Jak FBI załatwiło hakerów

Jak FBI załatwiło hakerów

Do zatrzymania cyfrowych złoczyńców z grupy LulzSec nie trzeba było geniuszy komputerowych

5 marca Federalne Biuro Śledcze złożyło wniosek o aresztowanie mieszkańca Chicago Jeremy’ego Hammonda. W obliczu olbrzymiego materiału dowodowego, wskazującego na związek Hammonda z nieformalnymi grupami hakerskimi, tj. Internet Feds, Anonymous, LulzSec i AntiSec, sędzia pozwolił agentom go zatrzymać. Jeszcze tego samego dnia Bridgeport, dzielnicę Chicago, najechały rządowe furgonetki, z których wysypali się agenci.
Następnego dnia akty oskarżenia w związku ze sprawą LulzSec usłyszeli także Ryan Ackroyd „Kayla” i Jake Davis „Topiary” z Wielkiej Brytanii oraz Darren Martyn „pwnsauce” i Donncha
O’Cearrbhail „palladium” z Irlandii. W ciągu 50 dni intensywnej działalności młodzi ludzie w wieku od 19 do 27 lat zdążyli przestraszyć sowicie opłacane działy bezpieczeństwa komputerowego kilku korporacji i narazić się rządowi USA.
Wszyscy wpadli dzięki koronkowej akcji FBI, przeprowadzonej przy udziale nieformalnego szefa hakerów, niejakiego Hectora Xaviera Monsegura, występującego w sieci najczęściej jako „Sabu”. Cyfrowym złoczyńcom dobrano się do skóry, stosując tradycyjne sposoby – Monsegur wsypał cybertowarzyszy w zamian za wolność.

Leń „Sabu”

Nie wiadomo ani od kiedy FBI wiedziało o istnieniu „Sabu”, ani od kiedy starało się odkryć jego prawdziwą tożsamość. Pewne jest tylko, że funkcjonariusze zastukali do jego mieszkania w nowojorskim blokowisku 7 czerwca 2011 r. i że był to strzał w dziesiątkę w śledztwie w sprawie najbardziej znanej grupy hakerów. Do tej pory panowie z LulzSec bezkarnie grasowali po sieci. Zatrzymanie ich przywódcy oznaczało przełom w śledztwie.
„Genialny, ale leniwy”, mówili o „Sabu” agenci. „Mógłby spokojnie zarabiać grubą kasę jako konsultant ds. bezpieczeństwa IT”. Tymczasem ten bezrobotny rozwodnik, ojciec i opiekun dwójki dzieci zajmował lokal socjalny i żył z zasiłku. Skonfiskowany u niego laptop był tak zużyty, że nie miał litery l, siódemki ani lewego Shifta. Ale Monsegur nikim był tylko IRL (patrz: ramka). W cyberprzestrzeni zabiegano o jego uznanie.
W sieci można kogoś namierzyć, mając jego adres IP, przypisywany każdemu komputerowi korzystającemu z internetu. Ludzie tacy jak „Sabu” zwykle ukrywają swoje adresy IP w obawie przed wykryciem. W tym celu łączą się z internetem przez łańcuszek tzw. serwerów proxy. To tak, jakby dzwonić do znajomego w tym samym mieście przez Nową Zelandię i Sri Lankę.
Któregoś dnia „Sabu” nie był jednak ostrożny i zalogował się na kanał dyskusyjny w leciwym komunikatorze internetowym IRC ze swojego „autentycznego” adresu. Ta chwila nieuwagi wystarczyła do namierzenia go.
Internet jest jak skrupulatna poczta – nic w nim nie ginie. Nie można nadać paczki, a po chwili ją wycofać. Spece z FBI mieli więc pewnie nadzieję na więcej takich paczek. Wydarzenia przybrały jednak nieoczekiwany obrót. 7 czerwca w sieci pojawił się dox (patrz: ramka) na „Sabu” – ktoś upublicznił jego imię i nazwisko. Twitter zaćwierkał: „Hector Xavier Montsegur – aka Xavier de Leon – aka (Sabu)”. Niewykluczone, że ludzie, którzy opublikowali jego nazwisko z błędem, wywodzili się z grupy byłych współpracowników. Agenci wystraszyli się, że odkryty haker zacznie zacierać za sobą wszystkie cyfrowe ślady. Tego samego dnia wkroczyli do jego mieszkania.
Okazało się, że warto było zatrzymać Monsegura tylko dla jego zużytego laptopa. Skonfiskować hakerowi komputer to jak zdobyć notatnik mafijnego bossa. Tylko to wystarczyło, aby pogrążyć „Sabu” 12 zarzutami. Bardziej jednak opłacało się złożyć mu propozycję nie do odrzucenia – wolność za współpracę. Miał doprowadzić agentów do swoich współpracowników, których znał tylko wirtualnie. Monsegur skwapliwie przystał na to, bał się bowiem rozłąki z dziećmi, nad którymi sprawował opiekę. FBI zapewniło mu służbowego laptopa i 24-godzinny monitoring. Zaczęło się polowanie.

Grzebie haker w śmietniku

6 grudnia Monsegura zagadnął na komunikatorze IRC użytkownik kryjący się pod pseudonimem „sup_g”. Napisał, że rozpracowuje następny cel – niezależny instytut wywiadowczy Stratfor. Nie mógł wiedzieć, że każdej jego rozmowie z „Sabu” przygląda się FBI. Podejrzeń nie wzbudził nawet fakt, że w trakcie rozmowy „Sabu” zwracał się do niego innymi ksywkami – faux pas, jeśli idzie o ochronę tożsamości w sieci.
W okolicach świąt hakerom udało się uzyskać całkowitą kontrolę nad serwerami Stratforu. W ramach akcji skradziono m.in. numery kart kredytowych, a następnie przelano z nich pół miliona dolarów na konta organizacji charytatywnych. „Sup_g” zapytał „Sabu”, czy nie mógłby pomóc w przechowaniu wszystkich skradzionych danych. Federalni nadzorcy zezwolili hakerowi na ten wspaniałomyślny gest – w ich ręce miało właśnie trafić kilka gigabajtów materiału dowodowego.
„Sup_g” sam zapracował na aresztowanie. Teraz trzeba było się dowiedzieć, kim jest i pod jakimi jeszcze aliasami występował w sieci. Z pozornie niemających ze sobą nic wspólnego puzzli trzeba było ułożyć spójny obraz. Agenci wiedzieli już, że „sup_g” podpisywał się także jako „anarchaos”. Zaczęli przeczesywać tony elektronicznej korespondencji „Sabu”. W jednym miejscu „anarchaos” przyznawał się, że zatrzymano go podczas manifestacji przy okazji krajowej konwencji Republikanów w 2004 r. O tym, że nie był w Nowym Jorku od czasu konwencji, wspomniał w innej rozmowie „yohoho”. Zarówno „sup_g”, jak i „burn” przyznali, że zaliczyli więzienie, przy czym „burn” zaznaczył, że chodziło o więzienie federalne. Jeszcze gdzie indziej „anarchaos” wyjaśniał, że siedział za posiadanie narkotyków i że jest na warunkowym zwolnieniu. Prosił także, aby nikomu o tym nie mówić, bo to pomogłoby w jego identyfikacji.
I pomogło. Analiza policyjnych akt pozwoliła ustalić, że za aliasami „anarchaos”, „burn”, „yohoho”, „POW”, „tylerknowsthis” i „crediblethreat” kryje się zamieszkały w Chicago Jeremy Hammond, zatrzymany na manifestacji w czasie konwencji Republikanów, z zaliczoną odsiadką i na zwolnieniu warunkowym za posiadanie marihuany.
Chociaż pętla była zaciśnięta wyjątkowo mocno, FBI chciało mieć stuprocentową pewność. Sprawdzano nawet sieciową aktywność Hammonda. Kiedy wychodził z domu, agenci z Chicago dzwonili do Nowego Jorku, czy aby „anarchaos” nie rozmawia z „Sabu”. I na odwrót – kiedy wracał do domu, zazwyczaj już dwie minuty po wejściu zagadywał Monsegura.
Puzzle pasowały do siebie tak idealnie, że agentom udało się potwierdzić nawet inny ciekawy fakt. „POW” napisał kiedyś, że uwielbia nurkować w śmietnikach, bo jest freeganinem (od zbitki free – wolny, darmowy i veganism – weganizm). Podczas obserwacji prowadzonej kilka lat wcześniej policjanci z Chicago zanotowali, że widują Hammonda poszukującego żywności w śmietnikach.

W słusznej sprawie

Panowie z LulzSec wywodzili się z szerszego ruchu, słynnych po sprawie ACTA także u nas Anonimowych. Nazwa Anonymous wzięła się z forum internetowego 4chan, na którym użytkownicy – o ile sami się nie podpiszą – są automatycznie podpisywani jako anonymous, czyli anonimowy. Przyjęło się też, że do podpisanych w ten sposób zwracano się tak samo, pełnym słowem lub skrótową formą anon. Graficznie przedstawiano Anonimowych jako postać w garniturze ze znakiem zapytania zamiast twarzy lub jako maskę Guya Fawkesa z filmu „V jak Vendetta”. Biorąc pod uwagę wpływ, jaki wywarł 4chan na kulturę internetową, nie trzeba było wiele, żeby skrót się upowszechnił.
W kontekście aktywizmu społecznego Anonimowi pojawili się w 2008 r. w ramach protestów przeciw Kościołowi scjentologicznemu. Wtedy na ulice miast na całym świecie wyszli młodzi ludzie w maskach, protestując przeciw praktykom tego wyznania. Guy Fawkes stał się symbolem dla bezimiennych mas walczących we wspólnym celu.
Ale Anonymous to przede wszystkim działania związane z siecią i wyraz nowej formy aktywności społecznej – haktywizmu. Haktywiści wykorzystują sieć jako przestrzeń manifestacji, nieposłuszeństwa obywatelskiego i zrzeszania się przeciw niesprawiedliwej władzy. Włamania na strony, najczęściej nieszkodliwe, traktowane są jak graffiti – mają zwracać uwagę na problemy i wyrażać niezadowolenie. To może być protest przeciw ACTA, ale też stworzenie bezpiecznej platformy wymiany danych między irańskimi opozycjonistami. Albo spowodowanie zawieszenia się
egipskich stron rządowych.
LulzSec, skrót od Lulz Security (Lulz to wypaczenie od sieciowego LOL, czyli zaśmiewać się), także wywodzi się z tego szeroko rozumianego nurtu. Chociaż o swoich działaniach grupa ta mówiła, że robi wszystko dla zabawy (for teh lulz), wielu jest skłonnych przyznać, że zrobiła więcej dobrego niż złego. Zwracając uwagę na bezpieczeństwo komputerowe – a raczej na jego żenujący brak w wielkich firmach, których psim obowiązkiem jest ochrona naszych danych – uświadomiła ludziom, że tych rzeczy nie można brać na wiarę.
W ciągu 50 dni nieokiełznanej zabawy hakerzy włamali się na strony mediów, takich jak Fox News i państwowy PBS. Ucierpiał zwłaszcza Fox, bo upublicznili dane 70 tys. kandydatów do amerykańskiej edycji programu „X Factor”.
Pokazali też, jak „rzetelne” są firmy oferujące zabezpieczenia komputerowe m.in. rządowi Stanów Zjednoczonych. Prestiżowe było zwłaszcza włamanie do Black & Berg, która każdemu, kto włamie się na jej stronę, oferowała etat i 10 tys. dol. Panowie z LulzSec odpowiedzieli: „Gotowe, to było proste. Zatrzymajcie pieniądze, zrobiliśmy to dla zabawy”.
Najbardziej ucierpiało jednak Sony. Gigant elektronicznej rozrywki w 2011 r. został ośmieszony, gdy hakerzy włamali się do kilku działów firmy – filmowego, muzycznego i rozrywkowego – za każdym razem kradnąc dane klientów.
26 czerwca ogłosili nagle, że skończyli 50 dni zabawy i że mieli to zaplanowane od samego początku, choć obiecali kontynuować działalność. Jeszcze 18 lipca udało im się przejąć kontrolę nad stroną brytyjskiego brukowca „The Sun” i stworzyć jej kopię, na której zamieścili artykuł o śmierci właściciela Ruperta Murdocha (miał się zatruć palladem).
O swojej działalności pisali, że płyną przez ocean na „statku zabawy” (Lulzboat; aluzja do serialu „Statek miłości”, „Love Boat”). Teraz, kiedy na statek dokonano abordażu, możemy przypuszczać, że gdzieś jacyś cyfrowi zapaleńcy już starają się ich zastąpić.
Kuba Kapiszewski


Czerń, biel i odcienie szarości

Black hat (czarny kapelusz) – haker działający w celu uzyskania korzyści lub ze zwykłej złośliwości.
Dox – pochodzi od słowa dokument, a konkretniej od rozszerzenia dokumentów Microsoft Office (.doc, .docx). Termin ten oznacza upublicznienie w sieci informacji dotyczących czyjejś realnej tożsamości.
Grey hat (szary kapelusz) – haker wyrządzający szkody jak „czarny”, ale mający „białe” intencje. Członków LulzSec określano tym mianem, bo choć ich działania powodowały straty, wymierzone były w instytucje, które bezpieczeństwa komputerowego nie traktowały serio, mimo przechowywania dużych ilości danych wrażliwych.
Haktywista – określenie powstałe z połączenia słów haker i aktywista. Osoba wykorzystująca znajomość systemów komputerowych do protestów i happeningów.
Haktywizm – zjawisko społeczne polegające na wykorzystywaniu sieci jako przestrzeni protestu i działalności obywatelskiej.
IRL (in real life) – dosł. w prawdziwym życiu, w realu.
White hat (biały kapelusz) – tacy hakerzy także szukają dziur w zabezpieczeniach – jak „czarni” – lecz po to, aby można było jak najszybciej je załatać.

Wydanie: 15/2012, 2012

Kategorie: Świat

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy