Další: Přílohy Nahoru: Obsah Předchozí: 4. CzERT   Obsah

Zásek do živýho

5. Příležitost dělá zloděje

Proniknout do banky není zdaleka tak jednoduché, jak ukazují filmy.

„Čau, tady je Martin5.1,“ ozvalo se v telefonu. „Čau Martine,“ odvětil jsem, aniž jsem tušil o koho jde.

Následovalo dlouhé ticho.

„Martine?“ přerušil jsem ho.

„Jo, jsem tady,“ odpověděl.

„Eh... Co potřebuješ?“

„Volám kvůli tý práci, jak jsem ti mejloval, vzpomínáš?“ ozval se na druhé straně cyberspace hlas nejspíš studentíka odněkud z koleje.

„Chceš dělat nějaký stránky?“ ptám se nejistě.

„Jaký stránky? Cože??? Hledám někoho dobrýho na dobře placenou práci, čau, Martin,` posílal jsem ti to mejlem, vzpomínáš?“ říká tónem, jakým vysvětlujeme mentálně postiženému, jak se jí příborem.

Vydám zvuk ukazující na náhlé rozsvícení čehosi v mozku.

„Fajn, o co jde?“ ptám se.

„No, víš, nechce se mi o tom příliš mluvit po telefonu.“

„Já ho nemám napíchlej!“ zasměju se.

„Ale já možná jo!“

Usměju se. Dobrá paranoia!

„Můžeš aspoň něco naznačit? ... Jedná se... ehm... o... bezpečnost počítačových systémů?“

„Jo,“ připouští váhavě, „dám hodně peněz,“ dodává.

Užuž mám na jazyku obvyklou hlášku, že o hackerech pouze píšu, a sám nehackuju, pak ale zaváhám a ještě chvilku mlčím.

Martin navrhuje schůzku.

 

„Už přijíždím,“ volá mi následujícího dne z mobilu. Vydávám se na dohodnuté místo - na náměstí jednoho malého středočeského městečka. Jsem nervózní. Prohlížím si podezřele všechna auta, ubezpečuju se, že ve velké bílé dodávce nesedí team policistů, připravených mě zatknout při prvním vyslovení slova „hacker“. Každý člověk, procházející kolem, či jen tak postávající na rohu, jako by patřil k policii, každý pohyb jako by sledoval kapitán Dastych na svém monitoru...

Paranoidní studentík Martin má zpoždění.

Nervózně popocházím a stále přehlížím každý kousek prostoru. Dva muži, postávající uprostřed náměstí, které tipuju na zdejší mafiosy, udělají směrem ke mě několik nenápadných gest.

Přijdu blíž.

„Ty seš Honza?“ ptá se mě jeden z mužů.

Přitakám.

„Já jsem Martin, tohle je Patrik,“ říká, zatímco mi oba mačkají pravici.

 

Usedáme na lavičku uprostřed náměstí. Kolem pomalu projede policejní Favorit.

Chvilku hovoříme o počítačích, o hackování, hackerech a jejich světě. Ptají se mimo jiné i na kapitána Dastycha, občas do něj rýpnou, tahají ze mě informace o jedniném softwarovém policistovi v zemi. Uvažuju, jestli nesedí za rohem a neposlouchá klepy o sobě, vysílané přímo od obou pánů. Nebo prostě underground chce vědět co nejvíc o svých protivnících?

„Budeme mluvit na rovinu,“ řekne najednou Martin. „Chceme udělat banku. Přes počítač. Potřebujeme vědět jestli to jde a jak to dokázat.“

Docela mi vyrazí dech.

Neskrývají to, že jejich motivací není intelektuální požitek z přelstívání bankovnách systémů, zřejmě nejchráněnějších na světě, ale peníze. Kam jinam taky pro peníze než do banky.

Podruhé mě vyděsí částka, kterou chtějí ukrást.

„Tak těch tři sta melounů... Když už, tak už!“ zašklebí se Martin.

Dá se do vysvětlování. Pokud ho budou soudit za krádež tří set milionů, tvrdí, dostane nejspíš stejnou sazbu, jako za krádež dvaceti tisíc.

„Když mě zavřou za dvacet tisíc na dva roky, jsem blbej. To se mi nevyplatí. Když mě zavřou na dva roky za třista melounů, zaplatím si ve vězení každýho a až mě pustí, nebudu do smrti pracovat,“ říká s filosofickým výrazem v tváři. Rozohňuje se nad tím, jak může někdo zastřelit člověka kvůli pár tisícům a téměř ukřivděně upozorňuje na nedávný případ loupežného přepadení benzínové pumpy.

„Tady krade každej,“ říká, „kdo má ruce, krade, kradou všichni, krade se, krade se, krade se...“ Nepatří mezi lidi, kteří by s tím chtěli něco dělat. Nepatří prý ani mezi hlupáky, kteří nekradou, či alespoň krást nechtějí.

Mluví o tom, že chtějí obrat velkou společnost. „ČEZ, pojišťovnu nebo Telecom, ten nás obírá všechny,“ dodává Patrik.

„Ani si toho nevšimnou. Ty maj peněz, že nevěděj co s nima,“ přesvědčuje mě zas Martin. „Vím v Praze aspoň o deseti lidech, který maj miliardu.“

„A další miliardu na zdech,“ připomíná Patrik. Martin se rozmluví o malířích. Zálibu má prý v Picassovi, ale žádného nevlastní. Zatím.

„Brečels, když to potápěli v Titanicu, viď,“ šťouchne do něj jeho společník.

 

Řada je na mě. Vysvětluju to málo, co vím o bezpečnosti bank, o práci hackerů, jejich mechanismech na zamazávání stop. Občas pro ilustraci ukážu na některou z budov bank - na náměstíčku jsou tři.

„Víme aspoň o dvou třech skupinách, které se o něco podobného pokoušejí,“ říká Martin.

Pro hackera, který by pro oba společníky pracoval, nabízejí široké zázemí. Falešné doklady, „levý“ byt v Praze, telefonní linku na cizí jméno, komunikační techniku na odposlechy, počítač tak výkonný, jak si jen hacker bude přát. Není prý problém během několika hodin vše zabalit a přestěhovat se jinam, střídat byty po celé Praze. A po „akci“ samozřejmě tučný podíl. Chtějí ale skutečně elitního hackera.

Slibuju, že předám jejich nabídku několika přátelům. Snad to není trestné.

 

-=:o0o:=-

 

„Průnik teoreticky možný je, ale dřív nebo později se na to přijde,“ začíná povídání o bezpečnosti bankovních systémů Petr Hasan, systémový programátor systému VMS5.2, dnes zaměstnanec velkého bankovního domu. „Byly tady samozřejmě už pokusy, ale vždycky se na to přišlo,“ řekne a sedne si na velký stůl ve své prostorné kanceláři správce sítě. Dal by se tu klidně hrát basketball, kdyby tu byl mimo počítačů, tiskáren a dalšího technického vybavení ještě koš se síťkou, napadá mě.

„A kdyby se na to nepřišlo, samozřejmě o tom nevíš,“ vybíhám lehce k soupeřovu koši.

Usměje se a začne popisovat strukutru kontrol a kontrol kontrol.

Každá akce v systému se zaznamenává.

„Každý hacker po sobě maže stopy,“ opáčím nenechaje si vzít míč a přiblížím se pod koš.

„Všechno, co kdokoliv udělá, se zaznamenává třikrát. Nejprve do nějakého textového souboru, jako seznam provedených akcí. Všechny operace ještě se zaznamenávají do databáze. Pravidelně se navíc tisknou sestavy provedených operací, které se uschovávají do archívu na mnoho let,“ obehrává mě s profesionální přehledem o míč a nechá ho prošumět imaginárním košem.

Průnik zvenčí považuje Petr za téměř vyloučený. Veškeré transakce jsou sice vedeny počítačově a šířeny po celobankovní počítačové síti, ale neexistuje žádná linka, kterou by se mohl účastník dostat dovnitř. Data posílaná po linkách, jimiž jsou spojeny jednotlivé pobočky, jsou šifrovaná. I kdyby hacker dokázal napíchnout vyhrazenou bankovní linku a data velmi rychle odšifrovat (běžně dostupné systémy by tuto operaci v reálném čase nezvládly), nemohl by je změnit, jelikož je s nimi posílán i kontrolní součet.

Internetový server pro homebanking5.3 je do vnitřní sítě banky neprůchodný, odebírají se z něj pouze jednoduché řetězce konkrétních operací, ale nic jiného dovnitř proniknout nemůže. „Hacker by se musel dostat do banky a operace provést z terminálu v budově. Jenže jak by se dostal k terminálu?“ ptá se expert. „Leda že by se sem v noci vloupal,“ říká s úsměvem.

Kdyby se nějaký hypotetický hacker do pobočky banky vloupal (a nezašel by rovnou do trezoru), zasednul k terminálu, zastaví se u hesla. Naivní jsou představy tvůrců filmů, kteří si dávají jako hesla do systému jména svých dětí, psů, manželek a milenek a myslí si, že to dělá každý, zvláště pracovníci bank. Zkuste si někdy naslepo zkoušet uhodnout nějaké heslo, které má třeba jen pět znaků! Hesla bývají často dlouhé řetězce (25 znaků není vyjímkou) v nichž se vyskytují čísla, písmena i pomlčky, hvězdičky, pluska, procenta a další nealfanumerické znaky. Uhodnout heslo prostě nemáte šanci.

A kdyby se nějaký zaměstnanec zachoval k bance neloajálně, pustil našeho hackera ke svému terminálu, dokonce mu prozradil své heslo a nikdo z kolegů by si jich stále ještě nevšiml (což se u nudících se úředníků nedá čekat :-)?

„Nedostal by se dál, než na co má daný zaměstnanec práva,“ vysvětluje Petr a dává mi další koš. Už je ani nepočítám. „Nedokázal by změnit systémové záznamy. Nedají se změnit. Jen na to, aby je člověk mohl prohlížet, musí mít zvláštní přístupová práva. Ta mají zaměstnanci, kteří mají na starosti kontrolu. A o tom, že záznamy někdo prohlížel, se uchovává záznam, prohlížený někým na vyšší úrovni.“

I kdyby zůstal v systému záznam, mohli by přeci oba vzít svou hromádku peněz a druhý den být za kopečky? Chápu se opět míče.

Petr klidně stojí uprostřed své kanceláře/téměř-tělocvičny a ani se nesnaží dostat míč zpátky.

„Jo.“ Dávám koš. Připadá mi, že to byl ten nejjednodušší trik od dob, kdy američtí indiáni provozovali svůj sport s kaučukovým míčem. „To riziko je tady vždycky, stejně jako když bankovní úředníci manipulují se skutečnými penězi. Můžou si strčit svazeček bankovek do kapsy. Ale přijde se na to, a přijde se na to kdo to udělal.“

Navíc se situace naší dvojce hacker, úředník situace ještě komplikuje. Peníze sice převedli na své konto, ale co s nimi udělají? Při opravdu dobrém postavení hvězd by se na to nemuselo přijít celý týden.

Převedou si peníze na zahraniční konto?

„Převody do zahraničí nejsou tak jednoduché, jak ukazují akční filmy. Rozhodně to není hned, nějakou dobu to trvá.“

Vyberou si je?

„Ve většině poboček znají své klienty. Výběry větší hotovosti se navíc musí hlásit  dopředu.“

Vzpomínáme na případ, kdy si zaměstnanec jedné banky převedl na svůj účet něco kolem 3 milionů korun a potom si je šel vybrat. Poznala ho kolegyně u přepážky, které bylo trcohu divné, že si její kolega programátor najedou vybírá z účtu astronomickou částku.

Ani mezibankovní převody podle Petra Hasana nejsou tak jednoduché, všechny cestují přez cleeringové centrum ČNB, což stojí také čas. Mimoto jdou vrátit, poslat zpátky, nebo zmrazit na cestě.

„I kdyby se jim tohle všechno povedlo`, co by s těmi penězmi dělali?“ ptá se Petr. „Nakupovali? Za deset milionů v supermarketu? K čemu jim ty věci budou, když budou sedět ve vězení?“

Začínám házet míč do vlastního koše. Petr nechápe, jak může mít takový podvodník dojem nepolapitelnosti. Přijde se na to. Všechny operace se několikrát kontrolují. Podplatit kontrolu? Stal se prý případ, kdy kontrolovaný zaměstnanec a kontrolor byli příbuzní a domluvili se na úniku. Jenže se na to také přišlo. Peníze se nemůžou nikde ztratit.

 

Běžný zaměstnanec tedy nemá šanci, ale co systémový programátor?

Vzpomene si ještě na jeden případ. Systémový programátor si v době vysokých úroků převedl větší částky z termínovaných vkladů klientů na svůj účet a potom je zase „vrátil“. Na jeho účtu mu naskákaly úroky. Nedokázal smazat záznamy, ale dokázal upravit program tak, že do záznamu nezapisoval. Jenže zapisoval do dalších dvou.

Trojrozměrné tvary jeho spořiče obrazovky divoce zavíří.

„Navíc každý systémák má jenom taková práva, která potřebuje. V rámci své pobočky. Zvrchu je samozřejmě kontrolován a jsou věci se kterými nepohne. Další ochrana je v tom, že každý zná jenom kousek celého systému. Nikdo nedokáže pracovat s celým systémem.“

 

Jsou ve VMS chyby? ptám se. Je možné do něj proniknout?

Petr se přizná, že to zkoušel ještě v době, kdy pracoval pro drážní zásobování. Průnik je možný, ale velice zdlouhavý a složitý a hlavě jsou k němu potřeba systémová práva, která chce průnikem získat.

„Průnik je možný, ale dřív nebo později se na to přijde,“ zopakuje Petr ještě jednou, ukáže mi pár fotek ze svých oblíbených her a mezi dveřmi ještě popřeje štěstí této knize. Pak si jde píchnout odchod. Jestli ovšem v bance mají píchačky.


Další: Přílohy Nahoru: Obsah Předchozí: 4. CzERT   Obsah



Klokánkova homepage