Etisk hacker kontrollerte WorldComs kunder

En hjemløs hacker satt lange netter på en døgnåpen internettkafe i San Francisco, og fikk etter hvert kontroll over interne nett hos AOL og andre av telegiganten WorldComs kunder.

Adrian Lamo er tjue år gammel. For tre år siden flyttet hans foreldre fra San Francisco til Sacramento. Han orket ikke forlate sitt urbane miljø, droppet skolen og innledet en omflakkende tilværelse, med ryggsekken som sitt egentlige hjem. Hans viktigste eiendel er en eldre bærbar Toshiba. Hans rulleblad forteller om bare noen få måneder med lønnet arbeid - som IT-sikkerhetskonsulent.

Historien hans er gjennomgått i detalj på nettstedet Security Focus, også kjent som det nåværende hjemmet til Bugtraq. Den fantastiske beretningen er gjengitt i større og mindre detalj i en rekke store amerikanske medier, og har gjort den unge mannen til internasjonal kjendis.

Lamo er det man kan kalle en etisk hacker. Han bruker en nettleser og et utvalg av de mange gratis hackerverktøyene som er tilgjengelige over Internett. Han søker seg fram til feilkonfigurert utstyr, og smetter gjennom lag på lag på sikkerhetssperrer. Han følger hackernes opprinnelige og uskrevne regler om at offeret alltid skal varsles før publikum, om aldri søke egen vinning, og alltid sørge for at offeret har tett alle hull før saken blir kjent. Følgelig unngår han at ellers kriminelle handlinger forfølges rettslig.

Det var Lamo som endret den lille siden på Yahoo! i september, og som kort tid etter fikk Microsofts servere til å betrakte ham som en betrodd intern medarbeider, med full tilgang til kunderegisteret for selskapets direktesalg over Internett.

Sist helg var det WorldComs tur til å motta en telefon fra Lamo, etter at flere nattlige seanser fra en av San Franciscos døgnåpne internettkafeer hadde gitt hackeren tilstrekkelige kick til å tenke at "nå er det nok".

Lamo fortalte at han hadde brukt hackerverktøyet "Proxy Hunter" til å skanne WorldComs Internett-adresser, og funnet fem såkalte "åpne proxier". Dette er feilkonfigurerte proxy-servere som gjør det motsatte av det de skal. I stedet for å filtrere internettinnhold som hentes av brukere bak brannmuren, gir de folk utenfra anledning til å posere som interne brukere.

Fenomenet skal være forholdsvis alminnelig. Lamo omkonfigurerte nettleseren sin slik at han kunne posere som bruker bak WorldComs brannmur, og gikk videre innover.

Det tok et par måneder med sporadisk leting å komme forbi andre sikkerhetssperrer. Da han ga seg, hadde Lamo tilstrekkelig oversikt til å kapre passord og lønninger til 86.000 WorldCom-ansatte, og til å lese intime opplysninger om mange av selskapets kunder.

Det virkelig store kicket kom da Lamo oppdaget at han kunne styre en applikasjon kjent som Web Access Router Maintenance eller WARM.

Dette er et verktøy for å la nettansvarlige ringe direkte til mange av WorldComs rutere og omkonfigurere dem.

Lamo var i stand til å skaffe seg både telefonnummer og passord til alle ruterne i de interne nettverkene til mange store WorldCom-kunder, blant dem Bank of America, JP Morgan, Citicorp, Sun Microsystems og AOL Time Warner.

Forrige fredag kontaktet Lamo WorldCom gjennom SecurityFocus, for å gjøre det lettere for telegiganten å fatte at han faktisk snakket sant. Han brukte mesteparten av helgen til å veilede selskapets IT-folk til å finne ut av sårbarhetene. Tirsdag etterkom han en ny henvendelse om å teste nettverket. Lamo skannet sine tidligere stier omhyggelig, og bekreftet til slutt at WorldCom nå var tett.

Videre detaljer forblir ukjent, etter avtale mellom Lamo og WorldCom.

WorldCom bekrefter forholdet, og sier sårbarhetene skyldes menneskelig svikt. De uttrykker også takknemlighet overfor den ungdommelige og ukonvensjonelle "sikkerhetsforskeren".

Til toppen