Яйцо кукушки. История разоблачения легендарного хакера - Клиффорд Столл

щедрой, веселой, всегда старалась поделиться с нами своей жизнью, музыкой, кухонной утварью. Она была профессиональной скрипачкой и зарабатывала на жизнь, играя в двух симфонических оркестрах, в камерном трио, да еще и давая уроки детям. Клавдия редко молчала. В коротенькие перерывы между работами она одновременно готовила, болтала по телефону и играла с собакой. Первое время я слушал ее, но затем задумался о злобном хакере. Пока я тут прохлаждаюсь, что он там замышляет?

Клавдия знала, как выкинуть хакера у меня из головы: она принесла видеокассету. Фильм назывался «План 9 из открытого космоса» — пришельцы, прилетевшие на тарелке из тонкой фольги, вытаскивали из могил вампиров.

Среда, 17 сентября. В Беркли шел дождь. Поскольку во всей Калифорнии только у нашей четы не было машины, то мы с Мартой вынуждены были под дождем крутить педали наших велосипедов. По пути я заглянул в коммутаторную посмотреть, не появлялся ли хакер. С моих намокших волос на распечатку капала вода и размывала текст. Ночью к компьютеру кто-то подключался и методично пытался войти в ЮНИКС-4. Сначала с атрибутами гостя, используя пароль «Guest» (гость), затем с атрибутами посетителя, вводя пароль «Visitor» (посетитель); далее пробовались Root (корень), System (система), Manager (менеджер) и Sysop (оператор системы). Через две минуты нападение прекратилось.

Может, это другой хакер? Парень даже не попытался использовать правомочные атрибуты Свентека или Столла. Он просто перебрал очевидные учетные имена и простые пароли. Как часто подобные попытки могут принести успех? Не часто — используя шестибуквенные пароли, хакер имел больше шансов выиграть в эту лотерею и случайно отгадать один из паролей. Поскольку после нескольких неудачных попыток компьютер отключается, то хакеру пришлось бы за всю ночь перепробовать несколько сотен паролей. Нет, чудом хакеру в нашу систему не войти. Он должен знать по крайней мере один пароль.

К 12–29 моя одежда в основном просохла, хотя кроссовки все еще хлюпали. Я грыз черствую булочку и гранит астрономической науки одновременно. Вдруг мой терминал запищал. Тревога в коммутаторной. Быстро (хотя и скрипуче) я затрусил по коридору и успел увидеть, как хакер подключается к нашей системе под именем Свентек.

Еще один выброс адреналина: я позвонил в Тимнет и почти сразу нашел Рона Вивьера. Рон начал слежку, а я прилип к Декрайтеру. Хакер не терял времени даром. Он ввел команду представить список всех активных пользователей и всех запущенных фоновых заданий. Затем он навалился на Кермит.

Получивший свое имя от героя известного кукольного сериала Маппет-шоу Кермит представлял собой универсальный язык связи между компьютерами. В 1980 году Франку да Крузу из Колумбийского Университета потребовалось переслать данные в несколько различных компьютеров. Он создал единый стандарт обмена файлами между любыми системами. Кермит стал эсперанто компьютеров.

Рассеянно жуя все ту же булочку, я наблюдал как хакер использует Кермит для передачи в наш ЮНИКС коротенькой программки. Верный Кермит реассемблировал ее строчка за строчкой и вскоре я смог прочесть ее всю:

echo — п «ДОБРО ПОЖАЛОВАТЬ В КОМПЬЮТЕР ЮНИКС-4 ЛОУРЕНСОВСКОЙ ЛАБОРАТОРИИ В БЕРКЛИ»

echo — п «ЗАРЕГИСТРИРУЙТЕСЬ, ПОЖАЛУЙСТА»

echo — n «УЧЕТНОЕ ИМЯ:»

read account_name

echo — п «ВВЕДИТЕ ПАРОЛЬ:»

(stty — echo; read password; stty echo;

echo’»’;

echo {account name $password»/tmp/.pub)

echo “ИЗВИНИТЕ, ПОПЫТАЙТЕСЬ ЕЩЕ РАЗ”.

Черт возьми! Какая странная программа! Сразу же после запуска она выдает пользователю приглашение ввести имя и пароль. Обычный пользователь увидит на экране:

ДОБРО ПОЖАЛОВАТЬ В КОМПЬЮТЕР ЮНИКС-4 ЛОУРЕНСОВСКОЙ ЛАБОРАТОРИИ В БЕРКЛИ

ЗАРЕГИСТРИРУЙТЕСЬ, ПОЖАЛУЙСТА

Учетное имя:

Затем его терминал перейдет в режим ожидания и будет в нем находиться до тех пор, пока не будет введено учетное имя. После набора имени система отреагирует следующим образом:

ВВЕДИТЕ ПАРОЛЬ:

Пользователь введет пароль. Программа его срисует, выдаст сообщение:

ИЗВИНИТЕ, ПОПРОБУЙТЕ ЕЩЕ РАЗ

и закончит работу.

Большая часть пользователей попытается зарегистрироваться еще раз. Но их пароли уже будут украдены.

Четыре тысячи лет назад Троя пала, когда греческие воины проникли в город, спрятавшись внутри деревянного коня. И этот милый подарочек крадет ключи к системе защиты. Отточенный веками прием срабатывает против любого, кроме параноиков.

Троянский конь хакера крал пароли. Была ли эта программа троянским конем? Может быть, следовало назвать ее дроздом-пересмешником: фальшивая, она имитировала настоящую. У меня не было времени копаться в таких тонкостях — через минуту он поместит программу в системную область и запустит. Что делать? Если я включу блокировку, то обнаружу себя. А если ничего не буду делать, то при каждом входе пользователя в систему в копилку будет «падать» новый пароль.

Но у законного суперпользователя тоже есть власть. До запуска я успел изменить одну строчку в программе хакера. Правка выглядела как простая ошибка. Затем, чтобы замедлить систему, я подменил пару параметров. Замедление было нужно, чтобы хакер исправлял программу не менее десяти минут. Этого достаточно, чтобы успеть принять меры. Я крикнул Дэйву: «Чем накормить троянскую лошадь?» Дэйв примчался мгновенно. Мы переключили компьютер на максимальное быстродействие и приготовили жвачку из фальшивых учетных имен и ложных паролей. Суетиться было, в общем-то, не нужно. Хакер починил своего троянского коня, но инсталлировал его с ошибками. Дэйв мгновенно понял, что программу поместили не в тот каталог. Троянский конь хорошо бы закусил в ЮНИКС-АТ&Т, но не мог пастись на полях ЮНИКСа-Беркли. Дэйв усмехнулся.

— Не хочу повторяться, но тот, за кем мы следим, никогда не был в Калифорнии. Любой ас ЮНИКСа Западного побережья использует команды диалекта Беркли, а твой хакер все еще употребляет команды ЮНИКС-АТ&Т. Его способ употребления команд отличается от общепринятого в системе ЮНИКС-Беркли. Его программа грешит тем же. Это очевидно. Читая книгу, всегда можно понять, что писатель англичанин, а не американец. Конечно, слова «цвет» и «оборона» и в Африке — «цвет» и «оборона», но остается еще различие в стиле.

— В чем же конкретно это проявляется? — спросил я.

Дэйв презрительно посмотрел на меня.

— Хакер использовал команду «read», чтобы считать данные, введенные с клавиатуры. Любой цивилизованный программист использовал бы команды «set».

Мерилом цивилизованности программиста для Дэйва являлось использование ЮНИКС-Беркли. Прочие — дикари. Хакер об этом не знал. Уверенный, что нашел нужное пастбище для своего троянского коня, он запустил свою программу в качестве фонового процесса и отключился. Перед этим Рон Вивьер проследил его по тимнетовской сети и вышел на телефонную линию Окленда, штат Калифорния. Наш ордер еще не написан, поэтому мы не смогли начать выслеживать его телефон.

Хакера уже нет, но троянский конь остался. Как и предполагал Дэйв, он не смог «срисовывать» пароли, поскольку располагался