Home » Ιστορίες Υπολογιστών » Από τον Έλεγχο, στην Καταδίκη για Hacking

Από τον Έλεγχο, στην Καταδίκη για Hacking

Αυτός ο οδηγός γράφτηκε πριν από περισσότερα από 2 χρόνια. Η τεχνολογία αλλάζει και εξελίσσεται. Αν οτιδήποτε δεν σας λειτουργεί, γράψτε μας στα σχόλια και θα κοιτάξουμε να τον ανανεώσουμε.

Ένα δημοφιλές ρητό λέει πως καμία καλή πράξη δεν μένει ατιμώρητη. Αυτή φαίνεται να είναι η περίπτωση του Βρετανού Daniel Cuthbert, ο οποίος έκανε έναν απλό έλεγχο ασφαλείας σε μια ιστοσελίδα η οποία δεχόταν online πληρωμές. Ενώ ο έλεγχος δεν είχε καμία επίπτωση, ο Cuthbert κατέληξε να καταδικαστεί για hacking.

Δείτε τις ενότητες του οδηγού

Προτάσεις συνεργασίας

Προωθήστε δυναμικά την επιχείρησή σας στο site του PCsteps και στο κανάλι μας στο YouTube.

Επικοινωνία

Γίνε VIP μέλος στο PCSteps

Τα μέλη υποστηρίζουν ενεργά το PCsteps για να συνεχίσει να λειτουργεί χωρίς διαφημίσεις για όλους.

Συμμετοχή

Παροχή βοήθειας για τα θύματα του Tsunami

Στις 26 Δεκεμβρίου του 2004, ένας υποθαλάσσιος σεισμός με ισχύ μεταξύ 9,1 και 9,3 βαθμών της κλίμακας Ρίχτερ εκδηλώθηκε δυτικά της Sumatra στην Ινδονησία.

Εξ' αιτίας του βίαιου αυτού σεισμού, μία σειρά από Tsunami στον Ινδικό ωκεανό χτύπησαν δεκατέσσερις χώρες με κύματα ύψους έως τριάντα μέτρων.

Το αποτέλεσμα ήταν ο θάνατος μεταξύ 230.000 και 280.000 ανθρώπων, ενώ υπήρξαν εκατοντάδες χιλιάδες τραυματίες και πάνω από 100 εκατομμύρια άνθρωποι που έμειναν άστεγοι.

Από τον Έλεγχο, στην Καταδίκη για Hacking 01

Για την υποστήριξη των πληγέντων κινητοποιήθηκαν φιλανθρωπικές οργανώσεις σε όλο τον κόσμο, ενώ ένας αριθμός από ιστοσελίδες στήθηκαν βιαστικά για όσους ήθελαν να κάνουν δωρεές ηλεκτρονικά.

Η δωρεά και ο έλεγχος

Ο Daniel Jame Cuthbert, κάτοικος στην περιοχή Whitechapel του Λονδίνου, ήταν εργαζόμενος ως security consultant στην ABN Amro. Παράλληλα, δίδασκε στα πανεπιστήμια Wesminster και Royal Holloway. Θεωρείτο ως ειδικός στον τομέα του, και είχε τον σεβασμό των συναδέλφων αλλά και των εργοδοτών του.

Την παραμονή της πρωτοχρονιάς του 2005, ο Cuthbert έκανε μια δωρεά ύψους 30 λιρών στην ιστοσελίδα http://donate.bt.com/, την οποία είχε ανεβάσει η Disasters and Emergency Committee ειδικά για την περίσταση.

Για τη δωρεά, χρειάστηκε να συμπληρώσει τα πλήρη του στοιχεία, το όνομα, τη διεύθυνση κατοικίας, και τον αριθμό της πιστωτικής του.

Από τον Έλεγχο, στην Καταδίκη για Hacking 02

Όταν όμως έκανε την υποβολή της δωρεάς, δεν έλαβε κανένα μήνυμα επιβεβαίωσης.

Το προηγούμενο διάστημα, ο Cuthbert είχε κάποια προβλήματα με παράτυπες πληρωμές από την πιστωτική του κάρτα. Του μπήκε λοιπόν η υποψία για το αν το συγκεκριμένο site, που είχε αναρτηθεί βιαστικά, ήταν ασφαλές, ή αν ήταν κάποια ιστοσελίδα-απάτη και τα χρήματα κατέληγαν σε κάποιο απατεώνα στη Λατινική Αμερική.

Από τον Έλεγχο, στην Καταδίκη για Hacking 03

Για το σκοπό αυτό έκανε δύο βασικές δοκιμές του τύπου “Penetration Test”. Αν οι δοκιμές αυτές αποτύγχαναν και το site δεν ήταν ασφαλές, όπως υποψιαζόταν, σκόπευε να το καταγγείλει στις αρχές.

Το πρώτο τεστ που έκανε ήταν να γράψει ../../../ στο τέλος της διεύθυνσης της ιστοσελίδας. Η εντολή “../”, που αναγνωρίζεται τόσο στη γραμμή εντολών των Windows όσο και τo τερματικό του Linux, ονομάζεται Directory Traversal, και ουσιαστικά μας επιτρέπει να ανεβούμε έναν φάκελο πάνω από εκεί που βρισκόμαστε.

Η τριπλή εισαγωγή με το ../../../ ονομάζεται Directory Traversal Attack, ουσιαστικά ανεβάζει το χρήστη τρεις φακέλους επάνω. Αν το site δεν ήταν ασφαλές, με την εντολή αυτή ο Curthbert θα μπορούσε να αποκτήσει πρόσβαση σε φακέλους του server που δεν είναι ανοιχτοί για το κοινό. Θα έπρεπε βέβαια να εισήγαγε και άλλες εντολές για να προξενούσε ζημιά.

Το δεύτερο test του Cuthbert ήταν να εισάγει μια απόστροφο ‘ στη διεύθυνση του Site. Όταν κανένα από τα δύο τεστ, που δεν πήραν ούτε δύο λεπτά, δεν επέστρεψε κάποιο σφάλμα, ο Cuthbert ήταν ικανοποιημένος πως το site ήταν ασφαλές, και συνέχισε τις δουλειές του.

Η σύλληψη

20 ημέρες αργότερα, αστυνομικοί συνέλαβαν τον Cuthbert στο χώρο της εργασίας του, ενώ μια άλλη ομάδα έκανε αναζήτηση στο σπίτι του.

Από τον Έλεγχο, στην Καταδίκη για Hacking 04

Η εισαγωγή του ../../../ είχε σημάνει συναγερμό στο http://donate.bt.com/. Κάποιος υπεύθυνος της British Telecom είδε το συναγερμό, και έκανε καταγγελία στην αστυνομία, η οποία εντόπισε τον ύποπτο μέσω της διεύθυνσης IP του.

Κατά τη σύλληψή του, ο Cuthbert ήταν μπερδεμένος και δεν ζήτησε δικηγόρο, καθώς ισχυριζόταν πως δεν έκανε τίποτα κακό. Στο πρώτο μέρος της ανάκρισης δεν αποδέχτηκε τις πράξεις του, όμως στο δεύτερο μέρος της ανάκρισης τις αποδέχτηκε.

Η δίκη και τα αποτελέσματα

Σαν αποτέλεσμα της σύλληψής του, ο Cuthbert έχασε τη δουλειά του στην ABN Amro. Η δίκη έγινε δέκα μήνες αργότερα, τον Οκτώβριο του 2005.

Η εισαγγελική αρχή κατηγόρησε τον Cuthbert υπό το Section 1 (a) του νόμου Computer Misuse Act του 1990. Ήταν ένας νόμος ο οποίος είχε υπογραφεί το 1989, όταν ακόμα τα κινητά είχαν μέγεθος και βάρος τούβλου, και οι υπολογιστές είχαν ακόμα μαύρες οθόνες με πράσινα γράμματα.

Από τον Έλεγχο, στην Καταδίκη για Hacking 05

Το σχετικό Section 1 ανέφερε:

  • Ένα άτομο είναι ένοχο παραπτώματος αν –
    • a) προκαλέσει έναν υπολογιστή να εκτελέσει οποιαδήποτε λειτουργία με στόχο να εξασφαλίσει πρόσβαση σε οποιοδήποτε πρόγραμμα ή δεδομένα που διατηρούνται σε οποιοδήποτε υπολογιστή
    • b) η πρόσβαση για την οποία έχει πρόθεση δεν είναι εγκεκριμένη, και
    • c) γνωρίζει εκείνη τη στιγμή πως όταν κάνει τον υπολογιστή να εκτελέσει την ενέργεια πως ισχύει αυτή η περίπτωση.

Ένας μάρτυρας από τη British Telecoms επιβεβαίωσε πως η “επίθεση” δεν θα είχε κανένα αποτέλεσμα στο server, ο οποίος έτρεχε το λειτουργικό σύστημα Solaris, ακόμα και αν δεν είχε εντοπιστεί η προσπάθεια.

Παρ' όλα αυτά, ο περιφερειακός δικαστής, Quentin Purdy, ανακοίνωσε στο τέλος της δίκης “Για οποιοδήποτε λόγο, ο κος Cuthbert είχε σκοπό να εξασφαλίσει πρόσβαση, με μη-εξουσιοδοτημένο τρόπο, σε αυτό τον υπολογιστή […] μετά λύπης βρίσκω πως η υπόθεση έχει αποδειχθεί εναντίον του κ. Cuthbert.”

Από τον Έλεγχο, στην Καταδίκη για Hacking 06

Το πρόστιμο ήταν στο ύψος των 400ων λιρών για την παραβίαση, συν 600 λίρες για τα δικαστικά έξοδα.

Μιλώντας στον κατηγορούμενο, ο δικαστής Purdy είπε: “Καταλαβαίνω πως οι συνέπειες της καταδίκης είναι σημαντικά μεγαλύτερες από [όποια ποινή] μπορώ να εφαρμόσω. Όμως ξεπέρασες ένα όριο που δεν έπρεπε, χρόνος και χρήματα σπαταλήθηκαν, και δημιουργήθηκε ανησυχία. Πέραν αυτών, είναι πιθανώς βαριά η ποινή που θα πρέπει να πληρώσεις”.

Το πιθανότερο είναι πως ο δικαστής αναφερόταν στη φήμη του Cuthbert και την επαγγελματική του εξέλιξη.

Πάντως, σύμφωνα με το Cnet.com ο Cuthbert είχε βρει νέα δουλειά πριν τη δίκη στην εταιρεία ηλεκτρονικής ασφάλειας Corsaire, και το αποτέλεσμα δεν επηρέασε τη θέση του.

Από τον Έλεγχο, στην Καταδίκη για Hacking 07

Ο ίδιος ο Cuthbert δήλωσε στην ιστοσελίδα “The Register”: “[με αυτή την καταδίκη] έχουν θέσει πλέον τον πήχη τόσο ψηλά που θα έπρεπε να υπάρχουν χιλιάδες καταδίκες για ανθρώπους που κάνουν τέτοια πράγματα. Θα υπάρξει μεγάλη οργή από επαγγελματίες στο χώρο της ασφάλειας, και η αστυνομία θα δυσκολευτεί να δεχτεί βοήθεια στο μέλλον”.

Τα σχόλια του PCsteps έχουν μεταφερθεί στο Questions.pcsteps.gr. Αν έχετε απορίες για τη δημοσίευση ή οποιαδήποτε τεχνολογική ερώτηση, από προτάσεις αγορών μέχρι τεχνικά προβλήματα, γράψτε μας εκεί. Απαντάμε το αργότερο εντός 48 ωρών.

Οι Στήλες του PCsteps

FEATURED sale alert b10 x4 aa
Οδηγοί Αγοράς
QuickSteps#320 - Δωρεάν VPN Edge, Πλήρη Αποσύνδεση Facebook, Κρυφό Μήνυμα Σε Εικόνα, Καρτούν Εικόνα Προφίλ
QuickSteps
GamingSteps#20240322 - Battle Royale Στο WoW, Ρεκόρ Χρηστών Για Το Stardew Valley, GDC Και IGF Awards 2024
GamingSteps