Ένα δημοφιλές ρητό λέει πως καμία καλή πράξη δεν μένει ατιμώρητη. Αυτή φαίνεται να είναι η περίπτωση του Βρετανού Daniel Cuthbert, ο οποίος έκανε έναν απλό έλεγχο ασφαλείας σε μια ιστοσελίδα η οποία δεχόταν online πληρωμές. Ενώ ο έλεγχος δεν είχε καμία επίπτωση, ο Cuthbert κατέληξε να καταδικαστεί για hacking.
Προτάσεις συνεργασίας
Τα νέα άρθρα του PCsteps
Γίνε VIP μέλος στο PCSteps
Παροχή βοήθειας για τα θύματα του Tsunami
Στις 26 Δεκεμβρίου του 2004, ένας υποθαλάσσιος σεισμός με ισχύ μεταξύ 9,1 και 9,3 βαθμών της κλίμακας Ρίχτερ εκδηλώθηκε δυτικά της Sumatra στην Ινδονησία.
Εξ' αιτίας του βίαιου αυτού σεισμού, μία σειρά από Tsunami στον Ινδικό ωκεανό χτύπησαν δεκατέσσερις χώρες με κύματα ύψους έως τριάντα μέτρων.
Το αποτέλεσμα ήταν ο θάνατος μεταξύ 230.000 και 280.000 ανθρώπων, ενώ υπήρξαν εκατοντάδες χιλιάδες τραυματίες και πάνω από 100 εκατομμύρια άνθρωποι που έμειναν άστεγοι.
Για την υποστήριξη των πληγέντων κινητοποιήθηκαν φιλανθρωπικές οργανώσεις σε όλο τον κόσμο, ενώ ένας αριθμός από ιστοσελίδες στήθηκαν βιαστικά για όσους ήθελαν να κάνουν δωρεές ηλεκτρονικά.
Η δωρεά και ο έλεγχος
Ο Daniel Jame Cuthbert, κάτοικος στην περιοχή Whitechapel του Λονδίνου, ήταν εργαζόμενος ως security consultant στην ABN Amro. Παράλληλα, δίδασκε στα πανεπιστήμια Wesminster και Royal Holloway. Θεωρείτο ως ειδικός στον τομέα του, και είχε τον σεβασμό των συναδέλφων αλλά και των εργοδοτών του.
Την παραμονή της πρωτοχρονιάς του 2005, ο Cuthbert έκανε μια δωρεά ύψους 30 λιρών στην ιστοσελίδα http://donate.bt.com/, την οποία είχε ανεβάσει η Disasters and Emergency Committee ειδικά για την περίσταση.
Για τη δωρεά, χρειάστηκε να συμπληρώσει τα πλήρη του στοιχεία, το όνομα, τη διεύθυνση κατοικίας, και τον αριθμό της πιστωτικής του.
Όταν όμως έκανε την υποβολή της δωρεάς, δεν έλαβε κανένα μήνυμα επιβεβαίωσης.
Το προηγούμενο διάστημα, ο Cuthbert είχε κάποια προβλήματα με παράτυπες πληρωμές από την πιστωτική του κάρτα. Του μπήκε λοιπόν η υποψία για το αν το συγκεκριμένο site, που είχε αναρτηθεί βιαστικά, ήταν ασφαλές, ή αν ήταν κάποια ιστοσελίδα-απάτη και τα χρήματα κατέληγαν σε κάποιο απατεώνα στη Λατινική Αμερική.
Για το σκοπό αυτό έκανε δύο βασικές δοκιμές του τύπου “Penetration Test”. Αν οι δοκιμές αυτές αποτύγχαναν και το site δεν ήταν ασφαλές, όπως υποψιαζόταν, σκόπευε να το καταγγείλει στις αρχές.
Το πρώτο τεστ που έκανε ήταν να γράψει ../../../ στο τέλος της διεύθυνσης της ιστοσελίδας. Η εντολή “../”, που αναγνωρίζεται τόσο στη γραμμή εντολών των Windows όσο και τo τερματικό του Linux, ονομάζεται Directory Traversal, και ουσιαστικά μας επιτρέπει να ανεβούμε έναν φάκελο πάνω από εκεί που βρισκόμαστε.
Η τριπλή εισαγωγή με το ../../../ ονομάζεται Directory Traversal Attack, ουσιαστικά ανεβάζει το χρήστη τρεις φακέλους επάνω. Αν το site δεν ήταν ασφαλές, με την εντολή αυτή ο Curthbert θα μπορούσε να αποκτήσει πρόσβαση σε φακέλους του server που δεν είναι ανοιχτοί για το κοινό. Θα έπρεπε βέβαια να εισήγαγε και άλλες εντολές για να προξενούσε ζημιά.
Το δεύτερο test του Cuthbert ήταν να εισάγει μια απόστροφο ‘ στη διεύθυνση του Site. Όταν κανένα από τα δύο τεστ, που δεν πήραν ούτε δύο λεπτά, δεν επέστρεψε κάποιο σφάλμα, ο Cuthbert ήταν ικανοποιημένος πως το site ήταν ασφαλές, και συνέχισε τις δουλειές του.
Η σύλληψη
20 ημέρες αργότερα, αστυνομικοί συνέλαβαν τον Cuthbert στο χώρο της εργασίας του, ενώ μια άλλη ομάδα έκανε αναζήτηση στο σπίτι του.
Η εισαγωγή του ../../../ είχε σημάνει συναγερμό στο http://donate.bt.com/. Κάποιος υπεύθυνος της British Telecom είδε το συναγερμό, και έκανε καταγγελία στην αστυνομία, η οποία εντόπισε τον ύποπτο μέσω της διεύθυνσης IP του.
Κατά τη σύλληψή του, ο Cuthbert ήταν μπερδεμένος και δεν ζήτησε δικηγόρο, καθώς ισχυριζόταν πως δεν έκανε τίποτα κακό. Στο πρώτο μέρος της ανάκρισης δεν αποδέχτηκε τις πράξεις του, όμως στο δεύτερο μέρος της ανάκρισης τις αποδέχτηκε.
Η δίκη και τα αποτελέσματα
Σαν αποτέλεσμα της σύλληψής του, ο Cuthbert έχασε τη δουλειά του στην ABN Amro. Η δίκη έγινε δέκα μήνες αργότερα, τον Οκτώβριο του 2005.
Η εισαγγελική αρχή κατηγόρησε τον Cuthbert υπό το Section 1 (a) του νόμου Computer Misuse Act του 1990. Ήταν ένας νόμος ο οποίος είχε υπογραφεί το 1989, όταν ακόμα τα κινητά είχαν μέγεθος και βάρος τούβλου, και οι υπολογιστές είχαν ακόμα μαύρες οθόνες με πράσινα γράμματα.
Το σχετικό Section 1 ανέφερε:
- Ένα άτομο είναι ένοχο παραπτώματος αν –
- a) προκαλέσει έναν υπολογιστή να εκτελέσει οποιαδήποτε λειτουργία με στόχο να εξασφαλίσει πρόσβαση σε οποιοδήποτε πρόγραμμα ή δεδομένα που διατηρούνται σε οποιοδήποτε υπολογιστή
- b) η πρόσβαση για την οποία έχει πρόθεση δεν είναι εγκεκριμένη, και
- c) γνωρίζει εκείνη τη στιγμή πως όταν κάνει τον υπολογιστή να εκτελέσει την ενέργεια πως ισχύει αυτή η περίπτωση.
Ένας μάρτυρας από τη British Telecoms επιβεβαίωσε πως η “επίθεση” δεν θα είχε κανένα αποτέλεσμα στο server, ο οποίος έτρεχε το λειτουργικό σύστημα Solaris, ακόμα και αν δεν είχε εντοπιστεί η προσπάθεια.
Παρ' όλα αυτά, ο περιφερειακός δικαστής, Quentin Purdy, ανακοίνωσε στο τέλος της δίκης “Για οποιοδήποτε λόγο, ο κος Cuthbert είχε σκοπό να εξασφαλίσει πρόσβαση, με μη-εξουσιοδοτημένο τρόπο, σε αυτό τον υπολογιστή […] μετά λύπης βρίσκω πως η υπόθεση έχει αποδειχθεί εναντίον του κ. Cuthbert.”
Το πρόστιμο ήταν στο ύψος των 400ων λιρών για την παραβίαση, συν 600 λίρες για τα δικαστικά έξοδα.
Μιλώντας στον κατηγορούμενο, ο δικαστής Purdy είπε: “Καταλαβαίνω πως οι συνέπειες της καταδίκης είναι σημαντικά μεγαλύτερες από [όποια ποινή] μπορώ να εφαρμόσω. Όμως ξεπέρασες ένα όριο που δεν έπρεπε, χρόνος και χρήματα σπαταλήθηκαν, και δημιουργήθηκε ανησυχία. Πέραν αυτών, είναι πιθανώς βαριά η ποινή που θα πρέπει να πληρώσεις”.
Το πιθανότερο είναι πως ο δικαστής αναφερόταν στη φήμη του Cuthbert και την επαγγελματική του εξέλιξη.
Πάντως, σύμφωνα με το Cnet.com ο Cuthbert είχε βρει νέα δουλειά πριν τη δίκη στην εταιρεία ηλεκτρονικής ασφάλειας Corsaire, και το αποτέλεσμα δεν επηρέασε τη θέση του.
Ο ίδιος ο Cuthbert δήλωσε στην ιστοσελίδα “The Register”: “[με αυτή την καταδίκη] έχουν θέσει πλέον τον πήχη τόσο ψηλά που θα έπρεπε να υπάρχουν χιλιάδες καταδίκες για ανθρώπους που κάνουν τέτοια πράγματα. Θα υπάρξει μεγάλη οργή από επαγγελματίες στο χώρο της ασφάλειας, και η αστυνομία θα δυσκολευτεί να δεχτεί βοήθεια στο μέλλον”.