30.11.2012 | 23:08

Adam Haertle

O człowieku, który stawił czoła chińskim hakerom – i przegrał

Historie, w których występują chińscy hakerzy, z reguły dotyczą rządów i wielkich korporacji. Poniżej opisujemy przypadek małej firmy z USA i jej właściciela, którzy pozwali chiński rząd i padli ofiarą zorganizowanej grupy włamywaczy.

Brian Milburn, założyciel i prezes Solid Oak Software Inc, małej rodzinnej firmy programistycznej z Kalifornii, zbudował swój biznes od zera. W latach 90tych stworzył pierwszy w historii program dla rodziców, chcących zablokować dzieciom dostęp do nieodpowiednich treści w sieci – CYBERsitter. Po kilkunastu latach z jego programu korzystało ponad 2 miliony użytkowników na całym świecie.

Chińska Zielona Tama

W 2008 roku chiński rząd, obawiając się wpływu internetu na dzieci i młodzież (oraz zapewne na dysydentów) zamówił oprogramowanie służące do blokowania stron WWW. Przetarg na jego wykonanie wygrała firma Zhengzhou Jinhui Computer System Engineering Ltd., która na początku 2009 roku dostarczyła gotowy produkt pod nazwą Green Dam Youth Escort. Zgodnie z zarządzeniem Ministerstwa Przemysłu i Technologii, od 1 lipca 2009 program miał być zainstalowany na każdym nowym komputerze sprzedawanym w Chinach. Co prawda korzystanie z niego nie było obowiązkowe, jednak pomysł wzbudził spore niezadowolenie społeczne i rząd wycofał się po kilku miesiącach z obowiązku instalacji.

W czerwcu 2009 naukowcy z Uniwersytetu Michigan poddali analizie kopię Green Dam. Udało się im złamać wewnętrzne szyfrowanie programu, dzięki czemu odczytali pliki konfiguracyjne. Ku swojemu zaskoczeniu, w kodzie programu znaleźli spore fragmenty, wskazujące na wykorzystanie elementów programu CYBERsitter. Aby nie było żadnych wątpliwości, pliki konfiguracyjne programu zawierały linki do aktualizacji przechowywanych na serwerach CYBERsitter oraz komunikat firmy Solid Oak.

Pierwsze ataki

Kiedy Brian Milburn dowiedział się, że Chińczycy ukradli jego kod, 15 czerwca 2009 poinformował media, że rozważa pozwanie chińskiego rządu za kradzież własności intelektualnej. Kilka dni później zaczęła się jego kilkuletnia walka z chińskimi włamywaczami.

24 czerwca jego córka, prowadząca dział marketingu firmy, otrzymała emaila, którego nadawcą wydawał się jej ojciec. Dopiero późniejsza analiza wykazała, że adres email nadawcy różnił się o kilka liter od oryginalnego adresu firmy. Niestety zanim zorientowała się, że to podstęp, uruchomiła załącznik z wiadomości. Z pomocą znajomego eksperta do spraw bezpieczeństwa Milburn dowiedział się, że koń trojański, uruchomiony przez jego córkę, pobrał z sieci kolejne narzędzia włamywaczy. Ekspert stwierdził, że narzędzia te były stworzone na komputerze, na którym domyślnym językiem był chiński. Kiedy kilka tygodni później córka Milburna pracowała z prawnikami, wynajętymi przez ojca, zauważyła, że mruga światełko sygnalizujące, że kamera jej laptopa została włączona. Milburn interweniował, zaklejając wszystkie kamery i mikrofony czarną taśmą.

W ciągu kolejnych tygodni serwery pocztowe firmy zaczęły się znienacka restartować, czasem kilka razy tygodniowo. Podobny problem spotkał serwery www, poważnie zakłócając proces sprzedaży oprogramowania, stanowiący podstawę przychodów firmy. Kiedy kolejni pracownicy otrzymali emaile ze złośliwym oprogramowaniem, Milburn poprosił o pomoc FBI. Agenci skopiowali próbki przesłanego oprogramowania oraz logi serwerów, jednak nie przekazali firmie żadnych informacji.

Pozew i uparty właściciel – samouk

Milburn kontynuował prace z wynajętym zespołem prawników i w styczniu 2010 złożył pozew na 2,2 mld dolarów przeciwko chińskiemu rządowi oraz firmom, produkującym i sprzedającym (wraz z kopią programu Green Dam) nowe komputery na chińskim rynku: Sony, Acer, BenQ, ASUSTeK, Toshiba, Lenovo oraz Haier. Był to sprytny ruch – w razie, gdyby nie dało się uzyskać odszkodowania od rządu Chin, zawsze można było próbować otrzymać je od firm, działających również na amerykańskim rynku. Kwota pozwu może wydawać się przesadzona, jednak w momencie jego składania skradzione oprogramowanie zainstalowano na ponad 50 milionach komputerów, a jednostkowa cena jednej licencji wynosiła 40 dolarów.

Kilka dni po złożeniu pozwu kancelaria, z która współpracował Milburn, została zaatakowana w podobny sposób jak wcześniej firma Solid Oak. Pracownicy otrzymali emaile z załącznikami, których analiza ponownie wskazała na chińskie pochodzenie autorów ataku. Milburn zrozumiał, że Chińczycy za wszelką cenę chcą poznać jego strategię prowadzenia procesu. Postanowił w związku z tym przedsięwziąć odpowiednie kroki.

Czy Milburn zatrudnił zewnętrzną firmę, by przeprowadziła audyt jego sieci oraz komputerów? Nie. Czy wynajął przynajmniej sprytnego syna sąsiadów, by ten przeskanował jego systemy? Nie. Milburn postanowił sam zająć się problemem. Aby lepiej zrozumieć jego decyzję, trzeba przypomnieć, że Milburn był wyjątkowo upartym samoukiem. Nie ukończył studiów, sam nauczył się programować i sam został autorem sukcesów swojej firmy. Sam zbudował też od podstaw sieć w firmowym biurze. O jego uporze niech świadczy fakt, że potrafił wydać 100 tysięcy dolarów na proces z sąsiadem o 2 metry działki. Proces zakończył się podziałem spornego terenu po połowie. Podobne podejście zastosował wobec komputerowych intruzów – postanowił pokonać ich własnoręcznie. Nie zdawał sobie wtedy jednak sprawy, z kim miał do czynienia.

Metody obrony

Milburn i jego zespół prawników zaczęli korzystać z jednorazowych kont pocztowych do wymiany emaili. Dokumenty przesyłali sobie przez Dropboxa, za każdym razem zakładając nową skrzynkę. Milburn kupił kilka telefonów komórkowych od kilku różnych operatorów i jeździł do pustego domu, którego był właścicielem, by stamtąd prowadzić rozmowy i wysyłać korespondencję.

Tajemnicze ataki nasiliły się po złożeniu pozwu. Serwery zawieszały się teraz nie kilka razy w tygodniu, ale kilka razy dziennie. Milburn spędzał mnóstwo czasu, próbując przywrócić działanie infrastruktury firmy. Zainstalował też firewall SonicWALL, który pewnej nocy zawiesił się, odcinając całą firmę od sieci. Podobno nawet producent urządzenia był tym zaskoczony – wcześniej nigdy się to nie zdarzało. W pewnym momencie zrozpaczony Milburn prześledził z latarką w ręku trasy wszystkich kabli komputerowych w biurze firmy w poszukiwaniu nielegalnie podłączonych urządzeń, lecz nie znalazł niczego podejrzanego. Napisał też oprogramowanie, które miało monitorować wychodzące połączenia z jego komputera, jednak niczego nowego nie wykrył.

W kwietniu 2010, w trakcie rutynowej kontroli jednego z serwerów, odnalazł ukryty w głęboko zagrzebanym folderze plik z hashami ośmiu haseł, umożliwiających administrację całą siecią. Kilka dni później plik z hashami zniknął, a na jego miejscu pojawiło się kilka nieznanych mu narzędzi, służących do penetracji sieci korporacyjnych.

Spadek przychodów

W tym samym czasie, gdy z uwagi na toczący się proces media często wspominały jego firmę, Milburn wypuścił nową wersję CYBERsittera, jednak sprzedaż, zamiast wzrosnąć, malała. Analiza wykazała, że wiele zamówień nie kończy się płatnością – czasem nawet prawie 100%. Milburn tak zaangażował się w walkę z włamywaczami, że wstawał o 5 rano, na obiad i kolację jadł gotowe kanapki i wieczorem, po całym dniu pracy, wracał do biura sprawdzić serwery. Jednego wieczoru odkrył, że w skrypcie odpowiedzialnym za realizację transakcji brakuje jednego cudzysłowu. Cudzysłów czasem się pojawiał, a czasem znikał. W ten sposób włamywacze zniechęcali klientów firmy do zawierania transakcji. W ciągu kilku miesięcy prawie doprowadzili jego firmę do bankructwa.

W kwietniu 2012 Milburn zawarł ugodę, kończąca proces. Jej szczegóły nie zostały ujawnione, jednak prawdopodobnie pozwane spółki zgodziły się zapłacić kwotę satysfakcjonującą Milburna. Wśród stron ugody na pewno zabrakło chińskiego rządu, który nie brał udziału w procesie. W ciągu dwóch miesięcy od zawarcia ugody aktywność włamywaczy przestała być zauważalna. Milburn, u którego zdiagnozowano poważne objawy ciągłego stresu, przyznał niedawno, że przegrał walkę z hakerami: „Okazali się lepsi ode mnie”.

Z kim miał do czynienia

Na prośbę dziennikarzy, opisujących jego historię, Milburn udostępnił pliki, które odnalazł w swoim systemie. Specjaliści z firmy Dell SecureWorks po analizie odkrytych i przechwyconych narzędzi doszli do wniosku, że za atakami stała grupa zwana Comment Group, znana z ataków na rządy innych krajów i największe korporacje. Milburn, samouk bez doświadczenia w dziedzinie bezpieczeństwa komputerowego, nie miał z nimi żadnych szans.

Błędy popełnione przez Milburna

Uparty właściciel firmy popełnił w zasadzie jeden błąd – postanowił sam, bez odpowiedniej wiedzy, stawić czoła włamywaczom. Opisywana przez dziennikarzy historia pełna jest momentów, w których każdy z czytelników zapewne pyta „I co zrobił z tą wiedzą?” – jak chociażby wtedy, kiedy Milburn odkrył na dysku hashe haseł lub gdy zauważył po kilku miesiącach, że ktoś modyfikuje jego stronę www.

Metody, stosowane przez Milburna, jak zmiana kanału komunikacji czy jednorazowe skrzynki mogły być skuteczne w przypadku przestępców, chcących uniknąć policyjnej inwigilacji. W przypadku ataku włamywaczy na systemy firmy jego strategia okazała się całkowicie nieprzydatna. Jego błędne decyzje o mało co nie doprowadziły firmy do bankructwa, a zwykły uczeń gimnazjum, interesujący się bezpieczeństwem komputerowym, mógłby lepiej od niego zabezpieczyć sieć firmy. Powyższa historia jest świetnym przykładem, jak nie należy postępować w przypadku ataku włamywaczy.

Powrót

Komentarze

  • 2012.12.02 15:35 GabbaMan

    Ja bym w takim przypadku chyba zaczął od przeniesienia wszystkich usług po prostu do profesjonalistów od grubej rurki. Postawił serwery wszystkie bezpośrenio u AKAMAI…?. A wracając do arta – to że ” bohater ” opowieści chciał sam sobie dać rade… w sumie tez bym próbował… Ale co spuchł w końcu i jaka konkluzja – wołać na pomoc Pan(ów )a od TPP / czy niebezpiecznych.pl …? Mówiąc, że gimbusiarz ogarnie sam temat to chyba troche pojechane po bandzie, bo na dziurawy router z przestarzałym softem też się znajdzie hak zawsze… niezaleznie czy chodzi na gargoJLu czy nie…

    Odpowiedz
    • 2012.12.03 09:28 mnmnc

      @GabbaMan Akamai to serwis cache’ujący a nie hostujący.

      Odpowiedz
      • 2012.12.07 13:03 trt

        próbować można, ale po tym Akamai nie wróżę Ci sukcesu

        Odpowiedz

Zostaw odpowiedź do trt

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

O człowieku, który stawił czoła chińskim hakerom – i przegrał

Komentarze