Hacker se chtěl pomstít kamarádce, odnesl to houstonský přístav

  • 86
Nezletilec Aaron Caffrey byl tak rozlícen protiamerickými výroky jedné své známé z IRC, že se rozhodl její počítač na dálku sestřelit. K distribuovanému útoku naneštěstí využil počítače přístavu v Houstunu, jehož administrátoři shromáždili důkazy a hacker skončil u soudu.

Co všechno se může stát, když vás někdo naštve? Můžete s ním přestat mluvit, ve vzteku rozbít sváteční porcelánový servis, napsat o něm něco ošklivého do novin... Nebo na vás může prasknout, že jste hacker, jak se to přihodilo mladíkovi z Velké Británie.

Bylo nebylo, v jedné diskusní místnosti...

Na kanálech sítě IRC (Internet Relay Chat) se schází spousta lidí. Ať už jsou tak z jakéhokoliv důvodu, většinou si prostě přicházejí popovídat. Podobně se tam před dvěma lety, pár dní po teroristických útocích 11. září, sešli Angličan s přezdívkou AaronX a jihoafrická studentka Bokkie, toho času v USA.

Řeč přišla i na činy Al Kajdy, které Bokkie komentovala slovy, že si to nafoukaní a všemocní Američané zasloužili. Aarona se to hluboce dotklo, neboť byl v té době zamilovaný do americké dívky Jessicy, po níž dokonce pokřtil i svůj počítač. Rozhodl se proto nenáviděnou známou na dálku odstřihnout od internetu vlastnoručně naprogramovaným nástrojem.

Poplach v přístavu

Distribuovaný útok Denial-of-Service (DDoS) ovšem neodnesla jen Bokkie. Podivné zpomalení celé sítě zaznamenali také administrátoři jednoho z největších amerických přístavů v Houstonu. Počítače zahlcené intenzivním odesíláním desetitisíců příkazů PING přestaly dodávat blížícím se lodím důležité navigační údaje, které pomáhají kormidelníkům proplouvat přístavem. Jen náhodou nedošlo ke katastrofě.

Po odeznění útoku analyzovali administrátoři záznamy o činnosti sítě a policie podle IP adresy útočníka vypátrala a v lednu 2002 zatkla v britském Dorsetu.

Houstonský přístav
Houstonský přístav se mohl kvůli klukovině
stát místem tragédie obrovských rozměrů

Chatrná obhajoba

Devatenáctiletý Aaron Caffrey před britským soudem stanul poprvé v pondělí 6. října, kdy začalo třidenní přelíčení. Zpovídal se z nelegálního přístupu na počítače a modifikace programového vybavení podle zákona Computer Misuse Act z roku 1990. Prokurátor Paul Addison řekl, že systémy houstonského přístavu byly zneužity při útoku, který obžalovaný prokazatelně spustil v noci 21. září.

Caffrey při zahájení procesu tvrdil, že je nevinen a ničeho takového se nedopustil. Soud měl k dispozici záznam komunikace na IRC, který svědčil o roztržce mezi ním (nebo někým s nickem AaronX) a Bokkie. Policie navíc na zabaveném počítači našla program nazvaný "IIS Unicode Exploiter – PING DDoS" s dovětkem "coded by Aaron". V aplikaci byl dále nalezen textový řetězec "Jessica".

Obžalovaný popřel autorství nástroje i odstartování útoku. Důkazy proti němu údajně do počítače nastražili skuteční útočníci, kteří použili nespecifikovaného "trojského koně", stroj ovládli a spustili útok.

"Můj operační systém podporuje vzdálenou administraci a byla v něm chyba, na kterou tehdy ještě nebyl bezpečnostní patch. Mohl se na něj dostat kdokoliv. Nezáplatovaný byl i Windows Media Player," řekl Caffrey při výslechu s tím, že někdo také údajně pozměnil systémové logy. Soud poté přizval odborníky, aby tuto teorii potvrdili, nebo vyvrátili.

Obžaloba boduje

Obhajoba předvolala detektiva konstábla Stunta, člena skupiny vyšetřovatelů, kteří Caffreyho počítač v lednu 2002, čtyři měsíce po útoku, zkoumali. Stunt soudu sdělil, že existovala možnost počítač napadnout kvůli kritickým chybám v OS Windows. Nedokázal určit, jaká konkrétní chyba k tomu mohla přispět, ale prohlásil, že softwarový gigant má s bezpečností velké problémy.

"Existují tisíce bezpečnostních zpravodajů a Microsoft vydává nové záplaty takřka denně," uvedl Stunt.

Konstábl soudu sdělil, že se z počítače podařilo získat záznam konverzace z IRC, která byla pořízena přesně v okamžiku, kdy došlo k útoku. Na dotaz, zda mohl někdo soubor změnit zvenčí, odpovědel Stunt: "Ne, to je zhola nemožné."

Lámání vazu

Obžaloba poté přišla s převratným důkazem: Na Caffreyho počítači našla policie textový soubor WEBSERVERS.TXT s adresami více než 11 tisíc serverů, které bylo možné zneužít k distribuovanému útoku - mezi nimi i servery v síti houstonského přístavu. Seznam obsahoval stroje s nezáplatovanou chybou Unicode v Microsoft ISS Web serveru, které útočník využil.

Cedric d'Ablis, odborník na bezpečnost společnosti Cable and Wireless, který zkoumal předmět doličný v říjnu 2002 - 13 měsíců po události -, před soudem řekl, že neexistuje rozumný důvod, proč by někdo měl na harddisku jen tak seznam tolika IP adres.

D'Ablis rovněž sdělil, že nenašel důkaz o tom, že by na počítač přes internet přistupoval někdo další, kdo mohl odpálit DDoS útok. "Předpokládal jsem, že najdu nějaký nástroj, který to umožňuje - trojského koně a podobně. Ale nenašel jsem vůbec nic," řekl. Později nicméně připustil, že stroj mohl být zneužit. Expert se zaměřil pouze na aktivní software a nehledal stopy aplikací, které mohly být z počítače rovněž na dálku odstraněny.

Případ nakonec rozlouskl profesor Neil Barrett, jenž zkoumal fyzické umístění údajně pozměněných souborů na pevném disku. Podle uskupení záznamů ale došel k přesvědčení, že se soubory nebylo od jejich vytvoření nijak nakládáno. Soubory byly podle Barretta zapsány v souvislých blocích, kdežto jejich pozměnění by vyústilo ve fragmentaci bloků.

"Očividně se dá najít způsob, jak nahrát na počítač soubor pomocí vzdáleného připojení, ale ne tak, aby přesně nahradil soubor původní," řekl Barrett soudu.

Přelíčení pokračuje

Přestože měl soud trvat tři dny a tedy skončit již ve středu, případ je stále projednáván. Stání narušila migréna jednoho z porotců. Na průběhu jednání se také podepsal zdravotní stav obžalovaného: Caffrey trpí Aspergerovým syndromem, lehčí formou autismu, který mimo jiné omezuje schopnost soustředit se po dlouhou dobu. Soudkyně Loraine Smitch proto ze zdravotních důvodů dovolila obžalovanému sedět vedle jeho obhájce a přelíčení často přerušuje.

Případ budeme nadále sledovat a aktuálně vás informovat.