Ígéretemhez híven a blogot olyan notórius hackerekkel folytatom, akik híressé válásukkal megváltoztatták a közvélemény informatikai jogsértésekről alkotott képét, vagy cselekményük elkövetésének módja - az okozott károk és a szerzett hasznok fényében - jelzi a bűnözői társadalomban való elhelyezésük problémáit.
Az informatikai bűnözéssel foglalkozó kriminológiai elméletek sajnos jelenleg még alig tudnak irányt mutatni abban, hogy milyen cselekményeket kellene büntetnie a jognak, hol kellene az alternatív szankciókon keresztül beavatkoznia (pl. az okozott károk helyreállításának kikényszerítésével) vagy, hol lenne elég pusztán a felvilágosítás (bűnmegelőzés) erőltetése. E kérdés megválaszolásához a kutatásoknak fel kellene térképeznie a hackerek informatikához való egyedi kötődésének természetét, a virtuális közösségekben (hacker szubkultúrában) való részvételük jellemzőit és tudomást kellene venni arról, hogy az elkövetett jogsértések, akár járnak anyagi és egyéb hasznokkal, akár nem, akkor is sajátos halmazát képezik a bűnözésnek.
Sajnos a kiterjedtebb és informatívabb kutatásokra jelenleg még várnunk kell, ezért folytatván megkezdett utamat: ismét két "hírhedt" hackeren keresztül érzékeltetném, hogy mennyire is egyedi az, ahogyan egy ilyen bűnözői karrier elkezdődik, majd véget ér, és milyen változásokat hoz e folyamat az elkövető életében.
1. Robert Tappen Morris - a "féregíró"
Elsőként az rtm nicknévre hallgató hackerünk életútjáról gondoltam néhány szót szólni. Az ő érdekessége abban rejlik, hogy egyben volt az első, kifejezetten az informatikai bűncselekményekre létrehozott jogszabály "alanya" az Egyesült Államokban, az első interneten terjedő féreg létrehozója és az MIT (Massachusetts Institute of Technology) későbbi professzora is.
Morris neve sokak számára ismert lehet, hiszen ő hozta létre az ún. Morris-férget. Az előző bejegyzésemben ismertetett Mitnickkel ellentétben azonban ő alapvetően "eminens" hackernek tekinthető, hiszen híressé válásának útján csupán ezt az egyetlen büntetendő cselekményt követte el (vagy legalábbis eddig ennyire derült fény).
Morris 1988-ban már a Harvard Egyetem alapképzésén végzett és a Cornell Egyetem épp végzős hallgatója volt, amikor informatikai tanulmányainak megkoronázásaként megteremtette az említett férget. A vírust 1988 november 2-án engedte szabadjára az akkor még korlátozottan rendelkezésre álló interneten: az otthoni elérés hiányában a gyakorlathoz az MIT hálózatát használta.
Az eset talán nem tűnik annyira érdekes mint - a szintén korábban említett - Draper technikája, azonban a sors fintora, hogy a létrehozott vírus programozása hibás volt. Morris ugyanis minden gépet csak egyszer szeretett volna megfertőzni, de félve attól, hogy a rendszergazdák felfedezik a kódok terjedését és utasítják a számítógépeket, hogy jelentsék fertőzöttnek magukat, beállította, hogy a féreg minden hetedik "Yes" (Igen, a gép fertőzött) válasz esetén megduplázza magát. (Ezen a linken található egy részletes angol nyelvű leírás a Morris-féreg működéséről)
A vírus terjedési ütemét azonban Morris nem megfelelően becsülte meg és körülbelül 6000 gépet fertőzött meg és tett használhatatlanná. A vírus terjedését egy barátja próbálta megakadályozni, azonban a vírus olyan gyorsan terjedt, hogy már nem volt mit tenni.
A Morris-féreg forráskódját tartalmazó floppy:
A támadás fontossága egyébként szerintem abban rejlik, hogy az akkor még Arpanet (a 80-as évek internete) elsősorban egyetemek, kutatóintézetek és katonai központok rendszereit jelentette, így azok elérhetősége kiemelt jelentőségűnek számított. Ami pedig a mai internetes bűncselekmények gyakorlatára utal, hogy az elkövetéshez nem a saját egyeteme rendszerét használta, hanem a Harvardét, nehogy visszakövethető legyen a támadó személye. Ez sokakat emlékeztethet a VPN hálózatok és az egyéb anonimizációs technológiák funkcióira, azzal a különbséggel, hogy akkor a rejtőzködés még elsősorban nem az IP címek elrejtéséről szólt.
A számítógépek tönkretétele összességében sokkal nagyobb károkat okozott, mint azt Morris elsőre gondolta volna. A vírus eltávolítása gépenként 200 dollár és 53 ezer dollár közötti összegbe került és szükségessé tette a meggondolatlan elkövető felelősségre vonását is.
A felelősség meghatározása szempontjából érdekes megemlíteni a Cornell Egyetem vizsgálóbizottságának kijelentéseit, miszerint: cselekménye "egy olyan fiatalkori tett volt, ami figyelmen kívül hagyta az egyértelmű lehetséges következményeket" és "egy hacker olyan fókuszálatlan intellektuális eltévelyedése, amely során nem voltak kifejezett célok és nem tudatosultak a potenciális hatások".
Morris ezzel összhangban cselekménye indokaként azt jelölte meg, hogy célja az internet kiterjedtségének feltérképezése volt, így a férget sem a számítógépek tönkretételének érdekében programozta.
Az emberünket végül az 1986-ban Szövetségi szinten elfogadott Computer Fraud and Abuse Act (CFAA) nevű jogszabály alapján a Szövetségi számítógépekhez való engedély nélküli hozzáférés miatt ítélték el. Az eljárás során előjött egy szintén aktuális probléma, mégpedig, hogy hónapokon keresztül az is kérdéses volt, sikerül-e egyáltalán vádat emelni, ugyanis már a szükséges elektronikus bizonyítékok összegyűjtése is nehézkes volt.
Az elítélés mérföldkőnek számított akkor, hiszen az újonnan megalkotott jogszabály alapján azelőtt még senkit nem ítéltek el, pláne nem a mai értelemben vett információs rendszer és adat megsértése (ahogyan a magyar Büntető Törvénykönyvről szóló 2012. évi C. törvény is hívja) miatt. Ha visszaemlékszünk Draper és Mitnick első elítélése sem ez alapján történt, sőt vélhetően a jogszabály létrejöttében is jelentős szerepük volt. Ez a törvény így már egyértelműen az illegális tevékenységet végző hackerekkel szembeni retorzió lehetőségét volt hivatott biztosítani. (A jogszabály megítélése ma már nem teljesen pozitív, de erről talán egy későbbi posztban bővebben is írok.)
Az MIT hackerét végül 1990-ben - viszonylag enyhe szankcióval - 10 050 dollár büntetés fizetésére, 400 óra közérdekű munkára és három év felfüggesztett szabadságvesztésre ítélték. Morris a próbaidő letelte után természetesen egyre nagyobb hírnévre tett szert, és befejezvén rövid elkövetői pályafutását, az informatikai fejlesztések területébe vetette bele magát: készített olyan szoftvert amit az akkor még szebb életű Yahoo vásárolt meg, de saját programozási nyelvet is fejlesztett, nem beszélve arról, hogy ma az MIT professzoraként tengeti mindennapjait.
Ami számomra különösen érdekes ebben a példában, hogy már az 1988-as közvélemény is kettősen ítélte meg Morris tevékenységét. Az egyik egyetemi professzora például azt mondta: az egyetem célja kifejezetten az, hogy jól fejlett diáksággal rendelkezzen, így olyan embereket gyűjtenek maguk köré, akik egymástól eltérő módon kreatívak. Morris kreativitását abban látta, hogy ő egy jó hacker akire szüksége van az egyetemnek, még akkor is ha cselekményéért elítélés jár.
Emellett egy 2008-as visszatekintésben is az olvasható, hogy a féreg elengedése világított rá arra, hogy mennyire kicsi is volt az akkori internet kiterjedése, és azt is inkább egy baráti társaságra hasonlító, klubházszerű dolognak képzelték, melyben szinte egyáltalán nem foglalkoztak a biztonsági fejlesztések kérdésével (még Szövetségi szinten sem). Ezt támasztja alá az is, hogy az akkori szakirodalom az online teret szintén inkább egyfajta "anarchikus" térnek, a kommunikáció Mekkájának tartotta. Ez a képzet lényegében a Morrishoz hasonlók tevékenysége és a folyamatos fejlődés következtében kezdett megdőlni. Egyre fontosabbá vált, hogy az új funkciókkal bővülő és szélesebb társadalmi rétegekhez eljutó internet egy szabályozottabb és biztonságosabb, kvázi ellenőrizhetőbb tér legyen.
2. Kevin Poulsen - a Porsche nyertes
Következő alanyunk Kevin Poulsen, vagy ahogyan magát a 80'-as évek végén hívta, Dark Dante. Az ő jelentősége szintén abban áll, hogy valamiben első volt: ő volt az első ember, akit nem elég, hogy letöltendő börtönbüntetésre ítéltek, szabadulása után három évre eltiltották a számítógép-használattól is.
Kevin Poulsen elfogásának idején:
Poulsen - aki ma már a népszerű Wired magazin oknyomozó újságírójaként dolgozik - az 1980-as évek végén kezdett tevékenykedni, híressé pedig a 90'-es évek legelején vált. Ő hasonlóan Draper hobbijához, szintén foglalkozott "telefonhackeléssel", de az infokommunikációs hálózatok feltörése is szenvedélyévé vált. Céljai már inkább "földiek", mintsem magasztosak voltak: az eddig látott hackerekkel ellentétben (kivéve talán Mitnicket, aki szerintem a fekete és a fehér kalapos hackerség határmezsgyéjén mozgott) már nem elsősorban az ingyenes telefonhívások, a kíváncsiság, a szakmai önfejlesztés, vagy a hacker közösségeken belüli hírnévszerzés motiválta Poulsent.
Ezt jól mutatja a hacker életútja is:
Első ismertté vált bűncselekményeként feltört egy Szövetségi számítógépes hálózatot és elkezdett a Fülöp-szigetek akkori elnöke, Ferdinand Marcos elleni nyomozati anyagok között kutakodni. Mivel ez már nem az első hasonló cselekménye volt, hamar rájött, hogy a nyomozóhatóságok a nyomában vannak, így egy jó "Háborús játékokba" illő fordulattal menekülőre is fogta.
Ezt követően már körözött személyként a Los Angeles-i KIIS-FM rádiótársaság játékának megbuherálásával szeretett volna megnyerni egy fődíjként felkínált Porsche 944 S2 típusú autót. Poulsen két barátjával okosan kitalálta, hogy hogyan törjék fel a rádióállomás telefonvonalát és biztosítsák azt, hogy ők legyenek a 102. betelefonálók. A tervük be is jött, elkapni azonban ekkor sem sikerült őket. Cselekményük később gyakorlattá vált, így nyertek többek között még egy Porschet és egy utat Hawaiira is.
Poulsen híressé igazán mégis akkor vált, amikor az Unsolved Mysteries (Megoldatlan rejtélyek) című oknyomozó műsorban az őt ábrázoló kép megjelenésekor a műsor telefonvonalai elérhetetlenné váltak. Ez megnövelte a hacker iránti társadalmi érdeklődést és az FBI nyomozását is sürgetőbbé tette.
Vesztét is ez okozta, ugyanis az adás után nem sokkal egy szupermarketben felismerték, majd letartóztatták. Az online források szerint az ügynökség nem is igazán tudta, hogyan álljon a letartóztatáshoz, hiszen az elfogott Poulsen ekkor már rengeteg titkos információval rendelkezett.
A hacker intenzív adatgyűjtésérének hírét támasztja alá, hogy a vádemelés során - hackerek esetén talán a történelemben először - felmerült a kémkedés vádja is. Ennek oka az volt, hogy az akkor 27 éves Poulsen az Amerikai Légierő birtokában lévő titkos információkat is eltulajdonított. Az akkori jogszabályok értelmében pedig, a kémkedés megvalósításának nem volt feltétele a külföldi kormányzatoknak történő információátadás.
Az ellene felhozott vádak között szerepelt egyébként a betöréses lopás is. Egy 1992-es cikk szerint a Pacific Bell telefontársaságba egy társával többször is behatolt és technikai kézikönyveket, hálózati eszközöket, illetve számítógépek biztonsági kódjait tulajdonították el.
Végül Poulsent 1994 júniusában bűnszövetségben elkövetett csalásért és elektronikus kommunikációs rendszerekbe történő behatolásért, valamit a "versenyszabályok" megsértéséért (contest-rigging scheme) 5 év letöltendő börtönbüntetésre ítélték.
Abban az időben ez volt a valaha kiszabott leghosszabb időtartamú szabadságvesztés hasonló cselekmények elkövetéséért. Sőt, a cselekmény súlyosságát jelezvén a bíró még a szabadlábra bocsátástól számított 3 évre a számítógép-használattól is eltiltotta. (Számomra kérdéses, hogy e szankció betartatása hogyan történt, illetve mennyire lehet ez a módszer hatékony a későbbi bűnelkövetés megelőzésére, de ki tudja...)
A bíró az ítélet kifejtésekor megjegyezte továbbá, hogy az először 3 éves büntetési időtartam 15 hónappal történő meghosszabbításának oka a Poulsen által elkövetett cselekmények nagy jelentősége volt.
Poulsen felhagyva Dark Dante "identitásával" szabadulása után a informatikai bűncselekményekkel kapcsolatos újságírás felé vette az irányt. Munkája során egyszer például - már fehér kalapos hackerként - felfedezett egy 744 tagú szexuális elkövetői csoportot a Myspace-en, de íróként is híressé vált 2011-ben kiadott - természetesen a hackerekről szóló - könyve miatt.
Morris és Poulsen kiváló példái annak, hogy miért is szükséges az informatikai bűncselekmények között, akár azok elkövetési módja, akár azok célja szerint különbséget tenni. Míg az első esetben egy olyan hackert ismertünk meg aki egyetlen céljának a rendszer megismerését, a hibák felfedezését, a szakmai előrehaladást látta, addig a második esetben az informatikai fanatizmus, vagy mondatni akár addikció inkább az anyagi haszonszerzés és az információs hatalom birtoklásának eszköze volt.
Poulsen cselekményeiben sokkal inkább felfedezhetők a hagyományos bűnelkövetői jellemzők, mint Morris esetében, ugyanakkor utóbbi cselekménye sem jelenti azt, hogy az innovatív szemlélet elegendő legitimációt adhat az informatikai jogsértések elkövetésének.
A cselekmények veszélyessége szerinti különbségtétel egyébként jól látszik már a 90'-es évek eleji büntető igazságszolgáltatás gyakorlatában is: hiába okozott óriási károkat Morris cselekménye, mégsem alkalmaztak olyan szigorú szankciókat vele szemben, mint Poulsen esetében. Ennek oka véleményem szerint, hogy míg az ő cselekménye csupán az információs rendszerek sérülékenységére mutatott rá, addig Poulsené inkább a hálózatokban rejlő információk kártékony felhasználására és az informatikai bűnelkövetők "hatalomvágyának" problémájára hívta fel a figyelmet. Vélhetően ezért is volt szükség nagyobb mértékű és demonstratívabb büntetés kiszabására Poulsen esetén.
A blog a későbbiekben további hackerekkel folytatódik.
Források:
A Computer Fraud And Abuse Act of 1986 eredeti formája: https://www.cia.gov/library/readingroom/docs/CIA-RDP87B00858R000400480020-8.pdf
A Cornell Bizottság vizsgálatának összefoglalója: http://nnt.es/The%20Cornell%20Commission%20On%20Morris%20and%20the%20Worm.pdf
A Morris ítélet összefoglalása: http://www.rbs2.com/morris.htm
http://www.businessinsider.com/why-robert-morris-didnt-go-to-jail-2013-1
http://www.legalaffairs.org/issues/January-February-2006/feature_zittrain_janfeb06.msp
http://www.findingdulcinea.com/news/on-this-day/July-August-08/On-this-Day--Robert-Morris-Becomes-First-Hacker-Prosecuted-For-Spreading-Virus.html
https://www.nytimes.com/1989/07/27/us/student-after-delay-is-charged-in-crippling-of-computer-network.html?sec=&spon=&pagewanted=1
https://www.nytimes.com/1988/11/08/us/living-with-the-computer-whiz-kids.html?sec=technology&spon=&pagewanted=1
http://www.eweek.com/security/who-let-the-worms-out
https://law.justia.com/cases/federal/appellate-courts/F2/928/504/452673/
http://articles.latimes.com/1995-04-11/local/me-53492_1_kevin-lee-poulsen
https://www.kingpin.cc/about/
https://www.nytimes.com/1992/12/08/us/hacker-indicted-on-spy-charges.html
https://blog.appknox.com/kevin-poulsen-worlds-best-cybersecurity-hackers/
http://mentalfloss.com/article/26767/4-famous-hackers-who-got-caught