Technology

12-vuotiaan Samin yritys murtautua pizzojen tilausjärjestelmään

August 21, 2013

Read time 5 min

Reaktor Dev Day -konferenssi järjestetään nyt kolmatta kertaa, ja puhujat ovat joka vuosi olleet kovia nimiä. Tänä vuonna omasta mielestäni mentiin kuitenkin uudelle tasolle. Reaktor Dev Day tuo Suomeen Kevin Mitnickin, maailman tunnetuimman hakkerin, joka sattuu olemaan yksi lapsuuden idoleistani.

Kun olin 12-vuotias, internet oli vasta hitaasti yleistymässä, mutta jo täynnä tarinoita Mitnickistä. Mitnick oli silloin tutkintavankeudessa. Luin, miten Mitnick oli kiertänyt rajoituksia puhelinjärjestelmissä, käyttänyt sosiaalista manipulaatiota saadakseen salaista tietoa ja murtautunut useisiin tietojärjestelmiin.

Suurimman vaikutuksen 12-vuotiaaseen teki tuolloin se, että Mitnick oli pystynyt soittamaan ilmaisia puheluita. Asuin Vantaalla Pähkinärinteessä, ja kännyköitä oli vain bisnesmiehillä. Kotona oli sovittu, että jos lähdin käymään vaikka Myyrmäessä, minun piti silloin tällöin soitella vanhemmille ja kertoa missä menin. Pohdin, että jos puhelut pystyisi soittamaan ilmaiseksi, voisi puheluita varten saadut kolikot käyttää johonkin muuhun. Mitenhän ilmaiset puhelut onnistuisivat Suomessa?

Siihen aikaan kirjastoissa oli puhelimet, joista asiakas voi soittaa toisiin kirjastoihin varatakseen kirjoja tai pyytääkseen niitä lähetettäväksi omaan kirjastoon. Kaikkien kirjastojen numerot olivat nelinumeroisia sisänumeroita, ja puhelimet olivat suojattu siten, että viidettä numeroa painettaessa puhelin katkaisi linjan.

Mitnick oli asettanut ajatukseni oikealle taajuudelle: ei kestänyt kauan kun huomasin, että puhelimesta voi soittaa numerotiedustelunumeroon 118, joka on vain kolminumeroinen, ja pyytää heitä yhdistämään mihin tahansa pidempäänkin numeroon.

Hieman myöhemmin huomasin, että kirjastoista pystyi myös soittamaan suoraan haluamaansa numeroon näpyttämällä linjan katkaisunappia. Piti vain painella katkaisunappia alas haluamansa numeron verran, pieni tauko ja sitten seuraava numero. Nolla näpytettiin kymppinä. Näin sai ilmaiset puhelut kaikista kirjastoista.

Tämä kuitenkin rajasi liikkumisen paikkoihin, joista löytyi kirjasto läheltä. Mitenköhän ilmaiset puhelut onnistuisivat puhelinkioskeista, joita oli silloin kaikkialla?

Puhelinkioskin ohjelapusta löytyi numero hintatiedusteluita varten. Kyseiseen numeroon pystyi soittamaan ilmaiseksi tiedustellakseen, kuinka paljon minkäkinlainen puhelu maksaisi. Koska kolikkopuhelimet olivat jännittäviä, olimme jo pitkään soitelleet pilapuheluita kyseiseen numeroon, koska se oli ainut numero, johon pystyi soittamaan ilman rahaa.

Jossain vaiheessa tajusin, että numerosta vastattiin samalla tavalla kuin soitettaessa numerotiedustelunumeroon 118. Jos pyysi yhdistämään, he totesivat, että ikävä kyllä soitit hintatiedustelunumeroon ja joudut syöttämään rahaa ja soittamaan numeroon 118 jos haluat, että yhdistämme. Puhelut siis menivät numerotiedusteluun, mutta jollain tavalla päivystäjille näkyi, että soittaja soitti ilmaiseen hintatiedustelunumeroon.

Jokaisella soitolla puhelu meni eri päivystäjälle. Olisikohan mahdollista, että joku päivystäjistä ei huomaisi, että kyseessä on hintatiedustelunumero ja luulisi kyseessä olevan normaalin soiton numerotiedusteluun?

Viiden yrityksen jälkeen näytti siltä, että päivystäjät olivat tarkkoja. Yhdellä kerralla päivystäjä oli kuitenkin jo pyytämässä numeroa, johon yhdistetään, mutta huomasi sitten, että kyseessä on hintatiedustelunumero. Jäin pohtimaan, miten voisin vaikuttaa siihen, että asia jäisi päivystäjältä huomaamatta.

Seuraavan puhelun aloitin Mitnickiltä opitulla tempulla ja kerroin, miten minulla on hirveä kiire saada tietty henkilö kiinni erittäin tärkeän asian takia, voisitteko välittömästi yhdistää. Ja niinhän päivystäjä yhdisti. Soitin ensimmäistä kertaa ilmaisen puhelun kolikkopuhelimesta.

Onneksi kokeiluni olivat näin viattomia, sillä en ollut mitenkään erityisen hyvä peittämään jälkiäni. Muutamien kokeilujen jälkeen käytin keksimiäni kikkoja soittaakseni suoraan omaan kotinumeroomme. Ei olisi tarvittu ihan FBI:ta selvittämään näitä väärinkäytöksiä.

Mitnickistä kertovissa tarinoissa ihmettelin myös sitä, miten helposti ihmiset antavat salaisia tietoja puhelimessa. Halusin kokeilla tätäkin. Soitin muun muassa Pähkinärinteen ostoskeskuksen Pizza Taxiin, esitin järjestelmäylläpitäjää ja pyysin tunnuksia pizzojen tilausjärjestelmään. Pizzayrittäjä ihmetteli, että mistä minä oikein puhun, eihän silloin mitään pizzojen tilausjärjestelmää ollut. Harvalla oli tuohon aikaan edes internet.

Idea tietojen urkkimisesta jäi kuitenkin polttelemaan. Hyödyn tavoittelu ei oikeastaan ollut oleellista, vaan pääasiallinen motivaattorini oli uteliaisuus. Yritin jatkuvasti keksiä, mitä kokeiluja voisin tehdä. Yläasteella tajusin, että kouluillahan on paljon tietoa kaikista sen oppilaista. Pääsisiköhän niihin tietoihin jotenkin käsiksi?

Soitin lähialueen kouluun, jota tiesin erään ikätoverini käyvän. Puhelu ohjautui vanhalle kanslistitädille. Kerroin olevani lähialueen asukas ja napanneeni edeltävänä päivänä poikia kiinni ilkivallan teosta, mutta saatuani ensimmäisen pojan nimen ja kysyessäni osoitetta pojat olivat lähteneet yllättäen juoksemaan ja päässeet karkuun. Kerroin siis soittelevani lähikouluja läpi saadakseni poikien osoitteet rikosilmoitusta varten. Kanslisti oli oikein ystävällinen ja auttoi mielellään ikävässä tilanteessa. Kerroin hänelle ikätoverini nimen ja hän kertoi minulle kotiosoitteen ja puhelinnumeron. Näin hyvässä turvassa olivat oppilaiden osoitetiedot.

Näitä kokeiluja seurasivat kokeilut tietojärjestelmien kanssa. Niissäkin tuli onnistumisia. Mitnick on sanonut, että hän joutui vankilaan koska uteliaisuus voitti järjen. Onneksi itsellä järki voitti uteliaisuuden ennen kuin tein mitään liian hölmöä.

Kevin Mitnick innosti minua tutkimaan tietoturvaa niin paljon, että jossain vaiheessa aioin suuntautua tietoturva-asiantuntijaksi. Vähitellen koodaus alkoi kiinnostamaan vielä enemmän. Mitnickillä on kuitenkin ollut suuri vaikutus siihen, että innostuin tietokoneista ja internetistä aikoinaan niin paljon.

Näiden tarinoiden kautta ehkä välittyy se, miten innoissani olen siitä, että muutaman kuukauden päästä Kevin Mitnick on tulossa Reaktor Dev Dayhin. Edes järjestäjänä en tarkasti tiedä, mitä tulemme esityksessä näkemään, mutta AV-vaatimuksista päätellen show pitää sisällään paljon käytännön esimerkkejä. Odotan innolla. Nykypäivänä nimittäin pystyisi tilaamaan pizzaa tietojärjestelmän kautta. Tosin nykypäivänähän sosiaalisen manipuloinnin vaarat ovat kaikilla tiedossa, eikö vaan?

Sami Honkonen on Reaktor Dev Dayn pääjärjestäjä. Voit seurata Samia Twitterissä. Liput konferenssiin ovat myynnissä.

Never miss a post