IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

Pamitniki hakerw
Autor: Dan Verton
Tumaczenie: Krzysztof Masowski
ISBN: 83-7197-923-1
Tytu oryginau: The Hacker Diaries: Confessions
of Teenage Hackers
Format: B5, stron: 198

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Ksika opowiada historie ycia tych, ktrzy stanowili elit hakerskiej subkultury
nastolatkw, odgrywajcych gwne role na tej scenie. To wicej ni prosty cig kilku
opowieci o technicznych aspektach ich wyczynw hakerskich i wama do systemw.
Jest to historia technologicznego czarodziejstwa, kreatywnoci i powicenia. Historia
modzieczego buntu, nudy i frustracji, oderwania od spoeczestwa, gniewu i czasu
spdzonego w wizieniu. Historia nastoletnich hakerw, ktrzy nie s potworami,
o jakich czytamy. S jak inni w ich wieku, a niektrzy z nich zapewne mieszkaj
w Waszym ssiedztwie.

Spis treci
O Autorze........................................................................................... 7
Sowo od Tumacza ............................................................................. 8
Rozdzia 1. Genocide: od Columbine do hakerstwa.............................................. 9
Rozdzia 2. Rebelianci: Joe Magee i Noid.......................................................... 33
Rozdzia 3. Operacja Claymore, czyli wielkie polowanie na Mafiaboya..................... 57
Rozdzia 4. Dwaj skrypciarze: Pr0metheus i Explotion ........................................... 89
Rozdzia 5. World of Hell .................................................................................. 107
Rozdzia 6. Cybermaniaczka: Starla Pureheart.................................................... 123
Rozdzia 7. Niezwykle Biay Kapelusz: Willie Gonzalez ......................................... 137
Rozdzia 8. obuziak, nastolatek, haker i szpieg, czyli historia H. D. Moorea ....... 157
Posowie ........................................................................................ 173
Dodatek A Dwie dekady hakerstwa nastolatkw ................................................ 183
Dodatek B W ostatnich latach na pierwszych stronach gazet
i w serwisach agencyjnych ............................................................... 189
Dodatek C Hakerstwo w Internecie ................................................................... 193
Skorowidz ...................................................................................... 199

Rozdzia 3.

Operacja Claymore,
czyli wielkie polowanie
na Mafiaboya
We wtorek 8 czerwca 1999 roku krtko po 12.00 uczniowie szkoy redniej w maym
miasteczku Sisters w stanie Oregon zbiegli na d do holu, szukajc Johna Rennera.
Znaleli go w sali, gdzie jak zawsze prowadzi zajcia z wiedzy o spoeczestwie.
Jeden z uczniw wsadzi gow do klasy i powiedzia: Pad jeden z serwerw. Nie
moemy dosta si do naszych plikw i stron WWW.
Renner, ktry peni rwnie funkcj szkolnego koordynatora technicznego, nie przej si zbytnio wieci o awarii serwera. System pada ju wczeniej i zwykle wystarczao kilka niewielkich poprawek, by zacz ponownie dziaa. Ale w gosie uczniw
byo co, co kazao mu si zastanowi, a wyraz twarzy jednego z chopcw sugerowa
mu, e naley od razu zobaczy, co si stao. Ponadto serwer, o ktrym bya mowa,
nie by zwykym serwerem szkolnym i suy do prowadzenia legalnego przedsiwzicia gospodarczego.
Wszystko zaczo si 5 lat wczeniej. Renner, otrzymawszy od jednego z lokalnych
biznesmenw dotacj w wysokoci 50000 dolarw, pomg w zaoeniu uczniowskiej firmy prowadzcej dziaalno dostawcy usug internetowych. Firm nazwano
Outlawnet, Inc. co byo nawizaniem do nieoficjalnej nazwy szkoy, ktr w Sisters
nazywano Outlaws1. Byo to niewielkie przedsiwzicie, ktre w zaoeniu miao
przynosi zyski pokrywajce opaty za dostp do Internetu 500 uczniw szkoy. Ale
firma si rozrastaa i miaa ju ponad 1000 klientw wrd spoecznoci lokalnej
i w koach biznesu z Sisters, Black Buttle i Camp Sherman. Grono nauczycielskie
wybrao 22 uczniw wykazujcych szczeglne uzdolnienia komputerowe, ktrzy
prowadzili firm, tworzyli strony WWW, instalowali oprogramowanie u klientw
1

Wyjci spod prawa przyp. tum.

58

Pamitniki hakerw

i zarzdzali kontami. Kadego roku zmieniano grup, dziki czemu dziesitki uczniw
zdobywao praktyczne dowiadczenie przydatne potem w przemyle komputerowym.
By to powd do dumy.
Ale tego dnia, zaledwie kilka dni po uroczystoci wrczenia absolwentom wiadectw,
duma i nadzieja na przyszo ustpiy uczuciu strachu. Ju po kilku minutach sprawdzania Renner i pomagajcy mu kolega przekonali si, e nie bya to niegrona usterka. Tym razem byo to co powaniejszego.
Jaki haker znalaz wejcie do serwera Outlawnetu. atwe do odgadnicia haso pozwolio mu na utworzenia konta powokowego i legalne wejcie do sieci. Nikt tego
nie zauway. Nikt si nawet tego nie spodziewa. Outlawnet to nie Yahoo! ani America Online!, lecz maa rybka wrd wielorybw. By to niewielki dostawca usug internetowych stworzony niewielkim nakadem kapitau i prowadzony przez uzdolnionych uczniw. Jak korzy haker mg odnie z wamania do takiego serwera?
Odpowiedzi na to pytanie nie trzeba byo dugo szuka. Gwny serwer uniksowy zosta spustoszony i sta si niedostpny, nawet dla administratorw. Programy narzdziowe do obsugi technicznej zostay skasowane. Przepado ponad 3000 nalecych
do szkoy plikw oraz kilkadziesit kont uytkownikw. Wamywacz zainstalowa
program monitorujcy ruch w sieci (sniffer), przechwytujcy hasa uytkownikw
i zamieniajcy szkolny serwer w serwer e-mailowy z wolnym dostpem. Nie upyno
wiele czasu i posypaa si lawina telefonw od klientw zdenerwowanych nag blokad pocze internetowych. By to powany incydent wymagajcy natychmiastowego zawiadomienia policji.
Sprawa zostaa szybko przekazana do biura FBI w Portland. Reakcja bya natychmiastowa i wzbudzia najwysze uznanie Rennera dla profesjonalizmu dziaania agentw
federalnych przysanych w celu przeprowadzenia dochodzenia. Outlawnet by niewielkim lokalnym dostawc usug internetowych, ale skoro zainteresowao si tym
FBI, musiao to dotyczy przestpstwa o znacznie wikszym znaczeniu i by moe
midzynarodowych implikacjach. Przeprowadzenie ataku typu odmowa usugi byo
przestpstwem zagroonym kar wizienia niezalenie od rozmiaru i ekonomicznego znaczenia zaatakowanego serwera. FBI bardzo powanie podchodzio do kadego ataku tego rodzaju. Outlawnet nie mg by wyjtkiem.
14 czerwca agenci federalni poinformowali Rennera o zamiarze otwarciu ledztwa
w sprawie ataku na serwer i o usilnych prbach ujcia hakera lub hakerw odpowiedzialnych za ten atak. Renner obieca cis wspprac i przyrzek tropi hakerw za
pomoc wszelkich prawnie dozwolonych rodkw, jakie mia do dyspozycji. Zapowiedzia, e jeeli okae si, i wamywacz pochodzi z USA, wystpi do sdu z daniem
zadouczynienia za poniesione straty. Dostawcy usug internetowych w rodzaju Outlawnetu nie mogli pozwoli, aby tego rodzaju ataki pozostaway bezkarne. Myla o odzyskania zaufania zarwno klientw, jak i uczniw. Dopiero po miesicu udao si odtworzy
zniszczone pliki, a pene trzy miesice zajo usuwanie wszystkich uszkodze systemu.
Na szczcie Outlawnet posiada kopi bezpieczestwa wszystkich zniszczonych plikw uczniowskich. Ale atak sporo kosztowa. Naprawa oprogramowania i utrata dochodw spowodowana unieruchomieniem serwera kosztoway mod firm ponad
11000 dolarw sum, za ktr mona byo opaci dostp uczniw do Internetu.

Tymczasem ledztwo FBI postpowao naprzd. Badajc dzienniki nadzoru (logi) dostarczone przez Rennera, agenci znaleli podejrzanego na terenie USA. Jednak ta
osoba okazaa si by wacicielem legalnie dziaajcej firmy, ktrej system zosta
opanowany przez hakera i uyty jako narzdzie ataku na Outlawnet. Tym razem lad
si urwa, ale istniaa nadzieja odnalezienia go.
Po udzieleniu agentom FBI odpowiedzi na mas pyta biznesmen dostarczy im systemowe dzienniki nadzoru ze wszystkimi adresami IP (Internet Protocol). Taki adres
to cig liczb, ktry w Internecie peni dla komputera tak rol jak zwyky adres dla
czowieka. W tym przypadku adres IP rzekomo nalea do komputera, z ktrego dokonano infiltracji komputera biznesmena, skd z kolei dokonano ataku na Outlawnet.
Z wolna agenci zaczli skada amigwk. Cho byo moliwe, e hakerzy oszukali
kolejny komputer, udajc, e dziaaj spod legalnego adresu IP czyli stosujc taktyk zwan spoofingiem2 agenci FBI wiedzieli, e jeeli bd dziaa wystarczajco szybko, w kocu powinni znale cze prowadzce do prawdziwego winowajcy.
Kolejny lad prowadzi do Sprint Canada3.
^()<[]>()^
Mark Gosselin ju trzy lata pracowa w oddziale do badania przestpstw komputerowych Krlewskiej Konnej Policji Kanadyjskiej w Montrealu, gdy FBI poinformowao
go o prowadzeniu dochodzenia w sprawie przestpstwa popenionego w USA, ktrego lady prowadz do Kanady. Wedug FBI, haker zawadn serwerem dostawcy
usug internetowych w Oregonie, czc si z nim z Ohio za pomoc szybkiej linii
DSL (digital subscriber line4), a stamtd, jak udao si ustali, lady prowadziy do
Kanady w rejon dziaania Marka Gosselina. Byo to w grudniu 1999 roku.
Na pierwszy rzut oka wszystko wygldao na spraw dokadnie rozpracowan, do
szybkiego zaatwienia. Gosselin by oficerem ledczym Krlewskiej Konnej Policji
Kanadyjskiej z 20-letni praktyk. Cztery lata spdzi w SWAT5, a reszt, suc
w zwykej policji, ledzc operacje narkotykowe, defraudacje i inne przestpstwa
kryminalne. Jeeli FBI miao dane o koncie, znalezienie ladu prowadzcego do rda byo jedynie kwesti czasu. Wtedy wyle chopakw, eby aresztowali rzezimieszka. Tak mu si wtedy zdawao.
Gosselin wiedzia, e gdziekolwiek lad mia go zaprowadzi, ma w rku niez
spraw. W przypadku przestpstw komputerowych prawo kanadyjskie jest rwnie surowe jak w USA. Nawet debiutanci za nieuprawnione wejcie do systemu mog wyldowa w wizieniu na 10 lat. Ponadto zniszczenie lub zmiana danych, znana
w prawie kanadyjskim jako mischief to data oraz zdobycie hase w celu nielegalnego dostpu do komputera s rwnie zagroone wyrokiem 10 lat wizienia.
2
3
4

To spoof naciga, blagowa, podszywa si przyp. tum.

Wielka firma telekomunikacyjna w Kanadzie przyp. tum.
Od 1 lipca 2002 t usug oferuje rwnie TPSA. Informacje finansowe i techniczne mona znale
na stronie http://www.tpsa.pl/biznes/msp/dsl/ przyp. tum.
Pecial Weapon and Tactics (specjalna bro i taktyka) oddziay przeznaczone do wykonywania
szczeglnie trudnych i niebezpiecznych zada przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

59

60

Pamitniki hakerw

Pierwszym krokiem Gosselina byo uzyskanie nakazu rewizji w Sprint Canada. Dziki pomocy Sprinta udao mu si znale kilka aliasw e-mailowych przypisanych do
konta w Delphi Supernet maego dostawcy usug internetowych w Montrealu. Ale
konto zostao zamknite przed rokiem z powodu podejrzenia o dziaania hakerskie
niezgodne z zasadami bezpieczestwa przestrzeganymi przez firm. Rzecz stawaa si
interesujca. Gosselin postpi o krok do przodu, ale daleko byo jeszcze do znalezienia dymicego pistoletu bdcego dowodem przestpstwa. Nawet majc informacje
o koncie, nie mg stwierdzi, kto siedzia przed komputerem, dokonujc ataku na
Outlawnet. pieszc si, mg zniszczy dowody potrzebne do pniejszego wytoczenia procesu przeciw hakerowi, ktrym jak wyczuwa na podstawie swego wieloletniego dowiadczenia by nastolatek. Ale musia wiedzie na pewno. W Montrealu i okolicy byo zapewne kilkadziesit tysicy nastolatkw, ktrzy mogli posiada
umiejtnoci pozwalajce na dokonanie takiego ataku. Nie by to rodzaj przestpstwa,
gdzie moliwe jest zidentyfikowanie winnego przez konfrontacj ofiary z grup podejrzanych. A dowody byy bardzo cienkie. Na razie nie mia dowodu pozwalajcego uzyska to, co byo naprawd potrzebne, czyli prawo podsuchu pocze.
Zawzi poszukiwania rda ataku do dwupitrowego budynku na Rue de Golf Street
w West Island zamonej dzielnicy Montrealu lecej jedynie 30 mil od granicy ze
Stanami Zjednoczonymi. Teren przylega do modnego i ekskluzywnego pola golfowego St. Raphael pooonego midzy malowniczym jeziorem Lake of Two Mountains i potn rzek w. Wawrzyca. Zdaniem wikszoci ludzi, bya to wymarzona
siedziba w ekskluzywnym otoczeniu, w peni wyposaona, z dwoma garaami, brukowanym boiskiem do koszykwki, gdzie dzieci mogy si bawi. Do najbliszej
szkoy redniej byo std 12 minut jazdy samochodem.
Wikszo mieszkacw tego domu niczym si nie rnia od ssiadw z okolicy
poza kilkoma wyjtkami. Waciciel John Calce prezes zarzdu firmy transportowej, powtrnie onaty zgodnie z opini ssiadw, by szorstkim, aroganckim, nieokrzesanym i wrzaskliwym facetem, ktry lubi przesiadywa przed domem w sportowej koszulce i szortach, wrzeszczc i klnc przez telefon komrkowy. Nie
interesowa si zbytnio swymi trzema synami, z ktrych dwaj byli brami, a trzeci
bratem przyrodnim z drugiego maestwa. Najstarszy, 17-letni, chcia zosta aktorem i rzeczywicie udao mu si zaatwi udzia programie rozrywkowym pokazywanym w lokalnej telewizji. Niewiele wiedziano o przyrodnim bracie. By najmodszy
i lubi gra w koszykwk. Gdy nie byo go na boisku przy domu, kibicowa druynie
nastolatkw Brookwood Jazz. Gdy nie mia ochoty na gr w koszykwk, czasem
pomaga ssiadom i przyjacioom my samochody. W opinii wikszoci tych, ktrzy
go znali, nie byo w nim nic szczeglnego. By normalnym dzieckiem.
Ale mody mionik koszykwki by take mionikiem komputerw. Mia tylko 12 lat,
gdy Delphi Supernet z powodu podejrzenia o hakerstwo zamkno dwa konta uywane
przez mieszkacw budynku przy Rue de Golf Street. Goselin mg pniej podejrzewa, ale nigdy nie by w stanie udowodni, e chopak nauczy si podstaw hakerstwa
od jednego ze swych starszych braci. Dzieciak zapewne niezbyt dokadnie zdawa sobie
spraw z tego, co robi jego starszy brat, ale czu w gbi serca, e chciaby robi to samo
wamywa si do innych komputerw. Do dzi nie udao si ustali, kto odpowiada
za incydenty, ktre doprowadziy do skasowana kont w Delphi Supernet. Jedyna rzecz,
ktrej Gosselin mg by pewny, to fakt, e ten dom mia co wsplnego z hakerstwem.

Nikt nie mg przewidzie, e niewielki, ciemnowosy, 14-letni chopak, ktry lubi

koszykwk i dziewczyny, mia wkrtce cign na siebie uwag caego wiata internetowego, a nawet sfer rzdowych Stanw Zjednoczonych. Gosselin nie mg wiedzie, e telefon z FBI w sprawie hakerskiego incydentu ze stosunkowo nieznanym
dostawc usug internetowych w stanie Oregon by pocztkiem tego, co potem zostao
nazwane Operacj Claymore. W wiecie operacja ta znana bya jako polowanie na
Mafiaboya, najbardziej notorycznego nastoletniego hakera od czasw Kevina Mitnicka.
^()<[]>()^
Dokadnie miesic przed atakiem na Outlawnet oficer CIA uporczywie usiowa
ostrzec dowdztwo wywiadu w Europie, e jugosowiaskie oddziay pomocnicze
mieszcz si o jeden blok dalej od miejsca, w ktrym piloci NATO mieli zrzuci
bomby. Ani piloci, ani planici podajcy wsprzdne bombardowania nie wiedzieli,
e oddziay te, suce Serbom pomoc w brutalnej kampanii tortur i mordowania
niewinnych Albaczykw, zostay przed paroma laty przemieszczone do innego budynku. Ale zanim CIA przetrawio informacje przekazane przez swego oficera i przekazao je dowdcom w Europie, samoloty Zjednoczonych Si NATO byy ju w drodze do celu. Gdy nastpnego dnia rano wiatr rozwia dymy, szefowie NATO musieli
pogodzi si z kompromitujcym faktem, e zbombardowano cz ambasady Republiki Chin, zabijajc trzy osoby i ranic wiele innych.
Tego dnia w cyberprzestrzeni rozpocza si wojna przeciw NATO i rzdowi Stanw
Zjednoczonych. By to rwnie pocztek najwikszej w USA akcji sub specjalnych
majcej na celu spenetrowania hakerskiej spoecznoci.
Bombardowanie oddziaw serbskich w Kosowie oraz zaatakowanie ambasady chiskiej zjednoczyy hakerw na caym wiecie przeciw kierowanej przez USA koalicji
NATO. Pocztkowo serbscy hakerzy prowadzili defensywno-informacyjn kampani,
ktrej celem byo zwalczanie amerykaskiej dominacji w rodkach masowego przekazu; teraz przybraa ona charakter ofensywny, a celem atakw stay si strony
WWW rzdu USA i NATO. Chodzio o wykorzystanie umiejtnoci hakerw sympatyzujcych z Serbami do sparaliowania natowskich moliwoci informowania
wiata o wojnie za pomoc Internetu, ktry w coraz wikszym stopniu stawa si rdem informacji dla milionw ludzi.
Hakerzy z USA, Serbii, Chin i Rosji, sympatyzujcy z Serbami lub czynnie wspierajcy ich dziaania w Kosowie, rozpoczli atakowanie serwerw internetowych
dowdztwa NATO w Brukseli metod ping-of-death6. Ping to sowo powstae
z pierwszych liter Packet InterNet Groper, jest to narzdzie suce do sprawdzania,
czy interesujcy nas system jest obecny w sieci i dziaa prawidowo. Gdy uytkownik sieci pinguje serwer, wysya do niego pakiet testowy i oczekuje na odpowied. To co takiego, jak telefonowanie do kogo, eby sprawdzi, czy jest w domu i czy odpowie. Gdy do sprawdzanego serwera wylemy w krtkim czasie zbyt
wiele pakietw testowych, zostanie przekroczona jego zdolno odpowiadania, co
6

Ping-of-death (ping mierci) oglne wyjanienie tej metody ataku zostao podane w nastpnych
zdaniach przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

61

62

Pamitniki hakerw

zablokuje take moliwo cigania informacji przez legalnych uytkownikw.

Wanie to si stao z serwerem NATO. Przez kilka dni sojusz nie mg wysya
w wiat informacji o tym, co si dzieje w Kosowie.
W tym czasie Bill Swallow, dowiadczony oficer ledczy Si Powietrznych Stanw
Zjednoczonych ze specjalnego oddziau dochodzeniowego, przydzielony do sformowanej przez FBI w Los Angeles grupy zajmujcej si wamaniami komputerowymi,
zdoa pozyska informatora tkwicego gboko w spoecznoci serbskich hakerw.
Miao si potem okaza, e by to jeden z najwaniejszych kontaktw, ktre udao mu
si nawiza w jego zawodowej karierze.
W miar eskalacji walk w Kosowie nasilay si ataki na system informatyczny NATO, a zwaszcza rzdu Stanw Zjednoczonych. Departament Bezpieczestwa Narodowego poinformowa FBI o kilku nieudanych prbach naruszenia systemu zabezpiecze sieci Biaego Domu i Pentagonu. Z posiadanych dowodw wynikao jasno, e
ataki byy dokonywane za pomoc czy zamorskich, co wskazywao na zwizek
z wydarzeniami na froncie serbskim.
Kwatera gwna FBI w Waszyngtonie telefonicznie powiadomia swoje oddziay
w caym kraju, e sprawa atakw hakerskich na serwery rzdowe ma najwyszy priorytet. Jak si potem okazao, ogromne znaczenie mia telefon do szefa FBI w Los Angeles, Charlesa Neala, ktry przed laty zajmowa si dobrze znan spraw hakera
Kevina Mitnicka. By on jednym z najbardziej dowiadczonych policjantw zajmujcych si sprawami przestpstw komputerowych, ktry pomg w tworzeniu wielu stosowanych przez FBI technik ledzenia tego rodzaju przestpstw. Przed wstpieniem
do FBI wykada nauki komputerowe na wyszej uczelni i zajmowa si sprawami
bezpieczestwa komputerowego w firmach z brany bankowoci i suby zdrowia.
Zna si na swojej robocie.
Wkrtce po telefonie z Waszyngtonu wezwa on do swego biura Swallowa i spyta,
na ile wiarygodne s informacje pochodzce od jego serbskiego informatora. Okazao
si, e w rzeczywistoci pochodz one z dwch rde. Jednym by haker mieszkajcy
w USA i majcy cise zwizki z serbskim podziemiem hakerskim oraz rodzin
w Serbii. Drugim rdem by przebywajcy w Kosowie dawny bohater wojenny
zajmujcy si w serbskiej armii antynatowsk kampani informacyjn. Neal zorientowa si od razu, e jeeli te osoby s tymi, za ktre si podaj, oddzia FBI w Los
Angeles bdzie mia najlepszy w Stanach wywiad hakerski.
W roku 1999 tylko kilku agentw FBI mogo w dziedzinie przestpstw komputerowych rwna si wiedz, zdolnociami i dowiadczeniem z Jill Knesek. Przydzielona w roku 1998 jako oficer ledczy do biura w Los Angeles, Jill bya t, ktra przekopaa si przez gry dowodw sdowych zebranych przeciw Kevinowi
Mitnickowi. To dziki niej udao si uporzdkowa te dane w sposb pozwalajcy
na wysane notorycznego cyberprzestpcy do wizienia federalnego. Knesek wniosa do FBI 10-letnie dowiadczenie w pracy nad bezpieczestwem komputerowym.
Midzy innymi na stanowisku specjalisty komputerowego w Naval Satellite Operations Center7, gdzie bya programistk odpowiedzialn za utrzymanie sprawnoci
7

Centrum operacji satelitarnych marynarki wojennej przyp. tum.

15 satelitw nawigacyjnych. Znaa si na wielu typach komputerw i systemw

operacyjnych. Pisanie i odkodowywanie skryptw hakerskich byo dla niej rwne
proste jak skadanie podpisu na papierze.
Zaangaowanie Swallowa do pracy grupy pocigao za sob konieczno wspdziaania z Knesek. Naleao sprawdzi hakerski kontakt w USA Swallow by prawie
nowicjuszem w tej dziedzinie, za Knesek dysponowaa wszystkimi potrzebnymi
umiejtnociami technicznymi. Sprawa bya zbyt wana, aby roci sobie pretensje do
samodzielnego jej rozwizania. Ani dla niej, ani dla niego nie stanowio to adnego
problemu. Oboje byli profesjonalistami najwyszej klasy, ktrzy rwnie mocno wierzyli w konieczno obrony Internetu przed wandalami i kryminalistami, jak hakerzy
w przyrodzon wolno informacji i prawo do swobodnej penetracji sieci.
Swallow i Knesek spotkali si z amerykaskim hakerem, ktrego tosamo zostaa
utajniona. Zacz on natychmiast dostarcza FBI informacje o hakerach rozsianych po
caym wiecie, rwnie w USA. Przez tego porednika nawizali kontakt z hakerem
z Serbii. Do Swallowa i Knesek, a take do kwatery gwnej FBI w Waszyngtonie
zaczy pyn informacje z frontu w Kosowie. Docieray bardzo skomplikowan
drog okrn, ktra moga by w kadej chwili odcita z powodu hakerskiej ostronoci i braku zaufania. Trudno te byo zweryfikowa prawdziwo danych przysyanych przez hakera z Kosowa. W sieci rzadko si zdarza, by dana osoba rzeczywicie
bya tym, za kogo si podaje.
Dziki serii bombardowa Knesek moga zlokalizowa wtyczk w Kosowie. Sprawdzajc czas wysania informacji i porwnujc go z danymi o bombardowaniach
z kwatery gwnej FBI, bya w stanie dokadnie wskaza pozycj hakera. FBI wci
mogo otrzymywa informacje szybciej ni media, nawet szybciej ni CNN, wic gdy
informator przekazywa wiadomo, e bomby spady blisko niego, Knesek i Swallow porwnywali te dane z danymi Pentagonu i Departamentu Sprawiedliwoci. Haker potrafi przekazywa informacje o bombardowaniach, o ktrych media jeszcze nie
wiedziay. Knesek stwierdzia, e znaleli kontakt w odpowiednim miejscu i czasie
oraz co jeszcze waniejsze rdo prawdziwych informacji.
^()<[]>()^
Wojna powietrzna prowadzona przez Stany Zjednoczone w Kosowie trwaa 78 dni.
W tym czasie FBI wykryo jeszcze jednego hakera, ktry, zagroony postawieniem
przed sdem, zgodzi si na wspprac i sta si rdem informacji o istotnym znaczeniu. Dane personalne hakerw od pocztku zwizanych z t spraw s nadal tajne,
gdy ledztwo i procesy jeszcze trwaj.
Operacja zakoczya si wielkim sukcesem. Nigdy wczeniej nie dokonano czego
takiego, przynajmniej w ledztwach dotyczcych cyberprzestrzeni. Oczywicie, FBI
miao wieloletnie dowiadczenie w infiltracji takich grup przestpczych jak mafia,
kartele narkotykowe i rne frakcje obrocw supremacji biaej rasy, ale nigdy nie
prbowao przenikn do subkultury stworzonej przez tak bezimienne indywidua, dla
ktrych kamstwo i fasz byy nie tylko narzdziem samoobrony, lecz po prostu sposobem ycia. Podziemie hakerskie w niczym nie przypominao adnej organizacji,

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

63

64

Pamitniki hakerw

z jak FBI przyszo si zmierzy kiedykolwiek w przeszoci. Nawet grupy przestpczoci zorganizowanej atwiej byo przenikn i zdezintegrowa, podburzajc ich
czonkw przeciw sobie. Hakerzy za tworz zwart spoeczno niezalenie od
stopnia umiejtnoci i dowiadczenia i nie zraaj si pierwszymi trudnociami.
Zamiast rezygnowa przybieraj inn tosamo i stosuj inne manewry zwodzce, co
znacznie utrudnia ich identyfikacj w sieci. Nieatwo jest wej do tego wiata i czasem przez cae miesice trzeba si uwiarygodnia, zanim uzyska si pen akceptacj.
A jednak FBI przeprowadzao w przeszoci podobne operacje. Znana bya sprawa
przeniknicia do grup lokalnych organizacji hakerskiej 2600, infiltracja zebra lokalnych grup i dorocznej konferencji DefCon w Las Vegas. Odnoszono sukcesy, ale nieliczne. Agenci FBI i inni przedstawiciele wadz pozostawali na zewntrz, jak lisy wszce wok zamknitego kurnika. Co roku organizatorzy konferencji DefCon
ogaszali konkurs ap glin. Zadanie byo proste: Jeeli zobaczysz jakiego MIB-a8
(Men in Black) ze suchawkami, w czarnych pbutach i ciemnych okularach, czajcego si na wzr Clinta Eastwooda w y i umrze w Los Angeles9, wska go,
a dostaniesz koszulk z napisem Nakryem glin.
Wykrywanie agentw federalnych na konferencji DefCon byo tak atwe, e stao si
zabaw. Agentom FBI znacznie trudniej przychodzio ledzenie i identyfikowanie hakerw z wyranie przestpczymi inklinacjami. Czsto byo to niewykonalne i przypominao szukanie igy w stogu siana. Efektywna infiltracja podziemia w sieci wymagaa bardzo aktywnego dziaania. Przesiadywanie na kanale IRC-a #dc-stuff
(DefCon Stuff) i czytanie zwierze niewydarzonych ekshakerw dyskutujcych
o tym, co wypili i jak si spili, jeszcze z nikogo nie zrobio hakera. Rwnie dyskutowanie o hakerstwie w nic nie da. Trzeba si za to zabra samemu.
Pod koniec roku 1999 tajna operacja Kosowo zbliaa si ku kocowi. Zmniejszya
si liczba atakw internetowych na serwery NATO i rzdu Stanw Zjednoczonych.
Ale przez sze miesicy tajnego dziaania Swallow, Knesek i okoo stu agentw FBI
rozsianych po caym kraju zebrao wraz z lokalnymi siami porzdkowymi i wojskowymi mas informacji o dziesitkach hakerw zamieszanych w dziaania kryminalne.
Jak wspomina Swallow: Przekonalimy si, e w zasadzie udaa nam si infiltracja
hakerskiego podziemia. Rzeczywicie si udaa, a Neal by wytrawnym agentem,
ktry rozumia warto wywiadu. Bez wahania zoy FBI i Departamentowi Sprawiedliwoci propozycj kontynuowania dziaa. Otrzymanie zgody nie byo trudne,
gdy w Departamencie Sprawiedliwoci nikt si temu nie sprzeciwia. Tak si narodzia pierwsza tajna operacja penetracji podziemia hakerskiego, objta tak tajemnic,
e do dzisiaj nie ujawniono, jak nazw zostaa okrelona.
Zarwno Gosselin w Kanadzie, jak i pracownicy biura FBI w Los Angeles nawet si
nie spodziewali, co ich czeka w najbliszej przyszoci i jak wana okae si ich
8

MIB (Men in Black ludzie w czerni) osobnicy ubrani w czarne garnitury, w czarnych butach
i z czarnymi krawatami, jedcy czarnymi cadillacami lub latajcy czarnym helikopterem.
Odwiedzaj pono ludzi, ktrzy widzieli UFO i strasz ich mierci w razie ujawnienia wiadomoci
na ten temat. Niektrzy uznaj ich za agentw rzdowych, inni za tu moliwoci jest wiele, wic
ciekawych odsyam do Internetu. Stali si bohaterami filmw i gier komputerowych przyp. tum.
To live and die in Los Angeles przyp. tum.

dziaalno. Pozyskani informatorzy i nabyte umiejtnoci stay si kluczowym narzdziem w walce z nastoletnim hakerem, ktry wkrtce mia rozoy na opatki
wielkie firmy internetowe.
^()<[]>()^
Operacja nabraa tempa w styczniu roku 2000. Swallow przeszed ze stanowiska kierowniczego do tajnej grupy agentw udajcych nieletnich hakerw. Knesek pomagaa
mu koordynowa oglnokrajow obaw, pilnujc, aby wszystko przebiegao legalnie.
To wanie stanowio najwiksz trudno i wielkie wyzwanie.
Swallow, mczyzna po czterdziestce, nigdy nie spotka si twarz w twarz z adnym
hakerem, czyli obiektem swego polowania. Nigdy nie przyszo mu do gowy, e kto
w jego wieku moe zosta hakerem. Ale musia w rodowisku hakerskim zoy listy uwierzytelniajce i zdoby reputacj. Bez tego niemoliwe byo zdobycie informacji wystarczajcych do postawienia kogo przed sdem. Oznaczao to, e on i inni
agenci z grupy musz rzeczywicie zama zabezpieczenia jakich stron WWW
i zniszczy je. To tak samo jak w sytuacji, gdy szef mafii, przyjmujc do rodziny
nowego czonka, wrcza mu pistolet i kae usun szefa konkurencyjnego gangu.
Tyle tylko, e w tym przypadku tolerancja FBI dla tego, co mona zrobi w celu potwierdzenia faszywej tosamoci agenta, bya znacznie wiksza. Tak czy inaczej, hakerstwo nie byo przestpstwem szczeglnie drastycznym, to nie to samo co morderstwo. Strony WWW nie krwawiy.
Sporym problemem bya wsppraca z biurami prokuratorw okrgowych. Kady federalny oskaryciel, nawet niewiele wiedzcy o przestpstwach komputerowych i o subkulturze hakerskiej, chcia sobie doda splendoru kosztem tej operacji. Ale Departament
Sprawiedliwoci wymaga udziau w specjalnych kursach, dajc do zrozumienia, e nie
zamierza traci czasu, gdy przyjdzie do postawienia hakerw przed sdem. W rzeczywistoci, zgodnie z opini agentw dziaajcych w terenie, spowodowao to wielkie zamieszanie i wzajemn rywalizacj, ktra paraliowaa ledztwo. Lokalni prokuratorzy
bali si podj jakkolwiek decyzj bez wczeniejszej aprobaty z gry.
Pomimo politycznej rywalizacji Waszyngtonu i biur prokuratorw okrgowych Neal
i jego grupa uzyskali zgod Departamentu Sprawiedliwoci na zniszczenie rnych
rzdowych stron WWW w celu wsparcia agentw usiujcych zinfiltrowa wiat podziemia hakerskiego. Dla agentw dziaajcych w sieci uzyskanie tej zgody stao si
spraw szczeglnie wan. By na to najwyszy czas. Musielimy si dobra do jakiej strony, aby nie straci wiarygodnoci wspomina Neal. Nie rnio si to od
zdobywania zaufania gangu, czy mafii, bowiem lepsi hakerzy tworz wasne pokoje
czatowe, do ktrych trzeba by zaproszonym.
Grupa w kocu zniszczya okoo tuzina rzdowych stron w sieci, aby si godnie zaprezentowa w podziemiu. Przekonali nawet kilka prywatnych firm do wyraenia
zgody na uszkodzenie ich stron. Swallow i inni tajni agenci posali kopie swoich hakerskich wyczynw do administratorw strony Attrition.org10, sieciowego archiwum
10

Attrition tarcie, cieranie, skrucha i wojna na wyczerpanie wybr pozostawiam domylnoci

Czytelnikw przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

65

66

Pamitniki hakerw

sucego hakerom do gromadzenia efektw destrukcyjnych dziaa. Attrition dla nastoletnich twrcw skryptw jest ulubionym forum prezentacji osigni i powodem
hakerskiej chway, e wanie oni zniszczyli najwiksz liczb stron internetowych.
Attrition nie troszczy si o to, kim s niszczyciele stron i dba jedynie o to, by przesyane rezultaty wama pochodziy z legalnych stron internetowych, a nie z zaoonych
specjalnie w celu dokonania wamania, co rwnie si zdarzao.
Wszystko przebiegao gadko dziki pomocy dwch hakerw wsppracujcych przed
paroma miesicami ze Swallowem i Knesek nad spraw dotyczc Kosowa. W miar
upywu czasu przybywao hakerskich wybrykw, ale spora ich cz bya dzieem niedowiadczonych nastolatkw, ktrzy dali si zwabi atmosfer hakerskiego podziemia.
Inni nie byli tak naiwni, ale wyapywanie ich i tak nie stanowio trudnoci dla informatorw FBI. Prawdziwi kryminalici potrzebuj zwykle duo czasu, by uwierzy, ze zostali przyparci do muru, natomiast hakerzy, zwaszcza nastoletni, w przypadku wpadki
nie s tak odporni na stres. Nie trzeba ich wykacza nerwowo trzydziestoma telefonami w cigu dnia, ani znienacka da spotkania w kafejce i zmusza do przypominania
sobie, co robili minuta po minucie. Tego rodzaju taktyka przydaje si, gdy ma si do
czynienia z dealerami narkotykw lub innego rodzaju zatwardziaymi przestpcami.
Hakerzy, gdy zrozumiej, e zostali przyparci do muru, szybko staj si szkoleniowcami i konsultantami FBI. Oni nauczyli Swallowa poruszania si w rnych pokojach
czatowych i podpowiedzieli, jak odpowiada na pytania i wyzwania innych hakerw.
Nie ma wtpliwoci, e najlepszym rdem informacji o hakerze jest inny haker. S oni
zaufanymi czonkami podziemnej spoecznoci, w ktrej wiat wirtualny zastpuje
wiat rzeczywisty i gdzie ludzie, ktrzy wyraaj si jak agenci, s traktowani jak agenci.
Podczas jednej z nocnych zmian, ktre trway czsto od 10 do 12 godzin, ze Swallowem nawiza kontakt haker, ktry pochwali si kradzie numerw 400 kart kredytowych i ukryciem ich na jednym z serwerw niemieckich. Aby to udowodni, pokaza skrawek skradzionych danych, po czym stwierdzi Jeeli ci to do czego
potrzebne, to je sobie stamtd cignij. Nie robi wraenia kogo, kto chce si przysuy, ani takiego, co pragnie pochwali si zdobycz. To byo wyzwanie. Wyzwanie i sprawdzian, kim Swallow jest naprawd, a zwaszcza, czy nie jest glin.
Swallow dwoi si i troi, by odkry tosamo hakera. Zodziej kart kredytowych na
pewno by grub ryb, prawdziwym kryminalist. Numery kart byy rwnie cenne jak
gotwka. Jedna wpadka z kart kredytow moga zrujnowa ca firm. Zwykle po takim
incydencie klienci odchodz i nigdy nie wracaj, zwaszcza ci, ktrych dane skradziono.
W przypadku kart z kredytem do 5000, 10000 dolarw lub jeszcze wyszym taka kradzie
moga sign kwoty 4 milionw dolarw. Swallow mia ochot przygwodzi drania.
Nie by to pierwszy przypadek, gdy Neal musia nakaza w grupie posuszestwo.
Musiaem mu zabroni posun si dalej wspomina. Nasze ledztwo wkracza
na terytorium innego pastwa, byoby to pogwaceniem zawartych traktatw i mgby spowodowa midzynarodowy incydent. Chocia nie byo wytycznych, jak dalej
postpowa, Neal wola by przesadnie ostrony. Jego agenci, postpujc naprzd,
okrelali zasady, wkraczali na dziewiczy teren. Swallow by profesjonalist i wiedzia, e w przypadku danych kart kredytowych zapisanych na zagranicznym serwerze oczekiwanie na zgod zwierzchnikw jest zwyk strat czasu.

W sytuacjach takich jak ta umiejtno zatrzymania si we waciwym miejscu bya

spraw zasadnicz, przynajmniej z formalnego punktu widzenia. W kocu Swallow
zdoby sobie zaufanie modocianych czonkw hakerskiego podziemia, ktrzy
w trudnych przypadkach zwracali si do niego o pomoc w przeprowadzeniu hakerskiego ataku. Jednak to zadanie byo dla niego i innych niemoliwe do wykonania lub
raczej prawie niemoliwe, gdy wymagao zezwolenia biura prokuratora. Knesek
wspomina: Chcielimy prowokacj pchn o krok dalej, ale nie moglimy sobie pozwoli na zrobienie czego, co mogoby spowodowa wstrzymanie caej operacji.
Czsto zdarzao im si wstrzymanie dziaa do czasu otrzymania odpowiedzi. Zawsze
przecie mg im si nagle zaama system operacyjny, albo musieli wyj do ubikacji, albo kto mg si pojawi w drzwiach i zosta na caonocn pogawdk. Uywali rnych wymwek, aby zyska czas potrzebny do uzyskania zgody na atak.
Ale byo mnstwo przypadkw, gdy adna zgoda nie bya potrzebna. Podczas trwania operacji Neal i jego grupa znaleli w sieci tysice stron, ktrych zabezpieczenia
zostay zamane. Organizacje rzdowe i korporacje posiadajce dane o duym znaczeniu dla bezpieczestwa pastwa lub systemu gospodarczego byy tak szybko, jak
to moliwe, informowane o lukach w systemie zabezpiecze. Ale grupa Neala nie
miaa ani czasu, ani moliwoci, by wszystkie poszkodowane firmy informowa
o wamaniach. Musiaby posadzi przy telefonach wszystkich swoich agentw i nakaza wydzwanianie po kolei do tysicy firm, ktre nie miay pojcia o wamaniach
do swoich systemw. Takie dziaanie rycho doprowadzioby do zakoczenia caej
operacji. Podjem decyzj o nieinformowaniu o wamaniach do wszystkich kwiaciarni itp. i ograniczeniu si do zawiadamiania jedynie wanych instytucji rzdowych wspomina Neal.
Innym wanym zadaniem wykonywanym podczas tej operacji byo ustalanie fizycznych miejsc pobytu poszczeglnych hakerw. Komputerowi przestpcy rzadko podaj o sobie jakiekolwiek dodatkowe informacje. S to hakerzy dbajcy o wasne
bezpieczestwo, a nie o reklam. Myl jak kryminalici i wielu z nich zdaje sobie
spraw z finansowych implikacji ich umiejtnoci. Niektrzy daj wskazwki pocztkujcym nieletnim hakerom, po czym niezauwaalne w lad za nimi wchodz do
systemw. Neal przekona si, e wikszo z nich jest zatrudniona na dobrze patnych stanowiskach w firmach zajmujcych si sprawami bezpieczestwa sieci i bierze
aktywny udzia w tworzeniu 0-Day-Exploits11: szkodliwych programw, ktrych
uywanie zmusza firmy w caym kraju do wykonywania ekspertyz i szukania technicznej pomocy w wyszukiwaniu wad systemw. O dziwo, firmy zatrudniajce tych
hakerw zwykle pierwsze przygotowuj poprawki systemw i programy ratownicze
oraz przeprowadzaj analiz poszczeglnych przypadkw.
Ale w IRC-u, gdzie Swallow wystpowa czsto jako operator kanau, dominuj nastoletni twrcy skryptw, tzw. skrypciarze. Bdc operatorem, Swallow decydowa,
kto moe pozosta w kanale, a kogo naley wyczy. Na pierwszy ogie szli krzykacze i pozerzy. Nie mona byo prowadzi powanej dyskusji o hakerskiej taktyce i narzdziach z band szczeniakw wtrcajcych wci uwagi nie na temat, a do tego
11

Exploit tu: technika wamania lub narzdzie temu suce, wykorzystujce saboci konkretnego
systemu operacyjnego. Znaczenie tego sowa nie jest jeszcze ustabilizowane i bywa rnie
interpretowane przez rodowiska informatyczne przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

67

68

Pamitniki hakerw

pene przechwaek i wulgaryzmw. Jednak to wanie oni najczciej byli naiwniakami, ktrzy podawali informacje pozwalajce agentom FBI na zlokalizowanie. Byli
jak bolcy wrzd na tyku zarwno dla FBI, jak i dla prawdziwych hakerw.
A na Swallowa czeka jeszcze jeden wrzd, wikszy od wszystkich, ktre kiedykolwiek dotkny Internet.
^()<[]>()^
Pierwszy atak rozpocz si w poniedziaek rano. Zdarzyo si to 7 lutego 2000 roku.
Yahoo! jeden z najwikszych portali informacyjnych i biznesowych zosta cakowicie zaskoczony atakiem. Strumie pakietw danych spad na jeden z gwnych
routerw12 Yahoo! z szybkoci 1 gigabajta na sekund, co odpowiada ponad 3,5 mln
redniej wielkoci maili na minut. Router wytrzyma atak, ale Yahoo! stracio poczenie z jednym z gwnych dostawcw usug internetowych. Ju wczeniej byy
z nim pewne problemy i pierwsz godzin administratorzy spdzili na usuwaniu znanych usterek. Nikt nie przypuszcza, e Yahoo! wanie w szybkim tempie stawa si
pierwsz ofiar najwikszego w historii ataku typu denial-of-service13.
W kocu administratorzy zostali zmuszeni do zablokowania caego ruchu wpywajcego od dostawcy usug internetowych. Pozwolio to na ponowne uruchomienie podstawowego routingu sieciowego, ale nadal nie byo jasne, co si waciwie stao. Administratorzy Yahoo! mogli jedynie stwierdzi, e system zaama si w wyniku
przecienia nadmiernym ruchem pakietw ICMP14 (Internet Control Message Protocol). Sieci komputerowe uywaj komunikatw ICMP do wykrywania przyczyn problemw, na przykad w sytuacji, gdy router nie moe transmitowa pakietw rwnie
szybko, jak je otrzymuje. Komunikaty te s automatycznie wymieniane midzy systemami. I wwczas administratorzy Yahoo! zrozumieli, e kopoty, ktre dotkny ich
sie, nie s wynikiem przypadkowej usterki. By to przemylany atak.
Natychmiast rozpoczli filtrowanie wszystkich komunikatw ICMP, lecz wwczas
cay zablokowany ruch zacz zalewa serwery Yahoo!. Jeden z gwnych dostawcw
usug internetowych przechwyci cz danych i technicy stwierdzili, e bezporednie
cza do dostawcw usug, w tym do gwnego dostawcy krajowego, z ktrym
wspuytkowano dane, niewiadomie bior udzia w ataku. Znaleli lad, ktry doprowadzi do jednego z wasnych komputerw Yahoo!; jedne systemy Yahoo! atakoway inne systemy wasnej sieci. By to szeroko zakrojony atak, w ktrym wiele
komputerw posuyo jako zombi15. Wedug ekspertw bronicych Yahoo!, tego rodzaju skomplikowany atak musia by dzieem najwyszej klasy hakera lub grupy hakerw. Kto inny mgby przeprowadzi tak zmasowany atak typu odmowy usug?
12

13
14
15

Urzdzenie, ktre po otrzymaniu przesyanego pakietu odczytuje jego nagwek i ustala najlepsz tras
transmisji. Jest rwnie odpowiedzialne za podzia pakietu na fragmenty, jeeli tego wymagaj
parametry transmitujcej sieci przyp. tum.
Odmowa usugi patrz przypis we Wstpie przyp. tum.
Internetowy protok komunikatw kontrolnych przyp. tum.
Komputer opanowany przez hakera w celu przeprowadzenia ataku, np. typu denial-of-service. Legalny
waciciel komputera moe nie zdawa sobie sprawy z jego dziaania jako zombi przyp. tum.

Wygldao na to, e haker (lub hakerzy) zna topologi naszej sieci i wszystko zaplanowa z wyprzedzeniem napisa administrator Yahoo! w kilka dni po napywie
pierwszej fali blokujcych pakietw. Wydaje si, e by to zdecydowanie atak typu
DDoS16, w ktrym wiedza i umiejtnoci atakujcego znacznie przewyszay poziom
przecitnego hakera. Atakujcy musia doskonale zna zarwno Unix, jak i technologi oraz organizacj sieci.
Bya to szczegowa analiza dokonana przez pierwsz, jak si potem okazao, z szeregu atakowanych firm. Byo jasne, e Yahoo! dotkn atak wytrawnego hakera, ktry
wiedzia, co robi i powici wiele czasu na poznanie celu ataku. To, czego wiadkami byli administratorzy Yahoo!, z ca pewnoci nie byo dzieem dzieciaka, ktry
cign z Internetu par skryptw hakerskich do ataku typu DDoS i chcia si przekona, jak dziaaj. By to atak przeprowadzony przez profesjonalist, ktry prawdopodobnie korzysta z dodatkowej pomocy. Przynajmniej tego administratorzy Yahoo!
byli pewni. Dane, ktrymi zaatakowano Yahoo!, wydrukowane na papierze, wypeniyby 630 pciarwek.
Pn noc Swallow nala sobie filiank kawy i zasiad przed komputerem, przygotowujc si do kolejnej dugiej nocy wypenionej w wikszoci nieistotnymi czatami z nic
nieznaczcymi nastoletnimi hakerami. Nocne dyury wyduay si, aden z rzeczywistych hakerw nie wyciubi wirtualnego nosa przed nastaniem wczesnych godzin porannych. Ale tej nocy Swallow, dziaajc jako administrator jednego z odwiedzanych
przez hakerw kanaw IRC-a, zauway, e pojawi si nowy uczestnik o pseudonimie
Mafiaboy. Zauway go ju wczeniej, a przynajmniej kogo, kto uywa tego pseudonimu (nie byo sposobu, by si przekona, czy to ta sama osoba). Ale wszelkie wtpliwoci dotyczce tosamoci Mafiaboya wkrtce si rozwiay. Chopak idealnie pasowa
do znanych ju cech osobowoci. By tym samym haaliwym, piszcym skrypty nastolatkiem, z ktrym Swallow i inni ju poprzednio wymienili par zda.
Tej nocy Mafiaboy przechwala si swoimi umiejtnociami. Inni hakerzy na IRC-u
wkrtce znudzili si tymi przechwakami. Czat rycho zamieni si w wymian wyzwisk i przeklestw. Przeklinanie byo jedn z pokazowych umiejtnoci Mafiaboya,
ale nie o tym myla Swallow przez reszt wieczoru. Chepienie si dokonaniem
wamu, jakiego jeszcze nikt nie widzia tak bardzo zmczyo innych uczestnikw
czatu, e Swallow usun go z pokoju dyskusyjnego.
8 maja o 9.00 Buy.com internetowa firma sprzeday detalicznej jak zwykle rozesaa
wstpn ofert towarw. Przyszo rysowaa si w rowych barwach, gdy firma trafia na okres mody na dotcomy17. Ale ju o 10.50 administratorzy musieli podj walk
ze zmasowanym atakiem typu denial-of service, podczas ktrego dane napyway
z prdkoci 800 megabitw na sekund, co ponad dwukrotnie przekraczao normalne obcienie serwera. Atak grozi cakowitym odciciem dostpu do firmy. Tego samego dnia
po poudniu najpopularniejszy w sieci portal aukcyjny eBay rwnie zgosi zablokowanie
16

17

DDoS (Distributed Denial of Service rozproszony atak odmowy usug) atak typu DoS,
w ktrym wiele komputerw atakuje komputer-ofiar przyp. tum.
Dotcom (lub dot-com) tak nazw okrelono firmy, ktre w latach 90. opary sw dziaalno
rynkow na Internecie. Sowo pochodzi od nazw tych firm, ktrych wikszo zawieraa .com
(dot kropka). Przykadem jest znana ksigarnia internetowa Amazon.com przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

69

70

Pamitniki hakerw

usug, a zaraz potem to samo przydarzyo si popularnej ksigarni wysykowej Amazon.com. Dla zarzdzajcych startujc dopiero firm Buy.com pocieszeniem mg by
fakt, e atak dotkn nie tylko ich. Nie byy to te ostatnie ofiary.
Gdy tego dnia Swallow rozpocz prac, od razu natkn si bezczelnego modocianego hakera uywajcego pseudonimu Mafiaboy. Ale tym razem Swallow wiedzia,
co si zdarzyo w Internecie, i mia nadziej na znalezienie tropu w IRC-u. Mafiaboy
ponownie sobie przypisa ataki, ale ani Swallow, ani aden z hakerw na IRC-u nie
potraktowali tego powanie. To tylko chwalipita Mafiaboy, robicy wok siebie duo szumu, irytujcy innych hakerski szczeniak. Takie jawne lekcewaenie zdenerwowao go i potraktowa je jako wyzwanie.
Spyta uczestnikw czatu, co ma teraz zaatakowa. Zignorowali go i odpowiedzieli,
e na chwalipitomierzu dotar do koca skali, e jest durniem i idiot bez adnych
rzeczywistych umiejtnoci. Kto rzuci mimochodem, e CNN byoby rwnie dobrym obiektem jak witryny E-Trade.
Niech bdzie zgodzi si.
W cigu kilku minut zostao zablokowane dziaanie globalnego systemu przesyania
informacji i 1200 innych miejsc w rozcigajcej si na cay wiat sieci CNN. Nastpnego dnia dwie internetowe firmy handlowe, Datek i E-Trade dotkny sporadyczne
ataki zagraajce stabilnoci rynkw finansowych. Z wolna, w miar skadania w cao okruchw informacji o rdach atakw, stao si jasne, e uyto kilkudziesiciu
komputerw, nad ktrymi kto zdoa przej kontrol. Niezbyt dobrze zabezpieczone
komputery Uniwersytetu Kalifornijskiego w Santa Barbara, Uniwersytetu Alberta
w Kanadzie oraz uczelni w Atlancie i Massachusetts stay si zombi. Ten sam los
spotka 75 komputerw rozsianych po wiecie. Wamywacz zainstalowa w ich systemach zoliwe programy, ktre zamieniy je w autonomiczne jednostki suce do
przeprowadzenia atakw typy denial-of-service.
By to prawdziwy kryzys, przed ktrym od lat przestrzegali eksperci. Wok zapanowa strach, e jest to pocztek czego, co specjalici od spraw bezpieczestwa sieci
nazwali elektronicznym Pearl Harbour, czyli niespodziewanego ataku majcego na
celu okaleczenie caej internetowej struktury Stanw Zjednoczonych. Internet stan
na skraju zaamania. Media rzuciy si na spraw, jakby to by prawdziwy koniec
wiata. Gdyby ataki miay by kontynuowane, gospodarka wiatowa moga rzeczywicie wpa w spiral mierci. Ale, czy miay by kontynuowane? Ile systemw zostao zaraonych, ile zamienionych w zombi, w ilu umieszczono bomby z opnionym zaponem, czekajce na zdalne zdetonowanie? To byy najwaniejsze pytania, na
ktre naleao odpowiedzie jak najszybciej. Stawk byo zaamanie si wiary spoeczestwa w przyszo internetowej ekonomii.
FBI musiao znale hakera o pseudonimie Mafiaboy. I musiao to zrobi szybko.
^()<[]>()^
Gdy zadzwoni telefon, Knesek siedziaa w pokoju hotelowym w wiejskiej czci stanu Alabama, gdzie prowadzia dochodzenie w prawie innego hakera wykrytego podczas oglnej obawy na podziemie. To by Neal.

Mamy bardzo powany problem wiedzia. Haker uderza we wszystkich

gwnych dostawcw usug i centra komercyjne w Internecie, od Yahoo! do Amazon
i CNN. Wstpne dowody wskazuj, e dla kamuflau korzysta z telnetu18 przez Wingate proxy19. Wikszo z maszyn, do ktrych si wama i zamieni w launching
pads20, bya komputerami uniwersyteckimi zarzdzanymi prze Red Hat Linux 6.1.
Knesek wesza do Internetu, starajc si znale jaki lad. Ona take jeszcze kilka
miesicy wczeniej, zanim zostaa koordynatorem operacji przeczesywania podziemia, wyrobia sobie pozycj faszywego nastoletniego hakera. Ale z Alabamy niewiele moga zdziaa. Tropy byy nadal trudne do wykrycia. Z kocem tygodnia wrcia do biura w Los Angeles.
Neal zdecydowa, e biuro w Los Angeles bdzie centrum operacji wywiadowczej,
za zadaniem biur lokalnych, np. z San Francisco, bd sprawy penetracji technicznej.
Wiedzia, e to wanie on dysponuje w podziemiu najlepszymi kontaktami wywiadowczymi. Mg take korzysta z efektw rocznego udawania nastoletniego hakera.
Akordem kocowym miao by poczenie obu rodzajw dziaa, co powinno w kocu doprowadzi FBI i policj kanadyjsk do drzwi Mafiaboya.
Znalezienie rzeczywistego Mafiaboya byo nieatwym zadaniem. W cigu kilku dni
od pierwszego ataku zaczy napywa faszywe zeznania. Trzeba byo odbiera
dziennie dziesitki telefonw, a jeszcze wicej zgosze pojawiao si przez Internet
w IRC-owych pokojach pogawdek. Kady twierdzi, e to on jest odpowiedzialny za
najwikszy wyczyn hakerski od czasu dziaania grupy MOD i jej wama do systemw telefonicznych rozmw zamiejscowych w roku 1990. Konieczno sprawdzenia
tych przechwaek wyduya tydzie pracy caej grupy do 80 godzin. Spord dziesitkw hakerw przyznajcych si do atakw FBI udao si odsia trzech uywajcych pseudonimu Mafiaboy i teraz naleao wyuska waciwego.
Do FBI napywa strumie informacji od poszkodowanych firm. Exodus Communications, Inc., wielki dostawca usug internetowych, ktrego klienci firmy z rejonu
Los Angeles rwnie ucierpieli w wyniku atakw, oraz inne pomniejsze firmy
rozpoczy mudne sprawdzanie plikw nadzoru swoich routerw i skadanie mozaiki
pocze w czasie ataku. Powoli zacz si wyania rzeczywisty portret hakera.
Neal delegowa kilku agentw do centrum operacyjnego sieci Exodusa w celu zbadania komputerw, ktre bray udzia w ataku. Jednak nie zostali oni dopuszczeni do
urzdze przez stra firmow. Exodus wymaga czego wicej ni zwyke zlecenie
z FBI. Neal dosta po nosie, ale natychmiast zadzwoni do Exodusa. Zacz od gwnego numeru, ale pracownicy odsyali go od Annasza do Kaifasza. Wcieky, gdy
18

19

20

Telnet protok internetowy pozwalajcy na logowanie si na innym komputerze podczonym

do Internetu. Rwnie program pozwalajcy na korzystanie z tego protokou przyp. tum.
Wyspecjalizowany komputer, obsugujcy komunikacj midzy sieci wewntrzn i Internetem. Jego
zadaniem jest ochrona sieci lokalnej przed nieautoryzowanymi prbami dostpu oraz zmniejszanie
ruchu na czach poprzez buforowanie najczciej pobieranych plikw. W tym przypadku chodzi
o serwer zarzdzany oprogramowaniem opartym na technologii Windows przyp. tum.
Launching pad (platforma wyrzutni rakietowej) tu: miejsce, skd jest dokonany atak, czyli mniej
wicej to samo co zombi (patrz w poprzednich przypisach) przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

71

72

Pamitniki hakerw

zwoka w tak krytycznym okresie, grozia utrat moliwoci kontynuowania ledztwa,

powtarza dania i wdrowa w gr hierarchii subowej Exodusa. W kocu dotar do
Billa Hancocka, nowego szefa dziau bezpieczestwa firmy. Dzie, w ktrym Neal zadzwoni, by dosownie pierwszym dniem pracy Hancocka. Zaprzyjanieni od lat, ze
zdumieniem spotkali si w tak zdumiewajcych okolicznociach. Po bardzo krtkiej
wymianie zda Neal uzyska to, czego potrzebowa wspprac ze strony Exodusa.
Dane otrzymane z systemu tej firmy stay si bardzo wanym elementem ledztwa.
12 lutego koncern Dell Computer Corporation poinformowa, e jego system zosta
dosownie zalany potokiem danych pyncych z Internetu. Mafiaboy ponownie pojawi si w sieci, kontynuujc kampani autoreklamow i biorc na siebie odpowiedzialno za atak na Della i wszystkie poprzednie. Kilku agentw bezpieczestwa
z prywatnych firm oraz inni hakerzy przechwycili i przesali do FBI nastpujc sesj
czatow. Oto przechwycony z hakerskiego kanau IRC-owego #!tnt zapis rozmowy
Mafiaboya, ktry przybra tu pseudonim ANON (od anonimowy), z kilkoma innymi
hakerami uywajcymi imion T3, Mshadow i swinger:
ANON: FBI, WYNIUCHAJ MNIE!!
ANON: t3, moesz si poczy z dellem? Jedni mwi, e tak, inni, e nie
T3: nie mog przejrze sieci
ANON: idioci nie wiedz co to cache21. telnetuj na port 80
T3: spoko, mj modem jest cakiem [f***ed]22. Wszystko jest time out23.
Nie, dziki
SWINGER: anon. Chodzi, ale wolno
SWINGER: no, rzeczywicie opnia
MSHADOW: puszczasz na niego streama24?
ANON: mshadow, nie, mj wasny atak
MSHADOW: hehe, jaki rodzaj pakietw?
ANON: spoofed25 ++
ANON: to taka mieszanka. Nowy typ i syn26
21
22

23
24
25
26

Pami buforujca, pami podrczna przyp. tum.

Fucked lub fucked-up (wulg.) ze wzgldu na ustaw o ochronie jzyka polskiego pozostawiam
domylnoci Czytelnikw, podobnie jak nastpne wyraenia =HKV? i =H? przyp. tum.
Przekracza czas, np. czas, w ktrym modem oczekuje na odpowied serwera przyp. tum.
Stream attack atak strumieniowy istota ataku zostaa opisana w nastpnych przypisach przyp. tum.
Z podrobionym adresem IP przyp. tum.
Komunikacja TCP jest inicjowana przez przesanie do stacji docelowej pakietu SYN. Wysanie duej liczby
pakietw z podrobionymi adresami IP wie zasoby systemu docelowego, ktry alokuje zasoby do obsugi
i ledzenia nowej sesji komunikacyjnej i wysya odpowied, ktra w przypadku faszywego adresu IP trafia
w prni. Wysanie wielu faszywych pakietw SYN atwo doprowadza do przekroczenia limitu pocze
i wyczenia komputera z sieci przyp. tum.

T3: spoofed ++, lol27

T3: spoofed, nie spoofed, nie s idealne, a nawet podmienione mona ledzi,
jak je zapiesz, gdy wypywaj.
MSHADOW: musz chodzi od routera do routera, aby wyledzi. to jakie
20 min.
T3: mafiaboy, kto po dell?
MSHADOW: poczekajcie na wiadomoci na msnbc28
SWINGER: ms powinno by nastpne i wrzu co na czacie
ANON: t3, wieczorem wsadz komputer do kominka
SWINGER: ehe
MSHADOW: haha
ANON: to nie art
MSHADOW: dlaczego nie wycigniesz i nie rozwalisz hd29 i nie wsadzisz
nowego
ANON: mshadow nie chce im da ADNEJ szansy
MSHADOW: tak. a gadanie na IRC-u to nie szansa?
ANON: a co irc pokae?
T3: mafia
ANON: aha [f***it]30, [f***] do kominka albo motem i do jeziora
T3: wszystko podmienione, nie mog ci zapa. Musz zwiewa zanim
wrobi mnie w twojego wsplnika lub wdepn w inne g...
ANON: t3, nie [f***]
MSHADOW: haha
T3: a co
ANON: nie ap si za to
T3: chcesz zrobi wielki huk?
ANON: tak
MSHADOW: trzepn 10 routerw sieci szkieletowej:\
27

28

29
30

Laughing out loud lub lots of laughs slang internetowy, tutaj mniej wicej tyle co ha ha ha
lub miechu warte przyp. tum.
MSNBC portal informacyjny, korzystajcy z informacji kanau NBC, joint-venture MS i NBC
przyp. tum.
Hard disk dysk twardy przyp. tum.
Aby nie podpa pod ustaw o ochronie jzyka polskiego, zostawiam w wersji oryginalnej i pozostawiam
domylnoci czytelnikw przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

73

74

Pamitniki hakerw

ANON: nie
T3: to co planujesz
ANON: Microsoft
ANON: Microsoft bdzie lea na kilka tygodni
T3: HAHAHAHAHAHAHAHAHAHA
T3: czowieku, to le
ANOAN: MOE, myl o czym wikszym. moe www.nasa.gov lub
www.whitehouse.gov, a moe to blef
T3: zwiewam zanim mnie przymkn jako wsplnika lub wdepn w gorsze g...
ANON: t3, trzepnij router
ANON: ca list routerw
ANON: wiem, co robi
ANON: Yahoo!.com
T3: haha
T3: ten mafiaboy co trzasn to wszystko co w wiadomociach,
to rzeczywicie ty? buy.com, etrade, eBay, cay ten cham?
ANON: pingnij je porzdnie. nawet nie przekieruj
ANON: t3 moe. kto wie. mgbym odpowiedzie tylko pod ssh2
[bezpieczne, szyfrowane poczenie]
T3: haha
ANON: mgbym wycign hd, trzepn motkiem i wrzuci do jeziora
T3: mwi, e kosztujesz ich miliony
ANON: dziwisz si, e jeszcze mnie nie capnli, t3, to durnie
Pomimo tego, e jeden z rozmwcw si przyzna, agenci FBI i inni dowiadczeni
czonkowie hakerskiej spoecznoci nie mogli uwierzy, e chopak, ktry przyj
pseudonim Mafiaboy, by w stanie przeprowadzi ataki tak skomplikowane, dokadnie przemylane i tak rozlege. Przecie by tylko nastolatkiem i czeladnikiem
w hakerskim rzemiole. Ponadto eksperci ze suby bezpieczestwa prywatnego
sektora gospodarki poinformowali FBI, e atak na Yahoo! z 7 lutego rni si
znacznie od atakw, ktre miay miejsce w tydzie pniej, co wskazywaoby na
udzia grupy hakerw.
Patrzc wstecz, FBI i reszta hakerskiej spoecznoci zrozumieli, e przegapiono
pierwsze poszlaki. Mafiaboy, ktrego ju znali, rzeczywicie by osob odpowiedzialn za ataki. Nie mona udowodni, e Swallow i jego agenci, uwierzywszy od
razu w przechwaki o pierwszym ataku, byliby w stanie zapobiec nastpnym, ale trzeba przyzna, e pierwsze sygnay nie dotary do ich wiadomoci; dzwonki alarmowe
nie zadzwoniy na czas. Zaoono, e arogancki Mafiaboy nie nadaje si do czego

takiego. Przechwala si, e nigdy go nie zapi. Waniejsze byo to, e jego zapowied wrzucenia komputera do ognia nie bya czcz grob. Mg w kocu wrzuci
dyski twarde do jeziora i nikt by ich nie znalaz.
Przez nastpne dwa dni Neal i jego grupa ekspertw przeczesywali Internet, poszukujc wskazwek pozwalajcych na ustalenie prawdziwej tosamoci Mafiaboya. 14
lutego znaleli stron:



 
 
 

Strona naleaa do uytkownika korzystajcego z usug Delphi Supernet w Kanadzie.

Wkrtce potem znaleziono co, co nadawaoby si na dowd sdowy. Rzecz dotyczya ataku na Della, a lad prowadzi do TOTALNET-u, dostawcy usug internetowych w Montrealu. FBI miao teraz dwie poszlaki czce Mafiaboya z Kanad. Byo
to istotne, gdy istnieli przynajmniej dwaj inni uczestnicy czatw internetowych uywajcy tego samego pseudonimu wystarczajco czsto, by zmusi FBI do ich szukania. Bardziej podejrzany z tych dwch okaza si potem studentem jednej z uczelni
w Nowym Jorku. Ale cho agenci z Nowego Jorku byli przekonani, e to oni namierzyli waciw osob, Neal wicie wierzy, e waciwy sprawca siedzi po drugiej
stronie granicy, w Kanadzie.
Trzecim dowodem wspierajcym tez Neala, e naley si zaj Mafiaboyem z Kanady, byy dane dotyczce pierwszego ataku i zarejestrowane przez administratorw systemu Uniwersytetu Kalifornijskiego w Santa Barbara. Oprcz kompletnych
plikw nadzoru, pokazujcych dokadnie wszystkie dziaania hakera w systemie,
skopiowali narzdzia, ktre posuyy do przeprowadzenia ataku. Oprogramowanie
byo zarejestrowane na dwch uytkownikw: pierwszym by Mafiaboy, a drugim
Short. Potem okazao si, e bya to jedna i ta sama osoba. Jednake dla pniejszego sformuowania oskarenia i wydania wyroku istotniejszy by komunikat, ktry
autor hakerskiego programu doczy do niego, ku owieceniu wszystkich, ktrzy
ten program cign i zaczn uywa:

 
 
 
 !"#$%&'  

  
( 

 ) 


* 
" (

 
*+ 


(
 

Wrd znalezionych narzdzi, przeznaczonych do wykonania ataku typu denial-ofservice, by Staheldracht, niemiecka wersja Barbed Wire, wariantu Tribal Flood Network (TFN), ktry wysyajc mas zapyta, paraliowa atakowany system. Jak wikszo nastoletnich hakerw, Mafiaboy nie stworzy samodzielnie narzdzi uytych do
ataku. Przypuszcza si, e ich autorem by bardziej dowiadczony niemiecki haker, znany jako Randomizer. Twrc oryginalnego hakerskiego oprogramowania TFN by inny
20-letni haker niemiecki nazywany Mixterem. FBI natychmiast wysao agentw do odszukania i sprawdzenia Mixtera. Po krtkiej rozmowie Mixter zosta wykrelony z listy
podejrzanych. Pniej potpi ataki jako dziaania kryminalne i szkodliwe.
^()<[]>()^
14 lutego Waszyngton telefonicznie zawiadomi, e FBI potrzebuje pomocy Krlewskiej Konnej Policji Kanadyjskiej, aby schwyta hakera o pseudonimie Mafiaboy,

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

75

76

Pamitniki hakerw

ktry prawdopodobnie dziaa gdzie w okolicach Montrealu. FBI i RCMP31 miay za

sob dug histori wsplnych dziaa, wic strona kanadyjska natychmiast wyrazia
ch pomocy. Tak rozpocza si Operacja Claymore.
Od czasu ataku na szkolnego dostawc usug internetowych w Oregonie agent RCMP
Gosselin zajmowa si wieloma innymi sprawami. Sprawa skoczya si fiaskiem i teraz bya tylko odlegym wspomnieniem. Ale po telefonie z FBI Gosselinowi powierzono ledztwo, ktrego celem byo wyledzenie Mafiaboya. Wybr Gosselina okaza
si bardzo istotn dla toku ledztwa decyzj RCMP.
Nastpnego dnia, 15 lutego, Gosselin przystpi do realizacji nakazu rewizji systemw Delphi Supernet i TOTALNET w biurach tych firm w Montrealu. Znalaz trzy
konta e-mailowe przypisane do Mafiaboya:
mafiaboy@dsupe.net
mafiaboy@total.net
pirated_account@total.net
Cho konta te naleay do osoby noszcej pseudonim Mafiaboy, nie oznaczao to, e
jest ni poszukiwany haker. Jedno z kont okazao si by legalnym kontem pewnego
brokera nieruchomoci. Pniejsze dochodzenie, liczne telefony wyjaniajce i tropienie doprowadziy do miejsca zamieszkania Mafiaboya. Uzyska on haso konta niczego niepodejrzewajcego maestwa i czy si z nim, telefonujc z domu.
Gosselin ponownie przystpi do mudnego przedzierania si przez gry informacji
i dopasowywania numerw telefonw, kart kredytowych, adresw IP i nazw kont emailowych. Nic nie pasowao, za wyjtkiem pewnego numeru telefonu. By to numer
kontaktowy jednego konta. Wikszo firm telekomunikacyjnych i dostawcw usug
internetowych prosi klientw o podanie takiego numeru jako alternatywnego sposobu
komunikacji. Z niewiadomych powodw numer ten wydawa si Gosselinowi znajomy. Zacz szuka odpowiadajcego mu adresu i znalaz Rue de Golf. Teraz informacje zaczy si ukada w cao. Przypomnia sobie ten adres.
Pomocne stay si lata dowiadcze zdobytych w pracy tradycyjnego detektywa. Pomimo postpu technologii i caego gadania o trudnociach znalezienia przestpcy
komputerowego Gosselin i jemu podobni doskonale wiedz, jakie znaczenia ma dobry policyjny nos wszcy wok. Szukajc wskazwki, zacz grzeba w starych
teczkach. Jedna z pierwszych dotyczya wamania do serwera Outlawnet, dostawcy
usug internetowych w Oregonie. Znaleziony adres i numer telefonu pasoway jak ula
do adresu i numeru podejrzanego w tamtej sprawie. Mafiaboy wci dziaa. Gosselin
poczu, e tym razem go ma lub przynajmniej e ma prawdziwy adres Mafiaboya.
Zdaje si, e pasuje. Wyglda obiecujco powiedzia. Jego podejrzenia zostay
poparte dug list skarg, ktre klienci dostawcw usug internetowych skadali na
uytkownika tego konta. Wydawao si, e wielu z nich pado ofiar hakera, ktrego
konto udao si znale w Delphi Supernet.

31

Royal Canadian Mounted Police Krlewska Konna Policja Kanadyjska przyp. tum.

Kilka miesicy wczeniej Gosselin nie zamkn go jedynie z powodu braku dowodw; by moe zdobyby je, gdyby w grudniu zaoy podsuch telefoniczny tej linii.
Trudno przewidzie, co mogoby si zdarzy, gdyby Gosselin nie by przydzielony do
biura RCMP w Montrealu w czasie, gdy nastpia seria atakw typu DDoS. Inny
ledczy mgby nie skojarzy szczegw. Tak wana informacja mogaby zosta
przeoczona w krytycznym momencie.
W Waszyngtonie prezydent Bill Clinton wezwa na piln konferencj w Biaym Domu
dziesitki dowiadczonych specjalistw odpowiedzialnych za sprawy bezpieczestwa
w przemyle prywatnym i instytucjach narodowych. Ostatnia fala atakw typu denialof-service skierowanych przeciw najwikszym firmom internetowym stanowi grob
dla caego amerykaskiego stylu ycia. Nie jest to Pearl Harbour, bo tam stracilimy
ca nasz Flot Pacyfiku. Obecne straty nie s tak wielkie. S cen, jak pacimy za
sukces Internetu powiedzia do zebranych w gabinecie na pierwszym pitrze.
Rozpocz spotkanie od dania, aby kilku ekspertw wyjanio mu, w jaki sposb
doszo do atakw oraz jak mogo doj do tak wielkiego zamieszania i tak wielkich
strat w Internecie. Z wyjanieniami pierwszy wystpi Rich Pethia, ekspert z Computer Emergency Response Team32 w Mellon University. Po nim wystpili Tom Noonan, szef Internet Security Systems33, Inc. i Vint Cerf, gwny wiceprezes MCI
Worldcom. Wszyscy stwierdzili istnienie wielu bdw i niedocigni systemw,
ktre w taki czy inny sposb przyczyniy si do powodzenia atakw. Ale najbardziej
intrygujce wyjanienie poda Witt Diffie z Sun Microsystems. Siedzc naprzeciw
prezydenta przy wielkim, wypolerowanym stole, zwykle uywanym do rozmw nad
sprawami najwyszej wagi, Diffie powiedzia: To tak, jakby prezydent przegra wybory nie dlatego, e ludzie na niego nie gosowali, lecz dlatego, e kto ukrad gosy
i odda je przeciwnikowi. Bya to analogia, ktr Clinton by w stanie zrozumie, ale
jak pniej twierdzio wielu ekspertw, prezydent nie potrzebowa takich wyjanie,
by poj znaczenie atakw. Nie byy one elektronicznym Pearl Harbour, ale miay
wiksze znaczenie, ni wielu ludzi chciao przyzna.
Prezydent i inni uczestnicy spotkania mieli istotne problemy, by zrozumie wyjanienia
Peitera Mudge Zatko, byego czonka hakerskiej grupy L0pht Heavy Industries,
a obecnie konsultanta od spraw bezpieczestwa. Wielu uznao jego wystpienie za skrajny
przejaw ironii. Grupa L0pht bya odpowiedzialna za stworzenie L0phtCrack, jednego
z potniejszych internetowych narzdzi przeznaczonych do amania hase. Byy czonek grupy hakerskiej, ktr oficjalni przedstawiciele rzdu uznali za gron, siedzia teraz w Biaym Domu, doradzajc prezydentowi, w jaki sposb naley chroni systemy
rzdowe. Siedzc midzy Sandym Bergerem, Doradc do Spraw Bezpieczestwa Narodowego i Janet Reno, Prokuratorem Generalnym swoimi dugimi wosami i sposobem bycia cyberpunka zakca harmoni sztywnych garniturw i starannie uoonych
fryzur zebranych wok oficjeli. Ku zaskoczeniu i zgorszeniu wielu, argumentowa, aby
odstpi od uznania za przestpstwo tworzenia ofensywnych narzdzi hakerskich. Wedug niego, penalizacja takich dziaa spowoduje odcicie zajmujcych si sprawami
bezpieczestwa od moliwoci efektywnego tworzenia narzdzi obronnych.
32
33

Grupy do dziaa w komputerowym stanie wyjtkowym przyp. tum.

Systemy bezpieczestwa internetowego przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

77

78

Pamitniki hakerw

Argumenty Mudgea zostay puszczone mimo uszu, co nie byo zaskoczeniem, gdy
dostojnicy ze sfery rzdu i zarzdw udaj, e wiedz, czym jest hakerstwo, gdy tymczasem naprawd nic do nich nie dociera. Nie rozumiej, e dbanie o bezpieczestwo
nie jest spraw hakerw. Jeszcze trudniej im poj, e hakerzy nie s kryminalistami
i ich dziaania nie maj znamion przestpstwa. Oczywicie, wielu z dawnych kolegw
Mudgea z podziemia znacznie si przyczynio do takiego postrzegania ich rodowiska. Teraz hakerzy sami do siebie mog mie pretensj za to, co o nich wypisuj.
Cho doradcy prezydenta nie przedstawili jednolitej opinii na temat hakerstwa i spraw
bezpieczestwa, Clinton zrozumia istot sprawy i fakt, jak powane konsekwencje
dla gospodarki moe mie powtrzenie lutowych atakw. Jego postawa kontrastowaa
z niefrasobliwym podejciem do sprawy kilku szefw do spraw bezpieczestwa
przemysu, ktrzy przysali na konferencj swoich modszych rang przedstawicieli,
niemajcych upowanienia do podejmowania decyzji okrelajcych polityk bezpieczestwa firm. Cho Clinton zaprosi osoby stojce na czele zarzdw firm, wiele
z nich wolao pozosta na boku, starajc si unikn konfrontacji z prezydentem,
gdy obawiali si jego pyta dotyczcych polityki bezpieczestwa w nowej dziedzinie, jak by Internet. By to sygna, e sektor prywatny nie zrozumia groby, jak
stanowiy ataki przeprowadzone w lutym. Koszty wynikajce z utraty zyskw i wypaconych odszkodowa eksperci wycenili pniej na 1,7 mld dolarw.
W tym czasie zbierano dowody obciajce win chuderlawego, buntowniczego
i zoliwego 14-latka z okolic Montrealu. Wyobracie to sobie. Patrzc wstecz, nie
naley si dziwi, e 14-latek by w stanie przeprowadzi atak, ktry rozoy na
opatki najwiksze firmy internetowe. Technika atakowania strumieniem pakietw
jest szeroko znana w spoecznoci hakerskiej, a narzdzia do przeprowadzenia tego
rodzaju ataku s dostpne w wielu miejscach Internetu. Niegdy haker musia wamywa si do kadej maszyny z osobna i uruchamia indywidualne wersje narzdzi
do ataku denial-of-service. Teraz, za pomoc automatycznie dziaajcych skryptw, nawet niezbyt utalentowany nastolatek moe przeprowadzi szeroko zakrojone
przeczesanie sieci w celu znalezienia le zabezpieczonych komputerw, zainstalowa w nich oprogramowanie do ataku DDoS, po czym nakaza im wykonanie zmasowanego ataku na wybrany serwer.
Gdy dochodzi do ataku typu DDoS, przepustowo cza jest spraw rwnie istotn jak
liczba komputerw uytych do ataku. Bardzo szybkie cza 25 uniwersytetw, wykorzystane przez Mafiaboya do przeprowadzenia atakw, wietnie si nadaway do tego
celu. Systemy uniwersyteckie ze wzgldu na stosunkowo sabe zabezpieczenia byy poligonem dowiadczalnym dla rnej maci zoliwych hakerw. Ostatecznie ofiar atakw DDoS paday liczne w sieci serwery sterowane systemami majcymi znane luki,
wrd nich serwery rzdu i wielkich korporacji. Gdyby komputery, ktrych Mafiaboy
uy do swoich atakw, byy odpowiednio zabezpieczone przez administratorw, nigdy
by nie doszo do tak bezkarnego, tygodniowego hulania po Internecie.
A bya caa seria ostrzee. Pod koniec 1999 roku NIPC34 przy FBI zaczo otrzymywa raporty o istnieniu narzdzi umoliwiajcych przeprowadzenie w Internecie zmasowanych atakw DDoS. Byy to te same narzdzia, ktre pniej Mafiaboy cign
34

National Infrastructure Protection Center narodowe centrum ochrony infrastruktury przyp. tum.

z sieci i ktrych uy do atakw. Z powodu powstania nowej groby w grudniu 1999

roku NIPC wysao ostrzeenie do agencji rzdowych, firm prywatnych i instytucji
publicznych. Ale nikt si tym nie przej.
W tym samym czasie, gdy NIPC rozsya ostrzeenia, agencja stworzya narzdzie, za
pomoc ktrego administratorzy sieci mogli wyledzi w swoich systemach obecno
programw przeznaczonych do przeprowadzenia ataku typu DDoS. Wtedy byo to jedyne oprogramowanie suce do tego celu. Dlatego NIPC podj kroki w celu udostpnienia go, co miao zmniejszy grob ewentualnego ataku. Pierwsz wersj
umieszczono na stronie NIPC w grudniu 1999 roku. Informacje o tym podano w prasie, jednoczenie tworzc trzy uaktualnione wersje, ktre przystosowano do pracy
w rnych systemach operacyjnych i oczyszczono z zauwaonych bdw.
FBI ze swoim oddziaem do ochrony przed przestpstwami komputerowymi, czyli
NIPC, wykonao prac, ktrej wszyscy oczekiwali. Niestety, ani firmy, ani uniwersytety nie cigny tego programu i nie uyy go do sprawdzenia, czy w ich systemach
nie zostao ukryte zoliwe oprogramowanie. adne ostrzeenia nie byy w stanie zabezpieczy ich przed atakiem.
Do 16 lutego informacje o znalezieniu przez Gosselina istotnego ladu dotary do
FBI. Zaplanowano uzyskanie zgody na zaoenie rejestratorw wykrcanych numerw na wszystkich liniach telefonicznych czcych rezydencj na Rue de Golf ze
wiatem zewntrznym. Rejestrator notuje wszystkie numery, z ktrymi nastpio poczenie, i jest stosowany do ledzenie kontaktw osb podejrzanych ze wiatem
przestpczym, a w tym przypadku chodzio o ledzenie pocze z dostawcami usug
internetowych. Rejestratory s narzdziem o duym znaczeniu w przypadku poszukiwania wsplnikw przestpcy i dowodw wystarczajcych do uzyskania zgody na
zaoenie penego podsuchu. Byy szeroko wykorzystywane w roku 1990 podczas
ledztwa przeciwko grupie MOD (Masters of Deception) i pomogy przedstawicielom
prawa odkry grup elektronicznych wamywaczy, ktrzy zabawiali si uszkadzaniem
systemw central zamiejscowych pocze telefonicznych firmy AT&T.
Na liniach telefonicznych domu, w ktrym mieszka Mafiaboy, rejestratory zaoono
18 lutego. Tego dna Jill Knesek przyjechaa do Montrealu. Niestety, rejestratory
miay swoje ograniczenia. Nie pozwalay na uchwycenie gosu, a tylko numerw,
z ktrymi si czono oraz daty i czasu rozmowy. Ale RCMP zmienia taktyk dalszego postpowania, dziki czemu powstaa moliwo zastosowania penego podsuchu. Teraz prowadzcy ledztwo mieli dostp do takich szczegw z ycia Mafiaboya i jego rodziny, ktre mogy posuy do oskarenia modocianego hakera oraz
zmieni sposb mylenia wielu ludzi o jemu podobnych nastolatkach.
^()<[]>()^
Knesek od razu po przybyciu do Montrealu staa si porednikiem midzy kwater
gwn FBI w Waszyngtonie, Departamentem Sprawiedliwoci i prowadzcym
ledztwo z ramienia RCMP, czyli Gosselinem. Pynce z Waszyngtonu dania informacji kadego mogy przyprawi o bl gowy i powoli wywoyway wcieko
w RCMP, ktrej funkcjonariusze coraz niechtniej zaczli przekazywa zdobyte dane.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

79

80

Pamitniki hakerw

Tak czy inaczej, w tej chwili sprawa bezapelacyjnie podlegaa jurysdykcji kanadyjskiej. RCMP bya gwn jednostk odpowiedzialn za pierwsz w historii systemu
prawnego Kanady operacj przechwycenia danych tego rodzaju.
Knesek bya pod wraeniem informacji zdobytych na temat Mafiaboya do czasu jej
przybycia do Kanady. Bya rwnie zaskoczona, e dopiero teraz spotyka Gosselina.
Cho to nazwisko zrazu nic jej nie powiedziao, wkrtce dwaj agenci, z ktrymi si zetkna, uwiadomili jej, e oboje brali udzia w organizowanych przez oddzia FBI
w Baltimore kursach specjalistycznych dotyczcych ledzenia hakerw i przestpstw
komputerowych. W cigu kilku nastpnych tygodni Knesek i Gosselin stworzyli bardzo dobry raport, ktry okaza si niezwykle istotny dla dalszego przebiegu ledztwa.
Po czterech dniach od zainstalowania rejestratorw numerw prowadzcy ledztwo odkryli w TOTALNET-cie jeszcze jedno konto zarejestrowane na Mafiaboya. Tym razem
konto naleao do przedsibiorstwa transportowego, ktrego wacicielem i zarzdzajcym by jego ojciec. Stao si jasne, e pomimo skasowania przed dwoma laty jego poprzednich kont Mafiaboy mia obecnie wiele moliwoci czenia si z Internetem
i podszywania si pod kogo innego. Byy to konta, do ktrych si wamywa i ktre
oficjalnie naleay do rodziny. Cho ledztwo skupio si na ledzeniu jednego budynku, gwne zadanie pozostawao jeszcze niewykonane. Naleao stwierdzi, kto siedzia
przy komputerze i dokonywa atakw. Ponownie Gosselin i FBI stanli przed pytaniem,
co robi, gdy zbyt wczesne wkroczenie do akcji mogo zaprzepaci dotychczasowe
wysiki. Wwczas Mafiaboy, kimkolwiek by, mgby umkn bezkarnie.
W przypadku domu zamieszkanego przez pi osb, w tym trzech nastolatkw, w jeden tylko sposb mona byo zidentyfikowa Mafiaboya i sprawdzi, czy mia
wsplnikw. 25 lutego FBI i RCMP otrzymay sdowe zezwolenie na peny podsuch
wszystkich rozmw prowadzonych z domu przez podejrzanego i jego najblisz rodzin. Peny podsuch oznacza due iloci informacji, przede wszystkim z rozmw
telefonicznych i pocze internetowych. Mieli 60 dni na zebranie dowodw wystarczajcych, by zwrci si o ponowne wydanie nakazu sdowego.
Ale na tym etapie ledztwa zdarzyo si jeszcze co, co stao si przyczyn pniejszych pyta, jak waciwie doszo do schwytania Mafiaboya. Cho szczegy s nadal
pilnie strzeon tajemnic, FBI i RCMP przyznaj, e w ostatecznej identyfikacji pomg informator, dziki ktremu agenci wiedzieli, kiedy haker by w sieci. Pozostaje
pytanie, kto by rdem informacji i w jaki sposb potrafi stwierdzi, e to Mafiaboy
jest na linii. W tej sprawie FBI i RCMP zgodnie milcz. Agenci policji kanadyjskiej
ujawnili jedynie, e w tym okresie ledztwa udao im si ustali, i jeden z braci hakera uywa wczeniej pseudonimu Mafiaboy. Zgodnie z opini sieranta sztabowego
RCMP Roberta Currie, szefa Computer Investigative Support Unit35, fakt ten okaza
si pomocny dla dalszego przebiegu ledztwa. Czy informatorem by jeden z przyjaci, niegdy rwnie zamieszany w dziaania hakerskie, czy te kto z domownikw?
By moe tego nie dowiemy si nigdy i Mafiaboy te si tego nie dowie. Tak czy inaczej, FBI i RCMP dysponoway ju wieloma informacjami o osobie, przeciw ktrej
toczyo si ledztwo majce przygotowa materiay dowodowe dla sdu, a ktra
mieszkaa w tym eleganckim domu z zaoonym podsuchem.
35

Oddziau komputerowego wsparcia ledczego przyp. tum.

Podsuch rozpocz si 27 lutego. TOTALNET przygotowa zestaw adresw IP przeznaczonych jedynie do uytku przez konta, z ktrych, jak podejrzewano, korzysta
Mafiaboy. Dziki temu prowadzcy ledztwo mogli si skupi tylko na jego poczynaniach. Serwery do przechwytywania danych zostay zainstalowane rwnie u dostawcy usug internetowych. Informacje zaczy napywa natychmiast. Kadego dnia
przechwycone dane byy rekonstruowane za pomoc specjalnego oprogramowania
przygotowanego przez FBI. Zadanie zbierania danych, zarzdzania i sterowania nimi
spado na sieranta Currie.
Jako szef Computer Investigative Support Unit, Currie aktywnie monitorowa wszystkie
poczenia internetowe wychodzce z domu Mafiaboya i przesiewa uzyskane informacje, starajc si znale dane, ktre pozwoliyby na sformuowanie aktu oskarenia.
Wkrtce zauway, e samo przechwytywanie danych jest najatwiejsz czci zadania. Trudniejsze byo podzielenie ich na rne typy dziaania, np. surfowanie po stronach WWW, granie w dostpne w sieci gry komputerowe, wysyanie i odbieranie
e-maili dziki czemu mona byo ustali, z kim Mafiaboy kontaktowa si.
Zdarzay si dni bardzo aktywne i inne, nieco senne. Jeli by aktywny, sesje trway
do trzeciej lub czwartej nad ranem, kiedy to wreszcie szed spa. Zanim podsuch po
43 dniach zakoczy si, Currie zdoa zebra 7,6 gigabajta surowych danych.
W wikszoci przypadkw Mafiaboy zajmowa si w sieci przegldaniem stron
WWW, grami komputerowymi i prowadzeniem buczucznych sesji na czacie IRC-a.
Ale radzi sobie wietnie, dobrze wykorzystujc swj dwusystemowy (dual boot)
komputer sterowany zamiennie przez Windows NT lub Unix. cign z Internetu
Back Oriface Scanner, konia trojaskiego36 (tylne drzwi) napisanego przez niesawnej
pamici grup hakersk Cult of Dead Cow37 (cDc). Niedowiadczony nastoletni haker
pracowa take nad zrozumieniem programu Netcat, podsuchiwacza portw sterowanego wierszem polece. Jego zmagania z Netcatem wiadczyy, e nie by biegym
hakerem, gdy ten program powinien ju mie opanowany w pocztkach kariery. Mafiaboy dopiero si uczy, ale by zdolnym uczniem.
Agenci obserwujcy jego dziaania w czasie rzeczywistym widzieli, jak podczas sesji
telnetowej, podczas ktrej stara si wama do komputera, pewne polecenia wpisywa
kilkakrotnie w rnych formach, zanim trafi na poprawn. Ponadto wydawao si, e
zawsze korzysta z kont, do ktrych login i haso otrzyma od innych hakerw. Jeden
z nich przesa mu plik zawierajcy dane o 20 rnych systemach uniwersyteckich.
Poza rozpaczliwymi prbami rozwikania zawioci Netcata i wprawianiem si
w uywaniu rnych polece hakerskich Mafiaboy zakada nielegalne miejsca sieciowe FTP (File Transfer Protocol38) na serwerach, do ktrych wczeniej uzyska dostp podczas przygotowywania lutowych DDoS-owych atakw. Miejsc tych uywa
do handlowania nagraniami Sony Playstation i japoskimi animacjami wideo Dra36

37
38

Ko trojaski program, ktry pozornie wykonuje istotne funkcje, ale w tle prowadzi dziaania
niszczce. W odrnieniu od wirusw, konie trojaskie nie rozmnaaj si przyp. tum.
Kult zdechej krowy przyp. tum.
Protok transmisji plikw internetowy standard przesyania plikw. Do przesyania plikw suy
program nazywany klientem FTP przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

81

82

Pamitniki hakerw

gonBallZ. cign uniksowe skanery, eby ama konta internetowe. Czsto grzeba
w systemach 25 uniwersytetw rozsianych w USA i w Kanadzie, do ktrych udao
mu si zdoby dostp.
Ponadto by rodzajem internetowego obuza rozrabiajcego z band podobnych mu
modocianych hakerw. Mia w sieci wielu przyjaci tego rodzaju. IRC sta si centrum jego internetowej egzystencji. Czsto przesiadywa na kanaach czatowych :
#exceed, #shells i #carding oraz nalea do grupy hakerskiej TNT, czego dowodem
bya sesja powitalna w oddzielnym pokoju, ktra jednak nie bya kontynuowana.
Ostatecznie porzuci TNT, uwaajc, e dziki zdobytemu tam dowiadczeniu jest
w stanie zaoy wasn grup hakersk, ktra rozprawi si ze wszystkimi witrynami
internetowymi. Sprawiaa mu przyjemno zdobyta sawa hakerska, ale problemem,
przed ktrym stan, by fakt, e jego umiejtnoci nie dorwnyway jakoci oprogramowania, ktrego uywa.
^()<[]>()^
W marcu jego ojciec zaoy DSL (digital subscriber line) w Sympatico-Lycos, Inc.
U tego wielkiego (jednego z najwikszych w Kanadzie) dostawcy usug internetowych i gospodarza stron WWW 16 marca zacz dziaa podsuch na linii DSL.
Przejmowano tyle danych, e Currie zaoy we wasnym domu mae laboratorium,
dziki czemu rwnie stamtd mg sterowa podsuchem, za bdc w biurze
RCMP, mg przez cyfrow kamer wideo pilnowa swoich dzieci. Pewnej nocy po
przyjciu, ktre wraz z on wyda dla kolegw z FBI, wraz z jednym z agentw zdecydowa si zej do przyziemia, by spojrze na ostatnie wyniki ledztwa.
Zobaczy wwczas istny potop informacji wchodzcych do domu Mafiaboya i ze
wychodzcych. Od razu skojarzy, e to kolejny atak denial-of-service. Byo to co,
na co agenci dugo czekali. Ustalanie, w jaki sposb prowadzi dochodzenie, i jednoczenie zabezpiecza innych przed atakami, byo wielkim wyzwaniem.
Currie wyszarpn z biecego strumienia danych kilka pakietw i rozpocz ich analiz. Z surowych danych zawartych w pakietach mona si wiele dowiedzie, pod warunkiem, e wie si, czego szuka. atwiej stwierdzi, czy to pakiety HTML, czy inne z sieci
Web, nieco trudniej odrni dane z e-maili. Po dziesiciu minutach napicie Curriego
osigno szczyt. Nagle zauway pakiety zawierajce komunikaty: Im going to kill
ya39, Death God40 i inne podobne. Nie by to nastpny atak denial-of-service na
kolejn witryn handlu internetowego, lecz komputerowa gra strategiczna Starcraft,
w ktrej w czasie rzeczywistym walcz ze sob w wojnie galaktycznej trzy rasy.
Currie zauway wwczas, e Mafiaboy czasem robi dowiadczenia z narzdziami,
ktre posuyy mu do atakw w lutym. Gdy ju si zdawao, e zrezygnowa
z dziaa hakerskich i wzi za nauk, 21 marca przeprowadzi ograniczony atak na
samego siebie za pomoc pakietw ICMP. Ach, te szczeniaki. Wydaje si, e nigdy
si niczego nie naucz.
39
40

Slang.: zamierzam ci zabi przyp. tum.

Bg mierci przyp. tum.

Nieudolno Mafiaboya nie zaskoczya prowadzcych ledztwo. Szkoa nigdy go

nie pocigaa. Koledzy z klasy i nauczyciele opisywali komputerowe cudowne
dziecko jako chopaka, ktrego wci zawieszano w prawach ucznia z powodw
dyscyplinarnych. W rzeczywistoci przed aresztowaniem Mafiaboy by w Riverdale
High School dwukrotnie zawieszony w prawach ucznia. Po aresztowaniu zama
nawet warunki umoliwiajce powrt do szkoy po zakoczeniu zawieszenia. Koledzy z klasy i nauczycieli wspominaj, e zdarzao mu si pyskowa nauczycielom
angielskiego i matematyki oraz wali piciami w awk na znak frustracji. Rzadko
zjawia si w szkole z kompletem podrcznikw i odrobion prac domow. Po jego aresztowaniu jeden z kolegw wspomina, e mia problemy z odnalezieniem si
w wiecie rzeczywistym.
Takie problemy z dopasowaniem zdarzay si rzadko w etnicznie wielorakiej, liczcej
1200 uczniw Riverdale High School. Mafiaboy lubi ubiera si w workowate
spodnie, bluzy i teniswki. Czsto go widziano z czapeczk baseballow noszon
daszkiem do tyu zgodnie z mod punkw. W przeciwiestwie do tych, ktrzy
uwaali go za normalnego chopaka, cz twierdzia, e przestawa gwnie z obuzami, palc papierosy, zaczepiajc dziewczyny i pakujc si w rne kopoty.
W szkole, ktrej motto brzmiao Rozwijaj si i odno sukcesy czu si jak ryba
wyjta z wody. Nie bya to, oczywicie, jego pierwsza szkoa. Z poprzedniej wyrzucono go z powodw dyscyplinarnych. W przeciwiestwie do niej, w Riverdale wymagano, by uczniowie nosili mundurki. Kolorami szkoy byy ciemna lesista ziele
i czer. Do wyboru byy: biae klasyczne koszule, biae golfy, zielone rozpinane swetry, pulowery z wyciciem w serek i blezery. adnych teniswek, butw sportowych,
czarnych dinsw, spodni palazzo, swetrw i butw z cholewami.
Te szczegy wyszy na jaw dopiero po aresztowaniu Mafiaboya. Przedtem jednak
policja kanadyjska dowiedziaa si pewnych niezbyt chwalebnych szczegw o yciu
domowym Mafiaboya. Knesek potem zauwaya: Jego pseudonim nie by przypadkiem i nie wzi si z powietrza.
^()<[]>()^
Peny obraz Mafiaboya ukaza si 15 kwietnia 43 dni od zaoenia podsuchu. Okazao si, e podsuch telefoniczny jest doskonaym narzdziem zbierania dowodw
pozwalajcych postawi nastoletniego hakera przed sdem. Udao si ustali i udowodni zarwno jego win, jak i fakt, e dziaa samodzielnie. RCMP chciaa jednak
niepodwaalnego dowodu, e to on siedzia przed komputerem.
W tym czasie Mafiaboy skoczy 15 lat, a jego starszy brat witowa ukoczenie 18.
Dla Gosselina bya to dobra wiadomo, gdy w przypadku, gdyby si okazao, e
starszy brat byby zamieszany w przestpstwo, mgby ju by sdzony jako dorosy.
Gosselin i Knesek mieli zdjcia czonkw rodziny, ale rnica wieku midzy brami
nie bya na tyle dua, by mona byo bez kopotu odrni, kto rozmawia przez telefon. Czasami agenci musieli si dokadnie wsuchiwa w tre rozmowy, by pozna,
ktry z braci rozmawia. Obaj mieli podobne gusta, to samo lubili, tego samego nie lubili i obaj gadali o dziewczynach.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

83

84

Pamitniki hakerw

Tematem rozmw by take Mafiaboy i stao si to kluczowym dowodem wskazujcym na win modszego. Poza jego opowiadaniami, gdzie i do czego si wama, podsuchano take rozmow, w ktrej starszy chwali si kolegom hakerskimi wyczynami
modszego. Pewnego razu opowiada, jak to o jego modszym bracie mwili i pisali
we wszystkich wiadomociach. Bya to wyrana aluzja do lutowych atakw denialof-service.
John Calce, ojciec Mafiaboya, rwnie uwaa hakerskie osignicia syna za godne podziwu, ale jako biznesmen nie by zadowolony z uwagi, jak na siebie ciga, spodziewajc si kopotw. 45-letni szef firmy transportowej mia na gowie inne problemy i na
pewno nie byo mu potrzebne dodatkowe zainteresowanie przedstawicieli prawa.
Rozwaa wynajcie kogo do napadu na wsplnika. Spr dotyczy transakcji wartej
1,5 mln dolarw. Zosta pocignity do odpowiedzialnoci za co, co wedug Gosselina i Knesek, mona byo uzna za spisek w celu dokonania morderstwa.
Przez 43 dni Gosselin walczy z pokus, by wtargn do domu i skonfiskowa komputery modocianego hakera dy do wykorzystanie penych 60 dni podsuchu, na
ktre otrzyma zgod sdu. Ale teraz RCMP miaa dowody, e jego ojciec planuje
spisek, ktrego ofiar moe pa czowiek. Dziaanie ju zaplanowano. Tego dnia
wieczorem podsuchano dwch mczyzn dochodzcych do porozumienia przez telefon. Prowadzcy ledztwo musieli dziaa. Jak wspomina Gosselin Nie chcielimy,
aby ktokolwiek zosta zabity.
Policja wtargna do domu 15 lipca o trzeciej nad ranem. Jednake znaleli jedynie
zaskoczonego i zmieszanego ojca, macoch Mafiaboya i jego dwch braci. Jego samego nigdzie nie byo wida. Po zabraniu ojca do aresztu dowiedzieli si, e tego
dnia Mafiaboy by u przyjaciela. Gdy agenci RCMP pojawili si przed jego domem,
Mafiaboy sta na zewntrz, przy krawniku w peni ubrany i wypoczty. Wyglda, jakby czeka na autobus lub takswk. Na jego twarzy byo dokadnie to, czego
mona byo oczekiwa: nadszed jego czas i wiedzia o tym.
Knesek nie bya obecna podczas akcji zajmowania domu, ale pozostay jej w pamici
podsuchane rozmowy i obraz patologicznej rodziny. Wszyscy bracia zamykali swe
pokoje na kdki. Mafiaboy wiele widzia, z wieloma rzeczami mia do czynienia
i wiele rzeczy sobie przyswoi wspomina Knesek. Ani on, ani jego ojciec nie
uwaali, e to, co robi, jest nielegalne i szkodliwe. Takie po prostu byo ycie tej rodziny. Mafiaboy zdoby nieco respektu innych hakerw, ale trwao to jedynie do
chwili, gdy zaczli si oni obawia kontaktw z nim.
^()<[]>()^
Osadzenie Mafiaboya oznaczao zamknicie ledztwa prowadzonego przez piciu
agentw RCMP przez 60 do 80 godzin tygodniowo, co kosztowao 60 tys. dolarw
amerykaskich. Mounties41 mieli wreszcie swego chopca. Ale gdy przystpiono do
badania dyskw twardych z zarekwirowanych komputerw, nie znaleziono adnego
41

Konni, popularna nazwa policjantw i agentw RCMP (Royal Canadian Mounted Police
Krlewskiej Konnej Policji Kanadyjskiej) przyp. tum.

technicznego dowodu, ktry pozwoliby na powizanie oskarenia z atakami z lutego.

Dyski twarde Mafiaboya i inne techniczne dowody leay zapewne na dnie Lake of
Two Mountains lub jednego z wielu innych okolicznych jezior, rzek i ich dopyww
tworzcych ca sie w okolicach Montrealu. Bez podsuchu i dowodw przechwyconych przez administratorw z uniwersytetu w Santa Barbara Mounties nie mieliby nic
pozwalajcego na sporzdzenie aktu oskarenia.
W sdzie dla nieletnich Mafiaboy przyzna si do dziesitkw przestpstw zwizanych z atakami dokonanymi w lutym. Odrzuci jedynie oskarenie o atak na Outlawnet, szkolnego dostawc usug internetowych w Oregonie. RCMP cofna oskarenie
i do dzi podejrzewa, e za ten atak odpowiedzialny jest jeden z braci Mafiaboya.
Ale przyznanie si do winy byo jedynym, co zrobi. Nie chcia rozmawia. Gosselin
prbowa wielokrotnie nawiza z nim rozmow, by dowiedzie si, dlaczego zrobi to,
co zrobi, jakie byy motywy jego dziaania i czy cokolwiek pchno go lub zmusio do
dokonania atakw. Ale chopak i jego prawnik, Yan Romanowski, wielokrotnie odmawiali odpowiedzi na pytania. Jedyny raz, gdy Gosselin i inni agenci mieli okazj przeprowadzi wywiad z oskaronym, by rwnie obecny Romanowski. Montrealski haker
uzna, e jego szans jest przekonanie sdu, e 7, 8, 9, 10 i 12 lutego po prostu przeprowadza testy, ktre miay by pomocne w pracy nad nowym, ulepszonym firewallem42.
Ale w jego historyjce byo kilka niezgodnoci. Pierwsza i najwaniejsza to fakt, e jego tzw. testy trway a sze dni. Ponadto narzdzia hakerskie, ktre cign i wykorzysta, zawieray ostrzeenia, e ich uycie przeciw innemu komputerowi lub sieci
jest nielegalne i nie mog one suy do zbierania danych statystycznych i innych,
ktre mona by spoytkowa do konstrukcji firewalla. Jego historia bya cakowicie
nieprzekonujca i dowodzia, e nie sta go na bardziej finezyjne mylenie. Gosselin
wspomina: byo jasne, e chcia rozoy te wielkie firmy. Dowody wykazyway to
bez cienia wtpliwoci. Nie byo dla niego adnego wyjcia.
Na rozprawie wstpnej w czerwcu roku 2001 pojawi si w swych workowatych
spodniach, niebieskiej dinsowej koszuli wyrzuconej na spodnie i niechlujnej. Ostatnim ciosem rozbijajcym jego obron bya opinia zatrudnionego przez sd biegego,
ktry przeprowadzi wywiad rodzinny. Przed sdem stwierdzi, e: oskarony nie
tylko nie przyjmuje na siebie odpowiedzialnoci za popenione czyny, lecz rwnie
przekonuje, e mia prawo tak postpi. W 16-stronicowym raporcie przedoonym
sdowi biegy dochodzi do wniosku, e Mafiaboy kamie, twierdzc, e zamierza jedynie wyprbowa jako systemw ochrony atakowanych stron. Gdyby to bya
prawda, ataki nie trwayby tak dugo.
Sd zgodzi si z opini biegego, e oskaronego naley na pi miesicy osadzi
w zamknitym areszcie, gdy istnieje niebezpieczestwo, e powrci do wama
komputerowych. Jego matka powiedziaa przed sdem, e czuje, i bya za surowa dla
chopca, gdy wykaza pierwsze zainteresowanie komputerami, ale ojciec by zbyt pobaliwy i nie nadzorowa jego poczyna, a przecie dodaa rodzice s odpowiedzialni za wychowanie dzieci.
42

Zapora (ciana) ogniowa specjalnie oprogramowany komputer lub system odgraniczajcy sie
wewntrzn od Internetu. Jego zadaniem jest ochrona sieci wewntrznej przyp. tum.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

85

86

Pamitniki hakerw

Cho biegy powoany przez obron stwierdzi, e Mafiaboy w peni wiadomie

przyj na siebie odpowiedzialno za popenione przestpstwa i uzna win, oskaryciel Louis Miville-Deschenes uy opinii nauczycieli i innych pracownikw szkoy do
przedstawienia sdowi obrazu chopca nieokazujcego innym szacunku, krnbrnego,
sprawiajcego kopoty i dnego podziwu. To by Mafiaboy, ktrego znali Swallow,
Gosselin i Knesek. A kt zna go lepiej od agentw, ktrzy ledzili i podsuchiwali
wszystkie jego poczynania?
12 wrzenia 2001 roku sd kanadyjski skaza Mafiaboya na omiomiesiczny pobyt
w orodku odosobnienia dla modziey. Maksymalny wyrok, ktry mg otrzyma,
wynosi dwa lata. Sdzia zakaza rwnie skazanemu posiadania jakiegokolwiek
oprogramowania niedostpnego komercyjnie i zabroni uywania Internetu do rozmw z innymi hakerami oraz wamywania si do jakichkolwiek miejsc w sieci. Nakaza rwnie ujawnianie wadzom nazwy dostawcy usug internetowych.
^()<[]>()^
Od tego dnia tajemnicza sprawa Mafiaboya ucicha w Internecie, przestaa by na
topie. W mniej ni trzy miesice z wadcy cyberprzestrzeni, rzucajcego wyzwanie
potgom rzdowym i ekonomicznym, spad do roli chopaka, ktrego chuderlawa posta i niewymylne umiejtnoci hakerskie nie byy w stanie wygra z siami prawa.
Wielu moe twierdzi, e by zaledwie napuszonym amatorem, niewartym uwagi,
ktr mu powicono. Ale jego historia jest znaczca.
Poprzednim hakerem, ktry w pojedynk zmusi FBI do uycia swoich oglnokrajowych technicznych i ludzkich zasobw by Kevin Mitnick hulajcy w sieci w latach
80. i na pocztku lat 90. Jest znakiem czasu, e do ledztwa w sprawie Mafiaboya
wcignito ponad stu agentw z dwch krajw, co trudno porwna z trzema agentami na penym etacie, ktrzy cigali Mitnicka.
Podobiestwa midzy oboma hakerami s uderzajce. aden z nich nie by zbyt dobry
w tym, co robi. Mitnick by daleko lepszym specjalist od inynierii socjalnej ni hakerem, cho w tamtych czasach mona byo uzna jego wiedz za do zaawansowan.
Mafiaboy potrafi rozreklamowa swoje osignicia, ale w atakach korzysta z narzdzi
i technik dawno temu wymylonych przez innych. Ale w tej chwili aden haker nie musi by wybitnie sprawny i uzdolniony. Osignicia Mitnicka byy pochodn numerw
telefonicznych, numerw kont i hase, ktre potrafi wydoby od ogupionych i nieostronych ludzi. Sukcesy hakerskie Mafiaboya opieray si na korzystaniu z gotowych
programw-narzdzi, ktre ciga ze wszystkich moliwych miejsc Internetu. Nie bya
to wielka sztuka; zwyke znalezienie obiektu i nacinicie klawisza Enter. Nie interesowa go finezja programowania ani odkrycia technologiczne. Interesoway go przestpstwa.
Ironi losu jest fakt, e Neal opuci FBI i zatrudni si w Exodusie, firmie, ktra z pocztku odmwia jego agentom dostpu do urzdze co byo tak istotne w ledztwie dotyczcym Mafiaboya. W kocu cign do wsppracy Swallowa oraz Knesek i stworzy
w Exodusie wyspecjalizowan grup Cyber Attack Tiger Team43. W czasie pisania tej
ksiki Gosselin i Currie pozostawali na swych stanowiskach w RCMP w Montrealu.
43

Grupa tygrysw do spraw atakw komputerowych przyp. tum.

Wszyscy agenci biorcy udzia w polowaniu na Mafiaboya stwierdzili, i nie wtpi,

e nastolatek z Montrealu dziaa sam. Twierdz, e to jednoznacznie wynika z danych uzyskanych dziki podsuchowi. Jednake eksperci od spraw bezpieczestwa
z firm prywatnych i inni czonkowie hakerskiego podziemia uwaaj, e jeszcze nie
znaleziono prawdziwych mzgw atakw denial-of-service z lutego 2000 roku.
Twierdz, e umiejtnoci Mafiaboya nie byy wystarczay do przeprowadzenia tak
przemylanych i skoordynowanych dziaa. A co waniejsze, cz ekspertw zatrudnionych wwczas do analizowania danych uwaa, e taktyka zastosowana w ataku na Yahoo! rnia si od taktyki w pozostaych atakach. A jeeli ten argument nie
wystarcza, naley si zastanowi nad istnieniem sporej liczby faszywych zezna
i ujawnieniem faktu, e niektrzy hakerzy podczas sesji IRC-a podszywali si pod
Mafiaboya i mogli oszuka innych.
Neal jest jednak nadal przekonany, e Monties zapali waciwego chopaka. Byem
w rodku tego wszystkiego mwi. Twierdzenia, e Mafiaboy nie dziaa samodzielnie uwaa za absolutnie faszywe. Wedug niego jest cakowicie pewne, e
tylko on jest winien.

C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc

(02-11-06)

87