Hacker-ul român care a spart site-ul Marinei Britanice: "Nu sunt un terorist"
- Adam Popescu
- 15 noiembrie 2010, 19:08
EXCLUSIV. Tinkode, românul care susţine că a spart mai multe site-uri guvernamentale străine, spune că ce face el e benefic pentru securitate.
Alege să-şi spună "Răzvan". Şi vârsta o dă "în jurul a 20 de ani". Câteva rezerve trebuie totuşi să apară. Nu ştii dacă "Răzvan" e chiar numele lui sau unul ales pe lângă cel de hacker, TinKode. Cert e că e tânăr, poate chiar foarte tânăr, că e român şi e menţionat deja prin documente publice ale US Army drept "o ameninţare". Asta după ce a spart câteva subdomenii de internet ale puternicei instituţii pentru a le face publice vulnerabilităţile.
Apoi a postat pe blogul său, pe site-ul video Vimeo sau pe Twitter, cu nonşalanţă, "faptele de vitejie". Din câte scrie acolo, TinKode a făcut până acum de ruşine US Army, NASA sau Youtube.
Un spărgător "de bine"
Pe TinKode e de ajuns să-l cauţi pe site-urile unde postează "cuceririle". Pentru că, în lumea hackerilor, e şi o chestiune ce ţine de orgolii. În ultima sa postare (de pe Twitter şi blogul personal) susţine că a găsit slăbiciuni în unul dintre site-urile Marinei Regale Britanice.
Nu a publicat documente "Top Secret", ci a lăsat, aşa, mai mult un mesaj care să le arate că sunt vulnerabili. Presa britanică a scris însă că e un gest care face de ruşine Royal Navy, iar pe Wikipedia îi apare numele ca referinţă la capitolul "SQL Injection" - metoda folosită de a sparge site-ul Royal Navy.
De ce sparge totuşi TinKode toate site-urile astea? Pentru că, spune el, deşi e ilegal, el face de fapt un bine. Din ce descrie, s-ar vrea un soi de spărgător care nu-ţi ia nimic din casă, dar îţi lasă un bilet pe pat în care spune că trebuie să-ţi schimbi yala. Hacker-ul TinKode a acceptat să răspundă, la o săptămâna de la "spargerea" site-ului Royal Navy, sub protecţia anonimatului, la câteva întrebări pentru "Evenimentul zilei".
PRIN UNIVERSUL UNUI HACKER
"Arăt cum instituţii în care s-au investit milioane de dolari pentru securitate pot fi sparte"
EVZ: Ce ne poţi spune despre tine? Cine e TinKode? TinKode: Ce aş putea să detaliez despre mine ar fi: Sunt un tip sociabil, căruia îi place să îşi petreacă foarte mult timp cu prietenii şi să se distreze. Presupun că mulţi cred că sunt un obsedat de internet, petrecând 10 ore/zi pe calculator, dar, de fapt, dacă stau 1-2 ore. Numele meu real este Răzvan şi locuiesc într-o frumoasă regiune din România, din sud. Nick-ul meu, TinKode, nu reprezintă nimic. Cu ceva ani în urmă vroiam să am un nick unic. Am încercat pe Google diferite combinaţii de cuvinte, până am dat de "TinKode" care a dat "0 rezultate găsite".
Ultima ştire legată de Tinkode şi hacking se referă la site-ul Marinei Regale Britanice. Royal Navy a negat însă atacul. Cum ai spart site-ul? Din câte am citit în articolele de pe site-urile ziarelor şi televiziunilor, nu au negat faptul că au fost "hacked", ci mai degrabă că nu s-au extras date foarte importante, cum ar fi informaţii Top Secret (chiar dacă aş fi avut şansa să obţin aşa ceva, nu m-ar fi interesat). Metoda prin care am avut acces la ei, nu e una dificilă, şi anume MySQL Injection (am observat ca sunt mulţi "cunoscători" care îşi dau cu părerea şi explică cât este de uşor, dar aparenţele înşeală, treburile se schimbă când este intâlnit WAF - Web Application Firewall).
De ce ai ales acest site? În ultimul timp am ales să "testez" securitatea mai mult site-uri militare. Am ales să sparg mod.uk, pentru ca este cel mai important website al Angliei la capitolul armată.
"Am avut acces la documente oficiale"
În "palmaresul" tău de pe Twitter sunt mai multe alte ţinte similare: site-uri afiliate US Army, NASA, Youtube. Care a fost cel mai greu de spart şi de ce? Dacă mă gândesc mai bine, fiecare a fost mai greu de spart în felul lui, dar am un motto pe care il respect: "Where is a will, there is a way" - atunci când vrei cu adevărat să obţii ceva, întotdeauna găseşti un drum pentru a obţine lucrul respectiv. "Să nu-ţi fie teamă să iei taurul de coarne", cum ar veni. În cazul NASA: Acum câţiva ani vedeam la TV şi citeam pe multe site-uri cum X a spart NASA şi mi s-a părut un lucru cool, mi-am propus să îmi demonstrez că pot avea acces şi eu. La site-urile armatei SUA a fost ceva mai greu de obţinut acces, pentru că aici nu am mai putut folosi metode des utilizate pentru a obtine acces - am petrecut ceva mai mult timp ca să intru, dar a meritat zic eu.
Când am "spart" Youtube a fost ceva mai usor, deoarece nu am gasit o vulnerabilitate foarte "critică", din punctul de vedere al unui specialist (XSS - Cross-Site Scripting), dar prin care se putea obţine acces la orice cont de Youtube - chiar, cum ar fi să avem access la contul de youtube al BBC, al CNN, etc.? (adaugă un smiley cu "rânjet"), sau să redirecţionezi pagini către altele false, infectând utilizatorii cu viruşi, spyware, keyllogers, stealers, etc.
Pe lângă site-uri guvernamentale, se numără Youtube. De ce ai ales site-ul ăsta, de divertisment? Nu l-am ales intenţionat. Ca să explic mai bine, cu ceva timp în urmă, cam pe 1,2 iulie am citit un articol interesant despre XSS si HTML5, după care mi-am amintit că şi YouTube tocmai acceptase să foloseasca HTML5 şi aşa am încercat să văd dacă pot găsi ceva slab acolo. Rezultatul a fost cel postat pe blog pe 4 iulie (o prezentare a modului cum a fost "hack"-uit Youtube - n.r.).
Ai avut vreodată acces la documente confidenţiale de pe site-urile sparte? Dacă ai avut acces, de ce nu le-ai făcut publice (pe modelul Wikileaks)? Recunosc că am avut acces la documente confidenţiale, dar prefer să mă abţin să spun şi ce tip de documente. În plus, nu mă pasionează aşa ceva, nu de alta, dar sunt conştient că pot avea probleme grave dacă aş publica sau aş deţine asemenea informaţii. Eu vreau doar să arat cum firme, instituţii, companii etc. în care s-au investit milioane de dolari pentru securitate pot fi totuşi "sparte". Ceea ce fac eu, din punctul meu de vedere e un lucru bun, pentru că ar putea veni altcineva cu intenţii rele - hackerii din categoria "BlackHat" (care accesează site-uri pentru a fura informaţii sau a dăuna companiilor - n.r.) - şi ar face adevărate pagube. E un lucru jenant pentru companiile respective, dar totuşi foarte adevărat.
"M-au făcut să mă simt mândru că sunt român"
Eşti menţionat în anumite dosare de presă ale USArmy după ce le-ai spart site-uri asociate, sugerându-se că ai fi "terorist"? Te consideri un terorist? Nu, nu mă consider terorist, dar mi se pare un lucru firesc să apar prin acele "dosare de presă" deoarece totuşi ce am spart şi publicat are legătură cu armata.
În urmă cu câteva luni, mai mulţi hackeri români, auto-intitulaţi Romanian National Security (RNS) au spart site-urile unor mari ziare europene care au publicat ştiri negative la adresa românilor. Tu ce crezi despre acţiunile lor? Părerea mea despre acei "băieţi" e una extraordinară, mai ales că m-au făcut să mă simt mândru că sunt român (şi nu cred că aş fi singurul care a avut asemenea sentimente). Mi-au plăcut că au fost deştepţi şi au ştiut cum să se protejeze, fără să lase vreo urmă despre cine sunt, de unde au apărut, sau cum să fie găsiţi. Bravo lor!
DUPĂ "LOVITURA" ROYAL NAVY
"Am primit ofertă de a lucra la Google, din SUA"
Cum ai devenit hacker? Şi de ce ai ales asta? Un lucru care vreau să se ştie despre mine: eu nu mă consider hacker. Am observat că mulţi puştani se cred aşa (folosesc programe făcute de alţii pentru a putea să spargă alte site-uri, ei neştiind nici măcar cum funcţionează acele aplicaţii - ăştia, mai pe scurt, sunt numiţi "script-kiddies"). Am decis să învăţ mai multe despre hacking /security mai mult din ambiţie. Acum mulţi ani am avut o "echipă" mică, de puşti, unde eram privit de sus de ceilalţi membri, după care am fost dat afară. Din acel moment le-am promis că în cel mai scurt timp voi fi peste ei la capitolul cunoştinţe şi aşa a fost.
Ce ştii despre legislaţia din domeniul infracţiunilor pe internet? Eşti conştient de posibile urmări ale acţiunilor tale? Da, sunt conştient de posibilele urmări ale acţiunilor mele, pentru că nimic din ceea ce fac eu, să zic aşa, nu e prea legal. Dar, în acelaşi timp, fac un bine, fără să întrec o limită imaginară care mi-ar putea aduce probleme.
Nu te temi totuşi că, la ce tehnologie există azi şi ţinând cont că ai intrat în atenţia FBI, de exemplu, vei fi prins? Sunt mai mult ca sigur că, dacă cineva ar dori sa ma prindă, gen FBI, CIA etc., ar face-o fără mari probleme. În orice caz, "persoanele" care sunt arestate, sunt aceia care se ocupa cu carduri, fraude online, sau, mai clar, aceia care se ocupă de bani! Mie personal mi se pare o prostie să golesc contul unui om nevinovat care poate a muncit foarte mult să obţină acea sumă.
Totuşi, "hacking"-ul e considerat, până la urmă, o infracţiune. Ce înseamnă pentru tine? Pentru mine înseamnă "libertate", nu îmi place să fiu un tip conformist. Şi cred că dacă ai informaţia pe care o doreşti, categoric ai şi putere.
Nu te deranjează publicitatea, apari în sute de ştiri în toată lumea, dai interviuri. De ce? Nu mă deranjează deloc, pentru ca aşa pot ieşi în evidenţă. Şi - de ce nu? - poate cineva e interesat de mine, să lucrez pentru ei.
Se spune că mulţi hackeri, dacă sunt prinşi, ajung să fie angajaţi de FBI sau alte structuri. Te-ar tenta un astfel de job? Cum spuneam mai sus, da, de ce nu? Ar fi ideală o asemenea slujbă. În ultimele zile am primit mai multe cereri de interviuri de la presă şi chiar o ofertă de a lucra la Google, din SUA.