Яйцо кукушки. История разоблачения легендарного хакера - Клиффорд Столл

class="p1">— Да, я тут подумал, а не напихать ли в наш компьютер разной «дезы» и использовать ее как приманку для хакера.

— Что ж, звучит привлекательно, но не сработает.

— Почему?

— Потому, что он псих. Но ты действуй. Это тебе на пользу.

Дело в шляпе! Одобрение шефа заставило меня позабыть обо всем. И все же следовало переговорить с трехбуквенными ребятами. Я написал записку, оформленную в виде научного предложения:

Предложение по установлению адреса хакера

Проблема: В компьютеры лаборатории Лоуренса в Беркли постоянно проникает хакер. Так как запросы идут из Европы, требуется около часа, чтобы проследить телефонную линию. Нам требуется узнать его точное местонахождение.

Данные наблюдения: Он появляется регулярно.

На нашем компьютере он ведет себя самоуверенно, не зная, что мы наблюдаем за ним.

Он ищет такие слова, как «СОИ», «Стелс» и «ядерный».

Он опытный программист и искушен в способах проникновения в сети.

Предлагаемое решение: Приготовить для него вымышленную информацию, с целью продержать его на связи около часа. За это время полностью проследить его звонок.

Далее в записке шли: история вопроса, методология решения и подробный план реализации. В сносках оценивались реальные шансы поимки. Все это я постарался изложить максимально скучно.

Записку я разослал по обычному списку трехбуквенных агентств: ФБР, ЦРУ, АНБ. В записке я отметил, что мы приступаем к выполнению на следующей неделе. Спустя несколько дней я обзвонил все агентства. Майк Гиббонс из ФБР мой план понял, но не мог дать никакого определенного заключения. «А что ЦРУ думает об этом?» Тиджей из ЦРУ также прочитал мое предложение, но также не мог сказать ничего определенного:

— А что говорят ребята из службы «Ф»?

— Майк сказал, чтобы я позвонил тебе.

— А ты не звонил в северную службу?

— Погоди, Тиджей, что за северная служба такая?

— Да знаешь ты — большой форт М.

Ясно. Форт Мид в Мэриленде, то есть АНБ.

Да, я конечно позвонил в форт Мид, и Зик Хэнсон из Центра Национальной Компьютерной Безопасности АНБ прочитал мои предложения. Похоже, они ему понравились, но официально он не хотел иметь к этому никакого отношения.

— Вряд ли я могу одобрить твой план, — сказал Зик. — Если ты вляпаешься в неприятности, мы ничем не сможем помочь.

— Да я и не хочу, чтобы кто-то брал на себя ответственность. Просто хочу узнать, годится эта идея или нет.

Прежде чем начать эксперимент, следует узнать мнение экспертов.

— Да вроде ничего. Но тебе все же следует согласовать это дело с ФБР.

Круг замкнулся — каждый кивал на другого.

Еще я позвонил в Министерство Энергетики, в ОСР ВВС и парням из агентства военной разведки. Никто, конечно, ответственность на себя не взял, но никто и не препятствовал. Именно этого я и добивался.

В среду днем, самоуверенный как всегда, появился хакер. Я вместе с Дайаной Джонсон, представителем Главного Управления Энергетики, был приглашен в Беркли в кафе Пастораль. Вместе с Дэйвом Стивенсом, математиком компьютерного центра, мы наслаждались замечательным капуччино, попутно обсуждая наши дела и планы.

В 12.53 поясного времени моя пищалка разразилась морзянкой. Сообщалось, что хакер вошел в ЮНИКС-4 под именем Свентек. Я рванулся к телефонной будке и позвонил Стиву Уайту в Тимнет (2.25 мелочью), чтобы он занялся отслеживанием. Но хакер был на связи всего три минуты — хватило, чтобы выяснить, кто вошел в компьютер, но и только. Кофе еще не успел остыть, как я был опять за столом.

Мониторы зарегистрировали его под именем Свентек, он просмотрел список всех остальных пользователей, одновременно с ним работающих в системе, и отвалил. Черт бы его побрал. Он не слишком долго находился в системе и не заметил наши подставные файлы.

Может, наша приманка чересчур замаскирована? Немецкие техники будут наготове еще пару дней, так что мне лучше сделать файлы более заметными.

С этого момента я решил сам подключиться к компьютеру. Я буду изображать милашку Барбару Шервин, которая работает на компьютере в задании СОИНЕТ. Следующий раз, когда хакер выставит свой перископ, он увидит задание СОИНЕТ, в котором кто-то редактирует файлы. Если и это не привлечет его внимания, то уже ничего не поможет.

На следующий день он так и не появился. Следующее утро — опять ничего. Я уже собирался все бросить, как вечером в пятницу, в 17.14 биппер запищал вновь. Это был хакер.

Я, конечно, тут как тут, работаю в СОИНЕТ, играю в текстовом редакторе. На первую команду «КТО» он получил список из десяти человек. Я был седьмым:

КТО

Астро

Картер

Ферми

Майер

Микропробы

Оппи

Соинет

Свентек

Тенчек

Томкинс

Вот крючок, вот червячок. Ну, давай, глотай, дружок!

lbl> grep соинет/etc/passwd

Он дал команду на просмотр файла паролей, чтобы узнать кто работает в СОИНЕТ.

соинет: sx4sd34x2:user соинет, flies in/u4/соинет, владелец соинет рабочий проект

Ха! Он проглотил наживку! Он пытается добыть информацию о пользователе СОИНЕТ! И я знаю, что он сейчас сделает — он начнет лазить по директории СОИНЕТ.

lbl> cd/u4/соинет

он вошел в директорию СОИНЕТ

lbl> ls

и хочет просмотреть список имен файлов

Нарушение защиты — вы не являетесь владельцем

но он не может увидеть их!

Разумеется, он не может прочитать информацию СОИНЕТ — я полностью закрыл доступ к этим файлам. Но он знает, как обойти мою защиту. Ему нужно-то несколько минут. Клюнет ли на приманку для дураков? Клюнул. Вот он удостоверился, что программа электронной почты Гну-Эмакс на месте. А теперь готовит программу-обманщицу. Через пару минут он превратится в системного менеджера.

Только сейчас я решил позвонить Стиву Уайту.

— Звони в Германию. Хакер надолго на связи.

— Заметано, Клифф. Я перезвоню через десять минут.

Ну, теперь дело за немцами. Смогут ли они подсечь рыбку? Так, посмотрим, сейчас в Беркли 5.15 пополудни, значит в Германии… 2.15 — раннее утро или поздняя ночь. Или 1.15? В любом случае — это не время для деловой активности. Но техники из Ганновера наверняка дежурят.

Пока суд да дело, хакер не тратил время попусту. Меньше, чем за пять минут, он подготовил специальную программу, которая сделает его системным менеджером. Привязавшись к утилите Гну-Эмакс, он протащил ее в системную область. Теперь, как только ЮНИКС обнаружит эту программу… — все, готово! Он — суперпользователь.

Хакер кинулся прямиком к защищенным файлам СОИНЕТ. Не колеблясь, он первым делом распечатал список имен файлов:

lbl> ls

Связи

Бланк-заказа

Финансирование

Почтовые-адреса

Пентагон-запросы

Покупки-заказы

Докладные-Гордону

Родес-письмо

СОИ-компьютеры

СОИ-сети

СОИ-сеть-предложение

Пользователи-список

Глобальная-сеть

Посетители-информация

Некоторые из этих имен не просто файлы, а директории — целые шкафы, набитые другими файлами.

Что он