Læs også:
Her er it-eksperternes hemmelige passwords
Egentlig var han bare på udkig efter interessant it-læsestof, men han endte med at få adgang til en database med mere end et hundredetusinde brugernavne med tilhørende password til nogle af de helt tunge drenge i it-branchen.
"Jeg begyndt faktisk at ryste på hænderne, da det gik op form mig, hvad jeg havde opdaget," fortæller Radu Dragusin til Computerworld, da vi mødes over en kop kaffe for at få hans utrolige fortælling.
Han besluttede sig med det samme for, at han ikke ville sættes i bås med hackere, hacktivister eller andre fra den mere dunkle side af it-verdenen.
Han ville ordne tingene på en ordentlig og etisk forsvarlig måde, men det viste sig faktisk mere besværligt end det måske lige lyder til.
Radu Dragusin kommer oprindelig fra Rumænien, men efter at have afsluttet sit it-studie på Københavns Universitet, er han blevet tilknyttet universitetet som assisterende lektor.
En (næsten) helt almindelig dag
Radu Dragusin havde fået adgang til yderst følsomme data på medlemmerne i IEEE, som er en af verdens største organisationer i forbindelse med udvikling af standarder og fremme af videnskabelig og uddannelsesmæssig udvikling indenfor elektronik, kommunikation og datalogi.
IEEE's medlemmer er således højt specialiserede personer i disse brancher.
I praksis betyder det, at oplysningerne tilhører ansatte i Forsvaret, Google, Apple, IBM og flere lignende industrigiganter. Organisationen har mere end 415.000 medlemmer over hele verden og flere hundrede i Danmark.
Hele episoden opstår, fordi Radu Dragusin er meget begejstret for at læse de forskningspublikationer, som IEEE udgiver. Han bruger dem blandt andet i sit arbejde på universitetet.
Den 18. september leder han således efter gratisudgivelser på en af IEEE's FTP-servere.
"Jeg klikkede mig frem til en mappe, der udgav sig for at indeholde publikationer," fortæller han.
"Her hentede jeg en fil, som jeg åbnede, og til min overraskelse lignede det en log-fil fra en Apache-web-server. Jeg blev selvfølgelig meget nysgerrig, for det var helt uventet," fortæller han, og fortsætter:
"Ved en nærmere gennemgang dukkede massevis af passwords og brugernavne frem på listen. Jeg tænkte UPS, det er vist ikke efter bogen, det her."
Læs også:
Her er it-eksperternes hemmelige passwordsflere
Jeg vidste, at det her var alvorligt
Herefter blev Radu Dragusins gode intentioner sat på en prøve.
"Nu skulle jeg finde ud af, hvordan man håndterer den situation. Jeg vidste, at det var alvorligt. IEEE er en stor organisation, og medlemmerne er vigtige folk. Jeg anede ikke, hvordan jeg skulle knække den nød."
"Det første, der sprang i mine tanker var, at jeg havde læst, at sikkerhedsfolk var blevet anklaget for at være hackere, selv om de blot havde fundet en sårbarhed. Det ville jeg for alt i verden undgå, og jeg var nervøs, men jeg ville også gerne fortælle om sårbarheden," fortæller han hen over kaffen.
Trussel fra IEEE
Derfor købte han domænet ieeelog.com med henblik på at skrive om sin opdagelse.
"Jeg ville gerne beskrive, hvad som var hændt, så folk og medlemmerne i IEEE kunne få en forståelse af hvad, der var sket. Men først skulle sårbarheden naturligvis lukkes."
Desuden rettede han henvendelse til direkte til IEEE.
"Jeg kiggede data igennem og sender en henvendelse til IEEE med en beskrivelse af problemet."
Efter fem timer blev sårbarheden rettet af IEEE.
"Da tingene var kommet på plads, ventede jeg yderligere 24 timer, før jeg publicerede min viden på mit domæne og på Slashdot.com, der er en kendt it-webside. Jeg spurgte udtrykkelig IEEE, om de ville fortælle, hvornår tingene var rettet, men der kom aldrig et svar," fortæller han.
Læs også: Her er it-eksperternes hemmelige passwords
Trussel fra IEEE: Fjern din viden fra nettet
Først tre dage senere får Radu Dragusin en noget overraskende besked fra IEEE.
"Pludselig beder IEEE mig om at fjerne min webside og det indhold, der beskriver sårbarheden. Jeg havde naturligvis ikke lagt følsomme data ud, kun fortalt om forløbet, så jeg var meget forundret over, at de bad mig om at slette siden. Jeg var helt ærlig omkring min opdagelse og stod frem med navn og e-mail, så folk kunne se, hvem jeg var."
"Forklaringen fra IEEE var, at de var bekymrede for medlemmernes privacy."
Gode diskussioner
Men sådan skræmmer man ikke en lektor ved hovedstadens universitet. Radu Dragusin fjernede ikke sine optegnelser, og historien spreder sig ud over hele kloden.
Reaktionerne kommer på fora og i debattråde, hvor hans håndtering af episoden roses.
"Jeg havde dog håbet på lidt mere omtale i Rumænien, hvor jeg kommer fra," siger han grinende.
"Rumænien har et lidt dårligt rygte, når det kommer til it-kriminalitet, det ville jeg gerne have rettet lidt op på, men det blev kun til en enkelt artikel i hjemlandet."
"Men episoden har givet anledning til nogle gode diskussioner om it-sikkerhed på nettet, og det er jeg glad for. Det var hele hensigten," lyder det fra Radu Dragusin.
Efterfølgende har Radu Dragusin i øvrigt fået masser af mails fra personer, der har vist interesse for at købe eller på anden vis får adgang til det indhold, han har opdaget.
