L0pht – ekipa hakera koja je upozorila svijet na sigurnosne probleme interneta

L0pht – ekipa hakera koja je upozorila svijet na sigurnosne probleme interneta

Sigurnost na internetu je, čini se, vječiti problem. Nakon što hakeri ili istraživači otkriju pogreške tvrtke isprave propuste, no malo je onih koji su bili spremni poduzeti skupe i nužne iskorake kako bi njihovi sustavi postali sigurniji

Sedam hakera iz SAD-a upozorilo je zastupnike u Senatu na velike propuste u sigurnosnim zaštitama na internetu. Vaša računala, rekli su senatorima još u svibnju 1998. godine – nisu sigurna. Ni softver, ni hardver, niti mreže koje ih povezuju. Tvrtke koje ih stvaraju to ne zanima, a nemaju razloga za brigu, jer ih neuspjeh ne košta ništa. A Savezna vlada nema ni vještine ni volje za učiniti nešto, kazali su tada hakeri.

Poručili su im da internet može srušiti bilo koja »od sedam osoba koje sjede pred njima« i to u roku od svega 30-ak minuta nakon dobro organizirane akcije. Gotovo se ništa nije poduzelo i 17 godina poslije svijet plaća cijenu nesigurnosti.

lopht_sjede

»Mi bismo im tada poručili: ‘Dajte nam jedan vaš proizvod i pokušat ćemo provaliti u njega, ‘«, prisjetio se Wysopal, a uspjeli su pronaći nedostatke gotovo svaki put

Grupa hakera L0pht, kako se nazivaju, nastala je na području Bostona, u vrijeme kada su se na »mreži svih mreža« uvele interaktivne igre koje zahtijevaju pristup temeljnim funkcijama svakog korisnika računala, što je hakerima pružilo nove mogućnosti za upravljanje njima iz daljine.

Sigurnost na internetu je, čini se, vječiti problem. Nakon što hakeri ili istraživači otkriju pogreške tvrtke isprave propuste, no malo je onih koji su bili spremni poduzeti skupe i nužne iskorake kako bi njihovi sustavi postali sigurniji.

Drugim riječima, velike kompanije nastavljaju stvarati i prodavati svoje sustave te naknadno šalju ispravke, ako je potrebno. Ako sustav »padne«, za gubitak podataka ili ukradenih brojeva kreditnih kartica kriv je korisnik, a ne bogate kompanije.

Dobronamjerno i zlonamjerno hakiranje

Hakeri se »upoznaju« online, uglavnom na forumima na kojima se dijele savjeti, šale i spoznaje o tome kako različiti sustavi funkcioniraju – i, u nekim slučajevima, kako neke stvari mogu biti učinjene, iako tvorci programa nešto slično nisu ni zamislili. To je suština hakiranja, ono samo po sebi nije dobro, ali ni zlo. U nekim slučajevima može biti njihova kombinacija, ovisno o motivima hakera.

L0pht skupina u prosjeku broji sedam ili osam članova, a svi dijele fascinaciju tehnologijom i testiranjima njezine granice.

»Razlika između onoga kako nešto treba raditi i kako to stvarno funkcionira je točka gdje će se dogoditi propust«, rekao je haker Chris Wysopal, poznat kao Weld Pond u svojim L0pht danima.

Prvi klub grupe te inspiracija za ime, bilo je potkrovlje iznad jedne trgovine stolarijom u južnom Bostonu, unajmljeno nakon što su djevojci jednog od hakera dozlogrdila sva stara računala koja su se nalazila u stanu zbog čega je družina morala pronaći novu lokaciju.

lopht

Potkrovlje iznad trgovine stolarijom u južnoj četvrti Bostonu poslužilo je kao inspiracija za naziv grupe (loft – eng. potkrovlje). Velik dio računalnog hardvera u prostoru je sastavljen od uređaja odbačenih u kontejnere za smeće na području Bostona. (Ustupio Joe Grand)

U to vrijeme, tvrtke su proglašavale svoj proizvod sigurnim samo zbog toga što su proveli određeni broj standardnih mogućnosti, kao što su uvođenje lozinki i osnovne kriptografije. »Mi bismo im tada poručili: ‘Dajte nam jedan vaš proizvod i pokušat ćemo provaliti u njega, ‘«, prisjetio se Wysopal, a uspjeli su pronaći nedostatke gotovo svaki put.

Kriptografija iz vrtića

L0pht su djelomično prihvatili lošu reputaciju hakera, nazivajući sebe »grey hats« (eng . sivi šeširi), između dobroćudnih white hats hakera, koji se ograničavaju na ispitivanje slabosti sustava i black hats hakera koji su otvoreno provodili bezakonje. Skupina je naročito uživala u pokušajima posramljivanja velikih tvrtki zbog prodaje proizvoda sa sigurnosnim propustima, kao što je bio slučaj s Microsoftom.

Kad su L0pht-ovci otkrili i razbili kriptografiju koja štiti korisničke lozinke Windows operativnog sustava, Mudge, pravim imenom Peiter Zatko, javno je optužio Microsoft za ono što on naziva »kriptografiju iz vrtića«, a uz Wysopala, stvorio je jednostavan softverski alat koji je svima omogućavao probijanje takvih lozinki.

Koristili su hakerska imena uglavnom zbog straha od otkaza na svojim redovnim poslovima, a htjeli su i otežati posao kompanijama koje su ih htjele tužiti jer bi ih prozvali zbog propusta, što je stvarna prijetnja i danas za bilo koga tko se bavi istraživanjima sigurnosti.

L0pht članovi također su sumnjali u želju tvrtki da isprave nedostatke čak i nakon što su otkrivene. U počecima grupe, izvješća poslana na službene e-mailove tvrtki, koji su navodno postojali za rješavanje sigurnosnih pitanja, često su ostala ignorirana i bez odgovora, što se posebno događalo kod Microsofta.

Na kraju su otkrili način privlačenja pozornosti, sigurnosna upozorenja objavljena na njihovoj stranici L0pht.com zainteresirala su svjetske tehnološke novinare, a na kraju i same tvrtke.

Nastanak prvog široko popularnog web preglednika, Mosaica, stvorio je internet nezaustavljivom kulturnom i komercijalnom silom. Nije bio egzotičan i stvoren samo za one tehnički vješte, već je svatko mogao »surfati webom«.

Tijekom sljedećih nekoliko godina, sofisticirani novi programski jezici, kao što su Flash i Java, dramatično su proširili sposobnosti preglednika. Web stranice započele su s prikazivanjima videa, pojavile su se klasične igre kao što su Frogger, Super Mario Bros i Tetris, a one su se mogle reproducirati besplatno na bilo kojem računalu koje se može povezati na internet.

Microsoft je tada imao cilj preuzeti vodstvo u preglednicima od Netscape Navigatora, koji je većim dijelom napravio isti programerski tim koji je stvorio i Mosaic. Do sredine devedesetih, Navigator je imao više od 70 posto tržišnog udjela.

Na interesantan način je Microsoft to i postigao, stvaranjem Internet Explorera odnosno njegovom integracijom s dominantnim Windows operativnim sustavom. Ovaj potez je inače je dio tužbe Ministarstva pravosuđa protiv Microsofta, nastale 2001. godine.

Internet Explorer imao je i druge posljedice i propuste odmah vidljive na L0pht- ovim i drugim hakerima.

700 korisnika, 1 glupa lozinka

Na hakerske konferencije u kolovozu 1997. godine Mudge, čije je pravo ime Peiter Zatko, opisao je sigurnosne propuste u lozinkama za Windows, u vrijeme kada je on bio standardni operativni sustav poslovnih računala diljem svijeta.

Izdvojio je posebno nečuven sigurnosni propust – mogućnost razdvajanja polja za lozinku od 14 znakova na 7 znakova. Logično, što je duža lozinka, haker mora isprobati više kombinacija i teže će ju probiti. No Microsoft je, kaže Mudge, zanemario taj princip i dopustio stvaranje dvije kraće i jednostavnije lozinke, koje se lakše probijaju u podnosu na jednu »jaku«.

Otkrio je kako je L0pht je pronašao jednu lozinku – »CHANGEME« – koja je bila korištena kod čak 700 korisnika jedne grupe koju su istraživali.

To je privuklo obožavatelje u hakerskom svijetu, donijelo dašak slave i prvi novac. L0pht prodaje majice sa svojim logom na konferencijama i počinje s prodajom svog alata za razbijanje Windowsovih lozinki – zove L0pht Crack – za 50 dolara administratorima koji žele provjeriti koliko su im snaže lozinke koje su postavili na sistemskim mrežama.

 Ozbiljan biznis

Pojava sve većeg broja dobro plaćenih savjetnika za sigurnosti potaknula je grupu da započnu stvarni posao kojim bi mogli zarađivati dovoljno novaca da napuste svoja dotadašnja radna mjesta. Ideja se razvijala malo prije pojavljivanja pred Senatom 1998. godine i to je bio početak kraja L0pht grupe.

Hakeri su se pridružili @Stake tvrtki za sigurnost nastaloj uglavnom na slavi L0pht-a. Završili su tada s redovnim poslom, a hobi im je postao puno radno vrijeme.

No tada su stigla nepoželjna pravila i odgovornosti – pogotovo za klijente koji su bili spremni platiti za njihovu stručnost, ali bez javnih objava kao što su činili dok su bili slobodni hakeri.

Među najvećim tvrtkama koje su unajmile @Stake, koje su također zahtijevale čuvanje informacija o onome što otkriju, bio je L0pht-ov dugogodišnji neprijatelj – Microsoft.

Uskoro se ekipa počela raspadati, Space Rogue je dobio otkaz iz nepoznatih razloga, kako je kazao. Izvršni direktor @Stakea naredio je Wysopalu da izdvoji člana grupe kojeg će otpustiti radi financijskih ušteda. Odlučio se za Briana Obliviona, jednog od članova L0pht-a, čije je pravo ime Brian Hassick, nakon čega njih dvoje više nisu razgovarali. Zatko je bolovao je teške tjeskobe zbog čega je proveo nekoliko dana na psihijatrijskom liječenju gdje ga nitko od bivših članova hakera nije posjetio.Symantec, veća sigurnosna tvrtka, kupila je ostatke @Stakea koji je bio pred raspadom 2004. godine.

"Kingpin" u akciji

“Kingpin” u akciji

»Za sve što smo se zalagali nestalo je malo po malo dok smo naposljetku ostali bez ičega«, kazao je Joe Grand, hakerskog naziva Kingpin.

Dok se L0pht urušavao, sigurnost se na internetu pogoršavala. Posljednje dana 20. stoljeća obilježili su popravci Y2K bube koji se temeljio na alarmantnoj mogućnost da će programi dizajnirani za prepoznavanje godina iznenada srušiti kada nastupi 2000. godina, odnosno znakovi “00” umjesto „99“

No takvi i nadolazeći problemi nisu bili slučajni – hakeri poznatog udruženja black hats bili su u napadu.

Među prvih sigurnosnim nedaćama u sljedećem desetljeću, ILOVEYOU crv, stigao je u svibnju 2000. godine kada je virus iskoristio značajke Microsoft Outlooka za slanje malicioznog koda, a pretpostavlja se da je bilo zaraženo čak 10 posto kompjutera diljem svijeta.

Ostavština L0pht-a

L0pht ostavština je jedna mješavina pozitivnog i negativnog. Skupina je među prvima odgovorno ukazivala na probleme sustava što se još uvijek naširoko koristi i danas, u kojem oni koji su pronašli bube daju tvrtkama određeno vremensko razdoblje kako bi popravili sigurnosne propuste prije nego što ih javno objave. Neke tvrtke sada idu korak dalje, nudeći novčane nagrade kako bi potaknuti hakere na traženje propusta, idealno bi bilo prije kriminalaca i špijuna.

Microsoft je na kraju počeo ozbiljnije shvaćati probleme u sigurnosti, osobito s dolaskom Windows Vista 2006. i Office 2010., a pitanje je gdje bi danas bili da nisu postojala kritička ukazivanja na propuste.

No kako su Microsoft proizvodi postali sigurniji, hakeri su se počeli koncentrirati na alternativne ciljeve koji nisu dobili toliko pažnje.

»Hakeri su poput vode«, rekao je Vigna, računalni znanstvenik na Sveučilištu California u Santa Barbari. »Oni uvijek traže put manjeg otpora. Ako riješite jedno mjesto, oni će naći drugu pukotinu«.

L0pht se kasnije malo oporavio, objavili su ažuriranu verziju L0pht Crack 2009. godine, a glavna web stranica još postoji. Wysopal i Dildog osnovali su tvrtku za sigurnost Veracode, Zatko se pridružio BBN Technologies, a zatim postaje zamjenik ravnatelja za istraživački tim u Googleu. Uz njih, većina ih i dalje radi na sigurnosnim pitanjima.

(Izvor: Washington Post / Pripremila: Ivona Conjar)