16-åring arrestert for omfattende hacking

En canadisk skolegutt ble i forrige uke pågrepet mistenkt for å ha stått bak en rekke angrep på nettsteder i USA, Canada og Norge. Hackeren ble oppsporet blant annet på grunn av arbeid gjort av to norske serveradministratorer.

En 16 år gammel gutt fra Montreal-området i Canada ble i forrige uke pågrepet av Canadas ridende politi, mistenkt for å ha brutt seg inn på nettilkoblede datamaskiner i Canada og USA, blant annet hos NASA og MIT. Også et norsk nettsted - www.kvinesdal.com - er blitt berørt av 16-åringens handlinger.

Rune Kristian Viken, administrator av nettstedet www.kvinesdal.com, forteller til digi.no at han og hans kollega Einar Flesaker oppdaget at noe var galt den 24. desember i fjor. Etter hvert oppdaget de at alt som lå på serveren var blitt slettet. Selskapet hadde på det tidspunktet ikke backup av disken, slik at ødeleggelsene var varige.

Ifølge Viken foregikk hackingen ved å utnytte en overflytsfeil i stakken til programmet qpopper 2.2 som gikk som POP3-daemon (e-postserver) på den angrepne Linux-serveren. Dette gjorde det mulig for hackeren å kjøre hva som helst av kode på serveren - inkludert kode som la han selv til i brukerdatabasen. Dette ga ham også rot-aksess til systemet, det vil si at han fikk alle rettigheter.

- Skadene som oppstår når noen utfører kommandoen rm -rf / i Unix er rimelig brutale - alt blir slettet, sier Viken. Han forteller videre at hackeren trolig forsøkte å ta over den populære kanalen #norge på EFnets IRC-server gjennom serveren til www.kvinesdal.com. Hackeren greide ikke dette, men slettet i stedet alt som lå på serveren til www.kvinesdal.com. Viken vet ikke om det var snakk om en slags hevn eller om hackeren med dette ønsket å slette alle sine spor.

Tilfeldigvis var Flesaker innom IRC akkurat på det tidspunktet forsøket på overtagelsen av #norge skjedde. Han skjønte noe var galt og koblet seg på www.kvinesdal.com sin server via telnet. Der fant han etter hvert to uautoriserte innlogginger, hvorav én slettet hele serveren.

Adressene som ble registrert i forbindelse med disse to innloggingene førte ikke fram til den eller de som hadde brutt seg inn. Derimot viste de seg å være to anonyme og dårlig oppsatte Wingate-bokser - noe som gjorde at hvem som helst kunne bruke maskinene anonymt for å gå videre til andre.

Men fra loggen over hva som skjedde i forbindelse med forsøket på overtakelsen av #norge, var det mulig å finne frem til flere adresser fordi overtakeren ga fire andre personer op-status. Op-status gir brukerne på en IRC-kanal flere rettigheter enn brukere som ikke har op-status.

Ut fra tilnavnene til disse fire brukerne fant Viken og Flesaker frem til en internettilbyder som hadde opplysninger om hvem én av disse brukerne kunne være. Videre undersøkelser viste at flere andre nettsteder var blitt angrepet av samme bruker - som hadde kontoer ved en rekke forskjellige universiteter i USA - inkludert MIT (Massachusetts Institute of Technology), Harvard og Hawaii.

Ifølge Viken tok MIT disse angrepene så angrepene så alvorlig at universitet koblet inn FBI. Den 28. januar ble 16-åringen arrestert hjemme i huset der han bodde. På det tidspunktet hadde han fire tilkoblinger til kompromitterte maskiner. Ifølge MIT skal han rett før han ble arrestert, ha skrytt på IRC at han hadde rot-aksess til over 1000 maskiner i USA og Canada.

Hullene i sikkerheten hos www.kvinesdal.com er nå tettet - hver eneste tjeneste som kjører på serveren skal være gjennomgått. Viken forteller at mange IT-administratorer - inkludert ham selv - til nå har tatt altfor lett på sikkerheten mot nettet. Han forklarer at de som utfører slike angrep ikke nødvendigvis må ha masse kjennskap til systemene de angriper. I stedet leser de om hull i i systemer i blant annet Bugtraq-lister og kan deretter laste ned ferdigskrevet programvare som utnytter disse hullene.

Til toppen