Hlavní navigace

Příchod hackerů: operace Sundevil

7. 1. 2014
Doba čtení: 6 minut

Sdílet

Místem, kde jste před masovým nástupem internetu mohli najít informace o bezpečnostních slabinách počítačových systémů, byly BBS. Právě ty se staly cílem prvního celostátního zátahu proti „hackerům“. Operace Sundevil měla být reakcí na údajný útok na telefonní síť AT&T. Ten se ale ve skutečnosti nikdy nestal.

Tajná služba vyslala jasný vzkaz všem počítačovým hackerům, kteří se rozhodli porušovat zákony této země v naivní víře, že mohou zůstat nepovšimnuti skrývajíce se za relativní anonymitou svých počítačových terminálů. Podzemní skupiny byly založeny s cílem výměny informací potřebných pro své zločinné aktivity. Tyto skupiny mezi sebou často komunikují prostřednictvím počítačových vzkazů nazývaných “vývěskové systémy”. Ze zkušenosti víme, že řada podezřelých hackerů již dávno nejsou pomýlení mladíci hrající zlomyslné hry ze svých pokojíků. Někteří se stali provozovateli počítačových systémů určených pro nelegální činnost.”

Garry M. Jenkins, asistent ředitele US Secret Service. 9. květen 1990

Mezi 7. a 9. květnem 1990 proběhl v Cincinatti, Detroitu, Los Angeles, Miami, Newarku, Phoenixu, Pittsburghu, Richmondu, Tucsonu, San Diegu, San Jose a San Franciscu první velký “zátah” na počítačové “hackery” v historii. Jeho údajným cílem měli být nebezpeční kyberteroristé a zločinci zbohatlí krádežemi identit nebo korporátních tajemství. Hlavním cílem operace měli být hackeři útočící na telefonní sítě, které v té době vstupovaly do fáze digitalizace a staly se tak zajímavé nejen pro tradiční “phreakery” (věnovali jsme jim jeden z předchozích dílů seriálu – o Kapitánu Crunchovi), ale i pro zvídavé počítačové hackery, hledající slabiny systémů a nějaké ty tajné firemní informace – v té době ještě spíše pro zábavu, než s vidinou zisků. Nicméně koncem 80. let se i v hackerské komunitě začaly objevovat první případy zneužití čísel platebních karet. Byli to tedy telefonní phreakeři, hackeři a první zloději platebních informací, na které se tajná služba společně s policií zaměřila.

Ve skutečnosti ale byly zabavovány spíše počítače a modemy elektronických vývěskových systémů (BBS), jejichž harddisky a diskety obsahovaly mimo jiné návody, jak oblafnout telefonní ústředny, známé slabiny operačních systémů, nejrůznější hackerské softwarové nástroje a pochopitelně i nelegální kopie software, který se prostřednictvím některých BBS šířil. Ostatně samotné prohlášení Garryho Jenkinse nehovořilo o žádné konkrétní trestné činnosti, jen o výměně informací. Proč ale zrovna BBS, když hackeři své postupy, plánky a rady už od roku 1984 veřejně šířili prostřednictvím čtvrtetníku 2600: The Hacker Quarterly? Odpověď lze najít v prvním dodatku americké ústavy chránícím svobodu slova.

Časopis 2600 The Hacker Quarterly chránil první dodatek ústavy. BBS nikoliv. Obálka jarního vydání z roku 2012.

Selektivní legislativa

Osmdesátá léta byla v USA obdobím, kdy vznikaly první zákony, jimiž bylo možné postihovat počítačové hackery (koneckonců v minulém díle jsme citovali Kevina Mitnicka, který počátkem osmdesátých let dobře věděl, že i když ho má FBI “na mušce”, nemůže s ním nic dělat – tehdejší zákony řešily elektronický zločin pouze ve sféře telefonních sítí). V roce 1990 byla ale situace jiná – zákony byly hotové a do značné míry otestované (jedním z pokusných králíků byl koncem 80. let právě Mitnick).

Jenže zatímco oblast raného kyberzločinu američtí zákonodárci pokryli relativně dobře, poněkud “pozapomněli” na otázku platnosti prvního dodatku v digitálním světě. Policie i Tajná služba si dobře uvědomovaly, že zavřít tištěný časopis jako bylo 2600 a jeho vydavatele Erica Corleye (který dodnes časopis vydává pod pseudonymem Emmanuel Goldstein) by představovalo náročnou legislativní bitvu s velmi nejistým výsledkem. Otázka ochrany svobody slova v elektronické podobě ale zatím nebyla řešena, a tak byla mnohem lepší šance omezit šíření nežádoucích informací v prostředí BBS.

Eric Corley (známý jako Emmanuel Goldstein), vydavatel časopisu 2600. Fotografie z roku 2011.

Celá kauza přitom vlastně byla do značné míry právě o svobodě slova – zejména v případě, že by šlo o BBS, jejichž prostřednictvím se šířily pouze hackerské postupy, návody nebo seznamy slabin operačních systémů. Zjednodušíme-li to, je to v podstatě totéž, jako postavit před soud vydavatele nebo distributora kutilského časopisu, který zveřejní návod na výrobu sady paklíčů nebo nástražného systému. Nicméně je-li vhodná konstelace, smí se kácet les, i když létají velké třísky. A v roce 1990 taková konstelace nastala díky rozsáhlému lednovému kolapsu telekomunikační sítě AT&T, z něhož byli hackeři (neprávem) obviněni a jemuž se stejní hackeři (právem) vysmívali.

Skvělá záminka

V pondělí 15. ledna 1990 zkolabovaly dálkové telefonní linky AT&T. Výpadky telefonní sítě nebyly ničím neobvyklým, ale výpadek který postihl šedesát tisíc domácností, byl nevídanou věcí. Během devíti hodin nakonec nemohlo být spojeno na sedmdesát milionů telefonních hovorů. Byl to, podobně jako v rozvodných sítích, lavinově se šířící kolaps, který začal v pondělí odpoledne v jediné ústředně na Manhattanu, odkud se začal šířit obrovskou rychlostí. Částečně či zcela mimo provoz byla nakonec celá polovina telefonní sítě AT&T, zatímco druhá polovina byla na pokraji kolapsu díky přetížení. Po devíti hodinách technici konečně odhalili příčinu, která byla čistě softwarového charakteru, její plné pochopení jim ale zabralo několik týdnů a odstranění nakonec zabralo více než rok. Zpočátku ale nebylo jasné, co problémy se softwarem způsobilo, a ve hledáčku se záhy ocitli hackeři, o nichž bylo dobře známo, že si s telefonní sítí a ústřednami rádi „zahrávají“, a kteří se AT&T vysmívali, jak nekvalitní že má software.

V AT&T sice po několika týdnech jednoznačně odhalili, že chyba byla skutečně v jejich vlastní interně vyvíjené aplikaci a vydali veřejnou omluvu, nicméně zároveň naznačovali, že podobný incident může hrozit i u jiných operátorů. Zároveň se neobtěžovali o skutečných příčinách informovat bezpečnostní složky, které tak hledaly možné viníky v hackerské komunitě. To se sice nepodařilo, nicméně pro Tajnou službu, FBI a policii byl incident skvělou záminkou pro rozjetí akce, která byla připravována již od roku 1989: Operace Sundevil. Tak obrovský incident, jaký se stal v AT&T, koneckonců v očích vyšetřovatelů i veřejnosti musel mít nějakou příčinu – že by k podobnému kolapsu mohlo dojít pouhou softwarovou chybou jaksi „samo od sebe“ bylo v roce 1990 jen stěží představitelné. Bylo nutné najít důkazy a viníky.

Operaci Sundevil předcházelo několik jednotlivých razií a zatčení celebrit, jakými byli Terminus, Mentor či Erik Bloodaxe (ze slavného Legion of Doom), nicméně hlavní akce, v níž 150 agentů tajné služby společně s policií provedlo 27 domovních prohlídek, byly zabaveny desítky počítačů a modemů a desetitisíce disket, proběhla v květnu. Zatčeni byli Tony the Trashman, Dr. Ripco a Electra (vše jsou pochopitelně hackerské přezdívky). Mezi zabavenými materiály byla mimo jiné dokumentace nouzového komunikačního systému E911 společnosti Bell South, která se měla stát jedním z klíčových důkazů, než se přišlo na to, že stejný dokument bylo možné si bez problémů objednat v katalogu Bell South.

Miliony dolarů… a výsledek?

Operace Sundevil měla být skvělým PR a hrozbou hackerské komunitě. Nakonec se ale stala pro tajnou službu naprostým debaklem. Většina zabaveného vybavení musela být vrácena, několik vyšetřování bylo zastaveno a vznesená obvinění stažena (ve vězení nakonec skončili jen Terminus a členové Legion of Doom zatčení již v únoru – ti ale nebyli zadrženi v rámci operace Sundevil). Postižen byl jen zlomek všech BBS, které v té době byly v provozu – a většina jich během pár měsíců svůj provoz obnovila.

CS24 tip temata

Sundevil se ale stal obrovským impulzem pro občanské aktivity v oblasti digitálních práv. V reakci na operaci a s cílem zajistit financování zadržených provozovatelů BBS vznikla organizace Electronic Frontier Foundation, která dnes patří k nejvýznamnějším ochráncům práv a svobod v elektronickém světě, a založena byla i CPSR – Computer Professionals for Social Responsiblity.

Vedení AT&T ale mělo skutečně těžké chvíle ještě před sebou. 1. a 2. července 1991 vypadl během rutinní údržby software digital System 7 v telefonních ústřednách ve Washingtonu, Pittsburghu, Los Angeles a San Franciscu. Problémy s telefonem postihly 12 milionů domácností, podniků a úřadů. Podezření na hackery bylo stále jednou z možností, ale AT&T už připouštělo, že se jedná spíše o chybu v softwaru. Vůbec největší výpadek, AT&T teprve čekal – na vině tentokrát nebyl software, ale prostý výpadek elektřiny i záložních zdrojů, při němž selhaly i varovné systémy, které měly monitorovat záložní baterie. Veškeré telefonní linky tak vypadly nejen v New York City, ale také na třech letištích. Do cíle se ten den nedostalo na 85 000 cestujících – a řada z nich nemohla ani zavolat svým rodinám či zaměstnavatelům. Ani tentokrát neodstavili provoz na letišti hackeři či teroristi, ale neschopná telefonní společnost.

Použité zdroje

Autor článku