Jak uniknąć więzienia za kradzież przedpremierowych danych z Microsoftu i Nintendo

dodał 26 kwietnia 2019 o 08:56 w kategorii Prawo, Włamania  z tagami:
Jak uniknąć więzienia za kradzież przedpremierowych danych z Microsoftu i Nintendo

Pewien Brytyjczyk przez kilka miesięcy posiadał dostęp do niewydanych jeszcze wersji systemu Windows oraz przedpremierowych materiałów firmy Nintendo. Został złapany, lecz do więzienia nie trafił mimo strat idących w miliony.

Umysł osoby autystycznej pracuje inaczej niż u większości ludzi, co może przysporzyć jej dużo kłopotów. Może też okazać się okolicznością łagodzącą, gdy taka osoba zacznie popełniać przestępstwa, np. atakować serwery różnych firm.

Z taką właśnie sytuacją mamy do czynienia w przypadku Zammisa Clarka, byłego pracownika firmy Malwarebytes, znanego w sieci pod takimi pseudonimami jak Slipstream czy Raylee. Pod koniec marca br. przyznał się on przed Sądem Koronnym w Londynie do włamań na serwery Microsoftu i Nintendo. Został skazany na 15 miesięcy pozbawienia wolności w zawieszeniu na półtora roku, co może trochę dziwić, gdy się wie, że zaatakowane firmy oszacowały poniesione przez siebie straty na 2,9–3,8 mln dolarów. Zobaczmy więc, jak do tego doszło, zwłaszcza że adwokat podsądnego w czasie rozprawy porównał jego działania do uzależnienia.

Szukał luk – naruszył prawo autorskie

Po raz pierwszy o Zammisie Clarku mogliście usłyszeć w lipcu 2015 r., kiedy to firma Impero Software postanowiła go postraszyć prawem autorskim za ujawnienie luki w stworzonym przez nią oprogramowaniu. Chodziło o Impero Education Pro, które służy do monitorowania aktywności uczniów i ograniczania im dostępu do niepożądanych stron. Z aplikacji tej wówczas korzystało 27% brytyjskich szkół ponadpodstawowych, a znaleziona przez badacza luka umożliwiała wykonanie dowolnego kodu, co mogło skutkować wyciekiem danych osobowych.

Clark miał wtedy około 20 lat i sądząc po wpisach na Twitterze, interesował się bezpieczeństwem już od dłuższego czasu, nie mógł więc nie słyszeć o zasadzie responsible disclosure, zgodnie z którą przed ujawnieniem błędu w jakikolwiek programie wypadałoby nawiązać kontakt z producentem i dać mu chwilę na przygotowanie poprawek. Impero dowiedziało się o jego odkryciu, dopiero gdy opublikował na GitHubie kod proof-of-concept obrazujący wykorzystanie luki. Tłumaczył się potem w serwisie TorrentFreak, że pół roku wcześniej spotkał przedstawicieli firmy na targach BETT i bez skutku próbował z nimi porozmawiać o bezpieczeństwie. Doszedł więc do wniosku, że szybciej doczeka się poprawki, jeśli poinformuje o luce opinię publiczną. Można uznać, że się nie pomylił, bo podatność została załatana.

Informacja o luce opublikowana na Twitterze, źródło: TorrentFreak

Uparty badacz wziął wtedy pod lupę wydaną poprawkę i stwierdził, że jest niewystarczająca. Tym razem z firmą się skontaktował, ale nie spotkał się z ciepłym przyjęciem. Prawnicy Impero wystosowali do niego pismo z żądaniem usunięcia wpisów o luce. Zarzucili mu naruszenie prawa autorskiego poprzez takie wykorzystanie Impero Education Pro, które nie było przewidziane w warunkach licencji. Clark został oskarżony o modyfikację programu bez upoważnienia producenta, jego dekompilację w celu innym niż poprawienie interoperacyjności oraz upublicznienie poufnych informacji. Zdaniem komentatorów powoływanie się w opisanym przypadku na prawo autorskie nosiło znamiona absurdu, ostatecznie jednak sprawa została rozwiązana po myśli firmy – sporne wpisy zniknęły.

VTech zhakowany ku przestrodze

Słyszeliście o wycieku danych ponad 11 mln osób (w większości dzieci) z serwerów firmy VTech? Doszło do niego w listopadzie 2015 r., miesiąc później brytyjska policja zatrzymała w Berkshire pierwszego – i jedynego, o którym nam wiadomo – podejrzanego w tej sprawie. Był nim, jak się pewnie domyślacie, Zammis Clark. Jego udział we włamaniu wydawał się bezsporny, ale krytykowany z każdej strony producent elektronicznych gadżetów dla dzieci nie palił się do współpracy z organami ścigania i pozwu nie złożył. Opowiedzmy jednak wszystko po kolei.

O incydencie jako pierwszy poinformował Motherboard, powołując się na szczegóły uzyskane od samego włamywacza, który skontaktował się z dziennikarzami, zachowując anonimowość. Wyciek miał dotyczyć 4,8 mln osób dorosłych i 200 tys. dzieci korzystających z platformy Learning Lodge prowadzonej przez chińską firmę VTech. Uzyskanie dostępu do bazy danych było możliwe dzięki SQL injection. W ręce atakującego trafiły imiona i nazwiska rodziców, ich adresy e-mail, informacje o miejscu zamieszkania i hasła (jak ustalił Troy Hunt, przechowywane w formie funkcji skrótu MD5), a w przypadku dzieci – imiona, płeć i daty urodzenia. Okazało się zresztą, że dane spokrewnionych ze sobą ofiar można bez trudu ze sobą powiązać. Redaktorzy serwisu spytali włamywacza, co planuje zrobić z pozyskaną bazą danych, a ten odpowiedział, że nic.

Część danych wykradzionych z firmy VTech, źródło: troyhunt.com

VTech potwierdził atak, ujawniając, że w jego wyniku wyciekło o wiele więcej danych, niż podał Motherboard. Według firmy problem mógł dotknąć w sumie 5,1 mln rodziców i 6,6 mln dzieci będących użytkownikami takich usług jak Learning Lodge, Kid Connect, PlanetVTech i V.Smile Link. Haker ponownie skontaktował się z dziennikarzami, informując ich, że oprócz wymienionych wcześniej danych VTech przechowuje na swoich serwerach kilkadziesiąt tysięcy zdjęć wykonanych przy użyciu Kid Connect, logi czatów (w żaden sposób niezaszyfrowane) oraz nagrania audio. Włamywacz stwierdził, że nie zamierza publikować ani sprzedawać pobranych z bazy danych, dodał jednak, że firma powinna ponieść karę za tak niefrasobliwe ich przechowywanie.

VTech znalazł się wtedy w ogniu krytyki, ale na grzywnę musiał poczekać aż do stycznia 2018 r., kiedy to Federalna Komisja Handlu (FTC) obciążyła go kwotą w wysokości 650 tys. dolarów. Zammis Clark po aresztowaniu przyznał się do włamania, śledztwo zostało jednak umorzone, bo – jak wspominaliśmy – zaatakowana firma nie była zainteresowana jego ukaraniem.

W poszukiwaniu prototypowych kompilacji Windowsa

Kolejny raz bohater naszego artykułu został zatrzymany w czerwcu 2017 r., policja – nie bez racji – podejrzewała go o włamanie na serwery Microsoftu. Do ataku doszło kilka miesięcy wcześniej, pod koniec stycznia. Zammis Clark skorzystał z pozyskanych w niewiadomy sposób danych uwierzytelniających i wgrał webshella (złośliwy fragment kodu dający dostęp do powłoki systemowej przez WWW). Dzięki temu zdołał utrzymać się w sieci Microsoftu przez trzy tygodnie, co pozwoliło mu pobrać 43 tys. plików, włączając przedpremierowe wersje Windowsa. Jak donoszą media, około 7,5 tys. wysłanych przez niego zapytań dotyczyło niewydanych jeszcze produktów, nazw kodowych i numerów kompilacji.

Jakby tego było mało, włamywacz podzielił się dostępem do serwerów na IRC-u, umożliwiając tym samym ich infiltrację kolejnym osobom. Z możliwości tej skorzystali hakerzy z Francji, Niemiec, Zjednoczonych Emiratów Arabskich i innych krajów. Jednym z nich okazał się Thomas Hounsell, twórca nieistniejącej już strony BuildFeed, na której można było znaleźć przecieki dotyczące nowych kompilacji Windowsa – część musiała pochodzić z tego właśnie włamania. Microsoft oszacował straty poniesione w wyniku ataku na 2 mln dolarów. W namierzanie złoczyńców – prócz brytyjskich organów ścigania z NCCU na czele – zaangażowały się FBI i Europol, co skończyło się aresztowaniem zarówno Clarka, jak i Hounsella. Obaj wyszli niedługo za kaucją. Nikt nie pomyślał o nałożeniu na nich jakichkolwiek ograniczeń dotyczących korzystania z komputera i to był błąd.

Na blogu Malwarebytes zachowało się parę artykułów Zammisa Clarka

Warto też wspomnieć, że dla Clarka zatrzymanie skończyło się utratą pracy w firmie Malwarebytes, która – jak pewnie wiecie – tworzy rozwiązania zabezpieczające komputery przez zagrożeniami. Jak wynika z komentarza, którego firma udzieliła serwisowi Ars Technica, badacz włamał się na serwery Microsoftu, zanim został w niej zatrudniony. Gdy szefostwo dowiedziało się o postawionych mu zarzutach, od razu się z nim pożegnało.

Nintendo – kropla, która przepełniła czarę

W marcu 2018 r. Zammis Clark pokusił się o kolejny atak, biorąc na celownik japońskiego producenta gier konsolowych Nintendo. Tym razem skorzystał z VPN-a, ale włamania dokonał w taki sam sposób jak w przypadku Microsoftu. Dostał się na serwery zawierające kody źródłowe niewydanych jeszcze produkcji i utrzymał się w sieci firmy przez dwa miesiące. Zdążył w tym czasie wykraść z bazy danych 2365 loginów i haseł. Spowodowane przez niego szkody Nintendo wyceniło na 0,9–1,8 mln dolarów.

Niefortunnego hakera znowu aresztowano i w końcu postawiono przed sądem. Jak już wspominaliśmy, sąd skazał go na 15 miesięcy pozbawienia wolności w zawieszeniu na półtora roku. Jeśli w ciągu najbliższych 5 lat Clark nie wytrzyma i popełni jakieś przestępstwo, to zastosowany wobec niego Serious Crime Prevention Order przewiduje możliwość nałożenia dowolnej kary finansowej i wsadzenie go na 5 lat za kraty. Stosunkowo łagodny wyrok oskarżony zawdzięcza nie tyle temu, że przyznał się do winy, ile zgrabnej argumentacji adwokata. Ten przedstawił bowiem liczne dowody, że jego klient jest osobą autystyczną i cierpi na prozopagnozję (ma ograniczoną zdolność rozpoznawania twarzy). Ostatecznie sędzia uznał, że umieszczenie Clarka w więzieniu byłoby karą niewspółmiernie okrutną i mogłoby go narazić na przemoc ze strony innych osadzonych. Rodzice 24-letniego podsądnego zobowiązali się zresztą do zorganizowania mu odpowiedniej terapii, a jego matka zrezygnowała w tym celu z wykonywanej dotychczas pracy. Czy ich wysiłki okażą się skuteczne, czas pokaże.

P.S. Razem z Zammisem Clarkiem przed sądem stanął wspomniany wcześniej Thomas Hounsell. Skazano go na 6 miesięcy więzienia w zawieszeniu na półtora roku oraz 100 godzin prac społecznych. Jest mało prawdopodobne, że on również ma autyzm…