Ο Adrian Lamo, ο «άστεγος hacker» του Enterprise IT Security Conference, εξηγεί τι κυνηγούσε σαν hacker και ζητά... συγνώμη από τους network administrators που ταλαιπώρησε.

NetWeek: Πώς ξεκινήσατε το hacking;

Adrian Lamo: Οι Η/Υ ήταν στο περιβάλλον μου από μικρή ηλικία. Στα 6 μου είχα ένα Commodore 64. Το πρώτο μου ενδιαφέρον ήταν να δω το πώς λειτουργούν τα πράγματα «από πίσω». Οχι από άποψη τεχνολογίας, αλλά πληροφορίας. Εχετε ακουστά τον όρο «hack value»; Ετσι αποκαλούν οι hackers κάτι που βρίσκουν ενδιαφέρον να κάνουν. Συνήθως, δεν έχει να κάνει με την τεχνολογία, αλλά με την πληροφορία. Γι’ αυτό και κανένα από τα συστήματα τα οποία παραβίασα δεν χρησιμοποιούσε κάποιο γνωστό -ή μη- «exploit». Δεν έψαχνα για buffer overflows ή για «τρύπες» στο λογισμικό. Προσπαθούσα απλά να πάρω απλές, καθημερινές πληροφορίες και να τις συνδυάσω με ασυνήθιστους τρόπους. Δεν κατέβαζα βάσεις δεδομένων με πελατειακά στοιχεία.

Ενα παράδειγμα είναι αυτό της εισβολής μου στην τότε Excite@Home. Είχα πλήρη πρόσβαση στα πελατειακά δεδομένα, συμπεριλαμβανομένων των στοιχείων πιστωτικών καρτών. Αυτά δεν με ενδιέφεραν καθόλου. Αντιθέτως, το «hack value» για μένα ήταν ότι μπορούσα να κάνω log in σε λογαριασμούς υποστήριξης και να απαντήσω σε help desk requests πελατών που, υπό κανονικές συνθήκες, δεν θα λάμβαναν ποτέ απάντηση στα αιτήματά τους. Με ενθουσιάζει η ιδέα ότι ζούμε σε έναν κόσμο όπου κάτι το τόσο απίθανο μπορεί να συμβεί. Οτι μπορεί το help desk της εταιρείας να αγνοεί μία ερώτηση, αλλά ότι έρχεται ένας hacker και λέει στον πελάτη «αυτό πρέπει να κάνεις για να λύσεις το πρόβλημά σου». Προσωπικά, απάντησα σε 100 περίπου ερωτήσεις πελατών.

NetWeek: Για την πρόκληση και την πλάκα;

Adrian Lamo: Οχι. Η μάλλον, ναι και όχι. Ναι, για την πλάκα. Η πρόκληση είναι όμως δευτερεύουσα. Ειλικρινά, η ασφάλεια στις περισσότερες μεγάλες εταιρείες δεν αντιπροσωπεύει ιδιαίτερη πρόκληση. Πρόκληση είναι το πώς να εκμεταλλευτείς τα κενά στην ασφάλεια ώστε να δημιουργήσεις μια πρωτόγνωρη εμπειρία μέσα από τα κλεμμένα δεδομένα. Αυτό που θέλω είναι, ακόμα και τα «θύματα» του hacking μου, να μπορούν να γελάσουν με αυτό που συνέβη. Αν αναζητούσα μια πραγματική πρόκληση, θα χρησιμοποιούσα πιο τεχνικά μέσα. Από την άλλη, θα μπορούσε κανείς να πει ότι το να παραβιάσεις τα συστήματα μιας εταιρείας χρησιμοποιώντας Internet Explorer σε μηχάνημα Windows 98 αποτελεί από μόνο του πρόκληση.

NetWeek: Πώς αισθάνεστε για το ότι βρεθήκατε κάποια στιγμή στη «σκοτεινή πλευρά» του νόμου;

Adrian Lamo: Μπορώ να πω με ειλικρίνεια ότι αισθάνομαι άσχημα για τους network administrators που «τα άκουσαν» από το αφεντικό τους εξαιτίας μου. Ενας από τους λόγους για τους οποίους μετάνιωσα πραγματικά στο δικαστήριο είχε να κάνει με τις ενοχές μου απέναντί τους. Μέχρι εκείνη τη στιγμή, μου ήταν εύκολο να μη βλέπω τις συνέπειες των πράξεών μου και να θεωρώ ότι εάν οι άλλοι έκαναν τη δουλειά τους σωστά, τότε τίποτε από αυτά δεν θα είχε συμβεί. Η αλήθεια είναι όμως ότι κανείς δεν μπορεί να προστατευτεί απόλυτα και από κάθε πιθανή εισβολή.

Ένα συνεπακόλουθο που θα ήθελα να έχει προκύψει είναι το να διαχωριστεί νομικά η παραβίαση δεδομένων που δεν έχει οικονομικά κίνητρα από εκείνη που έχει. Η πρώτη δεν θα πρέπει να αντιμετωπίζεται ως καταστροφικό γεγονός αλλά σαν κάτι που η εταιρεία μπορεί να χρησιμοποιήσει προς όφελός της εάν το επιθυμεί. Σαν κάτι μέσα από το οποίο μπορεί να εξελιχθεί. Η πίεση προκαλεί την εξέλιξη των σύνθετων συστημάτων και θεωρώ ότι αυτό της το χαρακτηριστικό είναι ωφέλιμο.

NetWeek: Με τι ασχολείστε επί της παρούσης;

Adrian Lamo: Εργάζομαι ως Threat Analyst σε μία ιδιωτική εταιρεία. Με ενδιαφέρει να απασχοληθώ και στον τομέα του Adversary Characterization, στον εντοπισμό του ποιος θα εισβάλει στα συστήματα μιας εταιρείας, πριν το κάνει και του πώς θα το κάνει πριν καν ο ίδιος διαμορφώσει το σχέδιό του.