szerző: Márk Edina
2008. június 2. hétfő
olvasási idő 18 perc

Tudják a jelszavainkat, lelkiismeret-furdalás nélkül olvasgatják az e-mailjeinket, sörözők teraszán ülve, laptopjaikkal simán feltörik a védettnek hitt vezeték nélküli internet-hozzáférésünket, hogy aztán a mi IP-címünk mögé bújva behatoljanak más rendszerekbe. Védekezni nem tudunk ellenünk. A zóna magyar hackerekkel beszélgetett viselt dolgaikról és hitvallásukról.

   

root:x:0:0:Super-User:/root:/sbin/sh
daemon:x:1:1::/:
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:

És így folytatódnak tovább hosszasan a „mezei” felhasználóknak teljességgel érthetetlen sorok, amelyek egyet még a laikusoknak is jól mutatnak: egy hacker még egy közösségi oldalhoz sem tud csatlakozni anélkül, hogy be ne nézzen „mögéje”. A fenti „halandzsa” csak egy része annak a május 17-i bejegyzésnek, amellyel egy magyar hacker próbált meg némi nemzetközi elismerésre szert tenni azáltal, hogy egy új – történetesen hackereknek szánt – közösségi oldal sebezhetőségeire hívta fel a figyelmet.

A hibákat a Raavenkroft álnéven futó magyar hacker találta meg az egyik legismertebb nemzetközi fehérkalapos (jóindulatú) hackercsoport, a Gnucitizen által indított Hackerek Háza (House of Hackers) nevű közösségi oldalon. A kezdeményezés mindenesetre aktivizálta a magyar hackereket, hiszen az eddig bejelentkezett 3800 tag közül 41-en magyarok. Mit lehet tudni róluk? Nem sokat, hiszen a hackerség szükségszerű velejárója a rejtőzködés. Adatlapjaik szerint 17–28 évesek, egyetemisták vagy már dolgozó informatikusok. Hangzatos álnevet választanak maguknak, többnyire angolt, mint például White Wolf, darkelf, xkiller vagy éppen scripter-man, de vannak magyar nevek is, például kisPocok és matyi7700. Az is előfordul, hogy rendes polgári vezeték- és utónevet adnak meg az adatlapjukon. (Kérdés persze, hogy ezek valódiak-e.)

Feltűnési kényszer
Nem lehet tudni, hogy a Hackerek Házának magyar tagjai mindannyian igazi hackerek-e vagy csupán a téma iránt érdeklődő fiatalok. „Talán húsz hacker lehet Magyarországon, aki nemzetközi mércével is ér valamit, a többiek csak amatőrök, papírhackerek” – mondja a zónának az előbbiek közül az egyik, akit csak Z.-ként fogunk emlegetni, B. szerint inkább csak fél tucat. Többségüket nem ismerik személyesen, de azért tudnak egymásról, mivel aki hackerkedik, az időnként „villant” egyet. Vagyis csinál valami látványosat a dicsőség és hírnév kedvéért, például lecseréli egy weboldal nyitó oldalát a saját maga által készítettre (ez a deface nevű támadási forma).

A számok tanúsítják, hogy Magyarország távolról sem hackernagyhatalom. A szakértők szerint még létező hackertársadalomról sem beszélhetünk, legfeljebb néhány fős csoportokra töredezett szubkultúráról. Az egy kivétellel fiúkból álló csoport tagjainak többsége – a közösségi oldalon folyó eszmecsere tanúsága szerint – most ismerkedik egymással, s csak hat-hét társukkal állnak régebb óta kapcsolatban. A cikk folytatása...

„A hackelést alapvetően saját magának csinálja az ember, de időnként kell az inspiráció a kollégáktól” – magyarázza B. Azt meséli, hogy évekkel ezelőtt a Freemail levelezőrendszert is a hackertársakkal való együttműködéssel tudták feltörni. Mindenki beleadta a magáét. B. például egy-két hónapig nagyjából tízoldalnyi, a rendszer által generált egyszeri azonosítóval a táskájában járt suliba, és azt bambulta az unalmas órákon. „Aztán karácsony környékén megláttam két azonosítót, amelyeknek lényegi részei csak egy számjegyben tértek el, utána az egész sorozat periodikussá vált, és a periódus meg nem volt túl hosszú.”

A most 21 éves B. 13 évesen kezdett hackelni, jelenleg a Műegyetem informatika szakára jár. Kamaszként könyvekből tanult meg programozni. Szülei egy egyetemista tanárt fogadtak melléje, ha már annyira érdeklik a számítógépek. Tőle látott először olyan dolgokat, amelyek később a hackelésre irányították a figyelmét. A gimi szerverét persze feltörte, de a matekdolgozat kérdéseit a társai bogarászták ki a tanár e-mailjéből. Panaszkodik, hogy az egyetemen sok unalmas és felesleges dolgot is kell tanulnia.

A magyar hackerek rég nem hajtottak végre nyilvánosan látványos akciót. Utoljára jó néhány évvel ezelőtt hívták fel magukra a figyelmet, amikor feltörték az Elender és az Axelero (ma T-Online) internetszolgáltatót. Három hacker 1999 és 2000 fordulóján többször betört az Elender szerverére, és a világhálón közzétette több ezer ügyfél nevét és jelszavát. Az akkor még viszonylag szűk körben internetező és magukat a biztonság illúziójában ringató magyarok ekkor szembesültek igazából először a kibertér rájuk is leselkedő veszedelmeivel: a nevek és jelszavak birtokában a hackerek szabadon szörfözgethettek volna az interneten – az áldozat kárára, sőt az áldozat költségére.

Hibák a mátrixban
Az Elender-ügy főkolomposa egy harmadikos gimnazista volt, aki azt bizonygatta, hogy csak a rendszer biztonsági hiányosságaira akarta felhívni a figyelmet. És pontosan ez az igazi, a hőskorban megfogalmazott elveket valló hackerek célja. Egyszerűen idegesítik őket a hibák. „Ha meg lehet jól is csinálni egy rendszert, akkor miért végeznek mégis silány munkát!” – bosszankodott B. is. Ezért van az, hogy a felfedezett sebezhetőségekről többnyire tájékoztatják a rendszergazdákat, időnként még névvel is vállalva a dolgot. Vegyesek a reakciók: hol megsértődnek, hol felajánlanak egy sört.

Az Elendert feltörő három hackert végül elkapták, de óriási szerencséjük volt, mert az elkövetés pillanatában a törvény még nem ismerte ezt a fajta bűncselekményt. A büntető törvénykönyvbe csak 2001-ben került be a számítógépes rendszer elleni bűncselekmény fogalma (300/C). A hackereket első fokon elítélték ugyan, de másodfokon felmentették őket. Az Axelerót 2001-ben feltörő hacker(ek) nyomát viszont azóta is bottal üthetik.

Valószínűleg az új Btk.-passzus elrettentő pszichológiai erejével is magyarázható, hogy az elmúlt években nem verték nagy dobra a töréseiket. Pedig nem tétlenkednek a fiúk mostanság sem. Sörözők teraszain ülve, laptopjukkal simán feltörik mások védettnek hitt vezeték nélküli hálózatát, és az idegen IP-cím mögé bújva grasszálnak más gépeken. Jó esetben nem küldik rá a gyanútlan felhasználóra a hatóságokat.

Ami személyes, az sem szent
A levelezőrendszereket feltörve, privátnak gondolt e-mailjeinket olvasgatják. A mi oldalunkról egyszerűen pofátlan kukkolásnak tűnik, de B. állítja, hogy nem az intim témákra utaznak, hanem újabb belépési információk megszerzésére, jelszó-emlékeztetőkre, regisztrációs e-mailekre. De B. azt is elismeri, hogy haverok és idegenek az internetről sokszor megkeresik, hogy „jaj, hogy törjem fel a barátnőm e-mailjét”. „Haveroknak segítek néha, ha tudok…”

A személyes adataink iránti vonzalom indokolja, hogy a magyar hackereket elsősorban a leglátogatottabb magyar webszájtok vonzzák, például a nagy levelezőrendszerek és társkereső oldalak, mert ezeken nagy tömegű felhasználói adatbázisban matathatnak.

Az Index internetes újsággal is a magas látogatószám miatt szórakoztak évekig a hackerek, köztük Z. is, és állítása szerint ő érte el az áttörést az ügyben, amiért kapott is vállveregetést a kollégáktól. A Linux pingvines logóját ráültették az Index feliratra, letöltötték az összes forrást, megszerezték a munkatársak jelszavait. Z. a laptopján meg is mutatja a nagy zsákmányt: ismert indexes vezetők és újságírók akkori felhasználónevei, jelszavai. Ezek birtokában írtak is egy cikket azzal a címmel, hogy Benne leszek a tv-ben. Az írás nem állt másból, mint ebből az egy mondatból, ezerszer megismételve.

„Nem a főoldalt, hanem az egyik mellékletünket érte a deface-támadás évekkel ezelőtt, de kárt nem okoztak az Indexnek – emlékszik vissza a pingvines esetre Uj Péter, az Index főszerkesztője. – Nem bank vagyunk, vagy a nemzetbiztonsági hivatal, hogy kötségvetésünk nagy százalékát kellene informatikai biztonságra fordítanunk. Nekünk mindig fontosabb volt, hogy a munkatársak könnyen és gyorsan elérjék a szerkesztőségi rendszert. Az új rendszerükben azért számos biztonsági rést betömtek.”

Z. 14 évesen kezdte a hackerkedést, jelenleg 25. Majdnem kirúgták a főiskolai kollégiumból, mert egy buliban spiccesen feltörte a Belügyminisztérium oldalát. Az alkohol hatására egyáltalán nem rejtőzködött az akció közben. Ügy lett belőle, de végül sikerült kidumálnia magát. Azóta óvatosabb. Jelenleg egy informatikai biztonsági cégnél dolgozik, idővel saját céget szeretne alapítani.

A bankok veszélyesek, az állam unalmas
A pénzintézetek nem érdeklik őket. „Ezek a célpontok jól védettek, nagy a lebukás veszélye, és kemény büntetésre lehet számítani, nem éri meg – magyarázza B., de rögtön hozzá is teszi: – Persze csak akkor, ha az ember nem talál valami jól kihasználható kiskaput.” Z.-t sem vonzza a téma: „Nem tudsz úgy átutalni pénzt az egyik számláról a másikra, hogy ne legyen nyoma. Ráadásul utána meg is kell változtatni az életét az embernek. Tudod, a szomszédnak feltűnne a húszmilliós új kocsi.”

A hackerek – legalábbis a klasszikus irányvonalat követők – hírhedten nem barátai az államnak és intézményrendszerének, kimondottan decentralizációpártiak, és legszívesebben eltörölnének minden gátat, amely az információ szabad áramlását akadályozza. Az állami intézmények rendszerei ellen mégsem lépnek fel, pedig állítólag nem lenne nehéz. B. például járt a parlament oldalán, és nagyon megütközött az alapvető biztonsági hiányosságokon.

A politikai célú hackelés ismeretlen fogalom Magyarországon. Szerencsére. Gondoljunk csak a történelem eddigi legnagyobb kibertámadására, amelyet tavaly áprilisban Észtország volt kénytelen elszenvedni: több héten át ismeretlen – feltehetőleg orosz – tettesek túlterheléses támadásokkal akadályozták az észt kormány, számos bank, nagyvállalat és a média normális működését. (Az észtek szerencséjére országuk régóta élen jár az internetes technológiákban, köztük a védelmi rendszerek fejlesztésében.)

A külföldi célpontok sem izgatják a magyar hackereket, legfeljebb egyetemek érdeklik őket, és az érdekesebb gépek, amelyekről a hírekben vagy a szakmai pletykákban hallanak. B.-t például nemrég egy Morse kódolású oldal ihlette meg. Itthon egyszerűbb képben lenni, könnyebb információkat összegyűjteni – magyarázzák a sajátos lokálpatriotizmust. A legendás külföldi célpontok közül azért persze kipipáltak néhányat, Z. bejutott például a NASA oldalára, és állítása szerint a Mars-projekthez kötődő jelszavakkal távozott.

„Pár perces” rendszerek
Azt állítják, hogy egyáltalán nincs nehéz dolguk a magyar rendszerek nagy részével. Az amúgy sem szerénykedő Z. büszke arra, hogy általában tudja tartani az ötperces szintidőt, vagyis többnyire csupán ennyire van szüksége ahhoz, hogy bejusson egy rendszerbe. Ott már persze hosszú időbe is telhet, amíg megtalálja, amit keres. A lebukás veszélye pedig a távoli behatolásnál gyakorlatilag nulla. „Ha jól csinálod, nem lehet lenyomozni, vagy csak nagyon nehezen.”

Az úgynevezett „social engineering”, vagyis az emberi gyengeséget kihasználó támadás, ha nem telefonon vagy e-mailben történik, hanem személyesen, már egy kicsit rizikósabb, de a zóna által megkérdezett hackerek nem nagyon művelik ezt a műfajt, ahhoz túlságosan technológiaközpontúak. Szerintük ez a módszer már amúgy is inkább a rosszindulatú támadások, az ipari kémkedés kategóriájába tartozik.

Márpedig a hackereknek elveik vannak: a szándékos károkozás és az anyagi haszonszerzés motivációja nem fér bele. Ezért állnak ők a „jó oldalon”. S ezért nem szeretik, ha kriminalizálják őket, s összemossák a rossz oldalon állókkal, ahogy a hatóság és a média gyakran teszi. Tisztában vannak vele, hogy meglehetősen ellentmondásos a ténykedésük. A törvény szerint már azzal bűncselekményt követnek el, ha jogosulatlanul belépnek egy rendszerbe. A netes világban azonban titokzatos lázadóknak, jó fej csibészeknek számítanak.

Tisztességtelen ajánlatok
Azt mondják, hogy sohasem húztak anyagi hasznot a rendszerek feltöréséből, legfeljebb akkor, ha etikus hackelésre kapnak megbízást. Pedig kétes, de jól fizető céges megbízás is lenne bőven. Z. azt meséli, hogy nyolcezer dollárt (1,6 millió forint) kínált neki egy magyar informatikai cég, hogy nem fizető külföldi partnerének tegye tönkre három szerverét. Előfordul, hogy cégek hackeltetik a konkurenciát. Egy tenderen induló társaság például a konkurens ajánlatok kibogarászására adott volna megbízást, és százalékot ígért neki az elnyerni kívánt összegből. Z. nem vállalta el ezt sem. „Már vehettem volna lakást, autót az ilyen illegális megbízásokból, de engem ez nem érdekel. Nekem bőven elég, hogy megtehetem.”

Éppen ezért nem is értik, s egy kicsit meg is mosolyogják Richter Csabát, az egyetlen magyar hackert, aki kilépett a nemzetközi porondra, igaz, ennek az lett a vége, hogy egy svéd börtönben kötött ki. A fiatalembert 2005-ben három évre ítélték, mert feltörte az Ericsson informatikai rendszerét, és az onnan ellopott információkat pénzért akarta eladni a cégnek. A cég a svéd titkosszolgálatot is bevonta az ügybe, mert nagyon kényes adatokról volt szó. Richter saját bevallása szerint hozzáfért telefonszoftverek forráskódjához, a Gripen vadászgépek radarrendszerének rajzához, valamint adminisztrátori jogosultságot szerzett több rendszerben. (Hackerkörökben úgy tudják, hogy igazából állást szeretett volna a cégnél, csak rosszul adta elő magát.)

De nem mindenki áll meg a határon, s a fehérkalapos hackerek egy részét is el tudja csábítani a könnyű pénzszerzés ígérete. Elég csak áruba bocsátaniuk az innen-onnan megszerezett temérdek felhasználói adatot.

Hackerfilozófia
Akkor miért csinálják? „Az egész talán a határok átlépéséről szól: át akarom lépni a saját határaimat és azokat, amelyeket mások támasztanak – magyarázza B. – Lényegében erről szólt mindig is az emberiség fejlődése: a korszakalkotó gondolatokhoz mindig el kellett vetni a megfásult kereteket, és el kellett kezdeni új dimenziókban gondolkodni. Ha Einstein elfogadta volna korának fizikáját, nem tudta volna kidolgozni a relativitáselméletet.”

A hackert talán az választja el a hagyományos felfedezőtől, feltalálótól, hogy az ő szeme előtt csak a határ átlépése lebeg, az másodlagos, hogy mi van a határ másik oldalán. Tágabban értelmezve nemcsak számítógépeket lehet hackelni. Van, akinek az a hobbija, hogy zárakat nyitogat mindenféle tolvajkulcsokkal (Németországban külön zárnyitó sportklub létezik), van, aki telefonhálózatokban garázdálkodik (ez a phreaking – egy majdnem elfeledett, de a VoIP miatt újraéledő műfaj).

Z.-nek pedig tetszik a folyamatos kihívás, mindig naprakésznek kell lenni, okosabbnak, mint a másik. „Itt nem számít, hogy kinek mennyi pénze, kinek milyen ismeretségi köre van, egyszerűen csak az, hogy kinek van több ideje, és ki az okosabb, ügyesebb” – mondja.

Homályban a jövő
Milyen perspektíva áll előttük, ha egyszer megkomolyodnak? Nos, mostanság nem áll már olyan jól a szénájuk, mint a hőskorban, amikor még a tehetséges hackerekből olyan dúsgazdag cégalapítók lettek, mint az Apple-t gründoló Steve Wozniak, Bill Gatesről már nem is beszélve. De a kisebb formátumúaknak is jutott minimum egy vastag péntárcájú menedzseri állás valamelyik informatikai cégnél. Ma már ez az út sem feltétlenül járható.

„A mai világban a hacker előtt három út áll: megfásult programozó lesz, akiben forr az elégedetlenség, vagy magába szippantja a szervezett alvilág, ahonnan nem nagyon van kitörés, vagy biztonsági tanácsadó lesz” – sorolja Krasznay Csaba, a Kancellár.hu Kft. informatikai biztonsági tanácsadója. Szerinte mindenkinek a harmadik megoldás lenne a legjobb, de ez lehetőség és tudás hiányában a legtöbb magyar hackernek nem adatik meg.

A magyar cégvezetők ódzkodnak a hackerek alkalmazásától, mert nem tartják őket megbízhatónak. Pedig a rablóból lesz a legjobb pandúr – mondja Krasznay Csaba. Az informatikai rendszerek a hétköznapjaink részévé váltak. Minden fontos információ megszerezhető a vállalati vagy állami információs rendszerekből, amelyeket ezért folyamatosan támadnak, és támadni is fognak. Szakemberek kellenek, akik tudják, hogyan lehet megvédeni a rendszereket.

A biztonsági szakemberek többsége inkább rács mögött szeretné látni őket, de legalábbis nagyon messze a cégük háza tájától. „Soha nem alkalmaznék egy volt hackert, mert az informatikai biztonság különösen bizalmi tevékenység – mondja Antal Lajos, a PricewaterhouseCoopers könyvvizsgáló és tanácsadó cég IT-biztonsági részlegének vezetője. – Honnan tudhatom, hogy az illető nem lépi át újra a határokat. Még akkor is számos jogi korlátot kell tiszteletben tartanunk, amikor a cégek megbízásából etikus hackeléssel teszteljük a rendszerüket. Hogyan lehetnék biztos abban, hogy az egykori hacker tiszteletben tartja ezeket a határokat, hisz korábban semmibe vette őket?”

Nyerésre áll a „sötét oldal”?
Krasznay szerint jót tenne az országnak, ha minél több jó hackere volna, aki felhívná a figyelmet a rendszerek gyenge pontjaira, s aki aztán megkomolyodva biztonsági szakembernek állna. „Csakhogy a mi rablóink a felsőoktatásban nagyon kicsi eséllyel juthatnak el oda, hogy pandúrokká válhassanak – mondja a szakember. – Akik pedig hivatásos pandúrnak tanulnak, nagyon kicsi eséllyel tanulhatnak meg bármit is azokról a támadásokról, amelyeket ki kellene védeniük.”

Ráadásul úgy tűnik, hogy nincs utánpótlás. A mostani tizenévesek hiába nőnek fel még inkább a számítógépes, internetes világban, nem szánnak már annyi időt az ezzel kapcsolatos tudás megszerzésére, amennyi az igazi hackerré váláshoz kellene. Szintén bújják éjszakánként a számítógépet, de azért, hogy játsszanak, filmeket töltsenek le, programokat törjenek fel. Ha ennél tovább jutnak, akkor gyakran az a probléma, hogy csak a pénzre hajtanak, és a tudásukat ipari kémkedésre vagy spamet és vírusokat terjesztő botnetek üzemeltetésére használják.

Vagyis a „sötét oldalt” erősítik, miközben a fehérkalaposok tábora csak apad. Ez nem túl jó hír a felhasználók millióinak. Mit tehetünk? „Imádkozzunk, hogy ne legyen minden elektronikusan irányítható az életünkben” – mondja kárörömtől sem mentes vigyorral Z.

Közben pontosan ebbe az irányba halad a világ: elektronikus kormányzás, digitális otthon, már csak az elektromos hálózaton elérhető internet hiányzik, s akkor aztán tényleg mindenhova gond nélkül beférkőzhetnek a hackerek, a jók és a rosszak egyaránt.

Z. sötét, mozivászonra illő proféciát mond: közeleg a Nagy Kiberháború.