prielom 8 je celkom malinkaty a vcelku narychlo pozliepany.. to viete.. obdobie dovoleniek.. ja padam prec na dlhsi cas, tak aspon toto.. dalsie cislo hadam ku koncu augusta..

tento clanok vysiel v denniku Novy Cas... odstrihol som z neho taky ten klasicky nudny uvod typu "co je to internet" a "kdo je to hacker"..

Od sexu az ku kradeziam ?

Osobny pocitac bez krabicky zvanej modem, pripomina luxusne auto stojace uprostred pola. Modemy umoznuju po beznej telefonnej linke vysielat signaly zrozumitelne pocitacu a takto si vymienat programy, odkazy, udaje, apod. Nielen medzi dvomi znamymi, vlastniacimi modemy, ale jestvuje tiez viacero celosvetovych sieti, ktore takuto komunikaciu umoznuju. Jednou z nich je neprofesialna FIDONET, s centrom v USA. Jej region 42 tvoria Cechy a Slovensko. Nadsenci PC tu zivo debatuju v desiatkach konferencii, cize rozlicne zameranych tematickych okruhoch. Od konferencie nazvanej Kamasutra, ktorej napln netreba opisovat, cez Gaming, v ktorej hAbaju nad svojimi starostami fanatici pocitacovych hier, az po Hardware, kde zasa mozno hladat dobru radu ak nefunguje stroj, tiez su tu napady na rozne technicke zlepsovaky. Dvadsiateho siedmeho jula tohto roku bolo mozne prvy raz zaregistrovat zaujimave rozhovory, nasvecujuce... Radsej odcitujme niekolko pasazi, kvoli zrozumitelnosti mierne upravenych.

Evzen P. spoza Moravy, dava do eteru otazku : "Je tady nekdo, kdo vi , co a jak se zaznamenava na bankomatovou kartu ?" Skusenejsi kamarat zo Slovenska ho cez terminal hned poucil : "V prvom rade musis rozlisit, ci ide o off-line system , teda samostatne, do siete neprepojene bankomaty /u nas Sporitelna, aj v Cesku/, alebo on-line, cize ostatne, zapojene do spolocneho systemu bankomatov. U on-line na karte osobne cislo majitela /PIN/ byt nemusi, kedze bankomat sa nanho hned moze cez linku spytat ustredia. U off-line tam PIN je, zrejme zakodovany, ale v principe je to jedno. Pokial by si poznal postup verifikacie v bankomate, nebol by problem s pocitacom vyskusat vsetky moznosti a najst tu spravnu.Aktualizacia zoznamu neplatnych karietsa deje tak, ze tie neprepojene off-line bankomaty obehne manik s disketou." Z ceskych krajov hned reagoval dalsi : "Byl by zajem i o kompletni konstrukcni popis. A priloz i seznam nejakych vhodnych uctu i s heslama. Prosim vas, a nikomu to nerikejte, kdo neni ve FIDU. Ono i tak bude dost napadny, ze vsichni kdo maji modem maji najednou nejak moc penez." Rozhovory pokracuju i dalsie dni. Evzen pise Ladovi Z. : "Je to mozny a proveditelny. Spusob zapisu dat je pro jeden typ bankomatovych karet konstantni. Staci sehnat popis struktury zaznamu a zarizeni, ktery to dovede precist.Pak kdyz mas kartu, vyskousis pomoci computeru vsechny moznosti, a NAJDES PIN. Slysel jsem, ze se to nekolika lidem v SRN uz povedlo. Kdyz budes mit k dispozici to co jsem napsal, tak je to otazka nekolika malo vterin !" Do reci prispieva zas dalsi ucastnik : "Mnohem zajimavejsi je zmenit cislo karty a teprve pak vybirat penize." Vaclav V. dodava do debaty zaujimave veci : "Nejmenovany kolega tvrdi, ze na cteni magneticke stopy z karty staci hlava z kazetaku, pripadne hlava z disketove jednotky." Jindra K. daval rozumy Petrovi P. : "Na karte je zapsano, kolik jsi ten den vybral. Takze kdyz ji po vybrani uvedes do puvodniho stavu /ctecka i zapisovacka se daji koupit/, muzes vybirat zase..." Nasledujuci kazisvet zasa spekuloval ako vyuzit fakt, ze off-line bankomaty nevedia o penaznych operaciach urobenych na ostatnych bankomatoch, hned. Az ked k nim pride raz za den zamestnanec obnovit data. Spekulant objavil, a po sieti Fidonet oznamil takuto metodu : "Zalozim si treba deset kont. Necham si na kazdy udelat kreditni kartu. Na kazdy konto si dam par penez. Pujdu a vyberu si z kazdyho bankomatu po 2000." Slovak Roderik P. dodava : "V kazdom bankomate je zoznam platnych kariet spolu s ich PIN..." Tolko snad staci na ukazku toho, co vrta v hlavach niekolkych desiatok mladikov. Do odbornych podrobnosti zabiehat nemusime, ostatne chlapci po kratkom case presli z tzv. echomail sposobu zasielania si sprav, ktory je volne pristupny , na netmail. Ten uz zarucuje istu dovernost a utajenie pred sirsim publikom.

S vypismi obsahujucimi spomenute, i dalsie pasaze, sme zasli do kosickej firmy Lynx, kde pracuje medzinarodne uznavany a znamy odbornik na pocitacovu bezpecnost, RNDr. Michal Danilak. Pri citani desiatok metrov papierovych pasov vazne pokyvoval hlavou : "Tak to uz mame aj u nas. Ked to na zapade prinasa tolko starosti, preco nie i tu ? Ceski a slovenski pirati ocividne ozivaju. Hlavnym ich problemom zatial ostava nedostatok technickych informacii. Je vsak len otazkou casu a snahy, kedy dokazu uskutocnit svoje zamery. Nemaju zatial dostatocne napojenie na celosvetovu hackersku siet, aby odtial cerpali. Nemaju ani v potrebnej miere socialne spracovanych tych odbornikov, ktori bankomaty instaluju a prevadzkuju. V zahranici mozno v tomto smere hovorit o skutocne profesionalnom socialnom inzinierstve, ktore hackeri pouzivaju, aby zo zasvetenych ludi vytiahli informacie. Znamena to nadviazat doverny psychologicky kontakt s kolegom od fachu, pracujucim napriklad v banke, a pri veceri z neho pocas rozhovoru tahat tajne informacie. Alebo hoci si najst ucelovo v penaznom ustave frajerku. Toto su vsak iba docasne prekazky. Je velmi pravdepodobne, ze uz tie postupy, nad ktorymi premyslaju momentalne, by nasli v praxi uplatnenie. Najvacsie nebezpecie moze hrozit bankomatom, ktore nie su prepojene do siete, teda najma pristrojom Slovenskej sporitelne. Nasa policia ma teraz dost inych starosti, nez skumat high - tech kriminalitu. Vyzaduje si to totiz nielen najvyssiu odbornost a dlhodobe studium, ale aj narocne technicke vybavenie."

Bude uzitocne nahliadnut do metod pouzivanych v krajinach, kde kriminalita spojena s bankomatmi nie je uz novinkou. V jednom europskom state stal na ulici "stedry" bankomat. Nevydaval sice peniaze, ale po zasunuti kreditnej karty a zadani jej identifikacneho PIN cisla vyplul balicek cukrikov. Deti hned zacali tajne brat rodicom karty a podho ku plechovemu "Mikulasovi". Prefikancom, ktori ho postavili slo o jedine : ich stroj zosnimal a ulozil si do svojej pamate vsetky udaje z danych kariet. Potom uz nebolo najmensim problemom vyrabat ich kopie... Podobne si pocinali darebaci pred jeden a pol rokom vo Velkej Britanii. Tam ukradli cely bankomat a po case ho instalovali inde. Opat mal jedinu ulohu vo vychytavani udajov z pravych kariet. Podvodnici vdaka nemu stihli vyberat z kont majitelov az 40 tisic libier tyzdenne. Uplne jednoduchy sposob spociva v ukradnuti karty sikovnymi prstami vreckara, potom, co cez plece nepozorneho klienta odpozerali, ake cislo PIN zadava do bankomatu. Primitivnejsi pachatelia potom proste vyberu sumu a kartu zahodia. Ti prefikanejsi, clenovia dobre organizovanej bandy, kartu ihned skopiruju a vreckarskou metodou nic netusiacej obeti zasa vratia. Ta sa potom moze len cudovat, kam miznu z jej konta peniaze. Preto je dobre, ak ma kazdy clen rodiny vlastnu kartu. Ovela skor totiz moze zbadat nejake podozrive javy. A este pozor na jedno vazne nebezpecenstvo. Identifikacny znak PIN pytaju od pouzivatela karty vylucne bankomaty. Pri plateni za tovar v obchode ho uvadzat netreba. Staci mat ozaj len tu kartu. Vlastnu alebo cudziu.

Prva dostala moznost komentovat nase zistenia manazerka kosickej pobocky Ceskoslovenskej obchodnej banky, a.s., Ing. Zdena Gacikova : "My mame bankomatov zatial malo, iba styri. Vsetky prepojene on-line. Funguju na medzinarodne platne karty zdruzenia Eurocard - Mastercard. Limit vyberu moze cinit na den az 50 tisic korun, zavisi od bonity klienta. Od buduceho roku pribudne postupne dalsi pridavny bezpecnostny kod, ktory dalej zvysi stupen ochrany." Ake rizika su spojene s platenim v obchodoch, vysvetlila ing. Gacikova takto : "V obchode platitel naozaj nepotrebuje uviest svoje cislo PIN, teda iste riziko tu je. Nie vsak tak velke, ako vy sa na prvy pohlad zdalo. Kazdy obchodnik ma totiz svoj limit, po ktory vyda tovar bez overenia karty. Ked chce zakaznik nakupovat za viac, vola predajca bratislavske autorizacne centrum. Vysku limitu pozna len sam obchodnik. Takze zlodej karty, ak nechce riskovat skore chytenie, mohol by bez vacsieho rizika kupovat len za male sumy, povedzme do 500 korun. Vela skod by teda az do zablokovania karty ani nestihol narobit." Namestnik riaditela Vseobecnej uverovej banky Kosice, JUDr.Mgr. Jan Rybarik, uviedol : "My obhospodarujeme na Slovensku 160 bankomatov, vsetky prepojene on-line. Od augusta funguje v Bratislave Autorizacne centrum Slovenska. Prinos tejto centralizacie spociva v tom, ze aj klienti inych bank budu moct pouzivat bankomaty VUB a naopak. Nevieme zatial o utoku na nas pristroj. Su chranene jednak svojou robustnou konstrukciou,ale aj napojenim cez linku priamo na policiu. Pri naruseni si automaticky privola pomoc. Koniec koncov, aj keby akosi predsa ukradli cely bankomat, cisla uctov a kody v nom nenajdu. " Na otazku, kolko korun vojde do jednej takej ocelovej skatule, J. Rybarik prezradi len tolko : "Nepoviem, lebo by sme len lakali chmatakov. Ale v zavislosti od typu statisice, aj cez milion."

S celou kopou zisteneho mierime na policiu. Ako bolo mozne cakat, nijakeho kompetentneho specialistu na pocitacovu kriminalitu tu niet. Po mensej anabaze cez uradnikov, ktori si prehadzuju problem ani horuci zemiak, koncime u riaditela Uradu financnej policie PZ SR, JUDr. Ignaca Behula. "Je to pre nas uplna novinka", priznava. "Cakal som, kedy zacne pocitacova kriminalita v nasich koncinach, ale ze prave cez bankomaty...Preskumame o co ide." Konecne slovo o sucasnom stave vysetrovania povedal I. Behul pred niekolkymi dnami : "Nadviazali sme spolupracu s ceskou policiou, kedze tazisko hackerskych aktivit sa sustreduje u nich. Boli uz prve spolocne konzultacie". Na otazku, ci teda zacne preventivne sledovanie tychto diani,napriklad konspiracnym nasadenim policajnych agentov do piratskych komunit, krci plecami : "Je to velky problem. Nie sme dostatocne vybaveni technicky ani personalne. Hodlame spolupracovat s odbornikmi aj z civilnej sfery. Cesi su na tom o nieco lepsie. Verim, ze vdaka podchyteniu toho celeho uz v zarodocnom stadiu predideme premene slov a spekulacii tych vymyselnikov v ciny. " Co ma teda robit radovy obcan, majitel kreditnej karty ? V prvom rade davat pozor, aby nikto nemohol odpozorovat jeho cislo PIN pri zadavani do bankomatu. Rozumne je takisto ukladat peniaze do systemov prepojenych on-line. Tie su pre potencialnych prienikarov ovela tvrdsim orieskom, nez tie neprepojene. A tiez dufat, ze nasa policia v historicky kratkom case zisti, ze obusky uz na modernych zlocincov nestacia.

Vo stvrtok 4.6.1997 kriminalna policia urobila prehliadku kancelarii firmy Eurocomp v Bratislave. Stalo sa tak na podnet BSA. Prehliadka bola zamerana na preverenie podozrenia ze v spolocnosti Eurocomp dochadza k neopravnenemu kopirovaniu, rozsirovaniu a pouzivaniu pocitacovych programov, ktorych autorske prava vlastnia clenske firmy BSA. Aliancia pred casom dostala od anonymneho informatora indicie o tom ze na pocitacoch spolocnosti Eurocomp su nainstalovane a pouzivane aj nelegalne kopie pocitacovych programov od firmy Microsoft a inych clenov BSA. Spolocnost sa podla informacie mala zaoberat aj pocitacovym piratstvom.

Anynymny informator bol byvaly pracovnik, ktory dostal padaka. Do Eurocompu nabehlo asi 15 chlapikov v civile a pri vstupe do budovy sa preukazali povolenim z okresnej prokuratury. Potom prikazali ludom vstat od pocitacov a zacali prehliadku a fotografovanie. Nebola ziadna sanca na schovanie pocitacov alebo vymazanie programov. Pokial sa niekto vzpieral, napr. ze nedostal nariadenie od sefa, tak dvaja ludia s nim zostali pri pocitaci a dialsi isiel pre sefa. Ja len dufam ze sa tu nenajde druhy kpt. Dastych.

Program MONEY pro vedeni ucetnictvy asi vetsina zna. A tak by se nekomu mohlo hodit vedet, jak se do neho dostat pokud nezna heslo. A presne o tom je tenhle clanek. Sedel jsem si takle u kamose u pocitace a on me rika, ze vyhodne koupil hardisk a ze prej ho melo pred nim spustu lidi. A tak ze se na nej kouknem jestli tam neni neco zajimaviho. Tak sme zacali prochazet hadr a narazili jsme na money 5.1. Rikame si tak 'parada treba tam budou nejaky zajimavy data'. Tak to spustime a najednou ta strasne otravna hlaska 'ZADEJTE HESLO'. A tak si rikam to teda ne, dokud se tam nedostanu nendu dom. Nastesti to bylo lehci nez sem cekal. Heslo je ulozeny v souboru \databaze\pristup.dat.Na adrese 9Ah(154d) je ulozena delka hesla(coz ma fungovat asi jako kontrolni soucet :) a od 9Bh(155d) je zakodovane heslo. Dekodovani je naprosto jednoduche xor 181, no a z toho vam vyjde ASCII cislo dekodovaneho znaku. V praxi to vypada asi takto:

00009A: 06 C6 DE CC DB D0 C1   =>   heslo je SKYNET

                                           pristup.dat
                                           pristup.ix
                                           pristup.bpf

Pokud je tam vice tuzivatelu, tak heslo u kazdeho dalsiho uzivatele je posunute v souboru pristup.dat o +65h(101d).