Nemohlo to být lépe načasováno. 3. června 1983 šel do kin film WarGames. Válečné hry byly komerčním úspěchem a poprvé představily širší veřejnosti v USA, pochopitelně poněkud stylizovaným způsobem, svět mladých, inteligentních a nudících se nadšenců, kteří hledají „zábavu“ v pronikání do počítačových systémů nejrůznějších společností. Možná jste tento třicet let starý film viděli, pokud ale ne, dovolíme si připomenout ve stručnosti jeho příběh, protože se zvláštní shodou náhod až příliš podobal případu sedmi mladých skautů z Milwaukee.
Hlavní hrdina David Lightman je právě takový – inteligentní, ale znuděný středoškolský student a hacker ze Seattlu, který využívá hackování k různým „vtípkům“ jako je zlepšování známek ve školním počítači a hraní doposud nevydaných her. Je to právě jeho hackerský „hon“ na novou hru, kterou připravuje firma z kalifornského Sunnyvale. Rozhodne se tedy pokusně vytáčet všechna čísla v Sunnyvale ve snaze najít vydavatele a náhodou se dostane do „neoznačeného“ počítačového systému, který obsahuje řadu různých her jako jsou šachy či poker, a také „Rozsáhlou biotoxickou a chemickou válku“ nebo „Globální termonukleární válku“.
Plakát filmu WarGames
Davidovi se nejprve nedaří dvě poslední hry aktivovat, ale kamarádi mu poradí princip zaheslovaných „zadních vrátek“ a navrhnou aby pokusil víc zjistit o „Falkenovi“ autorovi jedné z her, které na počítači jsou – Falkenovo bludiště. Davidovi se o Falkenovi, jednom z prvních programátorů systému zjistit více a přijde i na heslo „Joshua“, jméno Falkenova syna. Co ale netuší, že se přes číslo v Sunnyvale připojuje k systému War Operation Plan Response, který patří NORADu a má za úkol automaticky řídit odpalování jaderných střel v případě nukleárního útoku. Jak se celý příběh odvíjí dál, asi nemusíme rozvádět. Ostatně můžete si onu, z dnešního pohledu možná trochu trochu naivní, hackerskou pohádku pro zkrácení dlouhého zimního večera pustit. Nelze jí upřít jisté kouzlo.
Podobnost větší než malá
WarGames mohly zůstat zábavnou fikcí s reálnými základy, kdyby pouhé dva měsíce po jejich uvedení nenavštívila FBI sedm mladých počítačových nadšenců ve věku 16 až 25 let, kteří se ze svých domovů „navštívili“ na 60 počítačových systémů, mezi nimiž byly, mimo jiné, také systémy Sloan-Ketteringova centra pro výzkum rakoviny v New Yorku, Pacific Security Bank v Los Angeles, nebo centra pro výzkum jaderných zbraní v Los Alamos. Své dobrodružství začali už o rok dříve (rozhodně se tedy nedalo mluvit o „kopírování“ populárního filmu), poté, co se seznámili v místním oddíle Explorer Scout Post 760, který sponzorovalo IBM. Svou skupinu pojmenovali podle telefonního předčíslí Milwaukee: „414“.
„Technologický přestupek, který spáchali, se nazývá „hackování“. Jak naznačuje sám název, je to, jako byste osekávali cihlovou zeď, dokud se neobjeví díra. Tou může být odhalení platného hesla některého uživatele nebo nalezení díry v přihlašovacím programu, díky níž získáte přístup k počítačovému systému bez hesla. Podobné postupy se staly běžně známými teprve v poslední době, zejména díky filmu WarGames.“
Úryvek z článku v New York Times v roce 1983 (Textfiles.com)
414 ale nebyli sofistikovanými hackery. Vlastně byli spíš jako David Lightman – zvědaví experimentátoři, kteří své první zkušenosti ohledně přistupování k počítačovým systémům získali ve škole. Jako první se „otrkal“ Paul Sundquist, kterému se v roce 1982 podařilo přes modem připojit ke školnímu systému VAX/VMS, který běžel na minipočítačích DEC PDP 11. Na „proniknutí“ do systému nemusel být hackerem, stačilo tušit, jak VAX funguje a jaké jsou základní přednastavené účty a hesla. Na počátku 80. let je totiž překvapivě mnoho administrátorů neměnilo – a to byl i případ systému v Milwaukee School of Engineering.
„Ve většině případů poté, co zákazník obdrží počítač, snaží se jej především co nejrychleji zprovoznit a začít na něm pracovat a otázka bezpečnosti je tak ignorována. Řada standardních účtů a nastavení zůstane nezměněna – tak, jak je nechal nastaveny výrobce. Nikdo to nekontroluje, nikdo je nezmění, nebo je změní ve chvíli, kdy už je příliš pozdě… Prolomení školního systému bylo právě tak jednoduché. Správce systému, který už dnes ve škole nepracuje, nastavil jako heslo své příjmení.“
Úryvek z článku v New York Times v roce 1983 (Textfiles.com)
Tehdy patnáctiletý Paul Sundquist nebyl skutečným hackerem. Nebyl ani zkušeným phreakerem, a tak není divu, že jej škola ještě v listopadu 1982 odhalila. Obvinění proti němu byla stažena výměnou za slib, že ve své činnosti nebude pokračovat, a po dvou měsících mu byl vrácen i jeho domácí počítač TRS 80. Jeho rodiče museli zaplatit škole 500 dolarů – zhruba čtvrtinu škod, které svým „experimentováním“ ve školním systému způsobil. Paul ale nepřestal, on i jeho šest kamarádů se rozhodlo, že vyzkouší, zda i další počítače s operačním systémem VAX/VMS jsou tak špatně chráněny. Byly.
OpenVMS, nástupce někdejšího VAX/VMS, se dodnes používá například na některých systémech Hewlett Packard s procesory Itanium.
Potvrdit to mohl dvaadvacetiletý Gerald Wondra, který se úspěšně dostal do počítačového systému již zmíněného Sloan-Ketteringova centra pro výzkum rakoviny v New Yorku, kde se mu mimo jiné podařilo omylem vyřadit z provozu systémy pro fakturaci. Běžel také na VAXu. Podezřelých aktivit a nových účtů v systému si záhy všiml jeden z administrátorů Chen Chui. Poté, co vše opravil, nechal „narušiteli“ v systému vzkaz. S Wondrou dokonce mluvil po telefonu, ten ale svou zábavu nehodlal ukončit – policii a FBI se ho posléze podařilo vystopovat přes telefonní linky až do Milwaukee.
Všechny aktivity skupiny „414“ probíhaly podle podobného scénáře: vytočit telefonní číslo systému s VAX, připojit se na jeho modem a zkusit, zda fungují „přednastavené“ účty a hesla výrobce (často tomu tak bylo). Poté hledali, zda se na daném systému nachází nějaké zajímavé informace či dokumenty, nebo vytvořili několik nových uživatelských účtů (po uvedení WarGames bylo jejich oblíbené jméno pro nové uživatele „Joshua“). Co nalezli v počítačích Centra pro výzkum jaderných zbraní v Los Alamos nebo v systémech Pacific Security Bank v LA, se bohužel nedozvíme – už před třiceti lety se ty skutečně zajímavé podrobnosti bezpečnostních incidentů dařilo poměrně dobře udržet v tajnosti.
Přestože FBI a policie obvinila tři ze sedmi členů „414s“, obvinění byla nakonec stažena nebo zamítnuta soudem – jak vzhledem k tomu, že nedošlo k žádným rozsáhlým škodám, tak s ohledem na nedostatečnou legislativu (státní i federální), která by problematiku hackování v roce 1983 řešila. Někteří z „hackerů“ navíc s policií a FBI poměrně ochotně spolupracovali – jednomu z nich, Nealu Patrickovi, to dokonce přineslo jistou slávu, když se 5. září 1983 dostal na obálku časopisu Newsweek a 26. září vypovídal přes Kongresem o jednoduchosti a rizicích útoků na počítačové systémy.
Nebyli počítačovými génii, skutečnými hackery ani phreakery – většina z nich se nakonec věnovala kariérám mimo IT (Neil Patrick se stal účetním a později vedoucím oděvního podniku, Gerald Wondra skončil po deseti letech jako pouhý elektroinstalatér). Příběh sedmi skautíků ze skupiny „414“ ale hrál ve své době velmi významnou roli – ukázal, že fenomén „zvědavých hackerů“ není zdaleka jen filmovou fikcí WarGames a především byl jedním z prvních případů, které upozornily na naprosto zoufalé (ne)zabezpečení počítačových systémů. Výsledkem medializace případu i slyšení Neila Patricka byla také šestice nových zákonů o počítačových zločinech, které byly v kongresu projednány v roce 1984.
Obálka časopisu Newsweek (zde na výstřižku z článku v Milwaukee Sentinel z roku 1993) s Nealem Patrickem.
I když – podle nedávné tiskové zprávy společnosti Splashdata věnované nejpoužívanějším heslům se v minulém roce stalo nejčastějším heslem „123456“, jistě změna k lepšímu oproti roku 2012, kdy bylo nejběžnějším heslem „password“.
ČLÁNKY DO MAILU