EXCLUSIV Hackerul care a spart serverul NASA se uita la filme porno cu minori. El a spart reţeaua americană care ţinea legătura cu un satelit meteorologic
0Pe unul din hard disck-ul hackerului Robert Butyka, cunoscut în mediul virtuala drept „Iceman”, procurorii DIICOT au descoperit 37 fişiere tip film conţinând imagini pornografice cu minori. Hacherul este acuzat că a spart servere NASA, agenţia responsabilă cu programul spaţial al SUA.
El a fost trimis astăzi în judecată fiind acuzat de mai multe infracţiuni: acces fără drept, în mod continuat, la un sistem informatic, perturbarea gravă, fără drept, în mod continuat, privind funcţionarea unui sistem informatic prin introducerea, modificarea şi deteriorarea datelor informatice şi prin restricţionarea accesului la aceste date, deţinerea, fără drept, a unui program informatic, conceput în scopul săvârşirii unei infarcţiuuni şi pornografie infantilă prin sisteme informatice.
Programe „rău intenţionate” pe sistemul NASA
Ancheta în acest dosar a fost demarată de procurorii DIICOT în urma unei informări primite de la NASA- Biroul Inspectorului General. Oficialii NASA au arătat că specialişti IT din cadrul Jet Propulsion Laboratory (JPL) au descoperit, începând cu 12 decembrie 2010 mai multe conectări neautorizate la sisteme informatice. Sistemele informatice NASA din cadrul JPL au fost victimele unui atac informatic, fiind afectate cu preponderenţă serverele gazdă ale JPL. Traficul în reţea a relevat un abuz de tip „buffer overflow” (depăşirea capacităţii memoriei tampon) care i-a permis hacker-ului (piratului informatic) să acceseze în mod neautorizat serverul gazdă JPL compromis iniţial.
Ulterior, hacker-ul a descărcat pe sistemul NASA compromis programe „rău intenţionate”. După ce a obţinut acces complet la sistemul NASA, hacker-ul a compromis alte 24 sisteme NASA. Majoritatea sistemelor informatice aparţineau programului ATMOSPHERIC INFRARED SOUNDER (AIRS) – sondă spaţială cu infraroşu implicată în cercetări atmosferice. Prin aceste acţiuni hacker-ul a cauzat prejudicii operaţionale de peste 500.000 dolari americani.
JPL este cel mai avansat centru NASA
Jet Propulsion Laboratory (JPL) – Laboratorul de Propulsie a Avioanelor din Pasadena, California, este cel mai avansat centru al NASA în materie de explorare robotică a sistemului solar. JPL administrează şi reţeaua globală „DEEP SPACE”. Aceasta comunică cu navetele spaţiale şi sprijină o gamă largă de cercetări ştiinţifice. De asemenea, aceasta permite realizarea unor cercetări atmosferice şi meteorologice complexe care vin în ajutorul oamenilor de ştiinţă din lumea întreagă.
Agentul special NASA a investigat atacul
La data de 13 decemrbie 2010, un agent special din cadrul NASA a fost înştiinţat de către INFORMATION TECHNOLOGY SECURITY GROUP (ITSG)- grupul de securitate IT, al JPL că un server gazdă al JPL a înregistrat o evoluţie anormală, acesta fiind suspectat a fi victima unui atac informatic. ITSG din cadrul JPL a raportat ulterior că hacker-ul a iniţiat un atac informatic de tip BUFFER OVERFLOW vizând o vulnerabilitate a aplicaţiei e-mail „EXIM” folosită de serverele gazdă care au funcţionat pe sistemele de operare UNIX / LINUX.
Traficul în reţea a relevat faptul că în data de 12 decembrie 2010 o secvenţă reuşită de comenzi BUFFER OVERFLOW a vizat serverul gazdă al JPL. Conectări ulterioare au relevat descărcări de programe „rău intenţionate” pe sistemul său de la mai multe adrese IP din România. S-au înregistrat ulterior mai multe conexiuni outbound (conexiuni spre exterior) de pe airs1 şi, de asemenea, mai multe conexiuni backdoor (canale de comunicaţie cu exteriorul de pe calculatorul ţină, create fără autorizaţia proprietarului de drept al sistemului) şi trafic IRC (Internet Relay Chat – comunicare instantanee prin internet) de la / spre diferite adrese IP.
Hackerul a compromis 24 de sisteme JPL
După accesarea sistemului JPL iniţial, hackerul român s-a folosit de „relaţiile de încredere” dintre conexiuni cu alte sisteme din cadrul infrastructurii JPL / NASA, reuşind în acelaşi timp mai multe atacuri informatice. Astfel, românul a reuşit să compromită alte 24 sisteme JPL. Departamentul JPL pentru siguranţă IT al NASA a anchetat cazul furnizându-i agentului special un raport. Agentul special a demarat concomitent o anchetă independentă, în colaborare cu organele de drept, cu privire la accesările neautorizate ale sistemelor proiectului AIRS. Agentul special a iniţiat o anchetă judiciară complexă, sprijinindu-şi eforturile şi activitatea pe colaborarea directă cu agenţi ai organelor de poliţie din România.
Pagubele aduse proiectului AIRS: 585.380 de dolari
Majoritatea serverelor gazdă implicate în incident aparţineau programului ATMOSPHERIC INFRARED SOUNDER (AIRS). AIRS este un instrument instalat pe un satelit de cercetare al NASA, scopul său fiind de a sprijini cercetările climatice şi de a ameliora previziunile meteorologice. Informaţiile culese sunt folosite pentru a face previziuni meteorologice precise, în cercetările climatice şi în modernizarea nivelului de dioxid de carbon la nivel mondial. Proiectul AIRS, componentă a JPL se concentrează în primul rând pe dezvoltarea unor algoritmi şi a unor programe în vederea procesării datelor colectate şi generării de rezultate. Costurile operaţionale ale proiectului AIRS sunt de aproximativ 500.000 – 600. 000 USD / lună.
Potrivit administratorului de program, atacurile informatice au cauzat proiectului AIRS din cadrul JPL o întârziere de 2 – 3 luni în raport cu programul stabilit. Pagubele produse proiectului AIRS au fost estimate la suma de 585.380 de dolari. Acest prejudiciu nu include totalitatea pagubelor suportate de NASA şi guvernul Statelor Unite, ca rezultat al atacului informatic.
Angajaţii NASA au pierdut 472 ore de muncă
După finalizarea anchetelor, procesul de restaurare a presupus scoaterea din circuit a tuturor serverelor afectate. Serverele au fost repuse în funcţie unul câte unul. În consecinţă, având în vedere faptul că procesul era de durată, priorităţile au fost ierarhizate, serverele cheie fiind restaurate primele, urmate de servere mai puţin importante şi staţii de lucru ale utilizatorilor. Serverele cheie au fost restaurate în decurs de o săptămână sau chiar mai puţin, însă a fost nevoie de o lună pentru restaurarea tuturor sistemelor afectate. A fost nevoie de trei săptămâni suplimentare pentru a restaura arhiva de date on line.
Pentru multe persoane implicite în sistemul ARIS, care nu au fost direct afectate de dezactivarea serviciului e-mail sau care nu au fost victime directe ale atacului informatic, pierderea temporară a datelor locale din arhivă a constituit impactul negativ resimţit în urma atacului informatic. Mulţi utilizatori au afirmat că atacul i-a afectat timp de câteva ore sau câteva zile, din cauza imposibilităţii de conectare la sistemele AIRS şi PAP şi de accesare a arhivei de date. Unii au estimat că impactul atacului a fost mai sever. În total se estimează că angajaţii au pierdut 472 ore de muncă de-a lungul acestei perioade.
Cum a fost calculat prejudiciul
Procurorii DIICOT- Serviciul teritorial Cluj au colaborat cu oficialii americani şi au descoperit IP-urile după care au fost accesate serverel NASA. Ancheta a fost îngreunată, deoarece Robert Butyka folosea alte site-uri pentru nu fi găsit şi a masca IP-ul său.
Prejudiciul produs de către numitul Robert Butyka agenţiei NASA a fost estimat la suma totală de 585.380 de doalri, dintre care 372.000 de doalri întârzierile înregistrate de proiect şi 213.380 de dolari orele prestate pentru remedierea situaţiei.
Hackerul a declarat că a spart servere NASA din mândrie
Audiat fiind în legătură cu învinuirea care i s-a adus, Robert Butyka a recunoscut comiterea faptelor, aşa cum acestea au fost prezentate în învinuirea care i s-a adus. Inculpatul a precizat faptul că se ocupă de activitatea de piraterie cibernetică (Hacking) încă din anul 2000, fiind cunoscut în comunitatea hackerilor iniţial cu porecla „Iceman”, iar ulterior, din cursul anului 2007, cu porecla „ICE”. Cu privire la modalitatea în care a accesat neautorizat, prin încălcarea mijloacelor de securitate cele 25 de servere NASA, Robert Butyka a precizat că în cursul lunii decembrie 2010 a primit, prin intermediul internetului, de la o comunitate de piraţi cibernetici care se autointitulează „BLACK HAT” un program de tip EXPLOIT (program care speculează vulnerabilităţile diferitelor servere ajutând atacatorul să preia controlul asupra acestora).
Ulterior, cu ajutorul acestui program EXPLOIT, prin modificarea unei comenzi (WGET) inculpatul şi-a construit un MASS SCANNER (un program care scanează pe reţeaua internet clase de IP-uri) cu ajutorul căruia a căutat pe internet clase de IP-uri (adrese de servere) care să aibă deschise portul 25 (cale de acces prin intermediul e-mail-ului).
Conform propriei declaraţii, printre listele IP-urilor scanate în această modalitate, inculpatul a găsit şi un IP cu extensia NASA.GOV. Conştientizând că este vorba despre un IP al unui server NASA, inculpatul a intrat în acest server cu intenţia de a se mândri ulterior în cadrul comunităţii de hackeri cu această realizare. O dată ajuns să controleze serverul NASA, Robert Butyka a rulat comanda HISTORY, comandă care arăta utilizatorului ce alte comenzi au fost date respectivului server. Printre comenzile vizualizate Robert Butyka susţine că a sesizat şi comanda SSH care constituia practic cheia de criptare şi implicit cheia de acces către celelalte servere NASA care se aflau în „legătură de încredere” cu serverul atacat iniţial. Ulterior, Robert Butyka susţine că a accesat în această modalitate un număr de alte aproximativ 15 – 20 de servere NASA.
„Pornografia infantilă”, a doua mare afacere după droguri şi arme
Referitor la filmele porno cu minori găsite în calculatorul hackerilor, procurorii au arătat că din statisticile efectuate la nivel mondial a rezultat că pornografia infantilă pe internet reprezintă, din punct de vedere al profitabilităţii a doua mare afacere după droguri şi arme. O dezbatere cu privire la pornografia infantilă, a avut loc şi în plenul Parlamentului European punându-se în discuţie necesitatea înfiinţării unei unităţi distincte pentru combaterea pornografiei şi prostituţiei infantile.
În anul 2006, Internet Wacht Foundation a investigat peste 31.000 de rapoarte care conţineau imagini ilegale. Comparativ cu anul 2005, numărul rapoartelor a crescut cu 34 %. Majoritatea site-urilor web afişau imagini pornografice cu copii, semn că pedofilia a luat amploare în lumea virtuală. Totodată, studiul arată că peste 3000 de pagini web aveau în conţinut imagini cu forme grave de abuz precum penetrările sexuale şi sadism.
Se încarcă comentariile...
