a küzdelmet, valamint hogy mennyivel több hibát találnak a különböző Linux disztribúciókban. Azt már inkább nem feszegetném, hogy mi a hibás ebben a gondolatmenetben. Gyönyörű XP-színű prezentációja végén mégis az derült ki, hogy a Microsoft jó úton halad afelé, hogy minél biztonságosabb, megbízhatóbb operációs rendszert fejlesszenek. Kevin Mitnick szerint van még mit fejlődni.
A további előadások igen marketingízűre sikeredtek, de volt köztük pár élvezetes is. Különösen amikor a konkurens antivíruscégek képviselői humorosan "egymásnak estek". Az ebéd után a másik várt előadás vette kezdetét, igen hangzatos címmel: Hackelés élőben. Ebben sajnos csalódnom kellett. Az egész csak a látványra ment ki. Rég elavult és a való életben használhatatlan webes módszereket mutatott be Sebastian Schreiber, a SySS Gmbh. alapítója. Majd elindított egy SMB exploitot, visszaszámolt és az XP megfagyott. A közönségnek sajnos ez nagyon tetszett és hangosan ámuldoztak. Mindez számomra annyit bizonyított, hogy kissebségben voltak a szakmához értők. Alapvetően elégedetten távoztam a konferenciáról, Mitnick előadása felejthetetlen volt, és ha jövőre is lesz IDC Security Roadshow, akkor azt semmiképpen nem hagynám ki.
Kevin D. Mitnick - alvilági nevén Condor - a világ legismertebb hackere. Ismert, azért, mert elkapták és börtönbe zárták. Minden valószínűség szerint voltak és vannak nála nagyobb és tehetségesebb hackerek is, akiknek azonban sikerül ismeretlennek maradniuk. Kevin digitális ámokfutását igen fiatalon kezdte. A lapok címoldalaira először 1982-ben került, amikor bejutott az amerikai légvédelem egyik szuperkomputerébe. Tizenhét évesen egy telefonfülkéből feltörte a Pacific Bell számítógéprendszerét, több telefonszámlát lenullázott és ellopott mintegy 200 000 dollár értékű adatot. Hat hónapot kapott egy nevelőintézetben, majd próbaidővel szabadult. A szabadulása után azonnal törölte az ügy részleteit a rendőrségi adatbázisból, valamint megsemmisítette az őt elítélő bíró bankszámláját. Ezek után Izraelbe menekült. Miután ügye kezdett feledésbe merülni, visszatért az államokba, de nemsokára ismét hallatott magáról. 1988-ban - ekkor 25 éves volt - több hiábavaló kísérlet után sikerült rábizonyítani, hogy 4 millió dollár értékű kárt okozott az egyik vezető amerikai számítógépgyár, a Digital Equipment Corporation (DEC) adatbázisaiban biztonsági szoftverek és titkos kódok eltulajdonításával. Ekkor egy évig volt börtönben, mikor is ideiglenesen szabadlábra helyezték. Hősünket azonban nem hatotta meg börtönév, és ismét "munkához látott". Bejutott több telefontársaság és mobilgyártó hálózatába. Az általa okozott kárt egyesek százmilliókra becsülik. Mikor elkapták, 46 hónapnyi letöltendő börtönbüntetésre ítélték, valamint eltiltották a mobiltelefonok, számítógépek és egyéb technikai eszközök használatától. Az amerikai kormány példát akart mindezzel statuálni, azonban a média felfigyelt az ügyre. Mitnick világhírű lett. Mozifilm készült az életéről és megírta "A megtévesztés művészete" című sikerkönyvét. Szabadulása óta járja a világot és a Social Engineering támadásokról tart előadásokat, valamint oktatja az ilyen jellegű betörések elleni védekezést. A mozifilmről annyit, hogy az azt készítő stúdióval perben áll, és igaz történetéről előreláthatólag 2007-ben mutatnak be egy filmet. Ennek részleteit még homály fedi, de azt tudni, hogy februárban jelenik meg új könyve, A behatolás művészete címmel.
A konferenciamegnyitót követően az IDC Magyarország Kft. kutatásvezetője, Komáromi Zoltán bemutatta a magyarországi állapokat, az IT security piac jelenlegi alakulását. Tanulságos volt látni, mennyire le vagyunk maradva nyugati szomszédinktól. Ezután a fények kialudtak, látványos képi és hangi elemek között Mitnick a színpadra lépett. A mintegy félórás előadás osztatlan sikert aratott. A volt hacker rendkívüli előadói képességekről és humorról tett tanúbizonyságot. Előadását egy történettel vezette be, melyben elmesélte a legnagyobb értékű számítógépes visszaélés történetét: Stanley Mark Rifkin 1980-ban 10,2 millió dollárt utalt át magának. A történet befejeztével beszélt a módszerről, mely szinte az ő nevéhez fűződik. Ez a módszer nem más, mint a Social Engineering (SE). Röviden összefoglalva: "a Social Engineering az emberek természetes, bizalomra való hajlamának kihasználása. Hackerek vagy akár egyszerűen rossz szándékú emberek is gyakran használják ezt a módszert a számítógépekhez való illetéktelen hozzáférésre és információk megszerzésére. A Social Engineering nem a hardver, a szoftver vagy a hálózat hibáit, hanem az emberi természet gyengeségeit használja ki a számítógépek feltörésére. Alkalmazásával bárki, aki csak minimális hackelési képességekkel is rendelkezik, behatolhat egy biztonságosnak tartott rendszerbe, majd hozzáférhet, módosíthatja vagy akár törölheti az ott tárolt adatokat." Mitnick szerint nincs az a biztonsági megoldás, ami megvédene az SE támadásokkal szemben - a biztonsági megoldásokat szállító cégek képviselői csúnyán néznek -, "sőt akár a Windows updatet is feltehetik, az sem ér semmit" - Stephen McGibbon, a Microsoft Security Consulting LLC vezetője is csúnyán néz.
Mitnick ennek ellenére természetesen folytatta. Elmesélte hogyan szerezte meg a Motorola titkos forráskódjait mindössze fél óra alatt, hét darab telefonhívással. Előadása végén elmondta, hogy mennyire könnyen védekezhetnének az emberek, csupán törődni kéne a problémával.
Őt az eddig csúnyán néző McGibbon követte, aki elmondta, hogy mennyire hatékonyan véd az XP a betörések ellen. Azzal folytatta, hogy bemutatta az SP2 biztonsági újdonságait - az nem zavarta, hogy az általa bemutatott újdonságok mindegyike mára kijátszható -, majd jellemezte a számítógépes támadókat. Vagyis pontosabban terroristákat. Elmélete szerint van vandál, tolvaj és kém. Későbbiekben elemezte, hogy a Microsoft milyen hatékonyan feszi fel ezen terroristák ellen a küzdelmet, valamint hogy mennyivel több hibát találnak a különböző Linux disztribúciókban. Azt már inkább nem feszegetném, hogy mi a hibás ebben a gondolatmenetben. Gyönyörű XP-színű prezentációja végén mégis az derült ki, hogy a Microsoft jó úton halad afelé, hogy minél biztonságosabb, megbízhatóbb operációs rendszert fejlesszenek. Kevin Mitnick szerint van még mit fejlődni.
A további előadások igen marketingízűre sikeredtek, de volt köztük pár élvezetes is. Különösen amikor a konkurens antivíruscégek képviselői humorosan "egymásnak estek". Az ebéd után a másik várt előadás vette kezdetét, igen hangzatos címmel: Hackelés élőben. Ebben sajnos csalódnom kellett. Az egész csak a látványra ment ki. Rég elavult és a való életben használhatatlan webes módszereket mutatott be Sebastian Schreiber, a SySS Gmbh. alapítója. Majd elindított egy SMB exploitot, visszaszámolt és az XP megfagyott. A közönségnek sajnos ez nagyon tetszett és hangosan ámuldoztak. Mindez számomra annyit bizonyított, hogy kissebségben voltak a szakmához értők. Alapvetően elégedetten távoztam a konferenciáról, Mitnick előadása felejthetetlen volt, és ha jövőre is lesz IDC Security Roadshow, akkor azt semmiképpen nem hagynám ki.
Kovács László
Kapcsolódó cikkek
- IDC: Adattár-virtualizációs és adatközpont konferencia 2007
- IDC Adattárolási Konferencia: az e-mailek okozzák a legtöbb fejfájást
- IDC: IT Security Roadshow 2007 Budapesten
- IDC IT biztonsági konferencia
- Infokommunikációs technológia a közüzemi és energiaszektorban
- Informatika a közüzemi és energiaszektorban
- Megnyílt a 7. Bosch távközlési és biztonságtechnikai szakmai nap
- IDC üzleti intelligencia konferencia: Ismerje fel ma a holnap lehetőségeit!
- ITBN2006: Informatika Biztonság Napja
- Virtualizáció és grid technológia az IDC tároló témájú konferenciáján