Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00516 009845 10436380 na godz. na dobę w sumie
Pamiętniki hakerów - książka
Pamiętniki hakerów - książka
Autor: Liczba stron: 224
Wydawca: Helion Język publikacji: polski
ISBN: 83-7197-923-1 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> klasyka hakera
Porównaj ceny (książka, ebook, audiobook).

Fascynująca opowieść o nastoletnich hakerach. Historie oparte na wywiadach z agentami FBI, psychologami kryminalnymi, przedstawicielami prawa oraz obecnymi i byłymi hakerami.

'Prophet był mózgiem większości operacji. Prowadził mnie i DarkVipera przez kolejne stadia ataku. Z jego pomocą spenetrowaliśmy systemy siedmiu baz lotniczych, czterech instalacji Marynarki Wojennej, Departamentu Narodowych Laboratoriów Energetycznych, gdzie prowadzone są badania nad bronią jądrową, NASA i wielu sieci uniwersyteckich. Przed zaatakowaniem ostatecznego celu -- Pentagonu skakaliśmy średnio przez osiem systemów.

Nigdy nie zapomnę dnia, gdy wszystko się zawaliło. Rankiem ze dwa tuziny agentów FBI zaczęło walić w drzwi domu. Wszystko, co pamiętam, to jakiś głos wrzeszczący 'nakaz rewizji' i łomotanie serca mojej macochy wybijające się w moich uszach ponad ogólny rwetes.'

Książka opowiada historie życia tych, którzy stanowili trzon hakerskiej subkultury, nastolatków, odgrywając główne role na tej scenie. To więcej niż prosty ciąg kilku opowieści o technicznych aspektach ich wyczynów hakerskich i włamań do systemów. Autor, doświadczony dziennikarz amerykańskiego magazynu Computerworld szuka odpowiedzi na pytania: dlaczego hakerstwo stało się najważniejszą rzeczą w życiu bohaterów tej książki, jakie wewnętrzne i zewnętrzne siły wpychały ich coraz głębiej w świat hakerskiego podziemia i co czuli, gdy się tam znaleźli.

Jest to historia technologicznego czarodziejstwa, kreatywności i poświęcenia, młodzieńczego buntu, nudy i frustracji, oderwania od społeczeństwa, gniewu i czasem uwięzienia. Po prostu historia dzisiejszych nastoletnich hakerów. Nie są potworami, o jakich czytamy. Są jak inni w ich wieku, a niektórzy zapewne mieszkają w Waszym sąsiedztwie. Są tam.

O autorze:
Dan Verton jest byłym oficerem wywiadu U.S. Marine Corps i dziennikarzem wyróżnionym wieloma nagrodami. [więcej...\

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI Pamiêtniki hakerów Autor: Dan Verton T³umaczenie: Krzysztof Mas³owski ISBN: 83-7197-923-1 Tytu³ orygina³u: The Hacker Diaries: Confessions of Teenage Hackers Format: B5, stron: 198 Ksi¹¿ka opowiada historie ¿ycia tych, którzy stanowili elitê hakerskiej subkultury nastolatków, odgrywaj¹cych g³ówne role na tej scenie. To wiêcej ni¿ prosty ci¹g kilku opowieġci o technicznych aspektach ich wyczynów hakerskich i w³amañ do systemów. Jest to historia technologicznego czarodziejstwa, kreatywnoġci i poġwiêcenia. Historia m³odzieñczego buntu, nudy i frustracji, oderwania od spo³eczeñstwa, gniewu i czasu spêdzonego w wiêzieniu. Historia nastoletnich hakerów, którzy nie s¹ potworami, o jakich czytamy. S¹ jak inni w ich wieku, a niektórzy z nich zapewne mieszkaj¹ w Waszym s¹siedztwie. KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Spis treści O Autorze............................................................................................ 7 Słowo od Tłumacza .............................................................................. 8 Rozdział 1. „Genocide”: od Columbine do hakerstwa.............................................. 9 Rozdział 2. Rebelianci: Joe Magee i „Noid”........................................................... 33 Rozdział 3. Operacja Claymore, czyli wielkie polowanie na Mafiaboya..................... 57 Rozdział 4. Dwaj skrypciarze: Pr0metheus i Explotion ........................................... 89 Rozdział 5. World of Hell ................................................................................... 107 Rozdział 6. Cybermaniaczka: Starla Pureheart..................................................... 123 Rozdział 7. Niezwykle Biały Kapelusz: Willie Gonzalez ......................................... 137 Rozdział 8. Łobuziak, nastolatek, haker i szpieg, czyli historia H. D. Moore’a ....... 157 Posłowie ......................................................................................... 173 Dodatek A Dwie dekady hakerstwa nastolatków ................................................ 183 Dodatek B W ostatnich latach na pierwszych stronach gazet i w serwisach agencyjnych ................................................................ 189 Dodatek C Hakerstwo w Internecie .................................................................... 193 Skorowidz ....................................................................................... 199 Rozdział 3. Operacja Claymore, czyli wielkie polowanie na Mafiaboya We wtorek 8 czerwca 1999 roku krótko po 12.00 uczniowie szkoły średniej w małym miasteczku Sisters w stanie Oregon zbiegli na dół do holu, szukając Johna Rennera. Znaleźli go w sali, gdzie jak zawsze prowadził zajęcia z cwiedzy o społeczeństwie. Jeden z uczniów wsadził głowę do klasy i powiedział: „Padł jeden z serwerów. Nie możemy dostać się do naszych plików i stron WWW”. Renner, który pełnił również funkcję szkolnego koordynatora technicznego, nie prze- jął się zbytnio wieścią o awarii serwera. System padał już wcześniej i zwykle wystar- czało kilka niewielkich poprawek, by zaczął ponownie działać. Ale w głosie uczniów było coś, co kazało mu się zastanowić, a wyraz twarzy jednego z chłopców sugerował mu, że należy od razu zobaczyć, co się stało. Ponadto serwer, o którym była mowa, nie był zwykłym serwerem szkolnym i służył do prowadzenia legalnego przedsię- wzięcia gospodarczego. Wszystko zaczęło się 5 lat wcześniej. Renner, otrzymawszy od jednego z lokalnych biznesmenów dotację w wysokości 50000 dolarów, pomógł w założeniu uczniow- skiej firmy prowadzącej działalność dostawcy usług internetowych. Firmę nazwano Outlawnet, Inc. co było nawiązaniem do nieoficjalnej nazwy szkoły, którą w Sisters nazywano Outlaws1. Było to niewielkie przedsięwzięcie, które w założeniu miało przynosić zyski pokrywające opłaty za dostęp do Internetu 500 uczniów szkoły. Ale firma się rozrastała i miała już ponad 1000 klientów wśród społeczności lokalnej i w kołach biznesu z Sisters, Black Buttle i Camp Sherman. Grono nauczycielskie wybrało 22 uczniów wykazujących szczególne uzdolnienia komputerowe, którzy prowadzili firmę, tworzyli strony WWW, instalowali oprogramowanie u klientów 1 Wyjęci spod prawa — przyp. tłum. 58 Pamiętniki hakerów i zarządzali kontami. Każdego roku zmieniano grupę, dzięki czemu dziesiątki uczniów zdobywało praktyczne doświadczenie przydatne potem w przemyśle komputerowym. Był to powód do dumy. Ale tego dnia, zaledwie kilka dni po uroczystości wręczenia absolwentom świadectw, duma i nadzieja na przyszłość ustąpiły uczuciu strachu. Już po kilku minutach spraw- dzania Renner i pomagający mu kolega przekonali się, że nie była to niegroźna uster- ka. Tym razem było to coś poważniejszego. Jakiś haker znalazł wejście do serwera Outlawnetu. Łatwe do odgadnięcia hasło po- zwoliło mu na utworzenia konta powłokowego i legalne wejście do sieci. Nikt tego nie zauważył. Nikt się nawet tego nie spodziewał. Outlawnet to nie Yahoo! ani Ame- rica Online!, lecz mała rybka wśród wielorybów. Był to niewielki dostawca usług in- ternetowych stworzony niewielkim nakładem kapitału i prowadzony przez uzdolnio- nych uczniów. Jaką korzyść haker mógł odnieść z włamaniac do takiego serwera? Odpowiedzi na to pytanie nie trzeba było długo szukać. Główny serwer uniksowy zo- stał spustoszony i stał się niedostępny, nawet dla administratorów. Programy narzę- dziowe do obsługi technicznej zostały skasowane. Przepadło ponad 3000 należących do szkoły plików oraz kilkadziesiąt kont użytkowników. Włamywacz zainstalował program monitorujący ruch w sieci (sniffer), przechwytujący hasła użytkowników i zamieniający szkolny serwer w serwer e-mailowy z wolnym dostępem. Nie upłynęło wiele czasu i posypała się lawina telefonów od klientów zdenerwowanych nagłą blo- kadą połączeń internetowych. Był to poważny incydent wymagający natychmiasto- wego zawiadomienia policji. Sprawa została szybko przekazana do biura FBI w Portland. Reakcja była natychmia- stowa i wzbudziła najwyższe uznanie Rennera dla profesjonalizmu działania agentów federalnych przysłanych w celu przeprowadzenia dochodzenia. Outlawnet był nie- wielkim lokalnym dostawcą usług internetowych, ale skoro zainteresowało się tym FBI, musiało to dotyczyć przestępstwa o znacznie większym znaczeniu i być może międzynarodowych implikacjach. Przeprowadzenie ataku typu „odmowa usługi” było przestępstwem zagrożonym karą więzienia — niezależnie od rozmiaru i ekonomicz- nego znaczenia zaatakowanego serwera. FBI bardzo poważnie podchodziło do każde- go ataku tego rodzaju. Outlawnet nie mógł być wyjątkiem.c 14 czerwca agenci federalni poinformowali Rennera o zamiarze otwarciu śledztwa w sprawie ataku na serwer i o usilnych próbach ujęcia hakera lub hakerów odpowie- dzialnych za ten atak. Renner obiecał ścisłą współpracę i przyrzekł tropić hakerów za pomocą wszelkich prawnie dozwolonych środków, jakie miał do dyspozycji. Zapowie- dział, że jeżeli okaże się, iż włamywacz pochodzi z USA, wystąpi do sądu z żądaniem zadośćuczynienia za poniesione straty. Dostawcy usług internetowych w rodzaju Outlaw- netu nie mogli pozwolić, aby tego rodzaju ataki pozostawały bezkarne. Myślał o odzyska- nia zaufania zarówno klientów, jak i uczniów. Dopiero po miesiącu udało się odtworzyć zniszczone pliki, a pełne trzy miesiące zajęło usuwanice wszystkich uszkodzeń systemu. Na szczęście Outlawnet posiadał kopię bezpieczeństwa wszystkich zniszczonych pli- ków uczniowskich. Ale atak sporo kosztował. Naprawa oprogramowania i utrata do- chodów spowodowana unieruchomieniem serwera kosztowały młodą firmę ponad 11000 dolarów — sumę, za którą można było opłacić dostęp cuczniów do Internetu. Tymczasem śledztwo FBI postępowało naprzód. Badając dzienniki nadzoru (logi) do- starczone przez Rennera, agenci znaleźli podejrzanego na terenie USA. Jednak ta osoba okazała się być właścicielem legalnie działającej firmy, której system został opanowany przez hakera i użyty jako narzędzie ataku na Outlawnet. Tym razem ślad się urwał, ale istniała nadzieja odnalezienia go. Po udzieleniu agentom FBI odpowiedzi na masę pytań biznesmen dostarczył im sys- temowe dzienniki nadzoru ze wszystkimi adresami IP (Internet Protocol). Taki adres to ciąg liczb, który w Internecie pełni dla komputera taką rolę jak zwykły adres dla człowieka. W tym przypadku adres IP rzekomo należał do komputera, z którego do- konano infiltracji komputera biznesmena, skąd z kolei dokonano ataku na Outlawnet. Z wolna agenci zaczęli składać łamigłówkę. Choć było możliwe, że hakerzy oszukali kolejny komputer, udając, że działają spod legalnego adresu IP — czyli stosując tak- tykę zwaną spoofingiem2 — agenci FBI wiedzieli, że jeżeli będą działać wystarczają- co szybko, w końcu powinni znaleźć łącze prowadzące do prawdziwego winowajcy. Kolejny ślad prowadził do Sprint Canada3. ∗^∗() [] ()∗^∗ Mark Gosselin już trzy lata pracował w oddziale do badania przestępstw komputero- wych Królewskiej Konnej Policji Kanadyjskiej w Montrealu, gdy FBI poinformowało go o prowadzeniu dochodzenia w sprawie przestępstwa popełnionego w USA, które- go ślady prowadzą do Kanady. Według FBI, haker zawładnął serwerem dostawcy usług internetowych w Oregonie, łącząc się z nim z Ohio za pomocą szybkiej linii DSL (digital subscriber line4), a stamtąd, jak udało się ustalić, ślady prowadziły do Kanady w rejon działania Marka Gosselina. Było to w grucdniu 1999 roku. Na pierwszy rzut oka wszystko wyglądało na sprawę dokładnie rozpracowaną, do szybkiego załatwienia. Gosselin był oficerem śledczym Królewskiej Konnej Policji Kanadyjskiej z 20-letnią praktyką. Cztery lata spędził w SWAT5, a resztę, służąc w zwykłej policji, śledząc operacje narkotykowe, defraudacje i inne przestępstwa kryminalne. Jeżeli FBI miało dane o koncie, znalezienie śladu prowadzącego do źró- dła było jedynie kwestią czasu. Wtedy wyśle chłopaków, żeby aresztowali rzezi- mieszka. Tak mu się wtedy zdawało. Gosselin wiedział, że gdziekolwiek ślad miał go zaprowadzić, ma w ręku niezłą sprawę. W przypadku przestępstw komputerowych prawo kanadyjskie jest równie su- rowe jak w USA. Nawet debiutanci za nieuprawnione wejście do systemu mogą wy- lądować w więzieniu na 10 lat. Ponadto zniszczenie lub zmiana danych, znana w prawie kanadyjskim jako „mischief to data” oraz zdobycie haseł w celu nielegalne- go dostępu do komputera są również zagrożone wyrokiem 1c0 lat więzienia. 2 3 4 5 To spoof — naciągać, blagować, podszywać się — przyp. tłum. Wielka firma telekomunikacyjna w Kanadzie — przyp. tłum. Od 1 lipca 2002 tę usługę oferuje również TPSA. Informacje fionansowe i techniczne można znaleźć na stronie http://www.tpsa.pl/biznes/msp/dsl/ — przyp. tłum. Pecial Weapon and Tactics (specjalna broń i taktyka) — oddziały przeznaczone doo wykonywania szczególnie trudnych i niebezpiecznych zadań — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 59 60 Pamiętniki hakerów Pierwszym krokiem Gosselina było uzyskanie nakazu rewizji w Sprint Canada. Dzię- ki pomocy Sprinta udało mu się znaleźć kilka aliasów e-mailowych przypisanych do konta w Delphi Supernet — małego dostawcy usług internetowych w Montrealu. Ale konto zostało zamknięte przed rokiem z powodu podejrzenia o działania hakerskie niezgodne z zasadami bezpieczeństwa przestrzeganymi przez firmę. Rzecz stawała się interesująca. Gosselin postąpił o krok do przodu, ale daleko było jeszcze do znalezie- nia „dymiącego pistoletu” będącego dowodem przestępstwa. Nawet mając informacje o koncie, nie mógł stwierdzić, kto siedział przed komputerem, dokonując ataku na Outlawnet. Śpiesząc się, mógł zniszczyć dowody potrzebne do późniejszego wyto- czenia procesu przeciw hakerowi, którym — jak wyczuwał na podstawie swego wie- loletniego doświadczenia — był nastolatek. Ale musiał wiedzieć na pewno. W Mont- realu i okolicy było zapewne kilkadziesiąt tysięcy nastolatków, którzy mogli posiadać umiejętności pozwalające na dokonanie takiego ataku. Nie był to rodzaj przestępstwa, gdzie możliwe jest zidentyfikowanie winnego przez konfrontację ofiary z grupą po- dejrzanych. A dowody były bardzo „cienkie”. Na razie nie miał dowodu pozwalają- cego uzyskać to, co było naprawdę potrzebne, czyli prawo cpodsłuchu połączeń. Zawęził poszukiwania źródła ataku do dwupiętrowego budynku na Rue de Golf Street w West Island — zamożnej dzielnicy Montrealu leżącej jedynie 30 mil od granicy ze Stanami Zjednoczonymi. Teren przylegał do modnego i ekskluzywnego pola golfo- wego St. Raphael położonego między malowniczym jeziorem Lake of Two Mounta- ins i potężną rzeką Św. Wawrzyńca. Zdaniem większości ludzi, była to wymarzona siedziba w ekskluzywnym otoczeniu, w pełni wyposażona, z dwoma garażami, bru- kowanym boiskiem do koszykówki, gdzie dzieci mogły się bawić. Do najbliższej szkoły średniej było stąd 12 minut jazdy samochodem. Większość mieszkańców tego domu niczym się nie różniła od sąsiadów z okolicy — poza kilkoma wyjątkami. Właściciel John Calce — prezes zarządu firmy transporto- wej, powtórnie żonaty — zgodnie z opinią sąsiadów, był szorstkim, aroganckim, nie- okrzesanym i wrzaskliwym facetem, który lubił przesiadywać przed domem w spor- towej koszulce i szortach, wrzeszcząc i klnąc przez telefon komórkowy. Nie interesował się zbytnio swymi trzema synami, z których dwaj byli braćmi, a trzeci bratem przyrodnim z drugiego małżeństwa. Najstarszy, 17-letni, chciał zostać akto- rem i rzeczywiście udało mu się załatwić udział programie rozrywkowym pokazywa- nym w lokalnej telewizji. Niewiele wiedziano o przyrodnim bracie. Był najmłodszy i lubił grać w koszykówkę. Gdy nie było go na boisku przy domu, kibicował drużynie nastolatków Brookwood Jazz. Gdy nie miał ochoty na grę w koszykówkę, czasem pomagał sąsiadom i przyjaciołom myć samochody. W opinii większości tych, którzy go znali, nie było w nim nic szczególnego. Był normalnym cdzieckiem. Ale młody miłośnik koszykówki był także miłośnikiem komputerów. Miał tylko 12 lat, gdy Delphi Supernet z powodu podejrzenia o hakerstwo zamknęło dwa konta używane przez mieszkańców budynku przy Rue de Golf Street. Goselin mógł później podejrze- wać, ale nigdy nie był w stanie udowodnić, że chłopak nauczył się podstaw hakerstwa od jednego ze swych starszych braci. Dzieciak zapewne niezbyt dokładnie zdawał sobie sprawę z tego, co robi jego starszy brat, ale czuł w głębi serca, że chciałby robić to samo — włamywać się do innych komputerów. Do dziś nie udało się ustalić, kto odpowiadał za incydenty, które doprowadziły do skasowana kont w Delphi Supernet. Jedyna rzecz, której Gosselin mógł być pewny, to fakt, że ten dom miał ccoś wspólnego z hakerstwem. Nikt nie mógł przewidzieć, że niewielki, ciemnowłosy, 14-letni chłopak, który lubił koszykówkę i dziewczyny, miał wkrótce ściągnąć na siebie uwagę całego świata in- ternetowego, a nawet sfer rządowych Stanów Zjednoczonych. Gosselin nie mógł wie- dzieć, że telefon z FBI w sprawie hakerskiego incydentu ze stosunkowo nieznanym dostawcą usług internetowych w stanie Oregon był początkiem tego, co potem zostało nazwane Operacją Claymore. W świecie operacja ta znana była jako polowanie na Mafiaboya, najbardziej notorycznego nastoletniego hakera od czasów Kevina Mitnicka. ∗^∗() [] ()∗^∗ Dokładnie miesiąc przed atakiem na Outlawnet oficer CIA uporczywie usiłował ostrzec dowództwo wywiadu w Europie, że jugosłowiańskie oddziały pomocnicze mieszczą się o jeden blok dalej od miejsca, w którym piloci NATO mieli zrzucić bomby. Ani piloci, ani planiści podający współrzędne bombardowania nie wiedzieli, że oddziały te, służące Serbom pomocą w brutalnej kampanii tortur i mordowania niewinnych Albańczyków, zostały przed paroma laty przemieszczone do innego bu- dynku. Ale zanim CIA przetrawiło informacje przekazane przez swego oficera i prze- kazało je dowódcom w Europie, samoloty Zjednoczonych Sił NATO były już w dro- dze do celu. Gdy następnego dnia rano wiatr rozwiał dymy, szefowie NATO musieli pogodzić się z kompromitującym faktem, że zbombardowano część ambasady Repu- bliki Chin, zabijając trzy osoby i raniąc wiele innych. Tego dnia w cyberprzestrzeni rozpoczęła się wojna przeciw NATO i rządowi Stanów Zjednoczonych. Był to również początek największej w USA akcji służb specjalnych mającej na celu spenetrowania hakerskiej społecznościc. Bombardowanie oddziałów serbskich w Kosowie oraz zaatakowanie ambasady chiń- skiej zjednoczyły hakerów na całym świecie przeciw kierowanej przez USA koalicji NATO. Początkowo serbscy hakerzy prowadzili defensywno-informacyjną kampanię, której celem było zwalczanie amerykańskiej dominacji w środkach masowego prze- kazu; teraz przybrała ona charakter ofensywny, a celem ataków stały się strony WWW rządu USA i NATO. Chodziło o wykorzystanie umiejętności hakerów sym- patyzujących z Serbami do sparaliżowania natowskich możliwości informowania świata o wojnie za pomocą Internetu, który w coraz większym stopniu stawał się źró- dłem informacji dla milionów ludzi. Hakerzy z USA, Serbii, Chin i Rosji, sympatyzujący z Serbami lub czynnie wspie- rający ich działania w Kosowie, rozpoczęli atakowanie serwerów internetowych dowództwa NATO w Brukseli metodą ping-of-death6. „Ping” to słowo powstałe z pierwszych liter Packet InterNet Groper, jest to narzędzie służące do sprawdzania, czy interesujący nas system jest obecny w sieci i działa prawidłowo. Gdy użytkow- nik sieci „pinguje” serwer, wysyła do niego pakiet testowy i oczekuje na odpo- wiedź. To coś takiego, jak telefonowanie do kogoś, żeby sprawdzić, czy jest w do- mu i czy odpowie. Gdy do sprawdzanego serwera wyślemy w krótkim czasie zbyt wiele pakietów testowych, zostanie przekroczona jego zdolność odpowiadania, co 6 Ping-of-death (ping śmierci) — ogólne wyjaśnienie tej metody ataku ozostało podane w następnych zdaniach — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 61 62 Pamiętniki hakerów zablokuje także możliwość ściągania informacji przez legalnych użytkowników. Właśnie to się stało z serwerem NATO. Przez kilka dni sojusz nie mógł wysyłać w świat informacji o tym, co się dzieje w Kosowie. W tym czasie Bill Swallow, doświadczony oficer śledczy Sił Powietrznych Stanów Zjednoczonych ze specjalnego oddziału dochodzeniowego, przydzielony do sformo- wanej przez FBI w Los Angeles grupy zajmującej się włamaniami komputerowymi, zdołał pozyskać informatora tkwiącego głęboko w społeczności serbskich hakerów. Miało się potem okazać, że był to jeden z najważniejszych kontaktów, które udało mu się nawiązać w jego zawodowej karierze. W miarę eskalacji walk w Kosowie nasilały się ataki na system informatyczny NA- TO, a zwłaszcza rządu Stanów Zjednoczonych. Departament Bezpieczeństwa Naro- dowego poinformował FBI o kilku nieudanych próbach naruszenia systemu zabezpie- czeń sieci Białego Domu i Pentagonu. Z posiadanych dowodów wynikało jasno, że ataki były dokonywane za pomocą łączy zamorskich, co wskazywało na związek z wydarzeniami na froncie serbskim. Kwatera główna FBI w Waszyngtonie telefonicznie powiadomiła swoje oddziały w całym kraju, że sprawa ataków hakerskich na serwery rządowe ma najwyższy prio- rytet. Jak się potem okazało, ogromne znaczenie miał telefon do szefa FBI w Los An- geles, Charlesa Neala, który przed laty zajmował się dobrze znaną sprawą hakera Kevina Mitnicka. Był on jednym z najbardziej doświadczonych policjantów zajmują- cych się sprawami przestępstw komputerowych, który pomógł w tworzeniu wielu sto- sowanych przez FBI technik śledzenia tego rodzaju przestępstw. Przed wstąpieniem do FBI wykładał nauki komputerowe na wyższej uczelni i zajmował się sprawami bezpieczeństwa komputerowego w firmach z branży bankowości i służby zdrowia. Znał się na swojej robocie. Wkrótce po telefonie z Waszyngtonu wezwał on do swego biura Swallowa i spytał, na ile wiarygodne są informacje pochodzące od jego serbskiego informatora. Okazało się, że w rzeczywistości pochodzą one z dwóch źródeł. Jednym był haker mieszkający w USA i mający ścisłe związki z serbskim podziemiem hakerskim oraz rodzinę w Serbii. Drugim źródłem był przebywający w Kosowie dawny bohater wojenny zajmujący się w serbskiej armii antynatowską kampanią informacyjną. Neal zorien- tował się od razu, że jeżeli te osoby są tymi, za które się podają, oddział FBI w Los Angeles będzie miał najlepszy w Stanach wywiad hakerski. W roku 1999 tylko kilku agentów FBI mogło w dziedzinie przestępstw komputero- wych równać się wiedzą, zdolnościami i doświadczeniem z Jill Knesek. Przydzielo- na w roku 1998 jako oficer śledczy do biura w Los Angeles, Jill była tą, która prze- kopała się przez góry dowodów sądowych zebranych przeciw Kevinowi Mitnickowi. To dzięki niej udało się uporządkować te dane w sposób pozwalający na wysłane notorycznego cyberprzestępcy do więzienia federalnego. Knesek wnio- sła do FBI 10-letnie doświadczenie w pracy nad bezpieczeństwem komputerowym. Między innymi na stanowisku specjalisty komputerowego w Naval Satellite Opera- tions Center7, gdzie była programistką odpowiedzialną za utrzymanie sprawności 7 Centrum operacji satelitarnych marynarki wojennej — oprzyp. tłum. 15 satelitów nawigacyjnych. Znała się na wielu typach komputerów i systemów operacyjnych. Pisanie i odkodowywanie skryptów hakerskich było dla niej równe proste jak składanie podpisu na papierze. Zaangażowanie Swallowa do pracy grupy pociągało za sobą konieczność współdzia- łania z Knesek. Należało sprawdzić hakerski kontakt w USA — Swallow był prawie nowicjuszem w tej dziedzinie, zaś Knesek dysponowała wszystkimi potrzebnymi umiejętnościami technicznymi. Sprawa była zbyt ważna, aby rościć sobie pretensje do samodzielnego jej rozwiązania. Ani dla niej, ani dla niego nie stanowiło to żadnego problemu. Oboje byli profesjonalistami najwyższej klasy, którzy równie mocno wie- rzyli w konieczność obrony Internetu przed wandalami i kryminalistami, jak hakerzy w przyrodzoną wolność informacji i prawo do swobodnej cpenetracji sieci. Swallow i Knesek spotkali się z amerykańskim hakerem, którego tożsamość została utajniona. Zaczął on natychmiast dostarczać FBI informacje o hakerach rozsianych po całym świecie, również w USA. Przez tego pośrednika nawiązali kontakt z hakerem z Serbii. Do Swallowa i Knesek, a także do kwatery głównej FBI w Waszyngtonie zaczęły płynąć informacje z frontu w Kosowie. Docierały bardzo skomplikowaną drogą okrężną, która mogła być w każdej chwili odcięta z powodu hakerskiej ostroż- ności i braku zaufania. Trudno też było zweryfikować prawdziwość danych przysyła- nych przez hakera z Kosowa. W sieci rzadko się zdarza, by dana osoba rzeczywiście była tym, za kogo się podaje. Dzięki serii bombardowań Knesek mogła zlokalizować wtyczkę w Kosowie. Spraw- dzając czas wysłania informacji i porównując go z danymi o bombardowaniach z kwatery głównej FBI, była w stanie dokładnie wskazać pozycję hakera. FBI wciąż mogło otrzymywać informacje szybciej niż media, nawet szybciej niż CNN, więc gdy informator przekazywał wiadomość, że bomby spadły blisko niego, Knesek i Swal- low porównywali te dane z danymi Pentagonu i Departamentu Sprawiedliwości. Ha- ker potrafił przekazywać informacje o bombardowaniach, o których media jeszcze nie wiedziały. Knesek stwierdziła, że znaleźli kontakt w odpowiednim miejscu i czasie oraz — co jeszcze ważniejsze — źródło prawdziwych inforcmacji. ∗^∗() [] ()∗^∗ Wojna powietrzna prowadzona przez Stany Zjednoczone w Kosowie trwała 78 dni. W tym czasie FBI wykryło jeszcze jednego hakera, który, zagrożony postawieniem przed sądem, zgodził się na współpracę i stał się źródłem informacji o istotnym zna- czeniu. Dane personalne hakerów od początku związanych z tą sprawą są nadal tajne, gdyż śledztwo i procesy jeszcze trwają. Operacja zakończyła się wielkim sukcesem. Nigdy wcześniej nie dokonano czegoś takiego, przynajmniej w śledztwach dotyczących cyberprzestrzeni. Oczywiście, FBI miało wieloletnie doświadczenie w infiltracji takich grup przestępczych jak mafia, kartele narkotykowe i różne frakcje obrońców supremacji białej rasy, ale nigdy nie próbowało przeniknąć do subkultury stworzonej przez tak bezimienne indywidua, dla których kłamstwo i fałsz były nie tylko narzędziem samoobrony, lecz po prostu spo- sobem życia. Podziemie hakerskie w niczym nie przypominało żadnej organizacji, C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 63 64 Pamiętniki hakerów z jaką FBI przyszło się zmierzyć kiedykolwiek w przeszłości. Nawet grupy przestęp- czości zorganizowanej łatwiej było przeniknąć i zdezintegrować, podburzając ich członków przeciw sobie. Hakerzy zaś tworzą zwartą społeczność — niezależnie od stopnia umiejętności i doświadczenia — i nie zrażają się pierwszymi trudnościami. Zamiast rezygnować przybierają inną tożsamość i stosują icnne manewry zwodzące, co znacznie utrudnia ich identyfikację w sieci. Niełatwo jest wejść do tego świata i cza- sem przez całe miesiące trzeba się uwiarygodniać, zanimc uzyska się pełną akceptację. A jednak FBI przeprowadzało w przeszłości podobne operacje. Znana była sprawa przeniknięcia do grup lokalnych organizacji hakerskiej 2600, infiltracja zebrań lokal- nych grup i dorocznej konferencji DefCon w Las Vegas. Odnoszono sukcesy, ale nie- liczne. Agenci FBI i inni przedstawiciele władz pozostawali na zewnątrz, jak lisy wę- szące wokół zamkniętego kurnika. Co roku organizatorzy konferencji DefCon ogłaszali konkurs „łap glinę”. Zadanie było proste: „Jeżeli zobaczysz jakiegoś MIB-a8 (Men in Black) ze słuchawkami, w czarnych półbutach i ciemnych okularach, czają- cego się na wzór Clinta Eastwooda w „Żyć i umrzeć w Los Angeles9”, wskaż go, a dostaniesz koszulkę z napisem „Nakryłem glinę””. Wykrywanie agentów federalnych na konferencji DefCon było tak łatwe, że stało się zabawą. Agentom FBI znacznie trudniej przychodziło śledzenie i identyfikowanie ha- kerów z wyraźnie przestępczymi inklinacjami. Często było to niewykonalne i przy- pominało szukanie igły w stogu siana. Efektywna infiltracja podziemia w sieci wy- magała bardzo aktywnego działania. Przesiadywanie na kanale IRC-a #dc-stuff (DefCon Stuff) i czytanie zwierzeń niewydarzonych ekshakerów dyskutujących o tym, co wypili i jak się spili, jeszcze z nikogo nie zrobiło hakera. Również dysku- towanie o hakerstwie w nic nie da. Trzeba się za to zacbrać samemu. Pod koniec roku 1999 tajna operacja Kosowo zbliżała się ku końcowi. Zmniejszyła się liczba ataków internetowych na serwery NATO i rządu Stanów Zjednoczonych. Ale przez sześć miesięcy tajnego działania Swallow, Knesek i około stu agentów FBI rozsianych po całym kraju zebrało wraz z lokalnymi siłami porządkowymi i wojsko- wymi masę informacji o dziesiątkach hakerów zamieszanych w działania kryminalne. Jak wspomina Swallow: „Przekonaliśmy się, że w zasadzie udała nam się infiltracja hakerskiego podziemia”. Rzeczywiście się udała, a Neal był wytrawnym agentem, który rozumiał wartość wywiadu. Bez wahania złożył FBI i Departamentowi Spra- wiedliwości propozycję kontynuowania działań. Otrzymanie zgody nie było trudne, gdyż w Departamencie Sprawiedliwości nikt się temu nie sprzeciwiał. Tak się naro- dziła pierwsza tajna operacja penetracji podziemia hakerskiego, objęta taką tajemnicą, że do dzisiaj nie ujawniono, jaką nazwą została określcona. Zarówno Gosselin w Kanadzie, jak i pracownicy biura FBI w Los Angeles nawet się nie spodziewali, co ich czeka w najbliższej przyszłości i jak ważna okaże się ich 8 9 MIB (Men in Black — ludzie w czerni) — osobnicy ubrani w czarne garnoitury, w czarnych butach i z czarnymi krawatami, jeżdżący czarnymi cadillacamoi lub latający czarnym helikopterem. Odwiedzają ponoć ludzi, którzy widzieli UFO i strasząo ich śmiercią w razie ujawnienia wiadomości na ten temat. Niektórzy uznają ich za agentów rządowycoh, inni za… tu możliwości jest wiele, więc ciekawych odsyłam do Internetu. Stali się bohaterami fiolmów i gier komputerowych — przyp. tłum. „To live and die in Los Angeles” — przyp. tłum. działalność. Pozyskani informatorzy i nabyte umiejętności stały się kluczowym na- rzędziem w walce z nastoletnim hakerem, który wkrótce miał rozłożyć na łopatki wielkie firmy internetowe. ∗^∗() [] ()∗^∗ Operacja nabrała tempa w styczniu roku 2000. Swallow przeszedł ze stanowiska kie- rowniczego do tajnej grupy agentów udających nieletnich hakerów. Knesek pomagała mu koordynować ogólnokrajową obławę, pilnując, aby wszystkoc przebiegało legalnie. To właśnie stanowiło największą trudność i wielkie wyzcwanie. Swallow, mężczyzna po czterdziestce, nigdy nie spotkał się twarzą w twarz z żadnym hakerem, czyli obiektem swego polowania. Nigdy nie przyszło mu do głowy, że ktoś w jego wieku może zostać hakerem. Ale musiał w środowisku hakerskim „złożyć li- sty uwierzytelniające” i zdobyć reputację. Bez tego niemożliwe było zdobycie infor- macji wystarczających do postawienia kogoś przed sądem. Oznaczało to, że on i inni agenci z grupy muszą rzeczywiście złamać zabezpieczenia jakichś stron WWW i zniszczyć je. To tak samo jak w sytuacji, gdy szef mafii, przyjmując do „rodziny” nowego członka, wręcza mu pistolet i każe usunąć szefa konkurencyjnego gangu. Tyle tylko, że w tym przypadku tolerancja FBI dla tego, co można zrobić w celu po- twierdzenia fałszywej tożsamości agenta, była znacznie większa. Tak czy inaczej, ha- kerstwo nie było przestępstwem szczególnie drastycznym, to nie to samo co morder- stwo. Strony WWW nie krwawiły. Sporym problemem była współpraca z biurami prokuratorów okręgowych. Każdy fede- ralny oskarżyciel, nawet niewiele wiedzący o przestępstwach komputerowych i o sub- kulturze hakerskiej, chciał sobie dodać splendoru kosztem tej operacji. Ale Departament Sprawiedliwości wymagał udziału w specjalnych kursach, dając do zrozumienia, że nie zamierza tracić czasu, gdy przyjdzie do postawienia hakerów przed sądem. W rzeczy- wistości, zgodnie z opinią agentów działających w terenie, spowodowało to wielkie za- mieszanie i wzajemną rywalizację, która paraliżowała śledztwo. Lokalni prokuratorzy bali się podjąć jakąkolwiek decyzję bez wcześniejszej aprcobaty z góry. Pomimo politycznej rywalizacji Waszyngtonu i biur prokuratorów okręgowych Neal i jego grupa uzyskali zgodę Departamentu Sprawiedliwości na zniszczenie różnych rządowych stron WWW w celu wsparcia agentów usiłujących zinfiltrować świat pod- ziemia hakerskiego. Dla agentów działających w sieci uzyskanie tej zgody stało się sprawą szczególnie ważną. Był na to najwyższy czas. „Musieliśmy się dobrać do ja- kiejś strony, aby nie stracić wiarygodności” — wspomina Neal. „Nie różniło się to od zdobywania zaufania gangu, czy mafii, bowiem lepsi hakerzy tworzą własne pokoje czatowe, do których trzeba być zaproszonym. Grupa w końcu zniszczyła około tuzina rządowych stron w sieci, aby się godnie za- prezentować w podziemiu. Przekonali nawet kilka prywatnych firm do wyrażenia zgody na uszkodzenie ich stron. Swallow i inni tajni agenci posłali kopie swoich ha- kerskich wyczynów do administratorów strony Attrition.org10, sieciowego archiwum 10 Attrition — tarcie, ścieranie, skrucha i wojna na wyczerpanieo — wybór pozostawiam domyślności Czytelników — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 65 66 Pamiętniki hakerów służącego hakerom do gromadzenia efektów destrukcyjnych działań. Attrition dla na- stoletnich twórców skryptów jest ulubionym forum prezentacji osiągnięć i powodem hakerskiej chwały, że właśnie oni zniszczyli największą liczbę stron internetowych. Attrition nie troszczy się o to, kim są niszczyciele stron i dba jedynie o to, by przesy- łane rezultaty włamań pochodziły z legalnych stron internetowych, a nie z założonych specjalnie w celu dokonania włamania, co również się zcdarzało. Wszystko przebiegało gładko dzięki pomocy dwóch hakerów współpracujących przed paroma miesiącami ze Swallowem i Knesek nad sprawą dotyczącą Kosowa. W miarę upływu czasu przybywało hakerskich wybryków, ale spora ich część była dziełem nie- doświadczonych nastolatków, którzy dali się zwabić atmosferą hakerskiego podziemia. Inni nie byli tak naiwni, ale wyłapywanie ich i tak nie stanowiło trudności dla informa- torów FBI. Prawdziwi kryminaliści potrzebują zwykle dużo czasu, by uwierzyć, ze zo- stali przyparci do muru, natomiast hakerzy, zwłaszcza nastoletni, w przypadku wpadki nie są tak odporni na stres. Nie trzeba ich wykańczać nerwowo trzydziestoma telefona- mi w ciągu dnia, ani znienacka żądać spotkania w kafejce i zmuszać do przypominania sobie, co robili minuta po minucie. Tego rodzaju taktyka przydaje się, gdy ma się do czynienia z dealerami narkotyków lub innego rodzaju zatwardziałymi przestępcami. Hakerzy, gdy zrozumieją, że zostali przyparci do muru, szybko stają się szkoleniowca- mi i konsultantami FBI. Oni nauczyli Swallowa poruszania się w różnych pokojach czatowych i podpowiedzieli, jak odpowiadać na pytania i wyzwania innych hakerów. Nie ma wątpliwości, że najlepszym źródłem informacji o hackerze jest inny haker. Są oni zaufanymi członkami podziemnej społeczności, w której świat wirtualny zastępuje świat rzeczywisty i gdzie ludzie, którzy wyrażają się jcak agenci, są traktowani jak agenci. Podczas jednej z nocnych zmian, które trwały często od 10 do 12 godzin, ze Swallo- wem nawiązał kontakt haker, który pochwalił się kradzieżą numerów 400 kart kre- dytowych i ukryciem ich na jednym z serwerów niemieckich. Aby to udowodnić, po- kazał skrawek skradzionych danych, po czym stwierdził „Jeżeli ci to do czegoś potrzebne, to je sobie stamtąd ściągnij”. Nie robił wrażenia kogoś, kto chce się przy- służyć, ani takiego, co pragnie pochwalić się zdobyczą. To było wyzwanie. Wyzwa- nie i sprawdzian, kim Swallow jest naprawdę, a zwłaszccza, czy nie jest gliną. Swallow dwoił się i troił, by odkryć tożsamość hakera. Złodziej kart kredytowych na pewno był grubą rybą, prawdziwym kryminalistą. Numery kart były równie cenne jak gotówka. Jedna wpadka z kartą kredytową mogła zrujnować całą firmę. Zwykle po takim incydencie klienci odchodzą i nigdy nie wracają, zwłaszcza ci, których dane skradziono. W przypadku kart z kredytem do 5000, 10000 dolarów lub jeszcze wyższym taka kradzież mogła sięgnąć kwoty 4 milionów dolarów. Swallow miał ochotę przygwoździć drania. Nie był to pierwszy przypadek, gdy Neal musiał nakazać w grupie posłuszeństwo. „Musiałem mu zabronić posunąć się dalej” — wspomina. „Nasze śledztwo wkracza na terytorium innego państwa, byłoby to pogwałceniem zawartych traktatów i mógł- byś spowodować międzynarodowy incydent”. Chociaż nie było wytycznych, jak dalej postępować, Neal wolał być przesadnie ostrożny. Jego agenci, postępując naprzód, określali zasady, wkraczali na dziewiczy teren. Swallow był profesjonalistą i wie- dział, że w przypadku danych kart kredytowych zapisanych na zagranicznym serwe- rze oczekiwanie na zgodę zwierzchników jest zwykłą strcatą czasu. W sytuacjach takich jak ta umiejętność zatrzymania się we właściwym miejscu była sprawą zasadniczą, przynajmniej z formalnego punktu widzenia. W końcu Swallow zdobył sobie zaufanie młodocianych członków hakerskiego podziemia, którzy w trudnych przypadkach zwracali się do niego o pomoc w przeprowadzeniu haker- skiego ataku. Jednak to zadanie było dla niego i innych niemożliwe do wykonania lub raczej — prawie niemożliwe, gdyż wymagało zezwolenia biura prokuratora. Knesek wspomina: „Chcieliśmy prowokację pchnąć o krok dalej, ale nie mogliśmy sobie po- zwolić na zrobienie czegoś, co mogłoby spowodować wstrzymanie całej operacji”. Często zdarzało im się wstrzymanie działań do czasu otrzymania odpowiedzi. Zawsze przecież mógł im się „nagle” załamać system operacyjny, albo musieli wyjść do ubi- kacji, albo ktoś mógł się pojawić w drzwiach i zostać na całonocną pogawędkę. Uży- wali różnych wymówek, aby zyskać czas potrzebny do uzyskcania zgody na atak. Ale było mnóstwo przypadków, gdy żadna zgoda nie była potrzebna. Podczas trwa- nia operacji Neal i jego grupa znaleźli w sieci tysiące stron, których zabezpieczenia zostały złamane. Organizacje rządowe i korporacje posiadające dane o dużym zna- czeniu dla bezpieczeństwa państwa lub systemu gospodarczego były tak szybko, jak to możliwe, informowane o lukach w systemie zabezpieczeń. Ale grupa Neala nie miała ani czasu, ani możliwości, by wszystkie poszkodowane firmy informować o włamaniach. Musiałby posadzić przy telefonach wszystkich swoich agentów i na- kazać wydzwanianie po kolei do tysięcy firm, które nie miały pojęcia o włamaniach do swoich systemów. Takie działanie rychło doprowadziłoby do zakończenia całej operacji. „Podjąłem decyzję o nieinformowaniu o włamaniach do wszystkich kwia- ciarni itp. i ograniczeniu się do zawiadamiania jedynie ważnych instytucji rządo- wych” — wspomina Neal. Innym ważnym zadaniem wykonywanym podczas tej operacji było ustalanie fizycz- nych miejsc pobytu poszczególnych hakerów. Komputerowi przestępcy rzadko po- dają o sobie jakiekolwiek dodatkowe informacje. Są to hakerzy dbający o własne bezpieczeństwo, a nie o reklamę. Myślą jak kryminaliści i wielu z nich zdaje sobie sprawę z finansowych implikacji ich umiejętności. Niektórzy dają wskazówki począt- kującym nieletnim hakerom, po czym niezauważalne w ślad za nimi wchodzą do systemów. Neal przekonał się, że większość z nich jest zatrudniona na dobrze płat- nych stanowiskach w firmach zajmujących się sprawami bezpieczeństwa sieci i bierze aktywny udział w tworzeniu 0-Day-Exploits11: szkodliwych programów, których używanie zmusza firmy w całym kraju do wykonywania ekspertyz i szukania tech- nicznej pomocy w wyszukiwaniu wad systemów. O dziwo, firmy zatrudniające tych hakerów zwykle pierwsze przygotowują poprawki systemów i programy ratownicze oraz przeprowadzają analizę poszczególnych przypadków. Ale w IRC-u, gdzie Swallow występował często jako operator kanału, dominują na- stoletni twórcy skryptów, tzw. skrypciarze. Będąc operatorem, Swallow decydował, kto może pozostać w kanale, a kogo należy wyłączyć. Na pierwszy ogień szli krzyka- cze i pozerzy. Nie można było prowadzić poważnej dyskusji o hakerskiej taktyce i na- rzędziach z bandą szczeniaków wtrącających wciąż uwagi nie na temat, a do tego 11 Exploit — tu: technika włamania lub narzędzie temu służące, woykorzystujące słabości konkretnego systemu operacyjnego. Znaczenie tego słowa nie jest joeszcze ustabilizowane i bywa różnie interpretowane przez środowiska informatyczne — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 67 68 Pamiętniki hakerów pełne przechwałek i wulgaryzmów. Jednak to właśnie oni najczęściej byli naiwnia- kami, którzy podawali informacje pozwalające agentom FBI na zlokalizowanie. Byli jak bolący wrzód na tyłku zarówno dla FBI, jak i dla prawcdziwych hakerów. A na Swallowa czekał jeszcze jeden wrzód, większy od wszystkich, które kiedykol- wiek dotknęły Internet. ∗^∗() [] ()∗^∗ Pierwszy atak rozpoczął się w poniedziałek rano. Zdarzyło się to 7 lutego 2000 roku. Yahoo! — jeden z największych portali informacyjnych i biznesowych — został cał- kowicie zaskoczony atakiem. Strumień pakietów danych spadł na jeden z głównych routerów12 Yahoo! z szybkością 1 gigabajta na sekundę, co odpowiada ponad 3,5 mln średniej wielkości maili na minutę. Router wytrzymał atak, ale Yahoo! straciło połą- czenie z jednym z głównych dostawców usług internetowych. Już wcześniej były z nim pewne problemy i pierwszą godzinę administratorzy spędzili na usuwaniu zna- nych usterek. Nikt nie przypuszczał, że Yahoo! właśnie w szybkim tempie stawał się pierwszą ofiarą największego w historii ataku typu denical-of-service13. W końcu administratorzy zostali zmuszeni do zablokowania całego ruchu wpływają- cego od dostawcy usług internetowych. Pozwoliło to na ponowne uruchomienie pod- stawowego routingu sieciowego, ale nadal nie było jasne, co się właściwie stało. Ad- ministratorzy Yahoo! mogli jedynie stwierdzić, że system załamał się w wyniku przeciążenia nadmiernym ruchem pakietów ICMP14 (Internet Control Message Proto- col). Sieci komputerowe używają komunikatów ICMP do wykrywania przyczyn pro- blemów, na przykład w sytuacji, gdy router nie może transmitować pakietów równie szybko, jak je otrzymuje. Komunikaty te są automatycznie wymieniane między sys- temami. I wówczas administratorzy Yahoo! zrozumieli, że kłopoty, które dotknęły ich sieć, nie są wynikiem przypadkowej usterki. Był to przcemyślany atak. Natychmiast rozpoczęli filtrowanie wszystkich komunikatów ICMP, lecz wówczas cały zablokowany ruch zaczął zalewać serwery Yahoo!. Jedenc z głównych dostawców usług internetowych przechwycił część danych i technicy stwierdzili, że bezpośrednie łącza do dostawców usług, w tym do głównego dostawcy krajowego, z którym współużytkowano dane, nieświadomie biorą udział w ataku. Znaleźli ślad, który do- prowadził do jednego z własnych komputerów Yahoo!; jedne systemy Yahoo! atako- wały inne systemy własnej sieci. Był to szeroko zakrojony atak, w którym wiele komputerów posłużyło jako zombi15. Według ekspertów broniących Yahoo!, tego ro- dzaju skomplikowany atak musiał był dziełem najwyższej klasy hakera lub grupy ha- kerów. Kto inny mógłby przeprowadzić tak zmasowany atack typu odmowy usług? 12 13 14 15 Urządzenie, które po otrzymaniu przesyłanego pakietu oodczytuje jego nagłówek i ustala najlepszą trasę transmisji. Jest również odpowiedzialne za podział pakoietu na fragmenty, jeżeli tego wymagają parametry transmitującej sieci — przyp. tłum. Odmowa usługi — patrz przypis we Wstępie — przyp. tłum. Internetowy protokół komunikatów kontrolnych — przyp. tłum. Komputer opanowany przez hakera w celu przeprowadzeonia ataku, np. typu denial-of-service. Legalny właściciel komputera może nie zdawać sobie sprawy z joego działania jako zombi — przyp. tłum. „Wyglądało na to, że haker (lub hakerzy) znał topologię naszej sieci i wszystko za- planował z wyprzedzeniem” — napisał administrator Yahoo! w kilka dni po napływie pierwszej fali blokujących pakietów. „Wydaje się, że był to zdecydowanie atak typu DDoS16, w którym wiedza i umiejętności atakującego znacznie przewyższały poziom przeciętnego hakera. Atakujący musiał doskonale znać zarówno Unix, jak i technolo- gię oraz organizację sieci”. Była to szczegółowa analiza dokonana przez pierwszą, jak się potem okazało, z sze- regu atakowanych firm. Było jasne, że Yahoo! dotknął atak wytrawnego hakera, który wiedział, co robi i poświęcił wiele czasu na poznanie celu ataku. To, czego świadka- mi byli administratorzy Yahoo!, z całą pewnością nie było dziełem dzieciaka, który ściągnął z Internetu parę skryptów hakerskich do ataku typu DDoS i chciał się prze- konać, jak działają. Był to atak przeprowadzony przez profesjonalistę, który prawdo- podobnie korzystał z dodatkowej pomocy. Przynajmniej tego administratorzy Yahoo! byli pewni. Dane, którymi zaatakowano Yahoo!, wydrukowane na papierze, wypeł- niłyby 630 półciężarówek. Późną nocą Swallow nalał sobie filiżankę kawy i zasiadł przed komputerem, przygoto- wując się do kolejnej długiej nocy wypełnionej w większości nieistotnymi czatami z nic nieznaczącymi nastoletnimi hakerami. Nocne dyżury wydłużały się, żaden z rzeczywi- stych hakerów nie wyściubił wirtualnego nosa przed nastaniem wczesnych godzin po- rannych. Ale tej nocy Swallow, działając jako administrator jednego z odwiedzanych przez hakerów kanałów IRC-a, zauważył, że pojawił się nowy uczestnik o pseudonimie Mafiaboy. Zauważył go już wcześniej, a przynajmniej kogoś, kto używał tego pseudo- nimu (nie było sposobu, by się przekonać, czy to ta sama osoba). Ale wszelkie wątpli- wości dotyczące tożsamości Mafiaboya wkrótce się rozwiały. Chłopak idealnie pasował do znanych już cech osobowości. Był tym samym hałaśliwym, piszącym skrypty na- stolatkiem, z którym Swallow i inni już poprzednio wymcienili parę zdań. Tej nocy Mafiaboy przechwalał się swoimi umiejętnościami. Inni hakerzy na IRC-u wkrótce znudzili się tymi przechwałkami. Czat rychło zamienił się w wymianę wy- zwisk i przekleństw. Przeklinanie było jedną z pokazowych umiejętności Mafiaboya, ale nie o tym myślał Swallow przez resztę wieczoru. Chełpienie się dokonaniem „włamu, jakiego jeszcze nikt nie widział” tak bardzo zmęczyło innych uczestników czatu, że Swallow usunął go z pokoju dyskusyjnego. 8 maja o 9.00 Buy.com — internetowa firma sprzedaży detalicznej jak zwykle rozesłała wstępną ofertę towarów. Przyszłość rysowała się w różowych barwach, gdyż firma tra- fiła na okres mody na dotcomy17. Ale już o 10.50 administratorzy musieli podjąć walkę ze zmasowanym atakiem typu „denial-of service”, podczas którego dane napływały z prędkością 800 megabitów na sekundę, co ponad dwukrotnie przekraczało normalne ob- ciążenie serwera. Atak groził całkowitym odcięciem dostępu do firmy. Tego samego dnia po południu najpopularniejszy w sieci portal aukcyjny eBay również zgłosił zablokowanie 16 17 DDoS (Distributed Denial of Service — rozproszony atak odmowy usług) — atak typu DoS, w którym wiele komputerów atakuje komputer-ofiarę — przyp. tłum. Dotcom (lub dot-com) — taką nazwą określono firmy, które w latach 90. oparłyo swą działalność rynkową na Internecie. Słowo pochodzi od nazw tych firmo, których większość zawierała .com („dot” — kropka). Przykładem jest znana księgarnia interonetowa Amazon.com — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 69 70 Pamiętniki hakerów usług, a zaraz potem to samo przydarzyło się popularnej księgarni wysyłkowej Ama- zon.com. Dla zarządzających startującą dopiero firmą Buy.com pocieszeniem mógł być fakt, że atak dotknął nie tylko ich. Nie były to też ostactnie ofiary. Gdy tego dnia Swallow rozpoczął pracę, od razu natknął się bezczelnego młodocia- nego hakera używającego pseudonimu Mafiaboy. Ale tym razem Swallow wiedział, co się zdarzyło w Internecie, i miał nadzieję na znalezienie tropu w IRC-u. Mafiaboy ponownie sobie przypisał ataki, ale ani Swallow, ani żaden z hakerów na IRC-u nie potraktowali tego poważnie. To tylko chwalipięta Mafiaboy, robiący wokół siebie du- żo szumu, irytujący innych hakerski szczeniak. Takie jawne lekceważenie zdenerwo- wało go i potraktował je jako wyzwanie. Spytał uczestników czatu, co ma teraz zaatakować. Zignorowali go i odpowiedzieli, że na „chwalipiętomierzu” dotarł do końca skali, że jest durniem i idiotą bez żadnych rzeczywistych umiejętności. Ktoś rzucił mimochodem, że CNN byłoby równie do- brym obiektem jak witryny E-Trade. „Niech będzie” — zgodził się. W ciągu kilku minut zostało zablokowane działanie globalnego systemu przesyłania informacji i 1200 innych miejsc w rozciągającej się na cały świat sieci CNN. Następ- nego dnia dwie internetowe firmy handlowe, Datek i E-Trade dotknęły sporadyczne ataki zagrażające stabilności rynków finansowych. Z wolna, w miarę składania w ca- łość okruchów informacji o źródłach ataków, stało się jasne, że użyto kilkudziesięciu komputerów, nad którymi ktoś zdołał przejąć kontrolę. Niezbyt dobrze zabezpieczone komputery Uniwersytetu Kalifornijskiego w Santa Barbara, Uniwersytetu Alberta w Kanadzie oraz uczelni w Atlancie i Massachusetts stały się „zombi”. Ten sam los spotkał 75 komputerów rozsianych po świecie. Włamywacz zainstalował w ich sys- temach złośliwe programy, które zamieniły je w autonomiczne jednostki służące do przeprowadzenia ataków typy „denial-of-service”. Był to prawdziwy kryzys, przed którym od lat przestrzegali eksperci. Wokół zapano- wał strach, że jest to początek czegoś, co specjaliści od spraw bezpieczeństwa sieci nazwali elektronicznym Pearl Harbour, czyli niespodziewanego ataku mającego na celu okaleczenie całej internetowej struktury Stanów Zjednoczonych. Internet stanął na skraju załamania. Media rzuciły się na sprawę, jakby to był prawdziwy koniec świata. Gdyby ataki miały być kontynuowane, gospodarka światowa mogła rzeczywi- ście wpaść w spiralę śmierci. Ale, czy miały być kontynuowane? Ile systemów zo- stało zarażonych, ile zamienionych w „zombi”, w ilu umieszczono bomby z opóźnio- nym zapłonem, czekające na zdalne zdetonowanie? To były najważniejsze pytania, na które należało odpowiedzieć jak najszybciej. Stawką było załamanie się wiary społe- czeństwa w przyszłość internetowej ekonomii. FBI musiało znaleźć hakera o pseudonimie Mafiaboy. I musiałco to zrobić szybko. ∗^∗() [] ()∗^∗ Gdy zadzwonił telefon, Knesek siedziała w pokoju hotelowym w wiejskiej części sta- nu Alabama, gdzie prowadziła dochodzenie w prawie innego hakera wykrytego pod- czas ogólnej obławy na podziemie. To był Neal. „Mamy bardzo poważny problem” — wiedział. — Haker uderza we wszystkich głównych dostawców usług i centra komercyjne w Internecie, od Yahoo! do Amazon i CNN. Wstępne dowody wskazują, że dla kamuflażu korzysta z telnetu18 przez Win- gate proxy19. Większość z maszyn, do których się włamał i zamienił w „launching pads20”, była komputerami uniwersyteckimi zarządzanymi prze cRed Hat Linux 6.1. Knesek weszła do Internetu, starając się znaleźć jakiś ślad. Ona także jeszcze kilka miesięcy wcześniej, zanim została koordynatorem operacji przeczesywania podzie- mia, wyrobiła sobie pozycję fałszywego nastoletniego hakera. Ale z Alabamy nie- wiele mogła zdziałać. Tropy były nadal trudne do wykrycia. Z końcem tygodnia wró- ciła do biura w Los Angeles. Neal zdecydował, że biuro w Los Angeles będzie centrum operacji wywiadowczej, zaś zadaniem biur lokalnych, np. z San Francisco, będą sprawy penetracji technicznej. Wiedział, że to właśnie on dysponuje w podziemiu najlepszymi kontaktami wywia- dowczymi. Mógł także korzystać z efektów rocznego udawania nastoletniego hakera. Akordem końcowym miało być połączenie obu rodzajów działań, co powinno w koń- cu doprowadzić FBI i policję kanadyjską do drzwi Mafiaboyac. Znalezienie rzeczywistego Mafiaboya było niełatwym zadaniem. W ciągu kilku dni od pierwszego ataku zaczęły napływać fałszywe zeznania. Trzeba było odbierać dziennie dziesiątki telefonów, a jeszcze więcej zgłoszeń pojawiało się przez Internet w IRC-owych pokojach pogawędek. Każdy twierdził, że to on jest odpowiedzialny za największy wyczyn hakerski od czasu działania grupy MOD i jej włamań do syste- mów telefonicznych rozmów zamiejscowych w roku 1990. Konieczność sprawdzenia tych przechwałek wydłużyła tydzień pracy całej grupy do 80 godzin. Spośród dzie- siątków hakerów przyznających się do ataków FBI udało się odsiać trzech używają- cych pseudonimu Mafiaboy i teraz należało wyłuskać właścciwego. Do FBI napływał strumień informacji od poszkodowanych firm. Exodus Communi- cations, Inc., wielki dostawca usług internetowych, którego klienci — firmy z rejonu Los Angeles — również ucierpieli w wyniku ataków, oraz inne pomniejsze firmy — rozpoczęły żmudne sprawdzanie plików nadzoru swoich routerów i składanie mozaiki połączeń w czasie ataku. Powoli zaczął się wyłaniać rzecczywisty portret hakera. Neal delegował kilku agentów do centrum operacyjnego sieci Exodusa w celu zbada- nia komputerów, które brały udział w ataku. Jednak nie zostali oni dopuszczeni do urządzeń przez straż firmową. Exodus wymagał czegoś więcej niż zwykłe zlecenie z FBI. Neal dostał po nosie, ale natychmiast zadzwonił do Exodusa. Zaczął od głów- nego numeru, ale pracownicy odsyłali go od Annasza do Kaifasza. Wściekły, gdyż 18 19 20 Telnet — protokół internetowy pozwalający na logowanie sięo na innym komputerze podłączonym do Internetu. Również program pozwalający na korzystanoie z tego protokołu — przyp. tłum. Wyspecjalizowany komputer, obsługujący komunikację omiędzy siecią wewnętrzną i Internetem. Jego zadaniem jest ochrona sieci lokalnej przed nieautoroyzowanymi próbami dostępu oraz zmniejszanie ruchu na łączach poprzez buforowanie najczęściej pobieoranych plików. W tym przypadku chodzi o serwer zarządzany oprogramowaniem opartym na techonologii Windows — przyp. tłum. Launching pad (platforma wyrzutni rakietowej) — tu: miejsce, skąd ojest dokonany atak, czyli mniej więcej to samo co „zombi” (patrz w poprzednich przypisoach) — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 71 72 Pamiętniki hakerów zwłoka w tak krytycznym okresie, groziła utratą możliwości kontynuowania śledztwa, powtarzał żądania i wędrował w górę hierarchii służbowej Exodusa. W końcu dotarł do Billa Hancocka, nowego szefa działu bezpieczeństwa firmy. Dzień, w którym Neal za- dzwonił, był dosłownie pierwszym dniem pracy Hancocka. Zaprzyjaźnieni od lat, ze zdumieniem spotkali się w tak zdumiewających okolicznościach. Po bardzo krótkiej wymianie zdań Neal uzyskał to, czego potrzebował — współpracę ze strony Exodusa. Dane otrzymane z systemu tej firmy stały się bardzo wacżnym elementem śledztwa. 12 lutego koncern Dell Computer Corporation poinformował, że jego system został dosłownie zalany potokiem danych płynących z Internetu. Mafiaboy ponownie poja- wił się w sieci, kontynuując kampanię autoreklamową i biorąc na siebie odpowie- dzialność za atak na Della i wszystkie poprzednie. Kilku agentów bezpieczeństwa z prywatnych firm oraz inni hakerzy przechwycili i przesłali do FBI następującą sesję czatową. Oto przechwycony z hakerskiego kanału IRC-owego #!tnt zapis rozmowy Mafiaboya, który przybrał tu pseudonim ANON (od anonimowy), z kilkoma innymi hakerami używającymi imion T3, Mshadow i swinger: ANON: FBI, WYNIUCHAJ MNIE!! ANON: t3, możesz się połączyć z dellem? Jedni mówią, że tak, inni, cże nie T3: nie mogę przejrzeć sieci ANON: idioci nie wiedzą co to cache21. telnetuj na port 80 T3: spoko, mój modem jest całkiem [f***ed]22. Wszystko jest time out23. Nie, dzięki SWINGER: anon. Chodzi, ale wolno SWINGER: no, rzeczywiście opóźnia MSHADOW: puszczasz na niego streama24? ANON: mshadow, nie, mój własny atak MSHADOW: hehe, jaki rodzaj pakietów? ANON: spoofed25 ++ ANON: to taka mieszanka. Nowy typ i syn26 21 22 23 24 25 26 Pamięć buforująca, pamięć podręczna — przyp. tłum. Fucked lub fucked-up — (wulg.) ze względu na ustawę o ochronie języka polsokiego pozostawiam domyślności Czytelników, podobnie jak następne wyrażenoia =H KV? i =H ? — przyp. tłum. Przekracza czas, np. czas, w którym modem oczekuje nao odpowiedź serwera — przyp. tłum. Stream attack — atak strumieniowy — istota ataku została opisana w następnych przypisach — przyp. tłum. Z podrobionym adresem IP — przyp. tłum. Komunikacja TCP jest inicjowana przez przesłanie do stoacji docelowej pakietu SYN. Wysłanie dużej liczby pakietów z podrobionymi adresami IP wiąże zasoby systeomu docelowego, który alokuje zasoby do obsługi i śledzenia nowej sesji komunikacyjnej i wysyła odpoowiedź, która w przypadku fałszywego adresu IP trafia w próżnię. Wysłanie wielu fałszywych pakietów SYN łatwo doporowadza do przekroczenia limitu połączeń i wyłączenia komputera z sieci — przyp. tłum. T3: spoofed ++, lol27 T3: spoofed, nie spoofed, nie są idealne, a nawet podmieniocne można śledzić, jak je złapiesz, gdy wypływają. MSHADOW: muszą chodzić od routera do routera, aby wyśledzić. to cjakieś 20 min. T3: mafiaboy, kto po dell? MSHADOW: poczekajcie na wiadomości na msnbc28 SWINGER: ms powinno być następne i wrzuć coś na czacie ANON: t3, wieczorem wsadzę komputer do kominka SWINGER: ehe MSHADOW: haha ANON: to nie żart MSHADOW: dlaczego nie wyciągniesz i nie rozwalisz hd29 i nie wsadzisz nowego ANON: mshadow nie chce im dać ŻADNEJ szansy MSHADOW: tak. a gadanie na IRC-u to nie szansa? ANON: a co irc pokaże? T3: mafia ANON: aha [f***it]30, [f***] do kominka albo młotem i do jeziora T3: wszystko podmienione, nie mogą cię złapać. Muszę zwiewacć zanim wrobią mnie w twojego wspólnika lub wdepnę w inne g... ANON: t3, nie [f***] MSHADOW: haha T3: a co ANON: nie łap się za to T3: chcesz zrobić wielki huk? ANON: tak MSHADOW: trzepnąć 10 routerów sieci szkieletowej: 27 28 29 30 Laughing out loud lub lots of laughs — slang internetowy, tutaj mniej więcej tyle co „hao ha ha” lub „śmiechu warte” — przyp. tłum. MSNBC — portal informacyjny, korzystający z informacji koanału NBC, joint-venture MS i NBC — przyp. tłum. Hard disk — dysk twardy — przyp. tłum. Aby nie podpaść pod ustawę o ochronie języka polskiegoo, zostawiam w wersji oryginalnej i pozostawiam domyślności czytelników — przyp. tłum. C:AndrzejPDFPamiętniki hakerówR03-05.doc (02-11-06) 73 74 Pamiętniki hakerów ANON: nie T3: to co planujesz ANON: Microsoft ANON: Microsoft będzie leżał na kilka tygodni T3: HAHAHAHAHAHAHAHAHAHA T3: człowieku, to źle ANOAN: MOŻE, myślę o czymś większym. może www.nasa.gov lub www.whitehouse.gov, a może to blef T3: zwiewam zanim mnie przymkną jako wspólnika lub wdepncę w gorsze g... ANON: t3, trzepnij router ANON: całą listę routerów ANON: wiem, co robię ANON: Yahoo!.com T3: haha T3: ten mafiaboy co trzasnął to wszystko co w wiadomościcach, to rzeczywiście ty? buy.com, etrade, eBay, cały ten chłacm? ANON: pingnij je porządnie. nawet nie przekierują ANON: t3 może. kto wie. mógłbym odpowiedzieć tylko pod ssh2 [bezpieczne, szyfrowane połączenie] T3: haha ANON: mógłbym wyciągnąć hd, trzepnąć młotkiem i wrzucić do jeziocra T3: mówią, że kosztujesz ich miliony ANON: dziwisz się, że jeszcze mnie nie capnęli, t3, to durniec Pomimo tego, że jeden z rozmówców się przyznał, agenci FBI i inni doświadczeni członkowie hakerskiej społeczności nie mogli uwierzyć, że chłopak, który przyjął pseudonim Mafiaboy, był w stanie przeprowadzić ataki tak skomplikowane, do- kładnie przemyślane i tak rozległe. Przecież był tylko nastolatkiem i czeladnikiem w hakerskim rzemiośle. Ponadto eksperci ze służby bezpieczeństwa prywatnego sektora gospodarki poinformowali FBI, że atak na Yahoo! z 7 lutego różnił się znacznie od ataków, które miały miejsce w tydzień później, co wskazywałoby na udział grupy hakerów. Patrząc wstecz, FBI i reszta hakerskiej społeczności zrozumieli, że przegapiono pierwsze poszlaki. Mafiaboy, którego już znali, rzeczywiście był osobą odpowie- dzialną za ataki. Nie można udowodnić, że Swallow i jego agenci, uwierzywszy od razu w przechwałki o pierwszym ataku, byliby w stanie zapobiec następnym, ale trze- ba przyznać, że pierwsze sygnały nie dotarły do ich świadomości; dzwonki alarmowe nie zadzwoniły na czas. Założono, że arogancki Mafiaboy nie nadaje się do czegoś takiego. Przechwalał się, że nigdy go nie złapią. Ważniejsze było to, że jego zapo- wiedź wrzucenia komputera do ognia nie była czczą groźbą. Mógł w końcu wrzucić dyski twarde do jeziora i nikt by ich nie znalazł. Przez następne dwa dni Neal i jego grupa ekspertów przeczesywali Internet, poszu- kując wskazówek pozwalających na ustalenie prawdziwej tożsamości Mafiaboya. 14 lutego znaleźli stronę: YYYFUWRGTPGVPGV`OCHKCDQ[ Strona należała do użytkownika korzystającego z usług Delphi Supernet w Kanadzie. Wkrótce potem znaleziono coś, co nadawałoby się na dowód sądowy. Rzecz doty- czyła ataku na Della, a ślad prowadził do TOTALNET-u, dostawcy usług interneto- wych w Montrealu. FBI miało teraz dwie poszlaki łączące Mafiaboya z Kanadą.
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Pamiętniki hakerów
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: