Φόρουμ
Πόρταλσυνεντευξη απο εναν χακερ, ενδιαφερον...
4 απαντήσεις
Σελίδα 1 από 1
συνεντευξη απο εναν χακερ, ενδιαφερον...
από Manos Κυρ Ιουν 22, 2008 8:48 am
Ο «repstosw», το «αυτόματο πολυβόλο» του Διαδικτύου, ένας από τους 100 καλύτερους hackers στον
κόσμο αποκαλύπτει τα ψέματα των ημερών
Ένας χάκερ θα τους είχε σώσει...
«Ποιος είπε ότι κάνουμε πάντα κακό στα δίκτυα;»
Τον «A» μού τον σύστησε ένας «Έλληνας μπάτσος» (τον γράφω μπάτσο γιατί μάλλον με κινηματογραφικό
ήρωα μοιάζει παρά με αστυνομικό, αλλά αυτό είναι άλλο θέμα). «Θα σου βρω τον καλύτερο hacker, αλλά
να είσαι προσεκτικός, δεν του αρέσουν οι δημοσιογράφοι» μου είπε «ο μπάτσος μου». Ήταν η μέρα που
οι τρεις υπουργοί της κυβέρνησης προσπαθούσαν να δικαιολογήσουν το «Vodafone-γκέιτ» και τα ερωτήματα
χόρευαν στο κεφάλι μου. Ο «A» δεν χάρηκε και πολύ που με άκουσε και χρειάστηκαν πολλά τηλεφωνήματα και
«παραινέσεις» για να με συναντήσει. Από την όψη θα τον πέρναγες για τραπεζικό υπάλληλο, με μια μπλε τσάντα
πάντα στο πλευρό του και στον καρπό του χεριού ένα high tech ψηφιακό ρολόι με το πιο παράξενο σχήμα που έχω δει.
«Εσύ λοιπόν είσαι ένας από τους 100 καλύτερους hackers του κόσμου;». H διαπίστωσή μου μάλλον δεν τον
εντυπωσίασε, «ποιος τα λέει αυτά;» ρώτησε τυπικά, χωρίς να περιμένει απάντηση. Έτσι κι αλλιώς ήξερε ποιος
είχε μεσολαβήσει για τη συνάντησή μας. Εκείνο που δεν ήξερε είναι ότι την ίδια εκτίμηση στο πρόσωπο του είχε
εκφράσει και ένας από τους νεαρούς «αναρχο-hackers» του κυβερνοχώρου. «Τι τον θέλεις τον γκουρούδα;» με είχε
ρωτήσει. Έπρεπε να επαναλάβει και δεύτερη φορά το ερώτημα για να καταλάβω ότι αυτό το «γκουρούδας» ήταν
παραφθορά της λέξης «γκουρού».
Ποιοι είναι λοιπόν αυτοί οι εκατό καλύτεροι hackers στον κόσμο;
Τι θέλεις, ονόματα; Το Διαδίκτυο έχει τους δικούς του νόμους και τα δικά του ονόματα. Στην «κοινότητα των top hackers»
συγκαταλέγονται αυτοί που το επίπεδό τους είναι από 90% έως 100%. Ο ένας μπορεί να δουλεύει για τη Ρωσία, ο άλλος
μπορεί να δουλεύει στη CIA, δεν ξέρεις καν ποιοι είναι. Ξέρεις μόνο το επίπεδο γνώσης τους. Δεν ξέρεις καν αν είναι
ένας ή αν είναι κάποια υπηρεσία. Ο ένας λέει έσπασα το BBC, ο άλλος έσπασα τη Microsoft, ο άλλος έσπασα την τάδε
εταιρεία στη Σουηδία ή την τάδε εταιρεία στην Ελλάδα.
Όταν σου λένε ότι «μπήκαν» σε ελληνικές εταιρείες, πώς αντιδράς;
Εκεί, μπαίνω στον πειρασμό να ενημερώσω αυτούς που τους έχουν σπάσει. Τίποτα άλλο όμως. Ούτε ποιος ούτε γιατί.
Οι καλύτεροι hackers είναι Αμερικανοί συνήθως;
Ινδοί, Ιάπωνες, Κινέζοι, Σουηδοί, Ιταλοί, άντε και μερικοί Έλληνες. Μη με ρωτήσεις πόσοι Έλληνες ακριβώς.
Πάντως λιγότεροι από τα δάκτυλα του ενός χεριού.
Το όνομά σου σε αυτό τον κόσμο;
Το Nick Name μου; «rep-stosw». «Αυτόματο πολυβόλο» στη γλώσσα προγραμματισμού Assembly.
Πες μου κάποια από τα «επιτεύγματά» σου.
Δεν μπορείς να μιλάς για επίτευγμα. Αυτό που μπορείς να πεις είναι ότι κατάφερες να φτιάξεις έναν
συγκεκριμένο κώδικα, ο οποίος σου έδωσε πρόσβαση στο 99% των μηχανημάτων στον κόσμο. Αυτό είναι επίτευγμα.
Δεν είναι επίτευγμα να σπάσεις τη Microsoft.
Όταν λες «κώδικα»;
Τα δικά μας κλειδιά, με αυτά προχωράμε στο Διαδίκτυο. Με στόχο, σε μια στιγμή έμπνευσης να φτιάξεις χίλιες
γραμμές κώδικα και να αποκτήσεις πρόσβαση σε όλα τα μηχανήματα του κόσμου.
Μου είπαν ότι δεν συμπαθείς τους δημοσιογράφους.
Αλήθεια είναι. Χρησιμοποιούν τη λέξη hackers ως βρισιά. Ο hacker όμως δεν κάνει απαραίτητα κάτι κακό.
Hacker είναι αυτός ο οποίος βελτιώνει, είναι αυτός ο οποίος μεταλλάσσει, δεν είναι αυτός ο οποίος καταστρέφει.
Και υπάρχουν ο black hat (μαύρο καπέλο), ο gray hat (γκρι καπέλο) και ο white hat (λευκό καπέλο).
Ο white hat είναι το ηθικό στοιχείο, ο οποίος μπορεί να μπει οπουδήποτε. Θα ενημερώσει όμως. Ανώνυμα θα
τους πει, «κύριοι εντόπισα αυτή τη διαδρομή, λάβετε τα μέτρα σας». Ο gray hat είναι ενίοτε καλός, ενίοτε
κακός. Ο black hat έχει ως μοναδικό σκοπό να καταστρέψει το πληροφοριακό σύστημα στο οποίο θα μπει.
Ο πιτσιρικάς που μπαίνει σε έναν υπολογιστή για να δει φωτογραφίες είναι white hat ή black hat;
Υπάρχουν διαφοροποιήσεις ανάλογα και με τα επίπεδα γνώσης. Έχουμε τον script kiddy, τον αδαή ο οποίος
θα βρει ένα εργαλείο στο Internet, θα το τρέξει, θα μπει μέσα και επειδή δεν θα ξέρει τι άλλο να κάνει,
το πιο πιθανό είναι να σβήσει τα πάντα, να βγει και να πει,«ξέρετε εγώ έκανα αυτό». Υπάρχει ο πιο advanced,
ο οποίος θα πάρει κάποιο εργαλείο και θα το βελτιστοποιήσει για να μπορέσει να χτυπήσει κάποιο πληροφοριακό σύστημα.
Και υπάρχει ο industrial spy, ο βιομηχανικός κατάσκοπος ή ο cyber terrorist, ο κυβερνοτρομοκράτης.
Για να σου το πω αλλιώς, ο ένας είναι ελεύθερος σκοπευτής, ο άλλος είναι ο τσαμπουκάς που θα μπει στο μαγαζί
με ένα αυτόματο και θα διαλύσει τα πάντα και ο τρίτος έχει ένα περίστροφο και περιμένει πότε θα κάτσει κάποιος
δίπλα του για να του τη δώσει στο κεφάλι.
H «κοινότητα των top hackers» πώς αντιμετωπίζει τους hackers που κάνουν «φασαρία»;
Ανάλογα. Αν εγώ δώσω σε έναν φίλο στην Αυστραλία έναν κώδικα - γιατί υπάρχει ανταλλαγή τεχνογνωσίας -
και καταλάβω ότι τον χρησιμοποίησε για να μπει στην τάδε εταιρεία για να κάνει ζημιά, του κόβω τα πόδια,
τον πετάω εκτός ομάδας. Σε αυτούς τους script kiddies κάνουμε hacking the hackers, κάνουμε επίθεση και
τους τα σβήνουμε όλα, γιατί χρησιμοποιούν τη γνώση που έχουν πάρει από κάποιον πραγματικό hacker για να κάνουν
εντυπωσιακές κινήσεις.
Αναρωτιέμαι πόσα από αυτά που αποδίδονται στους hackers είναι πραγματικά έργο δικό τους.
Γίνονται μεγάλα πράγματα. Στην Αγγλία είχαν σπάσει τους κωδικούς κάποιου δορυφόρου και απειλούσαν την κυβέρνηση
να τους δώσει λύτρα για να τους τον δώσουν πίσω. Στον πόλεμο του Ιράκ, hackers άλλαξαν τις ενδείξεις στα μετεωρολογικά
συστήματα των Αμερικανών με αποτέλεσμα να βλέπουν ότι δεν μπορούν να σηκωθούν τα αεροπλάνα γιατί θα είχε
πολύ αέρα ή πολλή βροχή, ενώ είχε ηλιοφάνεια. Πρόσφατα είχε διαρρεύσει και το εξής: Ισραηλινοί hackers είχαν
μεταλλάξει λογισμικό σε σταθερά τηλέφωνα, για τα οποία ήξεραν ότι θα καταλήξουν στον Λευκό Οίκο. H εταιρεία
που τα πούλησε δεν ήξερε τίποτα, αυτοί όμως έχοντας τοποθετήσει αυτόν τον high tech κοριό στις συσκευές κατά την
κατασκευή τους, μπορούσαν να πετύχουν συνακρόαση από τα σταθερά τηλέφωνα του White House.
Αυτό που λένε ότι η Ελλάδα είναι γενικά ασφαλής χώρα λόγω των μέτρων που είχαν ληφθεί για τους Ολυμπιακούς Αγώνες ισχύει;
Σε επίπεδο governmental, κυβερνητικό δηλαδή, ναι έχουν ληφθεί πολλά μέτρα. Γι' αυτό και ήξεραν ότι δεν μπορούν
να χτυπήσουν κυβερνητικούς στόχους, οι οποίοι έχουν υψηλό βαθμό ασφαλείας και πήγαν πλευρικά. Το αποτέλεσμα όμως
το πέτυχαν.
Είναι αλήθεια ότι πολλοί hackerς όταν «ενηλικιωθούν» προσλαμβάνονται από μεγάλες εταιρείες;
Ναι, γιατί φαντάσου ότι η εταιρεία σου είναι ένα πολυτελές αεροσκάφος του οποίου θέλεις να αξιολογήσεις την
πτητική ικανότητα. Συνήθως αυτός ο οποίος καλείται να σου πει αν το αεροπλάνο σου πάει καλά, το μόνο που ξέρει
να κάνει είναι να συμπληρώσει το checklist που πραγματοποιείται πριν από την πτήση. Δεν ξέρει να το πετάει.
Ενώ εμείς, ακριβώς επειδή έχουμε τη λογική των hackers μπορούμε να πετύχουμε το maximum security.
Γι' αυτό συχνά αναλαμβάνουμε την προστασία πληροφοριακών συστημάτων. Υπάρχουν όμως και περιπτώσεις των κακών hackers,
οι οποίοι μπαίνουν σε εταιρείες φαρμάκων και υποκλέπτουν φόρμουλες. Εκεί αυτή την εποχή παίζεται μεγάλο παιχνίδι.
Δηλαδή και εσύ κάποια στιγμή θα... υπαλληλοποιηθείς; Κάρτα εισόδου, μισθοδοσία κ.λπ.;
Ένας hacker για να προσφέρει τα βέλτιστα σε μια εταιρεία, πρέπει να παραμένει πάντα hacker. Ανεξέλεγκτος δηλαδή.
Έτσι όμως, αν γίνει καμιά στραβή θα σε «δέσουν».
Μα, τους δένουμε πρώτα εμείς με συμβόλαια. Για να προσπαθήσουμε να μπούμε στα συστήματα μιας εταιρείας
έχουμε τη γραπτή εξουσιοδότησή της. Και αν καταφέρεις να μπεις, υποχρεούσαι να δώσεις ένα report στο οποίο
παρουσιάζεις όλες τις αδυναμίες του συστήματος. H βασικότερη δέσμευση είναι ότι τίποτα από αυτά που
θα βρεις ή θα δεις δεν το βγάζεις έξω από την πόρτα της εταιρείας. Καθώς και ότι δεν λες ποτέ με ποιες
εταιρείες έχεις συνεργασθεί. Ούτε αυτοί μπορούν να το πουν.
«H ηδονή είναι στη διαδρομή»
«Ο hacker δεν κάνει απαραίτητα κάτι κακό. Hacker είναι αυτός ο οποίος βελτιώνει, αυτός ο οποίος μεταλλάσσει,
δεν είναι αυτός ο οποίος καταστρέφει» λέει ο «rep-stosw», που συγκαταλέγεται στους 100 καλύτερους στον κόσμο
Ο«rep-stosw» ήταν οκτώ ετών όταν τα δάκτυλά του άγγιξαν για πρώτη φορά πληκτρολόγιο ηλεκτρονικού υπολογιστή:
«Στην αρχή έπαιζα παιχνίδια, μετά έφτιαχνα προγράμματα για το δικηγορικό γραφείο του πατέρα μου». Γρήγορα,
όμως, ανακάλυψε άλλες, πιο ενδιαφέρουσες δραστηριότητες: «Μας άρεσε με τους φίλους μου να παίρνουμε έναν υπολογιστή,
να τον διαλύουμε και μετά να τον στήνουμε από την αρχή. Ή παίρναμε το gameboy και το κάναμε τηλεκοντρόλ.
Ή παίζαμε PACMAN με άπειρες ζωές».
Τι σπούδασες;
Πληροφορική στο Πανεπιστήμιο Πατρών. Όταν πήγα στο Πανεπιστήμιο, καταλάβανε ότι είχα πολύ υψηλότερη γνώση από όλους.
Και μου λένε, πήγαινε διαχειριστής του Κέντρου Πληροφορικής του Πολυτεχνείου. Οπότε είχα πρόσβαση σε εξοπλισμό που
κανονικά θα συναντούσα ύστερα από δέκα χρόνια. Είχα στο Πανεπιστήμιο αρκετούς servers και έλεγα θα μπω χωρίς να
χρησιμοποιήσω τους κωδικούς. Ασχολιόμουνα και τρεις μέρες... Και τα κατάφερνα.
Και τι έκανες;
Δεν έκανα τίποτα. H διαδρομή μέχρι να μπει, απασχολεί πάντα έναν hacker. Αυτή αν θες είναι η ηδονή.
ΥΠΟΘΕΣΗ VODAFONE
------------------------------
Οι υποκλοπές δεν μπορεί να έγιναν χωρίς βοήθεια από μέσα
Ένα από τα μεγάλα ερωτηματικά στην υπόθεση με τις υποκλοπές στην εταιρεία Vodafone είναι το πώς
εγκαταστάθηκε το λογισμικό - κοριός στο πρόγραμμα της εταιρείας.
Μπορεί ένας hacker να εγκατέστησε το επίμαχο λογισμικό;
Δεν είναι hacker αυτός που το έκανε. Στην κινητή τηλεφωνία υπάρχει μία ιδιαιτερότητα.
Για να μπει αυτό το λογισμικό πρέπει να «κατεβεί» η κεραία, να σταματήσει δηλαδή να λειτουργεί
και μετά να την «ξανασηκώσουν» με ενεργοποιημένο το λογισμικό. Που σημαίνει ότι οι τέσσερις κεραίες
κατεβήκανε, βγήκανε «εναλλάξ» για λίγες έστω στιγμές εκτός λειτουργίας και ξανανεβήκανε αφού ενεργοποιήθηκε
το λογισμικό. Είναι αδύνατον λοιπόν να μην το αντιλήφθηκε κάποιος.
Άλλος δρόμος για να εγκατασταθεί αυτό το λειτουργικό δεν υπάρχει;
Μια εναλλακτική διαδρομή είναι το support service. H Ericsson ας πούμε έχει κάποιες μισθωμένες γραμμές
οι οποίες τερματίζουνε μέσα στις εταιρείες που έχει πουλήσει το λογισμικό. Στη Vodafone, στην Cosmote,
στην Tim. Και αυτή αν θες είναι μια κερκόπορτα του Δικτύου. Δηλαδή κάποιος από την Ericsson Σουηδίας,
έχοντας σπάσει την Ericsson ή με τη βοήθεια της Ericsson θα μπορούσε να μπει κατευθείαν στη Vodafone παρακάμπτοντας
όλα τα alerts.
Θα μπορούσε κάποιος με αυτές τις «μισθωμένες γραμμές» να εγκαταστήσει αυτό το λειτουργικό από μακριά
και η Vodafone να μην αντιληφθεί την ύπαρξή του;
Το μεγάλο κόλπο ήτανε ότι είχανε φτιάξει ένα πρόγραμμα, το οποίο έδειχνε απενεργοποιημένο το επίμαχο λογισμικό.
Lawful interception disabled. Δηλαδή οι σένσορες έδειχναν ότι η νόμιμη παρακολούθηση είναι απενεργοποιημένη,
ενώ ήταν ενεργοποιημένη. Αυτό το λογισμικό όμως θέλει συνδυασμό software και hardware, μπορεί να μη σου κάτσει καλά.
Κάποια στιγμή στους Ολυμπιακούς Αγώνες το ίδιο software είχε ενεργοποιηθεί από κάποιον άλλο φορέα κινητής
τηλεφωνίας. Επειδή ήταν απαίτηση λόγω Ολυμπιακών. Σε πληροφορώ ότι ενεργοποιήθηκε μόνο για δύο μέρες. Υπήρχανε
πάρα πολλά προβλήματα λειτουργίας. Κεραίες κοπήκανε, δεν υπήρχε επικοινωνία με τα κινητά, χάνoνταν SMS.
Δεν θα μπορούσε δηλαδή να το κάνει ακόμη και ο πιο καλός hacker;
Όχι, δεν θα μπορούσε να το κάνει. Ένας hacker μπορεί να κάνει ζημιά στη Vodafone, αλλά δεν μπορεί να κάνει αυτή τη δουλειά.
Μία μυστική υπηρεσία;
Δεν θα μπορούσε να το κάνει χωρίς πληροφόρηση και βοήθεια από μέσα.
Το σενάριο που παρουσίασαν οι τρεις υπουργοί πώς το άκουσες;
Δεν κατάλαβα αυτή την ιστορία με τα δεκατέσσερα τηλέφωνα. Όταν κάποιος έχει τη δυνατότητα να βάλει ένα τέτοιο software,
δεν έχει ανάγκη από δεκατέσσερα τηλέφωνα. Μπορεί να δημιουργήσει ένα tunnel προς έναν server στη Μαλαισία και από εκεί
να τραβάει όλο το περιεχόμενο. Δεκατέσσερα τηλέφωνα τα οποία δεν τα εντοπίζει κανείς επί δέκα μήνες, ενώ είναι μονίμως
ανοιχτά και δημιουργούν δυσλειτουργία στο δίκτυο... Εγώ πιστεύω ότι αυτός που τα τοποθέτησε ήθελε να πει «κοίταξε να
δεις, αυτό κάνω». Ενώ ταυτόχρονα τραβούσε αλλιώς το υλικό.
Να πάμε στη στιγμή της αποκάλυψης του κυκλώματος. Εσύ τι θα έκανες;
Είναι σαν να βλέπεις μια κρυφή κάμερα σε ένα δωμάτιο. Δεν θα την ξηλώσεις. Θα προσπαθήσεις να δεις πού καταλήγει το
καλώδιο. Ή βάζεις κι εσύ μια κάμερα για να δεις ποιος θα έρθει στο δωμάτιο. Γιατί αυτός που έχει βάλει το software
επισκεπτόταν συχνά το σύστημα. Μετά υπάρχουν ειδικές συσκευές που αντιγράφουν τον δίσκο, χωρίς να τον αλλοιώνουν.
Προγράμματα Forensics analysis. Ή κάνεις το λεγόμενο honeynet entrapment, δηλαδή δημιουργείς ένα ιδεατό δίκτυο,
ίδιο με το δικό σου, όπου κατευθύνεις τον επιτιθέμενο. Εκεί τον μπλοκάρεις. Σε καμία περίπτωση πάντως δεν κάνεις
απενεργοποίηση.
Και αν κάνεις απενεργοποίηση;
Αν δεν δηλώνει εγκληματική άγνοια, σημαίνει ότι θέλω να καταστρέψω ένα κομμάτι των αποδεικτικών στοιχείων και
αυτόματα να αφαιρέσω τη δυνατότητα να εντοπίσω ποιος το έκανε.
Υπάρχει όμως υπηρεσία στη χώρα μας που θα μπορούσε να αποκαλύψει ένα τέτοιο ηλεκτρονικό έγκλημα;
H υπηρεσία ηλεκτρονικού εγκλήματος της Αστυνομίας έχει κάνει πολύ μεγάλες επιτυχίες. Αξιοποιεί πιθανότατα hackers.
Για τα δεδομένα τα ευρωπαϊκά είναι σε πολύ υψηλό επίπεδο. Είναι καλύτερη από την αγγλική υπηρεσία. Θεωρώ ότι και
στο θέμα της Vodafone αν κάποιοι μπορούσαν να βγάλουν άκρη ήταν αυτοί.
H δυνατότητα να εντοπισθεί ο φταίχτης έχει χαθεί ολοκληρωτικά;
Τίποτα δεν διαγράφεται εντελώς. Με χρήση τεχνικών όπως αυτή του reverse engineering (αντίστροφη μηχανική) είναι
δυνατόν να ανακτηθούν από τους φαινομενικά καθαρισμένους σκληρούς δίσκους κομμάτια του εκτελέσιμου κώδικα.
Στη συνέχεια τα κομμάτια αυτά αφού «συγκολληθούν» και αναδομηθούν μπορούν να δώσουν μια επαρκή, ενίοτε πλήρη
εικόνα από την εφαρμογή που διεγράφη από το σύστημα.
Κάποιοι λένε ότι οι Αμερικανοί έχουν άλλες καλύτερες μεθόδους.
Θα μπορούσαν να χρησιμοποιήσουν έναν δορυφόρο και να διαμεταγάγουν την κίνηση από τη Vodafone προς τις Ηνωμένες
Πολιτείες. Υπάρχουν και άλλα συστήματα. Σκέψου ότι έχουν μπει ακόμα και στο επίπεδο του mind control.
Δηλαδή μπορούν να μελετήσουν τα ηλεκτρομαγνητικά κύματα του εγκεφάλου. Τέτοια projects έχει η NSA.
Ή μπορούν να κάνουν voice control, δηλαδή μπορούν να περάσουν το ηχόχρωμα, σε κάποια database, όπου όταν
εντοπιστεί από οποιοδήποτε τηλέφωνο, αυτομάτως ενεργοποιείται ένα καταγραφικό.
κόσμο αποκαλύπτει τα ψέματα των ημερών
Ένας χάκερ θα τους είχε σώσει...
«Ποιος είπε ότι κάνουμε πάντα κακό στα δίκτυα;»
Τον «A» μού τον σύστησε ένας «Έλληνας μπάτσος» (τον γράφω μπάτσο γιατί μάλλον με κινηματογραφικό
ήρωα μοιάζει παρά με αστυνομικό, αλλά αυτό είναι άλλο θέμα). «Θα σου βρω τον καλύτερο hacker, αλλά
να είσαι προσεκτικός, δεν του αρέσουν οι δημοσιογράφοι» μου είπε «ο μπάτσος μου». Ήταν η μέρα που
οι τρεις υπουργοί της κυβέρνησης προσπαθούσαν να δικαιολογήσουν το «Vodafone-γκέιτ» και τα ερωτήματα
χόρευαν στο κεφάλι μου. Ο «A» δεν χάρηκε και πολύ που με άκουσε και χρειάστηκαν πολλά τηλεφωνήματα και
«παραινέσεις» για να με συναντήσει. Από την όψη θα τον πέρναγες για τραπεζικό υπάλληλο, με μια μπλε τσάντα
πάντα στο πλευρό του και στον καρπό του χεριού ένα high tech ψηφιακό ρολόι με το πιο παράξενο σχήμα που έχω δει.
«Εσύ λοιπόν είσαι ένας από τους 100 καλύτερους hackers του κόσμου;». H διαπίστωσή μου μάλλον δεν τον
εντυπωσίασε, «ποιος τα λέει αυτά;» ρώτησε τυπικά, χωρίς να περιμένει απάντηση. Έτσι κι αλλιώς ήξερε ποιος
είχε μεσολαβήσει για τη συνάντησή μας. Εκείνο που δεν ήξερε είναι ότι την ίδια εκτίμηση στο πρόσωπο του είχε
εκφράσει και ένας από τους νεαρούς «αναρχο-hackers» του κυβερνοχώρου. «Τι τον θέλεις τον γκουρούδα;» με είχε
ρωτήσει. Έπρεπε να επαναλάβει και δεύτερη φορά το ερώτημα για να καταλάβω ότι αυτό το «γκουρούδας» ήταν
παραφθορά της λέξης «γκουρού».
Ποιοι είναι λοιπόν αυτοί οι εκατό καλύτεροι hackers στον κόσμο;
Τι θέλεις, ονόματα; Το Διαδίκτυο έχει τους δικούς του νόμους και τα δικά του ονόματα. Στην «κοινότητα των top hackers»
συγκαταλέγονται αυτοί που το επίπεδό τους είναι από 90% έως 100%. Ο ένας μπορεί να δουλεύει για τη Ρωσία, ο άλλος
μπορεί να δουλεύει στη CIA, δεν ξέρεις καν ποιοι είναι. Ξέρεις μόνο το επίπεδο γνώσης τους. Δεν ξέρεις καν αν είναι
ένας ή αν είναι κάποια υπηρεσία. Ο ένας λέει έσπασα το BBC, ο άλλος έσπασα τη Microsoft, ο άλλος έσπασα την τάδε
εταιρεία στη Σουηδία ή την τάδε εταιρεία στην Ελλάδα.
Όταν σου λένε ότι «μπήκαν» σε ελληνικές εταιρείες, πώς αντιδράς;
Εκεί, μπαίνω στον πειρασμό να ενημερώσω αυτούς που τους έχουν σπάσει. Τίποτα άλλο όμως. Ούτε ποιος ούτε γιατί.
Οι καλύτεροι hackers είναι Αμερικανοί συνήθως;
Ινδοί, Ιάπωνες, Κινέζοι, Σουηδοί, Ιταλοί, άντε και μερικοί Έλληνες. Μη με ρωτήσεις πόσοι Έλληνες ακριβώς.
Πάντως λιγότεροι από τα δάκτυλα του ενός χεριού.
Το όνομά σου σε αυτό τον κόσμο;
Το Nick Name μου; «rep-stosw». «Αυτόματο πολυβόλο» στη γλώσσα προγραμματισμού Assembly.
Πες μου κάποια από τα «επιτεύγματά» σου.
Δεν μπορείς να μιλάς για επίτευγμα. Αυτό που μπορείς να πεις είναι ότι κατάφερες να φτιάξεις έναν
συγκεκριμένο κώδικα, ο οποίος σου έδωσε πρόσβαση στο 99% των μηχανημάτων στον κόσμο. Αυτό είναι επίτευγμα.
Δεν είναι επίτευγμα να σπάσεις τη Microsoft.
Όταν λες «κώδικα»;
Τα δικά μας κλειδιά, με αυτά προχωράμε στο Διαδίκτυο. Με στόχο, σε μια στιγμή έμπνευσης να φτιάξεις χίλιες
γραμμές κώδικα και να αποκτήσεις πρόσβαση σε όλα τα μηχανήματα του κόσμου.
Μου είπαν ότι δεν συμπαθείς τους δημοσιογράφους.
Αλήθεια είναι. Χρησιμοποιούν τη λέξη hackers ως βρισιά. Ο hacker όμως δεν κάνει απαραίτητα κάτι κακό.
Hacker είναι αυτός ο οποίος βελτιώνει, είναι αυτός ο οποίος μεταλλάσσει, δεν είναι αυτός ο οποίος καταστρέφει.
Και υπάρχουν ο black hat (μαύρο καπέλο), ο gray hat (γκρι καπέλο) και ο white hat (λευκό καπέλο).
Ο white hat είναι το ηθικό στοιχείο, ο οποίος μπορεί να μπει οπουδήποτε. Θα ενημερώσει όμως. Ανώνυμα θα
τους πει, «κύριοι εντόπισα αυτή τη διαδρομή, λάβετε τα μέτρα σας». Ο gray hat είναι ενίοτε καλός, ενίοτε
κακός. Ο black hat έχει ως μοναδικό σκοπό να καταστρέψει το πληροφοριακό σύστημα στο οποίο θα μπει.
Ο πιτσιρικάς που μπαίνει σε έναν υπολογιστή για να δει φωτογραφίες είναι white hat ή black hat;
Υπάρχουν διαφοροποιήσεις ανάλογα και με τα επίπεδα γνώσης. Έχουμε τον script kiddy, τον αδαή ο οποίος
θα βρει ένα εργαλείο στο Internet, θα το τρέξει, θα μπει μέσα και επειδή δεν θα ξέρει τι άλλο να κάνει,
το πιο πιθανό είναι να σβήσει τα πάντα, να βγει και να πει,«ξέρετε εγώ έκανα αυτό». Υπάρχει ο πιο advanced,
ο οποίος θα πάρει κάποιο εργαλείο και θα το βελτιστοποιήσει για να μπορέσει να χτυπήσει κάποιο πληροφοριακό σύστημα.
Και υπάρχει ο industrial spy, ο βιομηχανικός κατάσκοπος ή ο cyber terrorist, ο κυβερνοτρομοκράτης.
Για να σου το πω αλλιώς, ο ένας είναι ελεύθερος σκοπευτής, ο άλλος είναι ο τσαμπουκάς που θα μπει στο μαγαζί
με ένα αυτόματο και θα διαλύσει τα πάντα και ο τρίτος έχει ένα περίστροφο και περιμένει πότε θα κάτσει κάποιος
δίπλα του για να του τη δώσει στο κεφάλι.
H «κοινότητα των top hackers» πώς αντιμετωπίζει τους hackers που κάνουν «φασαρία»;
Ανάλογα. Αν εγώ δώσω σε έναν φίλο στην Αυστραλία έναν κώδικα - γιατί υπάρχει ανταλλαγή τεχνογνωσίας -
και καταλάβω ότι τον χρησιμοποίησε για να μπει στην τάδε εταιρεία για να κάνει ζημιά, του κόβω τα πόδια,
τον πετάω εκτός ομάδας. Σε αυτούς τους script kiddies κάνουμε hacking the hackers, κάνουμε επίθεση και
τους τα σβήνουμε όλα, γιατί χρησιμοποιούν τη γνώση που έχουν πάρει από κάποιον πραγματικό hacker για να κάνουν
εντυπωσιακές κινήσεις.
Αναρωτιέμαι πόσα από αυτά που αποδίδονται στους hackers είναι πραγματικά έργο δικό τους.
Γίνονται μεγάλα πράγματα. Στην Αγγλία είχαν σπάσει τους κωδικούς κάποιου δορυφόρου και απειλούσαν την κυβέρνηση
να τους δώσει λύτρα για να τους τον δώσουν πίσω. Στον πόλεμο του Ιράκ, hackers άλλαξαν τις ενδείξεις στα μετεωρολογικά
συστήματα των Αμερικανών με αποτέλεσμα να βλέπουν ότι δεν μπορούν να σηκωθούν τα αεροπλάνα γιατί θα είχε
πολύ αέρα ή πολλή βροχή, ενώ είχε ηλιοφάνεια. Πρόσφατα είχε διαρρεύσει και το εξής: Ισραηλινοί hackers είχαν
μεταλλάξει λογισμικό σε σταθερά τηλέφωνα, για τα οποία ήξεραν ότι θα καταλήξουν στον Λευκό Οίκο. H εταιρεία
που τα πούλησε δεν ήξερε τίποτα, αυτοί όμως έχοντας τοποθετήσει αυτόν τον high tech κοριό στις συσκευές κατά την
κατασκευή τους, μπορούσαν να πετύχουν συνακρόαση από τα σταθερά τηλέφωνα του White House.
Αυτό που λένε ότι η Ελλάδα είναι γενικά ασφαλής χώρα λόγω των μέτρων που είχαν ληφθεί για τους Ολυμπιακούς Αγώνες ισχύει;
Σε επίπεδο governmental, κυβερνητικό δηλαδή, ναι έχουν ληφθεί πολλά μέτρα. Γι' αυτό και ήξεραν ότι δεν μπορούν
να χτυπήσουν κυβερνητικούς στόχους, οι οποίοι έχουν υψηλό βαθμό ασφαλείας και πήγαν πλευρικά. Το αποτέλεσμα όμως
το πέτυχαν.
Είναι αλήθεια ότι πολλοί hackerς όταν «ενηλικιωθούν» προσλαμβάνονται από μεγάλες εταιρείες;
Ναι, γιατί φαντάσου ότι η εταιρεία σου είναι ένα πολυτελές αεροσκάφος του οποίου θέλεις να αξιολογήσεις την
πτητική ικανότητα. Συνήθως αυτός ο οποίος καλείται να σου πει αν το αεροπλάνο σου πάει καλά, το μόνο που ξέρει
να κάνει είναι να συμπληρώσει το checklist που πραγματοποιείται πριν από την πτήση. Δεν ξέρει να το πετάει.
Ενώ εμείς, ακριβώς επειδή έχουμε τη λογική των hackers μπορούμε να πετύχουμε το maximum security.
Γι' αυτό συχνά αναλαμβάνουμε την προστασία πληροφοριακών συστημάτων. Υπάρχουν όμως και περιπτώσεις των κακών hackers,
οι οποίοι μπαίνουν σε εταιρείες φαρμάκων και υποκλέπτουν φόρμουλες. Εκεί αυτή την εποχή παίζεται μεγάλο παιχνίδι.
Δηλαδή και εσύ κάποια στιγμή θα... υπαλληλοποιηθείς; Κάρτα εισόδου, μισθοδοσία κ.λπ.;
Ένας hacker για να προσφέρει τα βέλτιστα σε μια εταιρεία, πρέπει να παραμένει πάντα hacker. Ανεξέλεγκτος δηλαδή.
Έτσι όμως, αν γίνει καμιά στραβή θα σε «δέσουν».
Μα, τους δένουμε πρώτα εμείς με συμβόλαια. Για να προσπαθήσουμε να μπούμε στα συστήματα μιας εταιρείας
έχουμε τη γραπτή εξουσιοδότησή της. Και αν καταφέρεις να μπεις, υποχρεούσαι να δώσεις ένα report στο οποίο
παρουσιάζεις όλες τις αδυναμίες του συστήματος. H βασικότερη δέσμευση είναι ότι τίποτα από αυτά που
θα βρεις ή θα δεις δεν το βγάζεις έξω από την πόρτα της εταιρείας. Καθώς και ότι δεν λες ποτέ με ποιες
εταιρείες έχεις συνεργασθεί. Ούτε αυτοί μπορούν να το πουν.
«H ηδονή είναι στη διαδρομή»
«Ο hacker δεν κάνει απαραίτητα κάτι κακό. Hacker είναι αυτός ο οποίος βελτιώνει, αυτός ο οποίος μεταλλάσσει,
δεν είναι αυτός ο οποίος καταστρέφει» λέει ο «rep-stosw», που συγκαταλέγεται στους 100 καλύτερους στον κόσμο
Ο«rep-stosw» ήταν οκτώ ετών όταν τα δάκτυλά του άγγιξαν για πρώτη φορά πληκτρολόγιο ηλεκτρονικού υπολογιστή:
«Στην αρχή έπαιζα παιχνίδια, μετά έφτιαχνα προγράμματα για το δικηγορικό γραφείο του πατέρα μου». Γρήγορα,
όμως, ανακάλυψε άλλες, πιο ενδιαφέρουσες δραστηριότητες: «Μας άρεσε με τους φίλους μου να παίρνουμε έναν υπολογιστή,
να τον διαλύουμε και μετά να τον στήνουμε από την αρχή. Ή παίρναμε το gameboy και το κάναμε τηλεκοντρόλ.
Ή παίζαμε PACMAN με άπειρες ζωές».
Τι σπούδασες;
Πληροφορική στο Πανεπιστήμιο Πατρών. Όταν πήγα στο Πανεπιστήμιο, καταλάβανε ότι είχα πολύ υψηλότερη γνώση από όλους.
Και μου λένε, πήγαινε διαχειριστής του Κέντρου Πληροφορικής του Πολυτεχνείου. Οπότε είχα πρόσβαση σε εξοπλισμό που
κανονικά θα συναντούσα ύστερα από δέκα χρόνια. Είχα στο Πανεπιστήμιο αρκετούς servers και έλεγα θα μπω χωρίς να
χρησιμοποιήσω τους κωδικούς. Ασχολιόμουνα και τρεις μέρες... Και τα κατάφερνα.
Και τι έκανες;
Δεν έκανα τίποτα. H διαδρομή μέχρι να μπει, απασχολεί πάντα έναν hacker. Αυτή αν θες είναι η ηδονή.
ΥΠΟΘΕΣΗ VODAFONE
------------------------------
Οι υποκλοπές δεν μπορεί να έγιναν χωρίς βοήθεια από μέσα
Ένα από τα μεγάλα ερωτηματικά στην υπόθεση με τις υποκλοπές στην εταιρεία Vodafone είναι το πώς
εγκαταστάθηκε το λογισμικό - κοριός στο πρόγραμμα της εταιρείας.
Μπορεί ένας hacker να εγκατέστησε το επίμαχο λογισμικό;
Δεν είναι hacker αυτός που το έκανε. Στην κινητή τηλεφωνία υπάρχει μία ιδιαιτερότητα.
Για να μπει αυτό το λογισμικό πρέπει να «κατεβεί» η κεραία, να σταματήσει δηλαδή να λειτουργεί
και μετά να την «ξανασηκώσουν» με ενεργοποιημένο το λογισμικό. Που σημαίνει ότι οι τέσσερις κεραίες
κατεβήκανε, βγήκανε «εναλλάξ» για λίγες έστω στιγμές εκτός λειτουργίας και ξανανεβήκανε αφού ενεργοποιήθηκε
το λογισμικό. Είναι αδύνατον λοιπόν να μην το αντιλήφθηκε κάποιος.
Άλλος δρόμος για να εγκατασταθεί αυτό το λειτουργικό δεν υπάρχει;
Μια εναλλακτική διαδρομή είναι το support service. H Ericsson ας πούμε έχει κάποιες μισθωμένες γραμμές
οι οποίες τερματίζουνε μέσα στις εταιρείες που έχει πουλήσει το λογισμικό. Στη Vodafone, στην Cosmote,
στην Tim. Και αυτή αν θες είναι μια κερκόπορτα του Δικτύου. Δηλαδή κάποιος από την Ericsson Σουηδίας,
έχοντας σπάσει την Ericsson ή με τη βοήθεια της Ericsson θα μπορούσε να μπει κατευθείαν στη Vodafone παρακάμπτοντας
όλα τα alerts.
Θα μπορούσε κάποιος με αυτές τις «μισθωμένες γραμμές» να εγκαταστήσει αυτό το λειτουργικό από μακριά
και η Vodafone να μην αντιληφθεί την ύπαρξή του;
Το μεγάλο κόλπο ήτανε ότι είχανε φτιάξει ένα πρόγραμμα, το οποίο έδειχνε απενεργοποιημένο το επίμαχο λογισμικό.
Lawful interception disabled. Δηλαδή οι σένσορες έδειχναν ότι η νόμιμη παρακολούθηση είναι απενεργοποιημένη,
ενώ ήταν ενεργοποιημένη. Αυτό το λογισμικό όμως θέλει συνδυασμό software και hardware, μπορεί να μη σου κάτσει καλά.
Κάποια στιγμή στους Ολυμπιακούς Αγώνες το ίδιο software είχε ενεργοποιηθεί από κάποιον άλλο φορέα κινητής
τηλεφωνίας. Επειδή ήταν απαίτηση λόγω Ολυμπιακών. Σε πληροφορώ ότι ενεργοποιήθηκε μόνο για δύο μέρες. Υπήρχανε
πάρα πολλά προβλήματα λειτουργίας. Κεραίες κοπήκανε, δεν υπήρχε επικοινωνία με τα κινητά, χάνoνταν SMS.
Δεν θα μπορούσε δηλαδή να το κάνει ακόμη και ο πιο καλός hacker;
Όχι, δεν θα μπορούσε να το κάνει. Ένας hacker μπορεί να κάνει ζημιά στη Vodafone, αλλά δεν μπορεί να κάνει αυτή τη δουλειά.
Μία μυστική υπηρεσία;
Δεν θα μπορούσε να το κάνει χωρίς πληροφόρηση και βοήθεια από μέσα.
Το σενάριο που παρουσίασαν οι τρεις υπουργοί πώς το άκουσες;
Δεν κατάλαβα αυτή την ιστορία με τα δεκατέσσερα τηλέφωνα. Όταν κάποιος έχει τη δυνατότητα να βάλει ένα τέτοιο software,
δεν έχει ανάγκη από δεκατέσσερα τηλέφωνα. Μπορεί να δημιουργήσει ένα tunnel προς έναν server στη Μαλαισία και από εκεί
να τραβάει όλο το περιεχόμενο. Δεκατέσσερα τηλέφωνα τα οποία δεν τα εντοπίζει κανείς επί δέκα μήνες, ενώ είναι μονίμως
ανοιχτά και δημιουργούν δυσλειτουργία στο δίκτυο... Εγώ πιστεύω ότι αυτός που τα τοποθέτησε ήθελε να πει «κοίταξε να
δεις, αυτό κάνω». Ενώ ταυτόχρονα τραβούσε αλλιώς το υλικό.
Να πάμε στη στιγμή της αποκάλυψης του κυκλώματος. Εσύ τι θα έκανες;
Είναι σαν να βλέπεις μια κρυφή κάμερα σε ένα δωμάτιο. Δεν θα την ξηλώσεις. Θα προσπαθήσεις να δεις πού καταλήγει το
καλώδιο. Ή βάζεις κι εσύ μια κάμερα για να δεις ποιος θα έρθει στο δωμάτιο. Γιατί αυτός που έχει βάλει το software
επισκεπτόταν συχνά το σύστημα. Μετά υπάρχουν ειδικές συσκευές που αντιγράφουν τον δίσκο, χωρίς να τον αλλοιώνουν.
Προγράμματα Forensics analysis. Ή κάνεις το λεγόμενο honeynet entrapment, δηλαδή δημιουργείς ένα ιδεατό δίκτυο,
ίδιο με το δικό σου, όπου κατευθύνεις τον επιτιθέμενο. Εκεί τον μπλοκάρεις. Σε καμία περίπτωση πάντως δεν κάνεις
απενεργοποίηση.
Και αν κάνεις απενεργοποίηση;
Αν δεν δηλώνει εγκληματική άγνοια, σημαίνει ότι θέλω να καταστρέψω ένα κομμάτι των αποδεικτικών στοιχείων και
αυτόματα να αφαιρέσω τη δυνατότητα να εντοπίσω ποιος το έκανε.
Υπάρχει όμως υπηρεσία στη χώρα μας που θα μπορούσε να αποκαλύψει ένα τέτοιο ηλεκτρονικό έγκλημα;
H υπηρεσία ηλεκτρονικού εγκλήματος της Αστυνομίας έχει κάνει πολύ μεγάλες επιτυχίες. Αξιοποιεί πιθανότατα hackers.
Για τα δεδομένα τα ευρωπαϊκά είναι σε πολύ υψηλό επίπεδο. Είναι καλύτερη από την αγγλική υπηρεσία. Θεωρώ ότι και
στο θέμα της Vodafone αν κάποιοι μπορούσαν να βγάλουν άκρη ήταν αυτοί.
H δυνατότητα να εντοπισθεί ο φταίχτης έχει χαθεί ολοκληρωτικά;
Τίποτα δεν διαγράφεται εντελώς. Με χρήση τεχνικών όπως αυτή του reverse engineering (αντίστροφη μηχανική) είναι
δυνατόν να ανακτηθούν από τους φαινομενικά καθαρισμένους σκληρούς δίσκους κομμάτια του εκτελέσιμου κώδικα.
Στη συνέχεια τα κομμάτια αυτά αφού «συγκολληθούν» και αναδομηθούν μπορούν να δώσουν μια επαρκή, ενίοτε πλήρη
εικόνα από την εφαρμογή που διεγράφη από το σύστημα.
Κάποιοι λένε ότι οι Αμερικανοί έχουν άλλες καλύτερες μεθόδους.
Θα μπορούσαν να χρησιμοποιήσουν έναν δορυφόρο και να διαμεταγάγουν την κίνηση από τη Vodafone προς τις Ηνωμένες
Πολιτείες. Υπάρχουν και άλλα συστήματα. Σκέψου ότι έχουν μπει ακόμα και στο επίπεδο του mind control.
Δηλαδή μπορούν να μελετήσουν τα ηλεκτρομαγνητικά κύματα του εγκεφάλου. Τέτοια projects έχει η NSA.
Ή μπορούν να κάνουν voice control, δηλαδή μπορούν να περάσουν το ηχόχρωμα, σε κάποια database, όπου όταν
εντοπιστεί από οποιοδήποτε τηλέφωνο, αυτομάτως ενεργοποιείται ένα καταγραφικό.
Manos- newbie
- Αριθμός μηνυμάτων : 27
Ηλικία : 42
Registration date : 22/06/2008
p.s.lover- Αριθμός μηνυμάτων : 6
Registration date : 23/06/2008
Απ: συνεντευξη απο εναν χακερ, ενδιαφερον...
από alexsteven Τετ Αυγ 27, 2008 2:33 am
Που το βρήκες καλέ αυτό?
alexsteven- newbie
- Αριθμός μηνυμάτων : 37
Ηλικία : 29
Registration date : 26/08/2008
Manos- newbie
- Αριθμός μηνυμάτων : 27
Ηλικία : 42
Registration date : 22/06/2008
NickOrScream- moderator
- Αριθμός μηνυμάτων : 81
Registration date : 04/06/2008
Παρόμοια θέματαΣελίδα 1 από 1
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης