Яйцо кукушки. История разоблачения легендарного хакера - Клиффорд Столл
Шрифт:
Интервал:
Закладка:
Дэн Колковиц из Стэнфордского университета был почти уверен, что у них завелся хакер. До них от Беркли — всего час езды на машине. Однако на велосипеде пришлось бы тащиться целый день. Поэтому мы жаловались друг другу по телефону, пытаясь выяснить, тот ли парень действует нам обоим на нервы или разные.
Начав наблюдение, я обнаружил, что в мой компьютер пытается влезть незваный гость. Раз в несколько дней кто-то набирал телефонный номер и пытался войти в систему с паролями system (система) и guest (гость). Попытки всегда оканчивались неудачей, поэтому я особо не беспокоился. У Дэна все было намного хуже.
— Похоже, каждый щенок в Силикон Вэлли хочет вломиться в Стэнфорд, — стонал Дэн. — Они узнали пароли для действующих студенческих атрибутов и вовсю воруют машинное время. Все это до чертиков надоело, но мы вынуждены с этим мириться, поскольку основной принцип Стэнфорда — открытость системы.
— А вы не собираетесь прикрыть лавочку?
— Если слишком затянуть гайки в системе защиты, то это многих опечалит, — сказал Дэн. — Часть данных должна находиться в общем владении, поэтому доступ по чтению для большей части файлов открыт для всех. Если сменить пароли, нас завалят жалобами. Кроме того, многие требуют обеспечить приватность информации.
Хакер особенно досаждал Дэну.
— Мало того, что он нашел дыру в стэнфордском ЮНИКСе, но еще и повадился звонить по телефону. Он болтал по два часа, одновременно копаясь в моих системных файлах.
— Вы его выследили?
— Пытался. Пока он трепался, я позвонил в стэнфордскую полицию и в телефонную компанию. За два часа они так и не смогли его выследить.
Я подумал о Ли Ченге из Пасифик Беллз. Тракт, проходящий через всю страну, он проследил за десять минут; Тимнет раскрутился меньше, чем за минуту.
Мы сравнили наших хакеров.
— Мой ничего не портил, — сказал я, — просто рылся в файлах и использовал сетевые соединения.
— У меня тоже. Я внес изменения в операционную систему и теперь могу наблюдать, как он орудует.
Я вел наблюдения при помощи персональных компьютеров, но принцип был тот же.
— Он пытался слизнуть файл паролей и системные утилиты?
— Да. Он пользуется псевдонимом «Пфлойд»… Спорю, он фанат «Пинк Флойда». Он всегда работает поздно ночью.
Тут была разница. Мой хакер часто появлялся в полдень. Подумав, я заключил, что Стэнфорд «обслуживает» другой парень. Берклиевский хакер, казалось, предпочитал имя «Хантер», хотя иногда воровал и другие учетные имена.
Спустя три дня в «Сан-Франциско Экзаминер» от 3 октября появился заголовок «Компьютерные ищейки идут по следу талантливого хакера». Репортер по имени Джон Маркофф разнюхал стэнфордскую историю. Мимоходом он также упомянул, что тот же самый хакер залез в компьютеры Лоуренсовской лаборатории в Беркли. Насколько это соответствовало истине? В заметке описывались ловушки, расставленные Дэном, и провозглашалось, что стэнфордский Пфлойд неуязвим. Но репортер переврал псевдоним: «Коварный хакер использовал имя „Пинк Флойд“».
Кляня Маркоффа на чем свет стоит, я уже приготовился прикрыть лавочку, как позвонил Брюс Бауэр из полицейского отдела лаборатории и спросил, видел ли я газету.
— Да, это катастрофа. Хакер больше не появится.
— Ты уверен? Может, эта статейка как раз то, что нужно.
— Но он никогда больше не появится, раз мы в курсе.
— Наверное. Но скорее всего он уверен, что если он надул стэнфордцев, то может продолжать совать нос и к нам.
— Но мы ни на шаг не продвинулась в слежке.
— Вот по этому поводу я и звоню. До получения ордера еще пара недель, и я попрошу до этого не закрываться.
Когда Брюс повесил трубку, я задумался над причиной его внезапного интереса. Может быть, из-за заметки? А, может быть, ФБР взялось за дело?
На следующий день (наверняка по наводке Брюса Бауэра) Рой Керт попросил меня продолжить слежку за хакером, многозначительно подчеркнув приоритетность моих повседневных обязанностей.
В данном случае интуиция не подвела Брюса Бауэра. Хакер объявился спустя неделю после выхода статьи. В воскресенье, 12 октября, в 1-41, когда я бился над одной астрономической задачей, связанной с ортогональными полиномами, раздался сигнал тревоги.
Я бросился вниз по коридору и обнаружил, что он подключился со старыми атрибутами Свентека. В течение двенадцати минут он использовал мой компьютер для связи с Милнетом. Затем перескочил в Аннистон, где использовал имя Хант, проверил свои файлы и отключился.
В понедельник позвонил Чак МакНатт из Аннистона.
— Я распечатал учетные записи за этот уикенд и опять наткнулся на хакера.
— Я знаю, он пробыл у вас несколько минут. Достаточно, чтобы определить отсутствие слежки.
— Думаю, что лучше захлопнуть двери, — сказал Чак.
— Можешь немного подождать?
— Уже месяц прошел. Боюсь, он что-нибудь сотрет.
— Ну, ладно. Убедись только, что ты действительно его выкинул.
— Знаю. Я сменю все пароли и проверю операционную систему на предмет дыр.
Никто не хочет терпеть хакера. Может, я и впрямь безрассуден?
Спустя десять дней хакер появился снова. Я спустился в коммутаторную как раз в тот момент, когда он пытался связаться с Аннистоном.
LBL>telnet ANAD.ARPA
Подключение к 26.1.2.22
Добро пожаловать в учебную военную часть в Аннистоне.
Учетное имя: Hunt
Пароль: Jaeger
Неверные атрибуты. Попытайтесь еще раз.
Учетное имя: Bin
Пароль: Jubber
Добро пожаловать в учебную военную часть в Аннистоне.
Команда «Аннистонские тигры», берегись!
Сообщите о незнакомых пользователях.
Опрашивайте всех незнакомцев, пользующихся данным компьютером.
Чак аннулировал атрибуты Ханта, но не сменил пароль в системных атрибутах Bin. Сообщение предупреждало хакера, что его обнаружили. Он скоренько проверил файлы Гну-Эмакса, и выяснил, что они стерты. Он осмотрелся и нашел один файл, созданный 3 июля. Файл, дающий ему привилегии суперпользователя. Он находился в каталоге общего доступа /usr/lib. В эту область писать мог любой. Он присвоил файлу имя «.d». То же самое имя он использовал при записи файлов в нашей системе. Он не исполнил эту программу, а покинул Аннистон и отключился от нашей лаборатории.
Этот специальный файл Чак не заметил. По телефону он сказал, что сменил пароли всех пользователей — все двести. Но он не сменил системные пароли, например, Бин, так как считал, что их знает только он.
Аннистонский файл с именем «.d» мог послужить исходным пунктом к размышлениям. Хакер отложил яйцо 3 июля и три месяца спустя еще помнил, в каком гнезде он его спрятал. Он не гадал, а сразу же нашел его.
Через три месяца я обычно не помню имен каталогов. Для этого мне нужна записная книжка. Университетский шутник не будет терпеливо ожидать