ÉS HOGYAN LETTEM ETIKUS HACKER?
Nos, ugorjunk vissza kicsit az időben. Úgy 1989-ig. Ez volt az az év, ami irányba állított. 9 éves voltam.
Eddig az évig a csillagászati könyveket bújtam és az eget lestem. Eltökélt szándékom volt, hogy ha nagy leszek, csillagász leszek.
De megnyílt az országhatár, és szüleim az első bécsi útjukról egy Commodore 64 típusú számítógéppel tértek haza.
Ettől kezdve a csillagok már nem érdekeltek – amit őszintén szólva már nem is bánok, mert a csillagászathoz azért durván sok elméleti tárgyat kellett volna tanulni.
Szóval adott egy 9 éves kölyök, és egy C64.
Kazettán másolt játékok, hétköznap játék a Junoszt tévén, hétvégén esetleg a színes Orion Nárcisz-on.
A legizgalmasabb játékokban azonban túl sokszor találkoztam a “Game Over” felirattal. Meg is fogalmazódott a fejemben a gondolat: “Ha én egyszer ilyen játékot tudnék írni, úgy írnám meg, hogy én ne halhassak meg benne!” (Tudom, némileg furán hangzik, de képzeld hozzá, hogy egy 9 éves gyerek mondja. úgy azért más… talán…)
Így aztán nekifogtam programokat írni. Édesanyám innen-onnan szerezte a fénymásolt BASIC könyveket, én pedig csak olvastam és gyakoroltam, elkezdtem kis játékokat írni. Persze ezek a kis játékok nem közelítették meg az igazi játékok színvonalát, így továbbra is jó barátságban voltam a “Game Over” felirattal.
Egészen addig, amíg egy karácsonyi vásáron hirtelen felindulásból el nem költöttem a zsebpénzemet egy Cartridge-re (nem más, mint egy bővítőegység a C64-hez). Ezzel a csodakütyüvel már képes voltam a játékok futását megállítani, és kicsit garázdálkodni a memóriában. Igazából ez volt az első hack az életemben. Először persze újságokból néztem ki, hogy mit kell átírni ahhoz, hogy egy halom pénz, vagy esetleg örök élet álljon a rendelkezésemre a játékokban.
Később megtanultam binárisul és hexául (2-es és 16-os számrendszer), így már magamtól is megtaláltam az érdekesebb adatokat a memóriában. Ez először persze baromi jó érzés volt, de aztán rájöttem, hogy semmi értelme egy játéknak, ha nincs benne kihívás.
Miután 11 évesen megnyertem a kerületi programozó versenyt, már egyáltalán nem volt kérdés, hogy milyen szakmát válasszak magamnak. Olyan iskolából, ahol programozót képeznek, nem volt nagy választék annak idején. Szóba jöhetett a Kalmár, vagy a Neumann. Végül a Neumann mellett döntöttem – és vallom, hogy ez nagyon jó döntés volt! Középiskolában is feszegettem a határokat. Itt írtam Pascalban az első phishing alkalmazásomat. Persze akkor még senki nem tudta hogy mi az a phishing, így egyszerűen csak jelszólopásnak hívtuk (és mennyivel találóbb elnevezés ez 🙂 ). Az ehhez hasonló diákcsínyek után hackelés terén egy hosszabb szünet következett. Ha jól emlékszem, valamikor 2002-ben kerültem újra kapcsolatba az IT biztonsággal, néhány brazil hackernek köszönhetően.
A 2000-es évek elején, 22-23 éves fejjel úgy gondoltam, hogy én akkora szaki vagyok, hogy számomra nincs kihívás.
Így aztán ifjú titánként két dolgot megtettem:
nulla PHP tudással nekiálltam webáruházat fejleszteni, és társammal belefogtunk a tárhelyszolgáltatói bizniszbe.
Az első pofon akkor jött, mikor már 60-70 cég bérelte tőlünk a tárhelyet. Én akkoriban kezdtem egyáltalán Linux-szal foglalkozni, azt gondoltam hogy minden szép, jó, és persze biztonságos. Mi baj lehetne?
Aztán ráébredtem: elég nagy baj az, ha egymás után 10 ügyfél hív fel reggel 8 és 9 között (amikor is az ELTÉ-n ültem valami rendkívül hasznos előadáson), hogy vajon miért van egy halálfejes brazil zászló a weboldala helyén, némi angol és portugál szöveggel megspékelve?
Bár elég álmos voltam még, gyorsan ráébredtem: bizony a szerverünket feltörték.
A nálunk lévő összes weboldal helyett csak az a bizonyos brazil lobogó volt látható.
Azért szerencsére mindig figyeltünk rá, hogy legyen biztonsági mentésünk, így 1-2 óra alatt vissza tudtuk állítani a rendet. Mondjuk rendnek nem nevezném azt, amit így feltörtek. Persze most már látom azt, hogy akkoriban igazi állatorvosi ló volt a szerverünk (és mint utóbb kiderült, az egyik hatalmas luk az általam fejlesztett webáruházban volt).
Miután kiderült, hogy mégsem értek annyira a webszerver üzemeltetéshez, mint ahogy gondoltam, a védekezésünk kimerült abban, hogy gyakrabban mentettük az adatokat. Talán még egy alkalom volt, mikor hasonló atrocitás ért, aztán kis ideig csend honolt.
Aztán 2005 tájékán, mikor már a Győrben tanultam, összehozott a sors Pánczél Zolival. Ahogy néztem mostanában, Ő már pár éve elismert IT biztonsági szakember. A tudása már akkor is megvolt hozzá, így barátilag megkértem: próbálja meg feltörni a szerverünket. Az eredmény: siralmas. Zoli gyakorlatilag ott nem talált lyukat, ahova csukott szemmel nézett.
Itt kezdett el igazán érdekelni az ethical hacking. Akkoriban még nem engedhettem meg magamnak semmilyen formában egy IT biztonsági tanfolyamot, így kezdtem fórumokat keresni, hátha elcsípek valami információmorzsát. Persze a publikus fórumok sok kívánnivalót hagynak maguk után (ez is megér egy külön bejegyzést), így a hackerek tudása továbbra is egy ködös, távoli dolognak tűnt.
Információk hiányában nem volt más választásom: megpróbáltam az általam írt weboldalakat “feltörni”, vagy hibás működésre rávenni.
El kellett telnie pár hétnek / hónapnak, mire sikerült az agyamat átkapcsolni, hogy ne programozóként, hanem hackerként nézzek egy oldalt.
Hamarosan azt is megtanultam, hogy ezt a tudást hogyan tudom a saját javamra fordítani…