Lue uutinen mobiilisivustolla

Tositarina 7: Kodittoman hakkerin vaellus päättyi kotiarestiin

Adrian Lamo sai tukijoukkoja. Hänen kasvonsa on kuvattu tukijoukkojen levittämään banneriin.

23.7.2005 08:00 Oikeus teki palveluksen Adrian Lamolle kesäkuun 16. päivänä 2004, kun se tuomitsi miehen kotiarestiin. Kulkurina ja hakkerina tunnettu Lamo oli asianajajansa mukaan halunnut jättää taakseen murrot yritysten järjestelmiin, jotka tapahtuivat milloin kahviloista, milloin kavereiden asunnoista käsin. Tuomio toi 23-vuotiaalle pitkästä aikaa vakituisen asuinpaikan.

Toinen, joka teki tahtomattaan palveluksen Lamolle, oli The New York Times. Mahtilehti ei ollutkaan, kuten useimmat muut tietomurtojen kohteet, kiitollinen Lamon paljastamista aukoista järjestelmissä. Lehti ei antanut anteeksi, sillä Lamo oli astunut liian suurten henkilöiden varpaille. Ilman The New York Timesin peräänantamattomuutta Lamon vaellus todennäköisesti jatkuisi.

Adrian Lamon vaellus alkoi 17-vuotiaana, kun hänen vanhempansa muuttivat Sacramentoon, mutta poika päätti jäädä San Franciscoon. Hän oli aikaisemmin asunut Virginiassa Yhdysvalloissa, josta perhe oli muuttanut Mario-isän kotimaahan Kolumbiaan ja taas takaisin Yhdysvaltoihin. Äiti Mary Atwood on amerikkalainen, eläkkeelle jäänyt englanninopettaja. Mario Lamo on samoin hyvin koulutettu.

Ensimmäinen kosketus hakkerointiin oli tullut jo paljon aikaisemmin, kun Adrian keksi, miten 5,25-tuumaiselle levykkeelle saattoi kirjoittaa molemmille puolille. Pojalla oli käytössä kahdeksanvuotiaana saamansa Commodore 64. Kaksipuolinen kirjoittaminen oli aikamoinen keksintö pojalle, mutta hän ei kuitenkaan etsinyt keksinnöllä mainetta kehuskelemalla ympäriinsä.

Hakkerikulttuuri kiehtoi nuorta Adriania aina vain enemmän. Hän luki kaiken asiaa koskevan ja halusi tutkia uutta maailmaa, muttei välttämättä kilpailla muiden hakkereiden kanssa.

Kun Lamon perhe muutti Sacramentoon, Adrian oli työssä verkkovastaavana eräässä lakiasiantoimistossa. Hänellä ei ollut asuntoa. Yösija löytyi välillä ystävien luota, hylätyistä rakennuksista, toimistorakennuksista. - Nuokuin välillä työpöytäni ääressä, Lamo sanoi haastattelussa.

Tavallinen ihminen olisi pitänyt työpaikasta kiinni ja hakenut itselleen asuntoa. Lamo näki asian päinvastoin. Hän kyllästyi vähän ajan päästä, sanoi itsensä irti, nosti säästönsä ja lähti tien päälle.

Hissistä yösija

Hän alkoi tehdä pieniä turvakonsultointeja Levi Strauss-vaateyhtiölle ja San Franciscon alueen yleishyödyllisille järjestöille. Tulot tulivat lyhyistä freelance-töistä ja yösijaksi kelpasi edelleen työpaikan toimistohuone tai jopa hissi.

Ensimmäisen kerran Lamo tuli turvayhtiöiden tietoisuuteen vuoden 2000 lopussa, jolloin hän pääsi sisälle America Onlinen pikaviestijärjestelmään. Hän oli alkanut etsiä huonosti suojattuja palvelimia, joiden oletussalasanat olivat tyrkyllä.

Järjestelmistä alkoikin löytyä takaovia. Microsoftin palvelin lokakuussa 2001 oli konfiguroitu kehnosti. Palvelin oletti, että jos käyttäjä pääsee sivulle, jonka verkko-osoite ei ole julkinen, hän on tullut sinne laillista tietä. Lamo oli löytänyt oikopolun. Hieman aikaisemmin, syyskuussa 2001, Lamo oli onnistunut pääsemään sisälle Yahoon uutisjärjestelmään ja muuttanut erästä uutisjuttua.

Lamo alkoi matkustella ympäri Yhdysvaltoja. Hän sai verkkoyhteyden milloin mistäkin, vaikka usein internet löytyi yliopistojen kirjastoista tai Kinko-ketjun mobiiliyhteyspisteistä. Matka jatkui Greyhound-yhtiön busseilla ja Amtrak-yhtiön junilla, mutta myös kävellen. Päämäärää ei ollut, vaan Lamo heräsi välillä Washington DC:stä, välillä Philadelphiasta. Poikkeuksena olivat kuitenkin keväät ja kesät, jotka kuluivat Pohjois-Kaliforniassa.

Hakkerointi aamulla, kaupungille illalla

Kulkurin tyypillinen päivä alkoi heräämällä aikaisin. Lamo lähti kävelylle, tutki sähköpostinsa jonkun suojaamattoman 802.11-mobiiliyhteyden kautta, vaelteli ympäri kaupunkia kavereittensa kanssa, kävi välillä kahvilassa hakkeroimassa kannettavan tietokoneensa avulla. Iltapäivällä hän saattoi lukea auringonpaisteessa ja lähteä illaksi katsomaan kaupunkia.

Joulukuussa 2001 Lamo löysi WorldComin intranetistä vakavan aukon. Sitä kautta tunkeutuja olisi voinut päästä Bank of American, CitiCorpin, JP Morganin ja muiden rahoituslaitosten yksityisiin verkkoihin. Lamo auttoi sulkemaan aukot ja sai kiitosta yhtiöltä.

Julkisuus ei tullut helpolla, sillä nuori turvakonsultti ilman yliopistotutkintoa ei ole Yhdysvalloissa kovinkaan uskottava. Lamo ei varsinaisesti julkisuutta kaivannutkaan, mutta hankki mediasuhteita. Eräs varhaisimmista oli entinen hakkeri, myöhemmin journalistin uran valinnut Kevin Poulsen. Median kautta Lamo sai kerrottua monille yhtiöille, että heidän palvelimensa on huonosti konfiguroitu ja oletussalasana tarjolla.

Lamo meni jopa televisioon: hän esitteli tunkeutumistekniikkaansa NBC:n Nightly News-ohjelmassa. Hän ei välittänyt seurauksista. - Jos syyttävät minua, niin sitten syyttävät, hän sanoi Poulsenille.

Kohtalokas NYT-hakkerointi

Sitten Lamo löysi suojaamattoman välipalvelimen The New York Timesistä. Löytäminen ei ollut vaikeaa, se kesti pari vain minuuttia. Taitava hakkeri kävi lukuisia kertoja helmi-huhtikuussa 2002 yhtiön järjestelmässä ja sai jättisaaliin: Tiedostoista näkyi muunmuassa kuuluisien kolumnistien sosiaaliturvatunnuksia ja muita henkilökohtaisia tietoja.

Listalla olivat muunmuassa rap-artisti Queen Latifah, entinen ulkoministeri James Baker, internet-filosofi Larry Lessig, entinen YK:n asetarkastaja Richard Butler ja monia muita kuuluisuuksia. Monet puhelinnumerot paljastuivat myös, muunmuassa entisen presidentin Jimmy Carterin ja näyttelijä Warren Beattyn. Kaikkiaan enemmän tai vähemmän kuuluisia henkilöitä oli noin kolme tuhatta. Lamo muutteli puhelinnumeroita ja lisäsi sivuille omaa informaatiotaan. Kehnon salasanapolitiikan takia Lamo pääsi myös tilaajatietoihin, lehden eri toimitusten kontaktitietoihin ja muihin toimituksien salaisiin tidostoihin. Lamo teki hakuja myös Lexis-Nexis-tietokannassa yli 300 000 dollarin arvosta. Tapansa mukaan Lamo tunnusti tämänkin murron. Poulsen haastatteli Lamoa SecurityFocus-julkaisuun ja artikkelissa Lamo kertoi NYT-tapauksesta maaliskuussa 2002. Jutun luki myös FBI:n kyberosaston agentti Christine Howard, joka alkoi kiinnostua nuoresta hakkerista. Toukokuussa alkoi syyttäjänvirastokin kiinnostua. Syyttäjät yrittivät päästä hakkeriin käsiksi ensimmäisen kerran kesäkuussa 2002, jolloin he yrittivät murtaa Lamoa haastatelleen MSNBC:n toimittajan lähdesuojan. He eivät kuitenkaan onnistuneet siinä. Toukokuun lopulla 2003 Lamo löysi Sacramenton kaatopaikalta tiedoston, joka koski Cingular-operaattorin ja erään sen asiakkaan välistä vakuutusasiaa. Reippaasti mies naputteli tiedostosta löytämänsä internet-osoitteen koneelle ja - pääsi sisään. Järjestelmän olisi pitänyt kysyä salasanaa, mutta se ei sitä tehnyt, joten hakkeri löysi jälleen kerran avoimen väylän. Lamo muutteli vakuutushakemuksille annettuja numeroita, jotka oli myönnetty numerojärjestyksessä ja kahmi lopulta pääsyn kaikkiin 2,5 miljoonaan vakuutushakemukseen, joista ensimmäiset olivat vuodelta 1998. Wired Newsin reportteri kiinnostui tapauksesta Lamon ilmoitettua siitä hänelle. Jutun julkaisemisen jälkeen Cingular ja sen tietohallintoalihankkija lock\\line sulkivat aukon nopeasti. Cingular myönsi tyrineensä raskaasti. - Ulkoistaminen on kultakaivos hakkereille. Siinä tietoturvan rajan hämärtyy, Lamo totesi haastattelussa. Tv-kamerat seurasivat poliisilaitokselle astiSyyttäjät olivat saaneet riittävästi tietoja ja nostivat syytteen Lamoa vastaan alkusyksyllä 2003. Mies piileskeli jonkin aikaa, mutta päätti sitten antautua. Syyskuun 9. päivästä muodostui mediatilaisuus: tv-kamerat seurasivat Lamoa, kun hän käveli kohti Sacramenton oikeustalolla odottavia lainvalvojia. Toimittajat saivat ennakkotietoja miehen liikkeistä puhelinvastaajan kautta. Pidätyksen jälkeen verkkoon ilmestyi Lamoa kannattavia verkkosivuja ja hän sai tukea muunmuassa veteraanihakkeri Oxblood Ruffinilta, jonka mielestä tietohallintopäälliköt ovat kiitollisuudenvelassa Lamolle. Lamoa ei oikeastaan kiinnostanut yhteiskunnallinen järjestelmä, mutta hän sai aikaan siinä paljon keskustelua. FBI oli kiinnittänyt huomionsa hakkerin mediasuhteisiin. Agentti Howard vaati syyskuussa 2003 kaikilta Lamoa haastatelleilta toimittajilta muistiinpanoja oikeudenkäyntiä varten, Virasto perui myöhemmin vaatimuksensa julkisuudessa käydyn kiivaan mielipiteenvaihdon jälkeen. Oikeus tuomitsi kotiarestiinEnsimmäisen kerran Adrian Lamo oli oikeuden edessä New Yorkissa muutama päivä antautumisensa jälkeen tunnustaen murtonsa. Oikeus päästi hänet vapaaksi 250 000 dollarin takuita vastaan. Tuomari rajoitti miehen tietokoneenkäyttöä vain sähköpostiin sekä opiskelu- ja työnhakutehtäviin ja määräsi miehen pysyttelemään vanhempiensa luona Kaliforniassa.

Amerikkalainen yhteiskunta reagoi heti tunnustuksen jälkeen. Pankki sulki häneltä tilin, työpaikkaa oli lähes mahdotonta löytää ja tehokas FBI-koneisto kuulusteli Lamon kaukaisiakin sukulaisia sekä entisiä työtovereita. Maksimirangaistus pelotti; hän saattaisi joutua maksamaan enimmillään neljännesmiljoonan dollarin korvaukset ja joutua viideksi vuodeksi telkien taakse. Lamo varmasti mietti aikaisempaa lausuntoaan lehdille: \"Jos syyttävät, niin sitten syyttävät\". Lieventävänä tekijänä oli kuitenkin se, ettei hän ollut koskaan vaatinut rahaa toimistaan. Enimmillään hän oli saanut 50 sentin arvoisen pullon kivennäisvettä Excite@Home-murron yhteydessä. Tuomio tuli heinäkuun 15. päivänä 2004. Lamo sai kuusi kuukautta kotiarestia kahden vuoden koeajalla. Kotiarestin ajaksi oikeus määräsi Lamon tietokoneen käytölle tarkat.Korvauksia hän joutuu maksamaan 64 900 dollaria. Summa sisältää 18 500 dollarin korvauksen LexisNexis-tietokannan käytöstä. Alunperin NYT vaati 300 000 dollaria. Adrian Lamo sanoi myöhemmin, ettei tekisi mitään toisin. Hän kirjoitti kerran Usenetin keskustelupalstalle: \"Jos minulla ei olisi tietokoneita, tutkisin varmasti sadevesiviemäreitä tai vuoristoluolia. Sitäpaitsi teenkin löytöretkiä, jos en pääse internetiin. Toisinaan kannettava tietokone on ollut ainoa hallussani oleva kuiva esine. Adrian Lamo käy nyt kolmattakymmentä. Kevin Mitnick, joka on lähes kaksi kertaa vanhempi, toivoo Lamon löytävän töitä. Hän muistuttaa kuitenkin, ettei liittovaltion tuomioistuimessa tunnustettu rikos lähde pois rekisteristä ilman presidentin armahdusta. Rikosrekisteri on Yhdysvalloissa yleisesti luettavissa ja estää tehokkaasti työnsaannin ja monen muun asian. Digitoday ja ITViikon verkkosivut ovat julkaisseet useita Adrian Lamoa koskevia uutissähkeitä, katso linkit.

Marko Mannila toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Accenture haluaa eroon entisistä nokialaisista

• Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä
• Tällainen on Iron Sky -elokuva
• Acta on kansainvälinen väärennössopimus
• Putkirikko loi pienen järven Sörnäisten rantatielle – katso video