Madžar si skušal naklikati pot do službe

Mandi

28. nov 2011 ob 10:51:19

Zanimiva prigoda: 26-letni računalnikar Attila Németh je svoje znanje o informacijski varnosti skušal pretvoriti v službo v IT oddelku mednarodne hotelske verige Marrott, žal brez uspeha. Po pristanku v DC-ju ga je namesto predstavnika hotela sprejel uslužbenec tajne policije in mu po krajšem samoobtožilnem intervjuju pokazal pot naravnost pred sodnika.

Attila se je iskanja službe lotil skrajno resno. Prečesal je spletne strani hotela in zbral vse mogoče e-poštne naslove zaposlenih (več kot sto njih), nato pa jim večkrat poslal uradno izgledajoč email z okuženo priponko. Ko je eden od zaposlenih pošto vendarle odprl, mu je s tem podaril stranski vhod (backdoor) v hotelski informacijski sistem. Tam se je dodobra sprehodil naokoli in na svoj strežnik na Madžarskem prenesel več ducat "zanimivih" internih dokumentov. Zadovoljen s samim sabo je spisal še en email, tokrat Mariottovemu HR (human resources) oddelku, kjer se jim je ponudil za IT-jevca in kot referenco na kratko opisal svoja opažanja o njihovih strežnikih (kot neke vrste zastonj in white-hat varnostno analizo).

Marriot ga je prvič ignoriral, zato je v drugem emailu zaostril ton, priložil 8 ukradenih dokumentov in precej nespametno zagrozil z objavo vsega, kar ima - kar naj bi, po njegovih besedah - močno škodilo poslovanju in ugledu hotelske verige.

Ne ve se sicer, če je v skladu s kodeksov ugrabiteljev Mariottu prepovedal kontakt s policijo, a ti so jo vsekakor poklicali in dobili pomoč tajne policije (US Secret Service), ki sicer primarno skrbi za varnost predsednika ZDA, po spletu političnih okoliščin pa občasno prevzame tudi zadeve z informacijsko varnostjo in delovanjem bančnega sistema. Njihov agent je prevzel vso komunikacijo z Attilo in od njega dobil kup informacij, vključno s kopijo njegovega potnega lista. Na podlagi tega mu je "uredil delovno vizo in prihod v ZDA", kjer je Attila pristal januarja letos. Agent, oblečen kot uslužbenec hotela, je z njim opravil intervju, v katerem je razkril vse podrobnosti napada in, najbolj ključno, obseg dokumentov, ki jih je uspel dobiti. Sledil je stisk rok, nato pa, po pričavanjih, aretacija in srečanje s sodnikom. Dejanje je minuli teden priznal in bo do izreka kazni (februar 2012) ostal v priporu. Grozi mu 15 let zapora ter med 400 tisoč in milijonov dolarjev odškodnine, ki naj bi krila vse Marrittove stroške z njim (najem zunanjih varnostnih ekspertov ex post facto, pa to).

Zgodba je zanimiva iz več pogledov. Po eni strani je kar konkretno komična, spet po drugi kaže učinkovitost socialnega inženiringa, sploh z malo bolj targetiranim napadom, po tretji pa lepo ilustrira razmeroma tanko ločnico med varnostnim inženiringom in kaznivim dejanjem. Németh jo je brez vprašanj prestopil, ko pozornost začel iskati z izsiljevanjem za službo. O vsem tem bi verjetno marsikaj vedel povedati tudi naše gore list, Robert Škulj, ki je pred slabimi desetimi leti odkril manjšo varnostno pomanjkljivost pri prijavi v sistem NLB klik in jo potem skušal prodati NLB-ju za 500 kosov, brez posebnega uspeha.