i
i
“Legisa” — 2012/3/20 — 14:02 — page 26 — #1 i
i
i
i
i
i
Kevin Poulsen, Kingpin: how one hacker took over the billion-
dollar cybercrime underground, Crown Publishers, New York 2011,
266 str.
Knjiga opisuje kariero ame-
rǐskega računalnǐskega stro-
kovnjaka Maxa Butlerja, ro-
jenega leta 1972, ki je ka-
sneje spremenil svoje ime v
Max Vision. Njegova for-
malna izobrazba se je končala
po enem letu univerze. Vse-
eno je postal ekspert za vdore
v računalnǐske sisteme. Po-
skusi prijateljev, varnostnih
služb in podjetij, da bi nje-
gove talente izkoristili v do-
bre namene, so bili le polo-
vično uspešni, saj mu žilica ni
dala, da ne bi ob testiranju
računalnǐske varnosti posku-
šal narediti še kaka skrivna
vratca za nadaljnje vstope in
izkorǐsčanje tujih računalni-
kov v svoje namene. Že v mladosti je prihajal navzkriž z zakonom, sprva
zaradi vandalizma in nasilnǐstva. Ker ni resno jemal opozoril in se ni hotel
pogajati z oblastmi, mu je to prineslo več let zapora in konec študija na
univerzi. Kasneje je vdrl v računalnǐske sisteme vojaškega letalstva ZDA.
Oblasti so mu bile pripravljene pogledati skozi prste, če bi sodeloval z njimi.
Vendar ni hotel sodelovati v lovu na druge hekerje. Svoje so naredila tudi
stalǐsča neke liberalne odvetnice. Ta je hekerjem na njihovem srečanju sve-
tovala, naj ne sodelujejo z oblastmi brez pomoči advokata. Tako je bilo
sodelovanja s FBI definitivno konec in se je znova znašel v zaporu. Po iz-
pustu so mu kljub vsemu dobri ljudje naročili, naj testira varnostni sistem
26 Obzornik mat. fiz. 59 (2012) 1
i
i
“Legisa” — 2012/3/20 — 14:02 — page 27 — #2 i
i
i
i
i
i
Kingpin
nekega podjetja. Po neuspešnem direktnem napadu je vdrl v osebni raču-
nalnik nekega uslužbenca in z ukradenimi podatki končno le prǐsel v sistem.
Problem je bil, da je s tem spet presegel svoja pooblastila. Tako je vse
teže našel službo in s pomočjo ljudi, ki jih je spoznal v zaporu, je zdrsnil v
svet kriminala. Z avtomatiziranim pregledovanjem, z izkorǐsčanjem lukenj
v Internet Explorerju, je našel ranljive računalnike v podjetjih in restavra-
cijah in iz njih pobiral podatke o kreditnih karticah, ki jih je posredoval
svojemu kompanjonu. Ta je izdeloval kopije kartic. Delo zločincem olaǰsuje
trmoglavost amerǐskih bank, ki zaradi enkratnih visokih stroškov nočejo za-
menjati zastarelega sistema kreditnih kartic z magnetnim trakom. Podatke
z magnetnega traku je mogoče z majhnim skenerjem posneti tudi fizično v
nekaj sekundah. Knjiga opisuje, kako je (bilo?) v ZDA mogoče nabaviti vso
opremo za ponarejanje kartic.
Samo v eni restavraciji je našel podatke o petdeset tisoč karticah. Delo so
mu olaǰsali nekateri ponudniki informacijskih sistemov, ki so interna omrežja
priredili tako, da so za vzdrževanje lahko vanje vstopali na daljavo, te vhode
pa so slabo zaščitili. Tudi sicer mnoga podjetja, npr. Amazon, hranijo
podatke o kreditnih karticah. To naj bi olaǰsalo naročanje, pomeni pa tudi
tveganje. (Verjetno je to eden od razlogov, da morate recimo pri American
Expressu za nakup v Amazonu dobiti poprej odobritev.)
Max Butler se je vključil v ekskluzivne kriminalne forume na omrežju.
Tu udeleženci, skriti za psevdonimi, izmenjujejo izkušnje, novosti, kupujejo
in prodajajo naslove in številke bančnih računov, kartic, PIN-e, opremo za
ponarejanje ipd. Ti forumi ne poznajo meja. Sam je tu prodajal podatke
in obenem vdiral v računalnike drugim nepridipravom in jim kradel infor-
macije.
Infiltriral se je v bančne sisteme tako, da je uslužbencem poslal osebna
sporočila, v katerih je napisal, da so omenjeni v članku v reviji. Od petsto
uslužbencev neke banke jih je četrtina kliknila na povezavo na ta neobstoječi
članek in mu s tem odprla vrata. Butler je zelo rad vdiral v računalnike čez
Wi-Fi omrežja – s 60 centimetrsko parabolično anteno iz najete sobe v kaki
visoki zgradbi.
Podnaslov te knjige omenja enega od njegovih največjih podvigov – so-
Obzornik mat. fiz. 59 (2012) 1 27
i
i
“Legisa” — 2012/3/20 — 14:02 — page 28 — #3 i
i
i
i
i
i
Nove knjige
vražni prevzem več kriminalnih forumov. To se mu je posrečilo, ker večina
teh forumov ni imela varnostnih kopij. Zbrisal je njihovo vsebino, udeležence
pa vključil v omrežje, ki ga je sam kontroliral. Dolgo časa je uporabljal stre-
žnik nekega ponudnika informacijskih storitev na Floridi – ne da bi ta za to
vedel.
Knjigo je težko odložiti. Uspehi in neuspehi represivnih služb pri za-
sledovanju glavnega akterja in drugih nepridipravov, vojne in spopadi med
zlikovci samimi so zelo napeto branje, (čeprav ni streljanja, divjih zasle-
dovanj in nasilje nastopa le na nekaj straneh.) Eden večjih problemov za
predstavnike zakona so bili računalniki s kriptozaščito, ki je, kot vemo, lep
primer uporabe teorije števil in algebraične geometrije. Glavni akter knjige
je uporabljal izraelski DriveCrypt, ki ga je stal 60 USD. (Podoben program
je Pretty Good Privacy.) Prav zaradi tega so leta 2007 v sobo Maxa Butlerja
vdrli ob dveh zjutraj, ko je dremal, tako da ni mogel ugasniti računalnikov.
Po dveh tednih se je vladnim strokovnjakom v kopiji RAM-a (hitrega spo-
mina) posrečilo najti geslo. Max Vision (Butler) je bil leta 2009 obsojen na
13 let zapora in povrnitev 27 milijonov dolarjev škode (kar ne bo mogel po-
plačati, saj je bil njegov dobiček le majhen delež te vsote, pa še ta denar je
bolj ali manj sproti zapravil). Celotna škoda, ki jo je povzročil, je trikratni
znesek te vsote. Menda bi zdaj rad doštudiral matematiko ali fiziko.
Avtor knjige Kevin Poulsen je sam odsedel nekaj časa v zaporu zaradi
vdiranja v računalnike. Zato morda glavnega akterja opisuje nekoliko olep-
šano. Sem in tja najdemo tudi kako nedoslednost. Tako knjiga precejkrat
opisuje prenose denarja čez
”
e-gold“, opis te problematične
”
računalnǐske va-
lute“, osnovane na rezervah v zlatu, pa je šele v drugi polovici knjige. Sam
vsega tehničnega žargona nisem razumel. Večino stvari bi si gotovo lahko
pojasnil s kratkim pogledom v Wikipedijo. Glavni obrisi tehnik vdorov in
druge zločinske aktivnosti pa so tako dobro opisani, da človek brez težav
preskoči nekatere podrobnosti. Knjigo priporočam tudi kot poučno branje,
ki vam morda lahko prihrani kako nevšečnost pri uporabi interneta.
Peter Legǐsa
http://www.dmfa-zaloznistvo.si/
28 Obzornik mat. fiz. 59 (2012) 1