Poprvé tedy americký Federální úřad pro vyšetřování přiznal, že využívá podobný styl útoku na počítač podezřelého. V tomto případě použili detektivové program na principu spyware - ten se usídlil v počítači podezřelého a informoval FBI o každé aktivitě na síti. Napsal o tom server Wired.com.
"Soukromí na internetu čekat nemůžete"
Jde o průlom ve vyšetřování - zřejmě poprvé byl totiž odposlouchávací program nasazen na podezřelý počítač, aniž měli vyšetřovatelé povolení k odposlouchávání. Technicky totiž o odposlouchávání nešlo, program odesílal pouze IP adresy, MAC adresu, seznam otevřených programů, sériová čísla a další dostupná data, nikoli však obsah komunikace.
Americký soud nedávno konstatoval, že v podobném případě není povolení k odposlechu nutné, protože "uživatelé sítě internet nemohou rozumně očekávat, že bude zachováno jejich soukromí", co se dat posílaných přes internet týče.
Výhrůžky: v dívčí šatně je bomba
Případ, kdy byl poprvé oficiálně použit tento nový postup odhalování identity, je překvapivě skromný. Do washingtonské střední školy Timberline High School přišel ručně psaný vzkaz vyhrožující bombovým útokem. Škola byla evakuována a poplach se ukázal býti planým. O čtyři dni později přišla další bombová hrozba, tentokrát už e-mailem - z Gmailového účtu dougbriggs123. Tvrdil, že ve škole jsou čtyři bomby. Zároveň také hrozí: "Emailový server vaší čtvrti bude v 8:45 ráno odpojen." Zatímco hrozby ohledně bomb byly liché, útok na server skutečně proběhl - DoS (Denial-of-Servise) zahltil server přibližně milionem požadavků za hodinu.
Bombové e-maily a následné evakuace se staly takřka denním chlebem studentů i učitelů. Neznámý pachatel se přitom neopomněl vysmívat vyšetřovatelům: "Jo a policistům a technologickým idiotům z policejního oddělení, co se mě snaží vypátrat. Poradím vám. Mail jsem poslal z nově založeného Gmail účtu, ze zámoří a cizí země. (...) Tak hodně štěstí, až se budete od Italů snažit zjistit, komu ten počítač patří."
"Zavolejte na mě Billa Gatese"
Také další dny dorazil do školy email vyhrožující bombovými útoky. Pokračovaly také škodolibé poznámky na adresu vyšetřovatelů: "Měli byste si najmout Billa Gatese, aby mě za vás vystopoval. HAHAHAHA. A ten vám akorát řekne, že je to ze zámoří, takže jestli jste zadobře s papežem, možná to půjde..."
Pachatel si založil pokaždé nový účet, někdy variantu jména, jindy náhodná slova. Kromě toho si založil svůj profil na MySpace, a nutil své spolužáky, aby si jej přidali mezi přátele. Jinak, jak jim prý vyhrožoval, zařídí, že bude jejich jméno s anonymy spojováno. Používal také přezdívky připomínající jména studentů, snad aby je očernil.
Vyšetřování - stopa skutečně končila v Itálii
Policie samozřejmě na případu pracovala. Bohužel se však zpočátku skutečně nedostali dále, než do Itálie. Případu se (prý na žádost místní policie) chopila FBI, a požádala italské úřady o pomoc při vyšetřování. Bezvýsledně, a proto se uchýlili k netradičnímu řešení.
V devatenáctistránkovém dokumentu, který má magazín Wired.com k dispozici, je podrobně popsán vývoj případu do 12. června, a kde speciální agent žádá o nasazení programu, který popisuje jako "computer and internet protocol address verifier", tedy "ověřovač adres počítačů a internetových protokolů", zkráceně CIPAV.
| Žádost o povolení použít program CIPAV Affidavit (PDF, anglicky) |
Agent Norman Sanders zde vysvětluje, proč si na základě svého tréninku, zkušeností a dosavadního vyšetřování myslí, že je využití programu na místě - autor výhrůžek podle něj evidentně využívá kompromitovaného (hacknutého) počítače v zahraničí pro zahlazení stop po svých nelegálních aktivitách.
Aby byl pachatel dopaden, navrhuje nasazení sledovacího programu skrze profil MySpace. Z důvodu zcela pochopitelných FBI neprozrazuje, jakým způsobem kód do cizího počítače pronikl, lze se jen domnívat, že zneužil nějakou z dosud neopravených chyb prohlížeče. Možná ale jen vnutili neznámému pachateli spustitelný soubor, který následně jeho počítač infikoval.
Co posílá CIPAV?
Ani to pan Sanders přesně neuvádí. Podle Wired.com jde přinejmenším o tato data:
-
IP adresu
-
MAC adresu
-
seznam otevřených portů
-
seznam běžících programů
-
typ, verzi a sériové číslo operačního systému
-
verzi prohlížeče
-
uživatelské jméno uživatele, případně jméno společnosti
-
naposledy navštívené adresy
A to jsou jen věci, které program odešle ihned po infiltraci. Další data trpělivě sbírá a pravidelně odesílá během následujících dní (v tomto případě žádala FBI o deset dní). Zaznamená adresáta i odesílatele každé síťové aktivity. Není jasné, zda součástí spyware je nebo není keylogger. Keylogger už FBI použila v roce 2001, tehdy jej ale do počítače sledovaného nainstalovali přímo, nikoli přes síť.
FBI zdůrazňuje, že program neodesílá obsah zpráv, pouze jejich odesílatele a příjemce. V tomto případě to ale k odhalení pachatele bombových hrozeb stačilo.
Patnáctiletý student si odpočine od internetu
Soudní dokumenty ukazují, že odeslání programu CIPAV proběhlo 13. června. Již zakrátko se pachatel chytil, a jeho skutečná IP adresa byla nejspíš vše, co FBI potřebovala k tomu, aby zakrátko stála u jeho prahu.
Šlo o patnáctiletého studenta výše zmíněné školy, Joshe Glazebrooka. Ten se také později přiznal ke všem bodům obžaloby: bombovým hrozbám, krádeži identity a obtěžování. Soud jej poslal na 90 dní do vězení pro mladistvé. Kromě toho mu uložil dvouletou podmínku a omezení přístupu k počítači a internetu. Škola ho vyloučila ze studia.
Co FBI může a co nemůže?
Přestože tento případ nevyniká svou dramatičností, stal se přelomovým v otázkách použití spyware, obvykle používaných spíše kriminálníky, k boji s kriminalitou. Podle Wired.com si budou muset právníci zvyknout na nový druh důkazních materiálů.
Odborníci se nyní dohadují, co všechno FBI může. Právně i technicky. "Je docela možné, že FBI ví o zranitelných místech systémů, které nikam nehlásí," spekuluje pro Wired.com Robert Thompson, ředitel firmy pro internetové zabezpečení. "Vždyť kdyby takovou zranitelnost objevili, nechají si to pro sebe, byl by to skvělý způsob, jak dostat [programy] na počítače cizích lidí. Asi by pak mohli opravdu napíchnout, koho by chtěli."
Jiná otázka se nabízí ohledně antivirových programů: co kdyby FBI firmu požádala, aby nad jejich spyware antivirový program "přimhouřil oko" a nebránil tak vyšetřování? "Nevím, to bychom byli opravdu v obtížné pozici," přiznává Thopson.
FBI požádala o navýšení rozpočtu o 220 tisíc dolarů za účelem nákupu "vysoce specializovaného vybavení a technického zařízení pro zajištění technických operací(...) včetně takových pro překonání, oklamání nebo kompromitování počítačových systémů." Uvidíme, s čím přijdou američtí vyšetřovatelé příště.
Zatím příliš nechtějí komentovat ani tento případ, veškeré informace jsme proto čerpali z výše uvedených oficiálních dokumentů. Larry Carr, mluvčí FBI, nepotvrdil, že se v případě CIPAV jedná o program, o kterém se mluvilo již v roce 2001 jako o "Magic Lantern" (kouzelná lucerna). Zdůraznil ale, že FBI je na tom od té doby technologicky mnohem lépe: "Tenhle případ ukazuje, že pokud chcete dělat takovéhle věci [výhrůžky] online, tak máme možnost jedince vystopovat a případ dovést do konce."
Odkazy:
