Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
Pamitniki hakerw
Autor: Dan Verton
Tumaczenie: Krzysztof Masowski
ISBN: 83-7197-923-1
Tytu oryginau: The Hacker Diaries: Confessions
of Teenage Hackers
Format: B5, stron: 198
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Ksika opowiada historie ycia tych, ktrzy stanowili elit hakerskiej subkultury
nastolatkw, odgrywajcych gwne role na tej scenie. To wicej ni prosty cig kilku
opowieci o technicznych aspektach ich wyczynw hakerskich i wama do systemw.
Jest to historia technologicznego czarodziejstwa, kreatywnoci i powicenia. Historia
modzieczego buntu, nudy i frustracji, oderwania od spoeczestwa, gniewu i czasu
spdzonego w wizieniu. Historia nastoletnich hakerw, ktrzy nie s potworami,
o jakich czytamy. S jak inni w ich wieku, a niektrzy z nich zapewne mieszkaj
w Waszym ssiedztwie.
Spis treci
O Autorze........................................................................................... 7
Sowo od Tumacza ............................................................................. 8
Rozdzia 1. Genocide: od Columbine do hakerstwa.............................................. 9
Rozdzia 2. Rebelianci: Joe Magee i Noid.......................................................... 33
Rozdzia 3. Operacja Claymore, czyli wielkie polowanie na Mafiaboya..................... 57
Rozdzia 4. Dwaj skrypciarze: Pr0metheus i Explotion ........................................... 89
Rozdzia 5. World of Hell .................................................................................. 107
Rozdzia 6. Cybermaniaczka: Starla Pureheart.................................................... 123
Rozdzia 7. Niezwykle Biay Kapelusz: Willie Gonzalez ......................................... 137
Rozdzia 8. obuziak, nastolatek, haker i szpieg, czyli historia H. D. Moorea ....... 157
Posowie ........................................................................................ 173
Dodatek A Dwie dekady hakerstwa nastolatkw ................................................ 183
Dodatek B W ostatnich latach na pierwszych stronach gazet
i w serwisach agencyjnych ............................................................... 189
Dodatek C Hakerstwo w Internecie ................................................................... 193
Skorowidz ...................................................................................... 199
Rozdzia 3.
Operacja Claymore,
czyli wielkie polowanie
na Mafiaboya
We wtorek 8 czerwca 1999 roku krtko po 12.00 uczniowie szkoy redniej w maym
miasteczku Sisters w stanie Oregon zbiegli na d do holu, szukajc Johna Rennera.
Znaleli go w sali, gdzie jak zawsze prowadzi zajcia z wiedzy o spoeczestwie.
Jeden z uczniw wsadzi gow do klasy i powiedzia: Pad jeden z serwerw. Nie
moemy dosta si do naszych plikw i stron WWW.
Renner, ktry peni rwnie funkcj szkolnego koordynatora technicznego, nie przej si zbytnio wieci o awarii serwera. System pada ju wczeniej i zwykle wystarczao kilka niewielkich poprawek, by zacz ponownie dziaa. Ale w gosie uczniw
byo co, co kazao mu si zastanowi, a wyraz twarzy jednego z chopcw sugerowa
mu, e naley od razu zobaczy, co si stao. Ponadto serwer, o ktrym bya mowa,
nie by zwykym serwerem szkolnym i suy do prowadzenia legalnego przedsiwzicia gospodarczego.
Wszystko zaczo si 5 lat wczeniej. Renner, otrzymawszy od jednego z lokalnych
biznesmenw dotacj w wysokoci 50000 dolarw, pomg w zaoeniu uczniowskiej firmy prowadzcej dziaalno dostawcy usug internetowych. Firm nazwano
Outlawnet, Inc. co byo nawizaniem do nieoficjalnej nazwy szkoy, ktr w Sisters
nazywano Outlaws1. Byo to niewielkie przedsiwzicie, ktre w zaoeniu miao
przynosi zyski pokrywajce opaty za dostp do Internetu 500 uczniw szkoy. Ale
firma si rozrastaa i miaa ju ponad 1000 klientw wrd spoecznoci lokalnej
i w koach biznesu z Sisters, Black Buttle i Camp Sherman. Grono nauczycielskie
wybrao 22 uczniw wykazujcych szczeglne uzdolnienia komputerowe, ktrzy
prowadzili firm, tworzyli strony WWW, instalowali oprogramowanie u klientw
1
58
Pamitniki hakerw
i zarzdzali kontami. Kadego roku zmieniano grup, dziki czemu dziesitki uczniw
zdobywao praktyczne dowiadczenie przydatne potem w przemyle komputerowym.
By to powd do dumy.
Ale tego dnia, zaledwie kilka dni po uroczystoci wrczenia absolwentom wiadectw,
duma i nadzieja na przyszo ustpiy uczuciu strachu. Ju po kilku minutach sprawdzania Renner i pomagajcy mu kolega przekonali si, e nie bya to niegrona usterka. Tym razem byo to co powaniejszego.
Jaki haker znalaz wejcie do serwera Outlawnetu. atwe do odgadnicia haso pozwolio mu na utworzenia konta powokowego i legalne wejcie do sieci. Nikt tego
nie zauway. Nikt si nawet tego nie spodziewa. Outlawnet to nie Yahoo! ani America Online!, lecz maa rybka wrd wielorybw. By to niewielki dostawca usug internetowych stworzony niewielkim nakadem kapitau i prowadzony przez uzdolnionych uczniw. Jak korzy haker mg odnie z wamania do takiego serwera?
Odpowiedzi na to pytanie nie trzeba byo dugo szuka. Gwny serwer uniksowy zosta spustoszony i sta si niedostpny, nawet dla administratorw. Programy narzdziowe do obsugi technicznej zostay skasowane. Przepado ponad 3000 nalecych
do szkoy plikw oraz kilkadziesit kont uytkownikw. Wamywacz zainstalowa
program monitorujcy ruch w sieci (sniffer), przechwytujcy hasa uytkownikw
i zamieniajcy szkolny serwer w serwer e-mailowy z wolnym dostpem. Nie upyno
wiele czasu i posypaa si lawina telefonw od klientw zdenerwowanych nag blokad pocze internetowych. By to powany incydent wymagajcy natychmiastowego zawiadomienia policji.
Sprawa zostaa szybko przekazana do biura FBI w Portland. Reakcja bya natychmiastowa i wzbudzia najwysze uznanie Rennera dla profesjonalizmu dziaania agentw
federalnych przysanych w celu przeprowadzenia dochodzenia. Outlawnet by niewielkim lokalnym dostawc usug internetowych, ale skoro zainteresowao si tym
FBI, musiao to dotyczy przestpstwa o znacznie wikszym znaczeniu i by moe
midzynarodowych implikacjach. Przeprowadzenie ataku typu odmowa usugi byo
przestpstwem zagroonym kar wizienia niezalenie od rozmiaru i ekonomicznego znaczenia zaatakowanego serwera. FBI bardzo powanie podchodzio do kadego ataku tego rodzaju. Outlawnet nie mg by wyjtkiem.
14 czerwca agenci federalni poinformowali Rennera o zamiarze otwarciu ledztwa
w sprawie ataku na serwer i o usilnych prbach ujcia hakera lub hakerw odpowiedzialnych za ten atak. Renner obieca cis wspprac i przyrzek tropi hakerw za
pomoc wszelkich prawnie dozwolonych rodkw, jakie mia do dyspozycji. Zapowiedzia, e jeeli okae si, i wamywacz pochodzi z USA, wystpi do sdu z daniem
zadouczynienia za poniesione straty. Dostawcy usug internetowych w rodzaju Outlawnetu nie mogli pozwoli, aby tego rodzaju ataki pozostaway bezkarne. Myla o odzyskania zaufania zarwno klientw, jak i uczniw. Dopiero po miesicu udao si odtworzy
zniszczone pliki, a pene trzy miesice zajo usuwanie wszystkich uszkodze systemu.
Na szczcie Outlawnet posiada kopi bezpieczestwa wszystkich zniszczonych plikw uczniowskich. Ale atak sporo kosztowa. Naprawa oprogramowania i utrata dochodw spowodowana unieruchomieniem serwera kosztoway mod firm ponad
11000 dolarw sum, za ktr mona byo opaci dostp uczniw do Internetu.
Tymczasem ledztwo FBI postpowao naprzd. Badajc dzienniki nadzoru (logi) dostarczone przez Rennera, agenci znaleli podejrzanego na terenie USA. Jednak ta
osoba okazaa si by wacicielem legalnie dziaajcej firmy, ktrej system zosta
opanowany przez hakera i uyty jako narzdzie ataku na Outlawnet. Tym razem lad
si urwa, ale istniaa nadzieja odnalezienia go.
Po udzieleniu agentom FBI odpowiedzi na mas pyta biznesmen dostarczy im systemowe dzienniki nadzoru ze wszystkimi adresami IP (Internet Protocol). Taki adres
to cig liczb, ktry w Internecie peni dla komputera tak rol jak zwyky adres dla
czowieka. W tym przypadku adres IP rzekomo nalea do komputera, z ktrego dokonano infiltracji komputera biznesmena, skd z kolei dokonano ataku na Outlawnet.
Z wolna agenci zaczli skada amigwk. Cho byo moliwe, e hakerzy oszukali
kolejny komputer, udajc, e dziaaj spod legalnego adresu IP czyli stosujc taktyk zwan spoofingiem2 agenci FBI wiedzieli, e jeeli bd dziaa wystarczajco szybko, w kocu powinni znale cze prowadzce do prawdziwego winowajcy.
Kolejny lad prowadzi do Sprint Canada3.
^()<[]>()^
Mark Gosselin ju trzy lata pracowa w oddziale do badania przestpstw komputerowych Krlewskiej Konnej Policji Kanadyjskiej w Montrealu, gdy FBI poinformowao
go o prowadzeniu dochodzenia w sprawie przestpstwa popenionego w USA, ktrego lady prowadz do Kanady. Wedug FBI, haker zawadn serwerem dostawcy
usug internetowych w Oregonie, czc si z nim z Ohio za pomoc szybkiej linii
DSL (digital subscriber line4), a stamtd, jak udao si ustali, lady prowadziy do
Kanady w rejon dziaania Marka Gosselina. Byo to w grudniu 1999 roku.
Na pierwszy rzut oka wszystko wygldao na spraw dokadnie rozpracowan, do
szybkiego zaatwienia. Gosselin by oficerem ledczym Krlewskiej Konnej Policji
Kanadyjskiej z 20-letni praktyk. Cztery lata spdzi w SWAT5, a reszt, suc
w zwykej policji, ledzc operacje narkotykowe, defraudacje i inne przestpstwa
kryminalne. Jeeli FBI miao dane o koncie, znalezienie ladu prowadzcego do rda byo jedynie kwesti czasu. Wtedy wyle chopakw, eby aresztowali rzezimieszka. Tak mu si wtedy zdawao.
Gosselin wiedzia, e gdziekolwiek lad mia go zaprowadzi, ma w rku niez
spraw. W przypadku przestpstw komputerowych prawo kanadyjskie jest rwnie surowe jak w USA. Nawet debiutanci za nieuprawnione wejcie do systemu mog wyldowa w wizieniu na 10 lat. Ponadto zniszczenie lub zmiana danych, znana
w prawie kanadyjskim jako mischief to data oraz zdobycie hase w celu nielegalnego dostpu do komputera s rwnie zagroone wyrokiem 10 lat wizienia.
2
3
4
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
59
60
Pamitniki hakerw
Pierwszym krokiem Gosselina byo uzyskanie nakazu rewizji w Sprint Canada. Dziki pomocy Sprinta udao mu si znale kilka aliasw e-mailowych przypisanych do
konta w Delphi Supernet maego dostawcy usug internetowych w Montrealu. Ale
konto zostao zamknite przed rokiem z powodu podejrzenia o dziaania hakerskie
niezgodne z zasadami bezpieczestwa przestrzeganymi przez firm. Rzecz stawaa si
interesujca. Gosselin postpi o krok do przodu, ale daleko byo jeszcze do znalezienia dymicego pistoletu bdcego dowodem przestpstwa. Nawet majc informacje
o koncie, nie mg stwierdzi, kto siedzia przed komputerem, dokonujc ataku na
Outlawnet. pieszc si, mg zniszczy dowody potrzebne do pniejszego wytoczenia procesu przeciw hakerowi, ktrym jak wyczuwa na podstawie swego wieloletniego dowiadczenia by nastolatek. Ale musia wiedzie na pewno. W Montrealu i okolicy byo zapewne kilkadziesit tysicy nastolatkw, ktrzy mogli posiada
umiejtnoci pozwalajce na dokonanie takiego ataku. Nie by to rodzaj przestpstwa,
gdzie moliwe jest zidentyfikowanie winnego przez konfrontacj ofiary z grup podejrzanych. A dowody byy bardzo cienkie. Na razie nie mia dowodu pozwalajcego uzyska to, co byo naprawd potrzebne, czyli prawo podsuchu pocze.
Zawzi poszukiwania rda ataku do dwupitrowego budynku na Rue de Golf Street
w West Island zamonej dzielnicy Montrealu lecej jedynie 30 mil od granicy ze
Stanami Zjednoczonymi. Teren przylega do modnego i ekskluzywnego pola golfowego St. Raphael pooonego midzy malowniczym jeziorem Lake of Two Mountains i potn rzek w. Wawrzyca. Zdaniem wikszoci ludzi, bya to wymarzona
siedziba w ekskluzywnym otoczeniu, w peni wyposaona, z dwoma garaami, brukowanym boiskiem do koszykwki, gdzie dzieci mogy si bawi. Do najbliszej
szkoy redniej byo std 12 minut jazdy samochodem.
Wikszo mieszkacw tego domu niczym si nie rnia od ssiadw z okolicy
poza kilkoma wyjtkami. Waciciel John Calce prezes zarzdu firmy transportowej, powtrnie onaty zgodnie z opini ssiadw, by szorstkim, aroganckim, nieokrzesanym i wrzaskliwym facetem, ktry lubi przesiadywa przed domem w sportowej koszulce i szortach, wrzeszczc i klnc przez telefon komrkowy. Nie
interesowa si zbytnio swymi trzema synami, z ktrych dwaj byli brami, a trzeci
bratem przyrodnim z drugiego maestwa. Najstarszy, 17-letni, chcia zosta aktorem i rzeczywicie udao mu si zaatwi udzia programie rozrywkowym pokazywanym w lokalnej telewizji. Niewiele wiedziano o przyrodnim bracie. By najmodszy
i lubi gra w koszykwk. Gdy nie byo go na boisku przy domu, kibicowa druynie
nastolatkw Brookwood Jazz. Gdy nie mia ochoty na gr w koszykwk, czasem
pomaga ssiadom i przyjacioom my samochody. W opinii wikszoci tych, ktrzy
go znali, nie byo w nim nic szczeglnego. By normalnym dzieckiem.
Ale mody mionik koszykwki by take mionikiem komputerw. Mia tylko 12 lat,
gdy Delphi Supernet z powodu podejrzenia o hakerstwo zamkno dwa konta uywane
przez mieszkacw budynku przy Rue de Golf Street. Goselin mg pniej podejrzewa, ale nigdy nie by w stanie udowodni, e chopak nauczy si podstaw hakerstwa
od jednego ze swych starszych braci. Dzieciak zapewne niezbyt dokadnie zdawa sobie
spraw z tego, co robi jego starszy brat, ale czu w gbi serca, e chciaby robi to samo
wamywa si do innych komputerw. Do dzi nie udao si ustali, kto odpowiada
za incydenty, ktre doprowadziy do skasowana kont w Delphi Supernet. Jedyna rzecz,
ktrej Gosselin mg by pewny, to fakt, e ten dom mia co wsplnego z hakerstwem.
Ping-of-death (ping mierci) oglne wyjanienie tej metody ataku zostao podane w nastpnych
zdaniach przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
61
62
Pamitniki hakerw
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
63
64
Pamitniki hakerw
z jak FBI przyszo si zmierzy kiedykolwiek w przeszoci. Nawet grupy przestpczoci zorganizowanej atwiej byo przenikn i zdezintegrowa, podburzajc ich
czonkw przeciw sobie. Hakerzy za tworz zwart spoeczno niezalenie od
stopnia umiejtnoci i dowiadczenia i nie zraaj si pierwszymi trudnociami.
Zamiast rezygnowa przybieraj inn tosamo i stosuj inne manewry zwodzce, co
znacznie utrudnia ich identyfikacj w sieci. Nieatwo jest wej do tego wiata i czasem przez cae miesice trzeba si uwiarygodnia, zanim uzyska si pen akceptacj.
A jednak FBI przeprowadzao w przeszoci podobne operacje. Znana bya sprawa
przeniknicia do grup lokalnych organizacji hakerskiej 2600, infiltracja zebra lokalnych grup i dorocznej konferencji DefCon w Las Vegas. Odnoszono sukcesy, ale nieliczne. Agenci FBI i inni przedstawiciele wadz pozostawali na zewntrz, jak lisy wszce wok zamknitego kurnika. Co roku organizatorzy konferencji DefCon
ogaszali konkurs ap glin. Zadanie byo proste: Jeeli zobaczysz jakiego MIB-a8
(Men in Black) ze suchawkami, w czarnych pbutach i ciemnych okularach, czajcego si na wzr Clinta Eastwooda w y i umrze w Los Angeles9, wska go,
a dostaniesz koszulk z napisem Nakryem glin.
Wykrywanie agentw federalnych na konferencji DefCon byo tak atwe, e stao si
zabaw. Agentom FBI znacznie trudniej przychodzio ledzenie i identyfikowanie hakerw z wyranie przestpczymi inklinacjami. Czsto byo to niewykonalne i przypominao szukanie igy w stogu siana. Efektywna infiltracja podziemia w sieci wymagaa bardzo aktywnego dziaania. Przesiadywanie na kanale IRC-a #dc-stuff
(DefCon Stuff) i czytanie zwierze niewydarzonych ekshakerw dyskutujcych
o tym, co wypili i jak si spili, jeszcze z nikogo nie zrobio hakera. Rwnie dyskutowanie o hakerstwie w nic nie da. Trzeba si za to zabra samemu.
Pod koniec roku 1999 tajna operacja Kosowo zbliaa si ku kocowi. Zmniejszya
si liczba atakw internetowych na serwery NATO i rzdu Stanw Zjednoczonych.
Ale przez sze miesicy tajnego dziaania Swallow, Knesek i okoo stu agentw FBI
rozsianych po caym kraju zebrao wraz z lokalnymi siami porzdkowymi i wojskowymi mas informacji o dziesitkach hakerw zamieszanych w dziaania kryminalne.
Jak wspomina Swallow: Przekonalimy si, e w zasadzie udaa nam si infiltracja
hakerskiego podziemia. Rzeczywicie si udaa, a Neal by wytrawnym agentem,
ktry rozumia warto wywiadu. Bez wahania zoy FBI i Departamentowi Sprawiedliwoci propozycj kontynuowania dziaa. Otrzymanie zgody nie byo trudne,
gdy w Departamencie Sprawiedliwoci nikt si temu nie sprzeciwia. Tak si narodzia pierwsza tajna operacja penetracji podziemia hakerskiego, objta tak tajemnic,
e do dzisiaj nie ujawniono, jak nazw zostaa okrelona.
Zarwno Gosselin w Kanadzie, jak i pracownicy biura FBI w Los Angeles nawet si
nie spodziewali, co ich czeka w najbliszej przyszoci i jak wana okae si ich
8
MIB (Men in Black ludzie w czerni) osobnicy ubrani w czarne garnitury, w czarnych butach
i z czarnymi krawatami, jedcy czarnymi cadillacami lub latajcy czarnym helikopterem.
Odwiedzaj pono ludzi, ktrzy widzieli UFO i strasz ich mierci w razie ujawnienia wiadomoci
na ten temat. Niektrzy uznaj ich za agentw rzdowych, inni za tu moliwoci jest wiele, wic
ciekawych odsyam do Internetu. Stali si bohaterami filmw i gier komputerowych przyp. tum.
To live and die in Los Angeles przyp. tum.
dziaalno. Pozyskani informatorzy i nabyte umiejtnoci stay si kluczowym narzdziem w walce z nastoletnim hakerem, ktry wkrtce mia rozoy na opatki
wielkie firmy internetowe.
^()<[]>()^
Operacja nabraa tempa w styczniu roku 2000. Swallow przeszed ze stanowiska kierowniczego do tajnej grupy agentw udajcych nieletnich hakerw. Knesek pomagaa
mu koordynowa oglnokrajow obaw, pilnujc, aby wszystko przebiegao legalnie.
To wanie stanowio najwiksz trudno i wielkie wyzwanie.
Swallow, mczyzna po czterdziestce, nigdy nie spotka si twarz w twarz z adnym
hakerem, czyli obiektem swego polowania. Nigdy nie przyszo mu do gowy, e kto
w jego wieku moe zosta hakerem. Ale musia w rodowisku hakerskim zoy listy uwierzytelniajce i zdoby reputacj. Bez tego niemoliwe byo zdobycie informacji wystarczajcych do postawienia kogo przed sdem. Oznaczao to, e on i inni
agenci z grupy musz rzeczywicie zama zabezpieczenia jakich stron WWW
i zniszczy je. To tak samo jak w sytuacji, gdy szef mafii, przyjmujc do rodziny
nowego czonka, wrcza mu pistolet i kae usun szefa konkurencyjnego gangu.
Tyle tylko, e w tym przypadku tolerancja FBI dla tego, co mona zrobi w celu potwierdzenia faszywej tosamoci agenta, bya znacznie wiksza. Tak czy inaczej, hakerstwo nie byo przestpstwem szczeglnie drastycznym, to nie to samo co morderstwo. Strony WWW nie krwawiy.
Sporym problemem bya wsppraca z biurami prokuratorw okrgowych. Kady federalny oskaryciel, nawet niewiele wiedzcy o przestpstwach komputerowych i o subkulturze hakerskiej, chcia sobie doda splendoru kosztem tej operacji. Ale Departament
Sprawiedliwoci wymaga udziau w specjalnych kursach, dajc do zrozumienia, e nie
zamierza traci czasu, gdy przyjdzie do postawienia hakerw przed sdem. W rzeczywistoci, zgodnie z opini agentw dziaajcych w terenie, spowodowao to wielkie zamieszanie i wzajemn rywalizacj, ktra paraliowaa ledztwo. Lokalni prokuratorzy
bali si podj jakkolwiek decyzj bez wczeniejszej aprobaty z gry.
Pomimo politycznej rywalizacji Waszyngtonu i biur prokuratorw okrgowych Neal
i jego grupa uzyskali zgod Departamentu Sprawiedliwoci na zniszczenie rnych
rzdowych stron WWW w celu wsparcia agentw usiujcych zinfiltrowa wiat podziemia hakerskiego. Dla agentw dziaajcych w sieci uzyskanie tej zgody stao si
spraw szczeglnie wan. By na to najwyszy czas. Musielimy si dobra do jakiej strony, aby nie straci wiarygodnoci wspomina Neal. Nie rnio si to od
zdobywania zaufania gangu, czy mafii, bowiem lepsi hakerzy tworz wasne pokoje
czatowe, do ktrych trzeba by zaproszonym.
Grupa w kocu zniszczya okoo tuzina rzdowych stron w sieci, aby si godnie zaprezentowa w podziemiu. Przekonali nawet kilka prywatnych firm do wyraenia
zgody na uszkodzenie ich stron. Swallow i inni tajni agenci posali kopie swoich hakerskich wyczynw do administratorw strony Attrition.org10, sieciowego archiwum
10
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
65
66
Pamitniki hakerw
sucego hakerom do gromadzenia efektw destrukcyjnych dziaa. Attrition dla nastoletnich twrcw skryptw jest ulubionym forum prezentacji osigni i powodem
hakerskiej chway, e wanie oni zniszczyli najwiksz liczb stron internetowych.
Attrition nie troszczy si o to, kim s niszczyciele stron i dba jedynie o to, by przesyane rezultaty wama pochodziy z legalnych stron internetowych, a nie z zaoonych
specjalnie w celu dokonania wamania, co rwnie si zdarzao.
Wszystko przebiegao gadko dziki pomocy dwch hakerw wsppracujcych przed
paroma miesicami ze Swallowem i Knesek nad spraw dotyczc Kosowa. W miar
upywu czasu przybywao hakerskich wybrykw, ale spora ich cz bya dzieem niedowiadczonych nastolatkw, ktrzy dali si zwabi atmosfer hakerskiego podziemia.
Inni nie byli tak naiwni, ale wyapywanie ich i tak nie stanowio trudnoci dla informatorw FBI. Prawdziwi kryminalici potrzebuj zwykle duo czasu, by uwierzy, ze zostali przyparci do muru, natomiast hakerzy, zwaszcza nastoletni, w przypadku wpadki
nie s tak odporni na stres. Nie trzeba ich wykacza nerwowo trzydziestoma telefonami w cigu dnia, ani znienacka da spotkania w kafejce i zmusza do przypominania
sobie, co robili minuta po minucie. Tego rodzaju taktyka przydaje si, gdy ma si do
czynienia z dealerami narkotykw lub innego rodzaju zatwardziaymi przestpcami.
Hakerzy, gdy zrozumiej, e zostali przyparci do muru, szybko staj si szkoleniowcami i konsultantami FBI. Oni nauczyli Swallowa poruszania si w rnych pokojach
czatowych i podpowiedzieli, jak odpowiada na pytania i wyzwania innych hakerw.
Nie ma wtpliwoci, e najlepszym rdem informacji o hakerze jest inny haker. S oni
zaufanymi czonkami podziemnej spoecznoci, w ktrej wiat wirtualny zastpuje
wiat rzeczywisty i gdzie ludzie, ktrzy wyraaj si jak agenci, s traktowani jak agenci.
Podczas jednej z nocnych zmian, ktre trway czsto od 10 do 12 godzin, ze Swallowem nawiza kontakt haker, ktry pochwali si kradzie numerw 400 kart kredytowych i ukryciem ich na jednym z serwerw niemieckich. Aby to udowodni, pokaza skrawek skradzionych danych, po czym stwierdzi Jeeli ci to do czego
potrzebne, to je sobie stamtd cignij. Nie robi wraenia kogo, kto chce si przysuy, ani takiego, co pragnie pochwali si zdobycz. To byo wyzwanie. Wyzwanie i sprawdzian, kim Swallow jest naprawd, a zwaszcza, czy nie jest glin.
Swallow dwoi si i troi, by odkry tosamo hakera. Zodziej kart kredytowych na
pewno by grub ryb, prawdziwym kryminalist. Numery kart byy rwnie cenne jak
gotwka. Jedna wpadka z kart kredytow moga zrujnowa ca firm. Zwykle po takim
incydencie klienci odchodz i nigdy nie wracaj, zwaszcza ci, ktrych dane skradziono.
W przypadku kart z kredytem do 5000, 10000 dolarw lub jeszcze wyszym taka kradzie
moga sign kwoty 4 milionw dolarw. Swallow mia ochot przygwodzi drania.
Nie by to pierwszy przypadek, gdy Neal musia nakaza w grupie posuszestwo.
Musiaem mu zabroni posun si dalej wspomina. Nasze ledztwo wkracza
na terytorium innego pastwa, byoby to pogwaceniem zawartych traktatw i mgby spowodowa midzynarodowy incydent. Chocia nie byo wytycznych, jak dalej
postpowa, Neal wola by przesadnie ostrony. Jego agenci, postpujc naprzd,
okrelali zasady, wkraczali na dziewiczy teren. Swallow by profesjonalist i wiedzia, e w przypadku danych kart kredytowych zapisanych na zagranicznym serwerze oczekiwanie na zgod zwierzchnikw jest zwyk strat czasu.
Exploit tu: technika wamania lub narzdzie temu suce, wykorzystujce saboci konkretnego
systemu operacyjnego. Znaczenie tego sowa nie jest jeszcze ustabilizowane i bywa rnie
interpretowane przez rodowiska informatyczne przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
67
68
Pamitniki hakerw
pene przechwaek i wulgaryzmw. Jednak to wanie oni najczciej byli naiwniakami, ktrzy podawali informacje pozwalajce agentom FBI na zlokalizowanie. Byli
jak bolcy wrzd na tyku zarwno dla FBI, jak i dla prawdziwych hakerw.
A na Swallowa czeka jeszcze jeden wrzd, wikszy od wszystkich, ktre kiedykolwiek dotkny Internet.
^()<[]>()^
Pierwszy atak rozpocz si w poniedziaek rano. Zdarzyo si to 7 lutego 2000 roku.
Yahoo! jeden z najwikszych portali informacyjnych i biznesowych zosta cakowicie zaskoczony atakiem. Strumie pakietw danych spad na jeden z gwnych
routerw12 Yahoo! z szybkoci 1 gigabajta na sekund, co odpowiada ponad 3,5 mln
redniej wielkoci maili na minut. Router wytrzyma atak, ale Yahoo! stracio poczenie z jednym z gwnych dostawcw usug internetowych. Ju wczeniej byy
z nim pewne problemy i pierwsz godzin administratorzy spdzili na usuwaniu znanych usterek. Nikt nie przypuszcza, e Yahoo! wanie w szybkim tempie stawa si
pierwsz ofiar najwikszego w historii ataku typu denial-of-service13.
W kocu administratorzy zostali zmuszeni do zablokowania caego ruchu wpywajcego od dostawcy usug internetowych. Pozwolio to na ponowne uruchomienie podstawowego routingu sieciowego, ale nadal nie byo jasne, co si waciwie stao. Administratorzy Yahoo! mogli jedynie stwierdzi, e system zaama si w wyniku
przecienia nadmiernym ruchem pakietw ICMP14 (Internet Control Message Protocol). Sieci komputerowe uywaj komunikatw ICMP do wykrywania przyczyn problemw, na przykad w sytuacji, gdy router nie moe transmitowa pakietw rwnie
szybko, jak je otrzymuje. Komunikaty te s automatycznie wymieniane midzy systemami. I wwczas administratorzy Yahoo! zrozumieli, e kopoty, ktre dotkny ich
sie, nie s wynikiem przypadkowej usterki. By to przemylany atak.
Natychmiast rozpoczli filtrowanie wszystkich komunikatw ICMP, lecz wwczas
cay zablokowany ruch zacz zalewa serwery Yahoo!. Jeden z gwnych dostawcw
usug internetowych przechwyci cz danych i technicy stwierdzili, e bezporednie
cza do dostawcw usug, w tym do gwnego dostawcy krajowego, z ktrym
wspuytkowano dane, niewiadomie bior udzia w ataku. Znaleli lad, ktry doprowadzi do jednego z wasnych komputerw Yahoo!; jedne systemy Yahoo! atakoway inne systemy wasnej sieci. By to szeroko zakrojony atak, w ktrym wiele
komputerw posuyo jako zombi15. Wedug ekspertw bronicych Yahoo!, tego rodzaju skomplikowany atak musia by dzieem najwyszej klasy hakera lub grupy hakerw. Kto inny mgby przeprowadzi tak zmasowany atak typu odmowy usug?
12
13
14
15
Urzdzenie, ktre po otrzymaniu przesyanego pakietu odczytuje jego nagwek i ustala najlepsz tras
transmisji. Jest rwnie odpowiedzialne za podzia pakietu na fragmenty, jeeli tego wymagaj
parametry transmitujcej sieci przyp. tum.
Odmowa usugi patrz przypis we Wstpie przyp. tum.
Internetowy protok komunikatw kontrolnych przyp. tum.
Komputer opanowany przez hakera w celu przeprowadzenia ataku, np. typu denial-of-service. Legalny
waciciel komputera moe nie zdawa sobie sprawy z jego dziaania jako zombi przyp. tum.
Wygldao na to, e haker (lub hakerzy) zna topologi naszej sieci i wszystko zaplanowa z wyprzedzeniem napisa administrator Yahoo! w kilka dni po napywie
pierwszej fali blokujcych pakietw. Wydaje si, e by to zdecydowanie atak typu
DDoS16, w ktrym wiedza i umiejtnoci atakujcego znacznie przewyszay poziom
przecitnego hakera. Atakujcy musia doskonale zna zarwno Unix, jak i technologi oraz organizacj sieci.
Bya to szczegowa analiza dokonana przez pierwsz, jak si potem okazao, z szeregu atakowanych firm. Byo jasne, e Yahoo! dotkn atak wytrawnego hakera, ktry
wiedzia, co robi i powici wiele czasu na poznanie celu ataku. To, czego wiadkami byli administratorzy Yahoo!, z ca pewnoci nie byo dzieem dzieciaka, ktry
cign z Internetu par skryptw hakerskich do ataku typu DDoS i chcia si przekona, jak dziaaj. By to atak przeprowadzony przez profesjonalist, ktry prawdopodobnie korzysta z dodatkowej pomocy. Przynajmniej tego administratorzy Yahoo!
byli pewni. Dane, ktrymi zaatakowano Yahoo!, wydrukowane na papierze, wypeniyby 630 pciarwek.
Pn noc Swallow nala sobie filiank kawy i zasiad przed komputerem, przygotowujc si do kolejnej dugiej nocy wypenionej w wikszoci nieistotnymi czatami z nic
nieznaczcymi nastoletnimi hakerami. Nocne dyury wyduay si, aden z rzeczywistych hakerw nie wyciubi wirtualnego nosa przed nastaniem wczesnych godzin porannych. Ale tej nocy Swallow, dziaajc jako administrator jednego z odwiedzanych
przez hakerw kanaw IRC-a, zauway, e pojawi si nowy uczestnik o pseudonimie
Mafiaboy. Zauway go ju wczeniej, a przynajmniej kogo, kto uywa tego pseudonimu (nie byo sposobu, by si przekona, czy to ta sama osoba). Ale wszelkie wtpliwoci dotyczce tosamoci Mafiaboya wkrtce si rozwiay. Chopak idealnie pasowa
do znanych ju cech osobowoci. By tym samym haaliwym, piszcym skrypty nastolatkiem, z ktrym Swallow i inni ju poprzednio wymienili par zda.
Tej nocy Mafiaboy przechwala si swoimi umiejtnociami. Inni hakerzy na IRC-u
wkrtce znudzili si tymi przechwakami. Czat rycho zamieni si w wymian wyzwisk i przeklestw. Przeklinanie byo jedn z pokazowych umiejtnoci Mafiaboya,
ale nie o tym myla Swallow przez reszt wieczoru. Chepienie si dokonaniem
wamu, jakiego jeszcze nikt nie widzia tak bardzo zmczyo innych uczestnikw
czatu, e Swallow usun go z pokoju dyskusyjnego.
8 maja o 9.00 Buy.com internetowa firma sprzeday detalicznej jak zwykle rozesaa
wstpn ofert towarw. Przyszo rysowaa si w rowych barwach, gdy firma trafia na okres mody na dotcomy17. Ale ju o 10.50 administratorzy musieli podj walk
ze zmasowanym atakiem typu denial-of service, podczas ktrego dane napyway
z prdkoci 800 megabitw na sekund, co ponad dwukrotnie przekraczao normalne obcienie serwera. Atak grozi cakowitym odciciem dostpu do firmy. Tego samego dnia
po poudniu najpopularniejszy w sieci portal aukcyjny eBay rwnie zgosi zablokowanie
16
17
DDoS (Distributed Denial of Service rozproszony atak odmowy usug) atak typu DoS,
w ktrym wiele komputerw atakuje komputer-ofiar przyp. tum.
Dotcom (lub dot-com) tak nazw okrelono firmy, ktre w latach 90. opary sw dziaalno
rynkow na Internecie. Sowo pochodzi od nazw tych firm, ktrych wikszo zawieraa .com
(dot kropka). Przykadem jest znana ksigarnia internetowa Amazon.com przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
69
70
Pamitniki hakerw
usug, a zaraz potem to samo przydarzyo si popularnej ksigarni wysykowej Amazon.com. Dla zarzdzajcych startujc dopiero firm Buy.com pocieszeniem mg by
fakt, e atak dotkn nie tylko ich. Nie byy to te ostatnie ofiary.
Gdy tego dnia Swallow rozpocz prac, od razu natkn si bezczelnego modocianego hakera uywajcego pseudonimu Mafiaboy. Ale tym razem Swallow wiedzia,
co si zdarzyo w Internecie, i mia nadziej na znalezienie tropu w IRC-u. Mafiaboy
ponownie sobie przypisa ataki, ale ani Swallow, ani aden z hakerw na IRC-u nie
potraktowali tego powanie. To tylko chwalipita Mafiaboy, robicy wok siebie duo szumu, irytujcy innych hakerski szczeniak. Takie jawne lekcewaenie zdenerwowao go i potraktowa je jako wyzwanie.
Spyta uczestnikw czatu, co ma teraz zaatakowa. Zignorowali go i odpowiedzieli,
e na chwalipitomierzu dotar do koca skali, e jest durniem i idiot bez adnych
rzeczywistych umiejtnoci. Kto rzuci mimochodem, e CNN byoby rwnie dobrym obiektem jak witryny E-Trade.
Niech bdzie zgodzi si.
W cigu kilku minut zostao zablokowane dziaanie globalnego systemu przesyania
informacji i 1200 innych miejsc w rozcigajcej si na cay wiat sieci CNN. Nastpnego dnia dwie internetowe firmy handlowe, Datek i E-Trade dotkny sporadyczne
ataki zagraajce stabilnoci rynkw finansowych. Z wolna, w miar skadania w cao okruchw informacji o rdach atakw, stao si jasne, e uyto kilkudziesiciu
komputerw, nad ktrymi kto zdoa przej kontrol. Niezbyt dobrze zabezpieczone
komputery Uniwersytetu Kalifornijskiego w Santa Barbara, Uniwersytetu Alberta
w Kanadzie oraz uczelni w Atlancie i Massachusetts stay si zombi. Ten sam los
spotka 75 komputerw rozsianych po wiecie. Wamywacz zainstalowa w ich systemach zoliwe programy, ktre zamieniy je w autonomiczne jednostki suce do
przeprowadzenia atakw typy denial-of-service.
By to prawdziwy kryzys, przed ktrym od lat przestrzegali eksperci. Wok zapanowa strach, e jest to pocztek czego, co specjalici od spraw bezpieczestwa sieci
nazwali elektronicznym Pearl Harbour, czyli niespodziewanego ataku majcego na
celu okaleczenie caej internetowej struktury Stanw Zjednoczonych. Internet stan
na skraju zaamania. Media rzuciy si na spraw, jakby to by prawdziwy koniec
wiata. Gdyby ataki miay by kontynuowane, gospodarka wiatowa moga rzeczywicie wpa w spiral mierci. Ale, czy miay by kontynuowane? Ile systemw zostao zaraonych, ile zamienionych w zombi, w ilu umieszczono bomby z opnionym zaponem, czekajce na zdalne zdetonowanie? To byy najwaniejsze pytania, na
ktre naleao odpowiedzie jak najszybciej. Stawk byo zaamanie si wiary spoeczestwa w przyszo internetowej ekonomii.
FBI musiao znale hakera o pseudonimie Mafiaboy. I musiao to zrobi szybko.
^()<[]>()^
Gdy zadzwoni telefon, Knesek siedziaa w pokoju hotelowym w wiejskiej czci stanu Alabama, gdzie prowadzia dochodzenie w prawie innego hakera wykrytego podczas oglnej obawy na podziemie. To by Neal.
19
20
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
71
72
Pamitniki hakerw
23
24
25
26
28
29
30
Laughing out loud lub lots of laughs slang internetowy, tutaj mniej wicej tyle co ha ha ha
lub miechu warte przyp. tum.
MSNBC portal informacyjny, korzystajcy z informacji kanau NBC, joint-venture MS i NBC
przyp. tum.
Hard disk dysk twardy przyp. tum.
Aby nie podpa pod ustaw o ochronie jzyka polskiego, zostawiam w wersji oryginalnej i pozostawiam
domylnoci czytelnikw przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
73
74
Pamitniki hakerw
ANON: nie
T3: to co planujesz
ANON: Microsoft
ANON: Microsoft bdzie lea na kilka tygodni
T3: HAHAHAHAHAHAHAHAHAHA
T3: czowieku, to le
ANOAN: MOE, myl o czym wikszym. moe www.nasa.gov lub
www.whitehouse.gov, a moe to blef
T3: zwiewam zanim mnie przymkn jako wsplnika lub wdepn w gorsze g...
ANON: t3, trzepnij router
ANON: ca list routerw
ANON: wiem, co robi
ANON: Yahoo!.com
T3: haha
T3: ten mafiaboy co trzasn to wszystko co w wiadomociach,
to rzeczywicie ty? buy.com, etrade, eBay, cay ten cham?
ANON: pingnij je porzdnie. nawet nie przekieruj
ANON: t3 moe. kto wie. mgbym odpowiedzie tylko pod ssh2
[bezpieczne, szyfrowane poczenie]
T3: haha
ANON: mgbym wycign hd, trzepn motkiem i wrzuci do jeziora
T3: mwi, e kosztujesz ich miliony
ANON: dziwisz si, e jeszcze mnie nie capnli, t3, to durnie
Pomimo tego, e jeden z rozmwcw si przyzna, agenci FBI i inni dowiadczeni
czonkowie hakerskiej spoecznoci nie mogli uwierzy, e chopak, ktry przyj
pseudonim Mafiaboy, by w stanie przeprowadzi ataki tak skomplikowane, dokadnie przemylane i tak rozlege. Przecie by tylko nastolatkiem i czeladnikiem
w hakerskim rzemiole. Ponadto eksperci ze suby bezpieczestwa prywatnego
sektora gospodarki poinformowali FBI, e atak na Yahoo! z 7 lutego rni si
znacznie od atakw, ktre miay miejsce w tydzie pniej, co wskazywaoby na
udzia grupy hakerw.
Patrzc wstecz, FBI i reszta hakerskiej spoecznoci zrozumieli, e przegapiono
pierwsze poszlaki. Mafiaboy, ktrego ju znali, rzeczywicie by osob odpowiedzialn za ataki. Nie mona udowodni, e Swallow i jego agenci, uwierzywszy od
razu w przechwaki o pierwszym ataku, byliby w stanie zapobiec nastpnym, ale trzeba przyzna, e pierwsze sygnay nie dotary do ich wiadomoci; dzwonki alarmowe
nie zadzwoniy na czas. Zaoono, e arogancki Mafiaboy nie nadaje si do czego
takiego. Przechwala si, e nigdy go nie zapi. Waniejsze byo to, e jego zapowied wrzucenia komputera do ognia nie bya czcz grob. Mg w kocu wrzuci
dyski twarde do jeziora i nikt by ich nie znalaz.
Przez nastpne dwa dni Neal i jego grupa ekspertw przeczesywali Internet, poszukujc wskazwek pozwalajcych na ustalenie prawdziwej tosamoci Mafiaboya. 14
lutego znaleli stron:
Wrd znalezionych narzdzi, przeznaczonych do wykonania ataku typu denial-ofservice, by Staheldracht, niemiecka wersja Barbed Wire, wariantu Tribal Flood Network (TFN), ktry wysyajc mas zapyta, paraliowa atakowany system. Jak wikszo nastoletnich hakerw, Mafiaboy nie stworzy samodzielnie narzdzi uytych do
ataku. Przypuszcza si, e ich autorem by bardziej dowiadczony niemiecki haker, znany jako Randomizer. Twrc oryginalnego hakerskiego oprogramowania TFN by inny
20-letni haker niemiecki nazywany Mixterem. FBI natychmiast wysao agentw do odszukania i sprawdzenia Mixtera. Po krtkiej rozmowie Mixter zosta wykrelony z listy
podejrzanych. Pniej potpi ataki jako dziaania kryminalne i szkodliwe.
^()<[]>()^
14 lutego Waszyngton telefonicznie zawiadomi, e FBI potrzebuje pomocy Krlewskiej Konnej Policji Kanadyjskiej, aby schwyta hakera o pseudonimie Mafiaboy,
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
75
76
Pamitniki hakerw
31
Royal Canadian Mounted Police Krlewska Konna Policja Kanadyjska przyp. tum.
Kilka miesicy wczeniej Gosselin nie zamkn go jedynie z powodu braku dowodw; by moe zdobyby je, gdyby w grudniu zaoy podsuch telefoniczny tej linii.
Trudno przewidzie, co mogoby si zdarzy, gdyby Gosselin nie by przydzielony do
biura RCMP w Montrealu w czasie, gdy nastpia seria atakw typu DDoS. Inny
ledczy mgby nie skojarzy szczegw. Tak wana informacja mogaby zosta
przeoczona w krytycznym momencie.
W Waszyngtonie prezydent Bill Clinton wezwa na piln konferencj w Biaym Domu
dziesitki dowiadczonych specjalistw odpowiedzialnych za sprawy bezpieczestwa
w przemyle prywatnym i instytucjach narodowych. Ostatnia fala atakw typu denialof-service skierowanych przeciw najwikszym firmom internetowym stanowi grob
dla caego amerykaskiego stylu ycia. Nie jest to Pearl Harbour, bo tam stracilimy
ca nasz Flot Pacyfiku. Obecne straty nie s tak wielkie. S cen, jak pacimy za
sukces Internetu powiedzia do zebranych w gabinecie na pierwszym pitrze.
Rozpocz spotkanie od dania, aby kilku ekspertw wyjanio mu, w jaki sposb
doszo do atakw oraz jak mogo doj do tak wielkiego zamieszania i tak wielkich
strat w Internecie. Z wyjanieniami pierwszy wystpi Rich Pethia, ekspert z Computer Emergency Response Team32 w Mellon University. Po nim wystpili Tom Noonan, szef Internet Security Systems33, Inc. i Vint Cerf, gwny wiceprezes MCI
Worldcom. Wszyscy stwierdzili istnienie wielu bdw i niedocigni systemw,
ktre w taki czy inny sposb przyczyniy si do powodzenia atakw. Ale najbardziej
intrygujce wyjanienie poda Witt Diffie z Sun Microsystems. Siedzc naprzeciw
prezydenta przy wielkim, wypolerowanym stole, zwykle uywanym do rozmw nad
sprawami najwyszej wagi, Diffie powiedzia: To tak, jakby prezydent przegra wybory nie dlatego, e ludzie na niego nie gosowali, lecz dlatego, e kto ukrad gosy
i odda je przeciwnikowi. Bya to analogia, ktr Clinton by w stanie zrozumie, ale
jak pniej twierdzio wielu ekspertw, prezydent nie potrzebowa takich wyjanie,
by poj znaczenie atakw. Nie byy one elektronicznym Pearl Harbour, ale miay
wiksze znaczenie, ni wielu ludzi chciao przyzna.
Prezydent i inni uczestnicy spotkania mieli istotne problemy, by zrozumie wyjanienia
Peitera Mudge Zatko, byego czonka hakerskiej grupy L0pht Heavy Industries,
a obecnie konsultanta od spraw bezpieczestwa. Wielu uznao jego wystpienie za skrajny
przejaw ironii. Grupa L0pht bya odpowiedzialna za stworzenie L0phtCrack, jednego
z potniejszych internetowych narzdzi przeznaczonych do amania hase. Byy czonek grupy hakerskiej, ktr oficjalni przedstawiciele rzdu uznali za gron, siedzia teraz w Biaym Domu, doradzajc prezydentowi, w jaki sposb naley chroni systemy
rzdowe. Siedzc midzy Sandym Bergerem, Doradc do Spraw Bezpieczestwa Narodowego i Janet Reno, Prokuratorem Generalnym swoimi dugimi wosami i sposobem bycia cyberpunka zakca harmoni sztywnych garniturw i starannie uoonych
fryzur zebranych wok oficjeli. Ku zaskoczeniu i zgorszeniu wielu, argumentowa, aby
odstpi od uznania za przestpstwo tworzenia ofensywnych narzdzi hakerskich. Wedug niego, penalizacja takich dziaa spowoduje odcicie zajmujcych si sprawami
bezpieczestwa od moliwoci efektywnego tworzenia narzdzi obronnych.
32
33
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
77
78
Pamitniki hakerw
Argumenty Mudgea zostay puszczone mimo uszu, co nie byo zaskoczeniem, gdy
dostojnicy ze sfery rzdu i zarzdw udaj, e wiedz, czym jest hakerstwo, gdy tymczasem naprawd nic do nich nie dociera. Nie rozumiej, e dbanie o bezpieczestwo
nie jest spraw hakerw. Jeszcze trudniej im poj, e hakerzy nie s kryminalistami
i ich dziaania nie maj znamion przestpstwa. Oczywicie, wielu z dawnych kolegw
Mudgea z podziemia znacznie si przyczynio do takiego postrzegania ich rodowiska. Teraz hakerzy sami do siebie mog mie pretensj za to, co o nich wypisuj.
Cho doradcy prezydenta nie przedstawili jednolitej opinii na temat hakerstwa i spraw
bezpieczestwa, Clinton zrozumia istot sprawy i fakt, jak powane konsekwencje
dla gospodarki moe mie powtrzenie lutowych atakw. Jego postawa kontrastowaa
z niefrasobliwym podejciem do sprawy kilku szefw do spraw bezpieczestwa
przemysu, ktrzy przysali na konferencj swoich modszych rang przedstawicieli,
niemajcych upowanienia do podejmowania decyzji okrelajcych polityk bezpieczestwa firm. Cho Clinton zaprosi osoby stojce na czele zarzdw firm, wiele
z nich wolao pozosta na boku, starajc si unikn konfrontacji z prezydentem,
gdy obawiali si jego pyta dotyczcych polityki bezpieczestwa w nowej dziedzinie, jak by Internet. By to sygna, e sektor prywatny nie zrozumia groby, jak
stanowiy ataki przeprowadzone w lutym. Koszty wynikajce z utraty zyskw i wypaconych odszkodowa eksperci wycenili pniej na 1,7 mld dolarw.
W tym czasie zbierano dowody obciajce win chuderlawego, buntowniczego
i zoliwego 14-latka z okolic Montrealu. Wyobracie to sobie. Patrzc wstecz, nie
naley si dziwi, e 14-latek by w stanie przeprowadzi atak, ktry rozoy na
opatki najwiksze firmy internetowe. Technika atakowania strumieniem pakietw
jest szeroko znana w spoecznoci hakerskiej, a narzdzia do przeprowadzenia tego
rodzaju ataku s dostpne w wielu miejscach Internetu. Niegdy haker musia wamywa si do kadej maszyny z osobna i uruchamia indywidualne wersje narzdzi
do ataku denial-of-service. Teraz, za pomoc automatycznie dziaajcych skryptw, nawet niezbyt utalentowany nastolatek moe przeprowadzi szeroko zakrojone
przeczesanie sieci w celu znalezienia le zabezpieczonych komputerw, zainstalowa w nich oprogramowanie do ataku DDoS, po czym nakaza im wykonanie zmasowanego ataku na wybrany serwer.
Gdy dochodzi do ataku typu DDoS, przepustowo cza jest spraw rwnie istotn jak
liczba komputerw uytych do ataku. Bardzo szybkie cza 25 uniwersytetw, wykorzystane przez Mafiaboya do przeprowadzenia atakw, wietnie si nadaway do tego
celu. Systemy uniwersyteckie ze wzgldu na stosunkowo sabe zabezpieczenia byy poligonem dowiadczalnym dla rnej maci zoliwych hakerw. Ostatecznie ofiar atakw DDoS paday liczne w sieci serwery sterowane systemami majcymi znane luki,
wrd nich serwery rzdu i wielkich korporacji. Gdyby komputery, ktrych Mafiaboy
uy do swoich atakw, byy odpowiednio zabezpieczone przez administratorw, nigdy
by nie doszo do tak bezkarnego, tygodniowego hulania po Internecie.
A bya caa seria ostrzee. Pod koniec 1999 roku NIPC34 przy FBI zaczo otrzymywa raporty o istnieniu narzdzi umoliwiajcych przeprowadzenie w Internecie zmasowanych atakw DDoS. Byy to te same narzdzia, ktre pniej Mafiaboy cign
34
National Infrastructure Protection Center narodowe centrum ochrony infrastruktury przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
79
80
Pamitniki hakerw
Tak czy inaczej, w tej chwili sprawa bezapelacyjnie podlegaa jurysdykcji kanadyjskiej. RCMP bya gwn jednostk odpowiedzialn za pierwsz w historii systemu
prawnego Kanady operacj przechwycenia danych tego rodzaju.
Knesek bya pod wraeniem informacji zdobytych na temat Mafiaboya do czasu jej
przybycia do Kanady. Bya rwnie zaskoczona, e dopiero teraz spotyka Gosselina.
Cho to nazwisko zrazu nic jej nie powiedziao, wkrtce dwaj agenci, z ktrymi si zetkna, uwiadomili jej, e oboje brali udzia w organizowanych przez oddzia FBI
w Baltimore kursach specjalistycznych dotyczcych ledzenia hakerw i przestpstw
komputerowych. W cigu kilku nastpnych tygodni Knesek i Gosselin stworzyli bardzo dobry raport, ktry okaza si niezwykle istotny dla dalszego przebiegu ledztwa.
Po czterech dniach od zainstalowania rejestratorw numerw prowadzcy ledztwo odkryli w TOTALNET-cie jeszcze jedno konto zarejestrowane na Mafiaboya. Tym razem
konto naleao do przedsibiorstwa transportowego, ktrego wacicielem i zarzdzajcym by jego ojciec. Stao si jasne, e pomimo skasowania przed dwoma laty jego poprzednich kont Mafiaboy mia obecnie wiele moliwoci czenia si z Internetem
i podszywania si pod kogo innego. Byy to konta, do ktrych si wamywa i ktre
oficjalnie naleay do rodziny. Cho ledztwo skupio si na ledzeniu jednego budynku, gwne zadanie pozostawao jeszcze niewykonane. Naleao stwierdzi, kto siedzia
przy komputerze i dokonywa atakw. Ponownie Gosselin i FBI stanli przed pytaniem,
co robi, gdy zbyt wczesne wkroczenie do akcji mogo zaprzepaci dotychczasowe
wysiki. Wwczas Mafiaboy, kimkolwiek by, mgby umkn bezkarnie.
W przypadku domu zamieszkanego przez pi osb, w tym trzech nastolatkw, w jeden tylko sposb mona byo zidentyfikowa Mafiaboya i sprawdzi, czy mia
wsplnikw. 25 lutego FBI i RCMP otrzymay sdowe zezwolenie na peny podsuch
wszystkich rozmw prowadzonych z domu przez podejrzanego i jego najblisz rodzin. Peny podsuch oznacza due iloci informacji, przede wszystkim z rozmw
telefonicznych i pocze internetowych. Mieli 60 dni na zebranie dowodw wystarczajcych, by zwrci si o ponowne wydanie nakazu sdowego.
Ale na tym etapie ledztwa zdarzyo si jeszcze co, co stao si przyczyn pniejszych pyta, jak waciwie doszo do schwytania Mafiaboya. Cho szczegy s nadal
pilnie strzeon tajemnic, FBI i RCMP przyznaj, e w ostatecznej identyfikacji pomg informator, dziki ktremu agenci wiedzieli, kiedy haker by w sieci. Pozostaje
pytanie, kto by rdem informacji i w jaki sposb potrafi stwierdzi, e to Mafiaboy
jest na linii. W tej sprawie FBI i RCMP zgodnie milcz. Agenci policji kanadyjskiej
ujawnili jedynie, e w tym okresie ledztwa udao im si ustali, i jeden z braci hakera uywa wczeniej pseudonimu Mafiaboy. Zgodnie z opini sieranta sztabowego
RCMP Roberta Currie, szefa Computer Investigative Support Unit35, fakt ten okaza
si pomocny dla dalszego przebiegu ledztwa. Czy informatorem by jeden z przyjaci, niegdy rwnie zamieszany w dziaania hakerskie, czy te kto z domownikw?
By moe tego nie dowiemy si nigdy i Mafiaboy te si tego nie dowie. Tak czy inaczej, FBI i RCMP dysponoway ju wieloma informacjami o osobie, przeciw ktrej
toczyo si ledztwo majce przygotowa materiay dowodowe dla sdu, a ktra
mieszkaa w tym eleganckim domu z zaoonym podsuchem.
35
Podsuch rozpocz si 27 lutego. TOTALNET przygotowa zestaw adresw IP przeznaczonych jedynie do uytku przez konta, z ktrych, jak podejrzewano, korzysta
Mafiaboy. Dziki temu prowadzcy ledztwo mogli si skupi tylko na jego poczynaniach. Serwery do przechwytywania danych zostay zainstalowane rwnie u dostawcy usug internetowych. Informacje zaczy napywa natychmiast. Kadego dnia
przechwycone dane byy rekonstruowane za pomoc specjalnego oprogramowania
przygotowanego przez FBI. Zadanie zbierania danych, zarzdzania i sterowania nimi
spado na sieranta Currie.
Jako szef Computer Investigative Support Unit, Currie aktywnie monitorowa wszystkie
poczenia internetowe wychodzce z domu Mafiaboya i przesiewa uzyskane informacje, starajc si znale dane, ktre pozwoliyby na sformuowanie aktu oskarenia.
Wkrtce zauway, e samo przechwytywanie danych jest najatwiejsz czci zadania. Trudniejsze byo podzielenie ich na rne typy dziaania, np. surfowanie po stronach WWW, granie w dostpne w sieci gry komputerowe, wysyanie i odbieranie
e-maili dziki czemu mona byo ustali, z kim Mafiaboy kontaktowa si.
Zdarzay si dni bardzo aktywne i inne, nieco senne. Jeli by aktywny, sesje trway
do trzeciej lub czwartej nad ranem, kiedy to wreszcie szed spa. Zanim podsuch po
43 dniach zakoczy si, Currie zdoa zebra 7,6 gigabajta surowych danych.
W wikszoci przypadkw Mafiaboy zajmowa si w sieci przegldaniem stron
WWW, grami komputerowymi i prowadzeniem buczucznych sesji na czacie IRC-a.
Ale radzi sobie wietnie, dobrze wykorzystujc swj dwusystemowy (dual boot)
komputer sterowany zamiennie przez Windows NT lub Unix. cign z Internetu
Back Oriface Scanner, konia trojaskiego36 (tylne drzwi) napisanego przez niesawnej
pamici grup hakersk Cult of Dead Cow37 (cDc). Niedowiadczony nastoletni haker
pracowa take nad zrozumieniem programu Netcat, podsuchiwacza portw sterowanego wierszem polece. Jego zmagania z Netcatem wiadczyy, e nie by biegym
hakerem, gdy ten program powinien ju mie opanowany w pocztkach kariery. Mafiaboy dopiero si uczy, ale by zdolnym uczniem.
Agenci obserwujcy jego dziaania w czasie rzeczywistym widzieli, jak podczas sesji
telnetowej, podczas ktrej stara si wama do komputera, pewne polecenia wpisywa
kilkakrotnie w rnych formach, zanim trafi na poprawn. Ponadto wydawao si, e
zawsze korzysta z kont, do ktrych login i haso otrzyma od innych hakerw. Jeden
z nich przesa mu plik zawierajcy dane o 20 rnych systemach uniwersyteckich.
Poza rozpaczliwymi prbami rozwikania zawioci Netcata i wprawianiem si
w uywaniu rnych polece hakerskich Mafiaboy zakada nielegalne miejsca sieciowe FTP (File Transfer Protocol38) na serwerach, do ktrych wczeniej uzyska dostp podczas przygotowywania lutowych DDoS-owych atakw. Miejsc tych uywa
do handlowania nagraniami Sony Playstation i japoskimi animacjami wideo Dra36
37
38
Ko trojaski program, ktry pozornie wykonuje istotne funkcje, ale w tle prowadzi dziaania
niszczce. W odrnieniu od wirusw, konie trojaskie nie rozmnaaj si przyp. tum.
Kult zdechej krowy przyp. tum.
Protok transmisji plikw internetowy standard przesyania plikw. Do przesyania plikw suy
program nazywany klientem FTP przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
81
82
Pamitniki hakerw
gonBallZ. cign uniksowe skanery, eby ama konta internetowe. Czsto grzeba
w systemach 25 uniwersytetw rozsianych w USA i w Kanadzie, do ktrych udao
mu si zdoby dostp.
Ponadto by rodzajem internetowego obuza rozrabiajcego z band podobnych mu
modocianych hakerw. Mia w sieci wielu przyjaci tego rodzaju. IRC sta si centrum jego internetowej egzystencji. Czsto przesiadywa na kanaach czatowych :
#exceed, #shells i #carding oraz nalea do grupy hakerskiej TNT, czego dowodem
bya sesja powitalna w oddzielnym pokoju, ktra jednak nie bya kontynuowana.
Ostatecznie porzuci TNT, uwaajc, e dziki zdobytemu tam dowiadczeniu jest
w stanie zaoy wasn grup hakersk, ktra rozprawi si ze wszystkimi witrynami
internetowymi. Sprawiaa mu przyjemno zdobyta sawa hakerska, ale problemem,
przed ktrym stan, by fakt, e jego umiejtnoci nie dorwnyway jakoci oprogramowania, ktrego uywa.
^()<[]>()^
W marcu jego ojciec zaoy DSL (digital subscriber line) w Sympatico-Lycos, Inc.
U tego wielkiego (jednego z najwikszych w Kanadzie) dostawcy usug internetowych i gospodarza stron WWW 16 marca zacz dziaa podsuch na linii DSL.
Przejmowano tyle danych, e Currie zaoy we wasnym domu mae laboratorium,
dziki czemu rwnie stamtd mg sterowa podsuchem, za bdc w biurze
RCMP, mg przez cyfrow kamer wideo pilnowa swoich dzieci. Pewnej nocy po
przyjciu, ktre wraz z on wyda dla kolegw z FBI, wraz z jednym z agentw zdecydowa si zej do przyziemia, by spojrze na ostatnie wyniki ledztwa.
Zobaczy wwczas istny potop informacji wchodzcych do domu Mafiaboya i ze
wychodzcych. Od razu skojarzy, e to kolejny atak denial-of-service. Byo to co,
na co agenci dugo czekali. Ustalanie, w jaki sposb prowadzi dochodzenie, i jednoczenie zabezpiecza innych przed atakami, byo wielkim wyzwaniem.
Currie wyszarpn z biecego strumienia danych kilka pakietw i rozpocz ich analiz. Z surowych danych zawartych w pakietach mona si wiele dowiedzie, pod warunkiem, e wie si, czego szuka. atwiej stwierdzi, czy to pakiety HTML, czy inne z sieci
Web, nieco trudniej odrni dane z e-maili. Po dziesiciu minutach napicie Curriego
osigno szczyt. Nagle zauway pakiety zawierajce komunikaty: Im going to kill
ya39, Death God40 i inne podobne. Nie by to nastpny atak denial-of-service na
kolejn witryn handlu internetowego, lecz komputerowa gra strategiczna Starcraft,
w ktrej w czasie rzeczywistym walcz ze sob w wojnie galaktycznej trzy rasy.
Currie zauway wwczas, e Mafiaboy czasem robi dowiadczenia z narzdziami,
ktre posuyy mu do atakw w lutym. Gdy ju si zdawao, e zrezygnowa
z dziaa hakerskich i wzi za nauk, 21 marca przeprowadzi ograniczony atak na
samego siebie za pomoc pakietw ICMP. Ach, te szczeniaki. Wydaje si, e nigdy
si niczego nie naucz.
39
40
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
83
84
Pamitniki hakerw
Tematem rozmw by take Mafiaboy i stao si to kluczowym dowodem wskazujcym na win modszego. Poza jego opowiadaniami, gdzie i do czego si wama, podsuchano take rozmow, w ktrej starszy chwali si kolegom hakerskimi wyczynami
modszego. Pewnego razu opowiada, jak to o jego modszym bracie mwili i pisali
we wszystkich wiadomociach. Bya to wyrana aluzja do lutowych atakw denialof-service.
John Calce, ojciec Mafiaboya, rwnie uwaa hakerskie osignicia syna za godne podziwu, ale jako biznesmen nie by zadowolony z uwagi, jak na siebie ciga, spodziewajc si kopotw. 45-letni szef firmy transportowej mia na gowie inne problemy i na
pewno nie byo mu potrzebne dodatkowe zainteresowanie przedstawicieli prawa.
Rozwaa wynajcie kogo do napadu na wsplnika. Spr dotyczy transakcji wartej
1,5 mln dolarw. Zosta pocignity do odpowiedzialnoci za co, co wedug Gosselina i Knesek, mona byo uzna za spisek w celu dokonania morderstwa.
Przez 43 dni Gosselin walczy z pokus, by wtargn do domu i skonfiskowa komputery modocianego hakera dy do wykorzystanie penych 60 dni podsuchu, na
ktre otrzyma zgod sdu. Ale teraz RCMP miaa dowody, e jego ojciec planuje
spisek, ktrego ofiar moe pa czowiek. Dziaanie ju zaplanowano. Tego dnia
wieczorem podsuchano dwch mczyzn dochodzcych do porozumienia przez telefon. Prowadzcy ledztwo musieli dziaa. Jak wspomina Gosselin Nie chcielimy,
aby ktokolwiek zosta zabity.
Policja wtargna do domu 15 lipca o trzeciej nad ranem. Jednake znaleli jedynie
zaskoczonego i zmieszanego ojca, macoch Mafiaboya i jego dwch braci. Jego samego nigdzie nie byo wida. Po zabraniu ojca do aresztu dowiedzieli si, e tego
dnia Mafiaboy by u przyjaciela. Gdy agenci RCMP pojawili si przed jego domem,
Mafiaboy sta na zewntrz, przy krawniku w peni ubrany i wypoczty. Wyglda, jakby czeka na autobus lub takswk. Na jego twarzy byo dokadnie to, czego
mona byo oczekiwa: nadszed jego czas i wiedzia o tym.
Knesek nie bya obecna podczas akcji zajmowania domu, ale pozostay jej w pamici
podsuchane rozmowy i obraz patologicznej rodziny. Wszyscy bracia zamykali swe
pokoje na kdki. Mafiaboy wiele widzia, z wieloma rzeczami mia do czynienia
i wiele rzeczy sobie przyswoi wspomina Knesek. Ani on, ani jego ojciec nie
uwaali, e to, co robi, jest nielegalne i szkodliwe. Takie po prostu byo ycie tej rodziny. Mafiaboy zdoby nieco respektu innych hakerw, ale trwao to jedynie do
chwili, gdy zaczli si oni obawia kontaktw z nim.
^()<[]>()^
Osadzenie Mafiaboya oznaczao zamknicie ledztwa prowadzonego przez piciu
agentw RCMP przez 60 do 80 godzin tygodniowo, co kosztowao 60 tys. dolarw
amerykaskich. Mounties41 mieli wreszcie swego chopca. Ale gdy przystpiono do
badania dyskw twardych z zarekwirowanych komputerw, nie znaleziono adnego
41
Konni, popularna nazwa policjantw i agentw RCMP (Royal Canadian Mounted Police
Krlewskiej Konnej Policji Kanadyjskiej) przyp. tum.
Zapora (ciana) ogniowa specjalnie oprogramowany komputer lub system odgraniczajcy sie
wewntrzn od Internetu. Jego zadaniem jest ochrona sieci wewntrznej przyp. tum.
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
85
86
Pamitniki hakerw
C:\Andrzej\PDF\Pamitniki hakerw\R03-05.doc
(02-11-06)
87