A hacker, aki megmentette az internetet

Marcus Hutchins 22 évesen megállította a világ egyik legijesztőbb zsarolóvírusát, de mivel mindent, amit tud aközben tanulta, hogy illegális szoftvereket fejlesztett, a világraszóló hőstett után letartóztatták. Nincs olyan, hogy áldozat nélküli bűncselekmény, így a Hutchins ügye felett döntő bírónak döntenie kellett, hogy a cél szentesíti-e az eszközt.

2017-ben egy 22 éves brit hekker megfékezte a világ kórházait, bankjait és adótornyait megbénító WannaCry zsarolóvírust. A globális kiberbiztonsági és hekker közösségek után hősként ünnepelték Marcus Hutchinst, de még abban az évben az FBI letartóztatta, mert mint kiderült, tudását illegális szoftverek gyártása közben szedte össze. Két évnyi jogi csatározás után végül megúszta a börtönt. Majdnem egy évvel a tavaly júliusi ítélet után Huthins elmesélte a sztorit a Wired újságírójának, aki részletesen megírta Hutchins karrierjének 14 éves történetét.

Hutchins gyerekkora nem túl meglepő. Kilenc éves korában a szülei úgy döntöttek, hogy London mellől leköltöznek vidékre. Hutchins öccsével fára mászott, rohangált, érdeklődött az állatok iránt, klasszikus kisvárosi gyerekkora volt. Az iskolában kicsit kitűnt a többiek közül azzal, hogy nem érdekelte a foci (inkább szörfözött), és mert nem sok kevert rasszú gyerek járt az iskolába (Hutchins édesanyja skót, apja jamaicai).

Mint minden híres hekker történetében, így Hutchinséban is ki kell hangsúlyozni, hogy már gyerekkorában is lenyűgözték a számítógépek. Gyakran szétszedte a család Dell gépét, és olyan programokat telepített rá, amivel az őrületbe kergette a szüleit. Hamar rájött, hogy ha megtanul programozni, akkor gyakorlatilag szabadon garázdálkodhat a családi gépen. Informatikaórán, míg a többiek azt tanulták, hogy kell iniciálét csinálni a Wordben, Hutchins rájött, hogy a szövegszerkesztőben Visual Basic programnyelven írhat szkriptet, így bármilyen kódot futtathat, bármilyen tiltott szoftvert feltelepíthet. 

13 évesen megkapta az első saját számítógépét, és miután megnyert egy rövid háborút az édesanyja ellen (anyuka megpróbált letiltani ezt-azt, Hutchins cserébe a router feketelistájára helyezte az anyja gépét), szabadon fejleszthette tovább programozókészségét. Ennek ellenére nem töltötte minden idejét a gép előtt: megtanult életmentő szörfözni (gyakorlatilag kompetitív szörfözős partiőrség), és országos versenyeken több díjat is nyert.

A felügyeleti háború után a szülei hosszasan elbeszélgettek vele, és megegyeztek, hogy ha visszaengedi az édesanyját a internetre, cserébe ő megígéri, hogy máshogy figyeli majd a virtuális életét.

De valójában esélyünk se volt, hogy felügyeljük Marcust. Hiszen sokkal okosabb volt, mint bármelyikőnk valaha lehetett volna

– mondta az édesanya, Janet.

Korai szárnybontogatások

Hamar előjött Hutchins komisz hajlama, egy éven belül olyan fórumon találta magát, ahol a tagok a hekkelés alapjait vitatták meg, célkeresztjükben az MSN állt. Az első projektje, amit megosztott, egy jelszólopó vírus volt. Saját elmondása szerint nem igazán gondolt bele, hogy ezzel bárkinek árthat, egyszerűen csak menőnek gondolta.

Az iskolai teljesítménye ekkoriban kezdett el romlani, többek között azért, mert Hutchins súlyos kialvatlansággal küzdött. A reggeli órákig is képes volt fennmaradni, hogy tovább kódoljon, és volt, hogy napi fél órát aludt. Mivel gyakran meggyűlt a baja az iskola rendszergazdáival (vagy épp fordítva?), ahogy egy kibertámadásban lehalt a suli egyik szervere, azonnal Hutchinst gyanúsították. A mai napig tagadja, hogy bármi köze lett volna a támadáshoz, de a végeredmény az lett, hogy kitiltották az iskolai számítógépekről.

Amikor lekapcsolták az MSN-es fórumot, átköltözött a HackForums nevű oldalra, ami kicsit komolyabb és etikátlanabb volt, mint az első közössége – a beugró egy botnet hálózat volt, amivel túlterheléses (DDoS) támadást indíthatnak szerverek ellen. Hutchins hamar kiépített egy 8000 gépből álló hálózatot, amiket BitTorrent oldalakra feltöltött vírusos fájlokkal fertőzött meg.

Hamar rájött, hogy ebből akár pénzt is kereshet, így először szervereket kölcsönzött, majd webhosting szolgáltatásokat árult a HackForums tagjainak. A vállalkozását Gh0sthostingnak keresztelte el, és gyerekpornón kívül minden tartalmat megengedett. 

Mindezt egy év alatt megunta, és nekiállt dolgozni a saját malware-jén. Sokat tanult a többi hekker rootkitjeiből (olyan szoftvereszközök, amikkel be lehet férkőzni számítógépekbe, szoftverekre, és el lehet tüntetni a behatolás nyomait), és a saját vírusát észrevétlenné tudta faragni. A HackForumson büszkélkedni is lehetett, így Hutchins kiposztolt néhány kódot. Hamar felfigyeltek rá, és egyre több rendelés futott be hozzá, amikkel 16 évesen már több száz dollárokat keresett. Így kereste meg a kétes erkölcsű Vinny is.

Vinny egy sokrétű, folyamatosan karbantartott rootkitet rendelt Hutchinstól, amit nem a félprofi-félhobbista HackForums-osoknak akart árulni, hanem egy profibb és módosabb közönségnek. Hutchinsnak a profit felét ígérte. A kész terméket UPAS Kitnek hívták.

Marcus a The Telegraph-nak adott 2017-es interjúban
Fotó: The Telegraph / youtube

Vinnyvel már szigorúan szakmai volt a kapcsolatuk, az ismeretlen figura semmilyen személyes információt nem osztott meg magáról, és a beszélgetéseik is lenyomozhatatlanul folytak. Hutchins kevésbé volt profi, és ugyan ügyesen rejtegette a netes tevékenységének nyomait, mégis sikerült elkotyognia a címét a bűnözőnek, akiről semmit nem tudott.

Egy nap arról panaszkodott az üzlettársának, hogy nem tud jó minőségű füvet venni a brit faluban, ahol lakott. Vinny erre elkérte a címét és a születési dátumát, és megígérte, hogy küld majd Hutchinsnak egy szülinapi ajándékot a Silk Road nevű feketepiacról.

Kilenc hónap kemény munka után az UPAS Kit 2012 nyarán kikerült az online feketepiacokra, és Hutchins virtuális számlájára elkezdett ömleni a bitcoin. Otthagyta az iskolát, vett magának egy Xboxot, feltuningolta a számítógépét, és még a szörfözést is abbahagyta.

Vinny hamarosan azzal jelentkezett, hogy el kéne kezdeni dolgozni az UPAS Kit 2.0-n, tele új funkciókkal: egy keylogger (billentyűzetfigyelő), egy olyan eszköz, amivel rá lehet látni a fertőzött gép képernyőjére, valamint egy webinject-eszköz, amivel kitöltendő szöveges dobozokat dobhatnak az áldozat által látogatott oldalakra. Ezeket leginkább banki csalásoknál használják.  A  hekk er megpróbál utalni az áldozat számlájáról, de sok bank már kétlépcsős igazolást alkalmaz, így kiküldenek egy kódot sms-ben. A  hekk er ekkor webinjecttel egy hamis üzenetet küld az áldozatának, amiben a banknak tettetve magát arra kéri, hogy az sms-ben kapott kóddal egy rutinellenőrzés miatt igazolja magát. Amikor a felhasználó beüti a kódot, azt a  hekk er továbbítja a banknak, és meg is van a pénz.

Hutchins ekkor már nem tudott tovább hazudni magának, hogy mindez nem törvénytelen célokra kell. Nemet mondott Vinnynek, mire az megfenyegette, hogy tudja, hol lakik (hiszen Hutchins korábban egy kis drogért megadta a címét), amit akár át is adhat az FBI-nak. Végül megegyeztek, hogy Hutchins elkészíti az UPAS Kit 2.0-t, de webinjectes részek nélkül.

Mindeközben elkezdte a főiskolát is, és a tanulással és a két UPAS Kittel (az elsőt foltozgatni kellett, a másodikat leprogramozni) annyi feladata lett hirtelen, hogy kávé helyett már az amfetaminhoz fordult.

Amikor újabb kilenc hónappal később elkészült az UPAS Kit 2.0-val, Vinny elárulta, hogy egy másik hekkerrel elkészíttette a részt, amire Hutchins nem volt hajlandó. Veszekedtek egy darabig, de Hutchins végül összeollózta a két programot. Nem sokkal később Vinny átkeresztelte a malware-t Kronosra (a valaha készült egyik legkárosabb banki vírust Zeusnak hívták, Kronosz pedig a görög mitolgiában Zeusz apja).

Ahogy a Kronos felkerült az Expolit.in oldalra, Hutchinsra egyre több teher került. A főleg oroszokból álló közösség nem bízott az új fiúkban, és Vinny nem csak a nyelvet nem beszélte, de még az árat is jó magasra szabta: a vírus 7000 dollárba került. Sok hiba volt benne, így Hutchinsnak folyamatosan javítgatnia kellett, eközben a vásárlók új eszközöket és kiegészítéseket követeltek. A fiatal hekker egyre inkább az amfetaminra támaszkodott, és nem csak depresszió, hanem paranoia is kialakult nála.

Egy új pártfogó

Hutchins ugyan elvesztette a kódolás iránti lelkesedését, de továbbra is bújta a fórumokat – így ismerkedett meg Randyvel. Randy egy banki vírust rendelt Hutchinstól, amit a hekker visszautasított. Randy nem sértődött meg, elfogadta a döntést, de megkérdezte, hogy Huthins beszállna-e legális kódolásba, amire a hekker örömmel mondott igent.

Hamar összehaverkodtak, Randy egy PlayStationt és egy iMacet küldött Hutchinsnak, sokat videóchateltek és játszottak együtt. Randy Hutchinsra bízott 10 ezer dollárnyi bitcoint, hogy fektesse be, de egy áramszünet miatt 5000 dollár elveszett belőle. Hogy kárpótolja, Hutchins felajánlott Randynek egy ingyenes Kronos-példányt.  Ez persze hiba volt, hiszen rengeteg személyes információt osztott meg magáról, és mivel Randy is hasonlóan szószátyár volt, csak idő kérdése volt, hogy mikor derül ki szélesebb körben, hogy a Kronos Hutchins műve.

2015-ben úgy döntött, hogy nem használ többé amfetamint. A döntést többnapos elvonási tünetek, depresszió és pánikroham kísérte. Vinny az elején még faggatta, hogy hol a következő update, de ahogy teltek a napok, egyszer csak eltűnt – ahogy a Kronos eladásai után járó részesedés is.

Miután Hutchins szervezete nagyjából normalizálódott, úgy döntött, hogy maga mögött hagyja a kiberbűnözést, és visszatért a MalwareTech nevű blogjához, amit a közép- és a főiskola között indított. Az oldalon a vírusok technikai hátteréről írt elemzéseket, amivel hamar népszerű lett mind a szakmai, mind a kiberbűnözői körökben.

Fotó: Tomorrow Unlocked / youtube

Új hobbiként nekiállt felgöngyölíteni a világ legnagyobb botnetjeit, és elkezdte feltérképezni a Kelihos nevű hálózatot, amit közzé is tett egy weboldalon. Erre felfigyelt Salim Neino, a Kryptos Logic kiberbiztonsági cég vezetője, és felkérte, hogy dolgozzon nekik egy botneteket követő eszközön, ami értesítené azokat, akiknek az IP címe megjelenik a meghekkelt gépek listáján.

Hutcshins 10 ezer dollárt kapott a Kelihos-követő szoftverért, és több hasonló projekt után jól fizető állást kapott a Kryptos Logicnál.

A Kryptosnál sorra göngyölítette fel az átláthatatlannak tűnő botneteket, gyakran úgy, hogy egy hekker titokban megadta neki a hálózat kódját. Az egyik legnagyobb sikere a Mirai nevű botnet leállítása volt. A Mirai botnet akár másodpercenként egy terabites DDoS támadásokra is képes volt, és sorra támadta a Lloyds brit bankot, Libériát, valamint egy szerverszolgáltatót, ami magával rántotta az Amazont, a Netflixet, a Spotifyt, a PayPalt és a Redditet is.

Hutchins rájött, hogy a botnetet vezérlő utasítások egy bérelt szerverről érkeznek, amin megtalálta a fenntartó hekker elérhetőségét. Írt neki egy üzenetet , hogy tudja, hogy nem ő áll a támadások mögött, viszont a szolgáltatása rengeteg gondot okoz például azoknak, akik a támadások miatt nem férnek hozzá a bankszámlájukhoz. Azt is megemlítette, hogy a bankszektor kiemelt ágazatnak számít az Egyesült Királyságban, így a nyomozás könnyen eljut majd a bérelt szerverhez. Nem sokkal később a támadások megszűntek.

A karrierem során úgy láttam, hogy kevesen gonoszok, a legtöbben csak túlságosan eltávolodtak a cselekedeteik hatásától, míg valaki rá nem mutat

– írta a Twitteren. Nem lepődött meg, hogy a támadások leálltak, hiszen egykor ő is hasonló helyzetben volt, amikor egy billentyűzet mögül bűnözőknek osztogatott eszközöket, de nem érezte bűnösnek magát.

Eljött a WannaCry

2017 május 12-én Hutchins épp vakációzott, amikor több brit kórház informatikai rendszerét megfertőzte a WannaCry nevű zsarolóvírus. Órák alatt 600 rendelőt bénított le, 20 ezer időpontot kellett törölni. Több műtétet le kellett mondani, és a mentők működését is összezavarta, így volt olyan azonnali ellátást igénylő beteg, aki akár hosszú órákat várt a vírus miatt. A vírus az EternalBlue nevű kódtól tudott hatékonyan gépről gépre ugrani, amit hekkerek loptak el az NSA-től (az egyik amerikai nemzetbiztonsági hivatal).

A WannaCry bejárta a világot. Megfertőzte a Deutsche Bahn német vasúttársaságot, az orosz Sberbankot, a Renault-t, a Nissant, a Hondát, kínai egyetemeket és indiai rendőrörsöket, egy spanyol telefonszolgáltatót, a FedExet, és a Boeinget. Egyetlen délután alatt nagyjából 4-8 milliárd dollár kárt okozott.

Hutchins azonnal munkához látott. Egy ismerősétől megszerezte a WannaCry kódját, egy szerveren beindított egy szimulált számítógépet, és rászabadította a vírust. Észrevette, hogy mielőtt a WannaCry az összes fájlját titkosította volna, megpróbált kommunikálni az iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com nevű weboldallal. Egy gyors keresés után arra jutott, hogy ilyen weboldal nem létezik, úgyhogy felugrott egy domainregisztrálós oldalra, és 10,69 dollárért megvette a címet, és összekötötte néhány Kryptos Logic-os szerverrel. A szerverekre azonnal rázúdult több ezer megkeresés a fertőzött gépekről, de ami fontosabb,

Hutchins azzal, hogy regisztrálta a doménnevet, ártalmatlanította a vírust. Ez azért történt, mert a WannaCry úgy működött, hogy ha megfertőzött egy gépet, küldött egy lekérdezést a weboldalra. Ha a lekérdezés nem ért célba (mert a weboldal nem létezett), a vírus mindent titkosított. A mai napig nem tudni, hogy ez egy védelmi mechanizmus, óvintézkedés, félkész funkció, vagy programozói hiba volt.

Két nap alatt egymillió lekérdezés érkezett a weboldalra, és Hutchinsék rájöttek, hogy ha nem tudják fenntartani az oldalt, a WannaCry pusztítása újraindulhat, és 24 órán belül a világ minden fontosabb számítógépét megfertőzné. Hamarosan DDos-támadások érték a szervereket, egyre több és egyre erősebb. A Kryptos új szervereket bérelt az Amazontól és a francia OVH-tól (bár a francia rendőrség véletlenül lefoglalta két OVH-s szerverüket, mert azt hitték, hogy a vírus segítésére használják). Végül a Cloudfare DDoS-elhárító specialistái közbeléptek és a céges infrastruktúrájuk felfogta a támadáscunamit.

Mindeközben a sajtó kiderítette, ki áll a vírus megfékezése mögött, és rárepültek Hutchinsra. Egyetlen interjúba egyezett bele, amit az Associated Press hírügynökséghnek adott, de annyira izgult, hogy rosszul betűzte le a vezetéknevét. Három hónappal később már elkezdte élvezni a hírnevét és kezdett feloldódni (gyakorlatilag a Kronos és a leszokása óta folyamatosan szorongott), még  Las Vegasba is elutazott, hogy megnézze  a Defcon hekkerkonferenciát . Az előadásokra nem ment el, inkább a haverjaival bulizott.

Túl közel repült a Naphoz

Az egyik buli után, amikor kilépett az Airbnb-lakásból, ahol megszállt, felfigyelt egy fekete terepjáróra. Egy pillanatra felmerült benne, hogy az autó olyan, mint amit a filmekben az FBI használ megfigyelésre, de gyorsan elvetette a gondolatot. Pont aznap indult vissza a gépe Angliába, úgyhogy hívott egy Ubert, és elindult a reptérre. Kicsit meglepte, hogy a biztonsági ellenőrzésnél kifejezetten arra kérték, hogy ne vegye elő a laptopjait, de ezen is túltette magát, leült a váróban.

Pár perccel később már egy reptéri kihallgatószobában ült két FBI ügynök társaságában, akik a Kronosról faggatták. Ügyvéd jelenléte nélkül félig-meddig bevallotta, hogy dolgozott a malware egy részén, de azt hazudta, hogy még 18 éves kora előtt kiszállt a buliból. Ezt az ügynökök azonnal megkérdőjelezték, és az orra elé dugták a beszélgetést, amiben felajánlotta Randynek az ingyen Kronos-példányt (amit még akkoriban is fejlesztett).

Az ügynökök letartóztatták és bevitték a egy Las Vegas-i fogdába. Onnan felhívta a főnökét, majd egy rabokkal teli cellában egy székhez bilincselték. A nap hátralévő részét és az éjszakát is ott töltötte, aztán átkísérték egy cellába, ahol lefeküdhetett a beton ágyra, míg egy másik rab nem akarta használni a mosdót.

Letartóztatásának híre hamar kiszivárgott, és a szakmából és a hekkerközösségből is rengetegen Hutchins mellé álltak. Még Hutchincs lakóhelyének brit parlamenti képviselője is felszólalt mellette. Volt persze olyan is, aki azzal vádolta, hogy valójában ő készítette a WannaCryt, hogy aztán legyőzze és hősként tiszteljék – később az amerikai Igazságügyi Minisztérium Észak-Koreát gyanúsította meg a malware elkészítésével.

Hutchins végül szerzett egy ügyvédet, és a bíróság 30 ezer dollár óvadékot állapított meg. Mivel minden telefonját és számítógépét lefoglalták, Hutchins nem fért hozzá a számlájához, így az óvadékot se tudta kifizetni. Egy kiberbiztonsági ügyekkel foglalkozó ügyvéd gyűjtést kezdeményezett Hutchins támogatására, de amikor kiderült, hogy rengeteg adomány meghekkelt bankszámlákról érkezett, visszautalta a pénzt és leállította a projektet.

Két kiberbiztonsági szakértő pont aznap repült Vegasból Seattle-be, de amikor hallottak Hutchins sorsáról, visszarepültek, és az utolsó pillanatban befizették az óvadékot. Az ügyét pro bono átvette két hekkerügyekben jártas ügyvéd, Hutchins átmenetileg az egyikük Los Angeles-i házába költözött. Az ezt követő két hónapokban ügyvédei szépen lassan elérték, hogy a bíróság enyhítse a Hutchinsonnak ítélt korlátozásokat, míg végül a GPS-es megfigyelő is lekerült a bokájáról.

Marcus Hutchins (jobbra) és ügyvédei Marcia Homann (balra) és Brian Klein (középen) érkezneka bíróságra Milwaukee-ben 2017. augusztus 14-én
Fotó: Joshua Lott / AFP

Közben a szorongás visszatért Hutchins életébe. Nem csak azért, mert fizetés nélküli szabadságon volt, nem volt bevétele, és a megtakarításai is fogyóban voltak, és nem is azért, mert több év börtön várt rá, ha veszít. Leginkább az igazság miatt szorongott, ugyanis a vádak jogosak voltak.

Egy csomóan írtak az FBI-nak, hogy elmondják, hogy a rossz fickót kapták el, és a szívem szakadt bele. Ezerszer nagyobb bűntudatom volt ettől, mint a Kronos miatt.

Ki akart adni egy teljes vallomást, de az ügyvédei lebeszélték róla. Újabb adományok futottak be, és több szakértő is az ő pártján állt – többek között azért, mert a beismerés hiányát az ártatlanság kinyilatkoztatásaként interpretálták. Más kiberbiztonsággal foglalkozó blogerek elkezdték feltúrni Hutchins múltját, és rátaláltak a HackForums-os botnetekre és malware-ekre, de a támogatottsága továbbra sem csökkent. Sokan úgy gondolták, hogy mind hibázunk, és a WannaCry-os hőstette jóváteszi fiatalkora bűneit.

2018 tavaszán, kilenc hónappal a letartóztatása után a vád felajánlotta Hutchinsnak, hogy ha mindenkiről elmond mindent, akikkel valaha együtt dolgozott vagy hekkerkedett, akkor elengedik a börtönbüntetést. Leginkább Vinnyre voltak kíváncsiak.  Hutchins ezt visszautasította, mert nem akart mást bemártani, hogy a saját bőrét mentse. Ha el is fogadta volna az alkut, olyan priusza lett volna, hogy valószínűleg soha többé nem térhetett volna vissza az USA-ba (régóta arra vágyott, hogy ott éljen).

Végül 2019 áprilisában, hosszas jogi huzavona után Hutchins elfogadott egy új alkut. A tízből két vádpontban bűnösnek kellett vallania magát, és cserébe a vád nem kért konkrét büntetést. A bíró így legfeljebb 10 év letöltendőt és félmillió dollár büntetést szabhatott ki. Ezek után végre a blogjára is írhatott egy rövid beismerést. Ezt egy kicsit részletesebb tweet követte, amiben megpróbált szétzúzni egy népszerű félreértést, miszerint csak azért volt képes megállítani a WannaCryt, mert fiatalabb korában illegális ügyletekkel kitanulta a szakmát.

Van egy tévképzet, miszerint ahhoz, hogy biztonsági szakértő lehess bele kell kóstolnod a sötét oldalba. Ez nem igaz. Mindent megtanulhatsz legálisan, amit csak tudnod kell. Maradj a jó oldalon

– írta.

Júliusi tárgyalásán Joseph Stadtmuller bíró kezében volt a sorsa. A bíró Hutchins ügye előtt utoljára 20 évvel korábban foglalkozott kiberbiztonsági váddal. Az ítéletben kifejtette, hogy szerinte Hutchins korai bűnei eltörpülnek hősi teljesítménye mellett, és ettől egyedi az ő ügye. Azon morfondírozott, hogy vajon mi hasznosabb: ha másoknak elrettentő példaként szolgálva börtönbe küldi Hutchinst, vagy az, ha a zsenialitását továbbra is a jó szolgálatára fordíthatja, hiszen a számítógépek terjedésével újabb és újabb veszélyek és problémák kerülnek elő.

Önhöz hasonló egyénekre lesz szükség, akik értenek hozzá, még akár csupán 24-25 évesen is, hogy megoldják a problémákat.

A bíró végül úgy döntött, hogy a pozitív tettei túlszárnyalják a bűneit, így  a tárgyalás előtti két éven túl nem jár neki szabadságvesztés, csak egy év felügyelet, ami mellett szabadon élhet. Ezt Hutchins Twitteren meg is köszönte neki.

A történetét most nem azért osztotta meg, nem azért ment bele a Wired mindent leleplező interjújába, hogy megbocsátást nyerjen, hanem hogy elmesélje a történetet. Úgy érzi, csak úgy vethetne véget a többéves bűntudatnak, ha vissza tudna menni az időben, és megállíthatná azokat, akik segítettek neki.

Nem akarok többé a WannaCry-os vagy Kronos-os fickó lenni. Csak olyan valaki akarok lenni, aki segíthet, hogy a dolgok jobbak legyenek.

Forrás: Index