MostFearD и Zyklon сделали большую часть работы. Они переслали мне файл с паролями для взлома. Я добыл один пароль — простое слово из словаря. Это было главное».
neOh предоставил нам часть этого сайта с паролями, который его коллеги извлекли и переслали ему, в этой части приведены пароли некоторых известных пользователей из персонала Белого Дома7 .
neOh никогда не говорил, что текст был в онлайн-доступе.
root:x:0:l:Super-User:/:/sbin/sh
daemon:x:l:l::/:
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
uucp:x:5:5:uucp Admin:/usr/lib/uucp:
nuucp:x:9:9:uucp
Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico
listen:x:37:4: Network Admin:/usr/net/nls:
nobody:x:60001:60001 :Nobody:/:
noaccess:x:60002:60002:No Access User:/:
nobody4:x:65534:65534:SunOS 4.x Nobody:/:
bing:x: 1001:10:Bing F e r a r e n : / u s r / u s e r s / b i n g : / b i n / s h
orion:x: 1002:10:Christopher
Adams:/usr/users/orion:/usr/ace/sdshell
webadm:x:1130:101:Web
Administrator:/usr/users/webadm:/bin/sh
cadams:x:1003:10:Christopher
Adams:/usr/users/cadams:/usr/ace/sdsbell
barthom:x:1004:101:Mark
Подтвердить это трудно. Поскольку атака произошла во время правления президента Клинтона, никто из перечисленных людей уже не работал в Белом Доме. Удалось отыскать лишь несколько свидетельств. Монти Хьямч делал видеозаписи, Кристофер Аламс — имя журналиста из Financial Times, английской газеты — как нам удалось выяснить, в Белом Доме не было сотрудника с таким именем. Дебра Рейд — это фотограф из Associated Press. В Белом Доме не было сотрудника по имени Кони Колабисто; ж е н щ и н а с таким именем была женой Женэ Колабисто. президента компании по решениям для создания изображений, но совершенно непонятна их связь с Белым Домом.
Bartholomew:/usr/users/barthom:/usr/ace/sdshell
monty:x:1139:101:Monty
Haymes:/usr/users/monty:/bin/sh
debra:x:1148:101:debra
Reid:/usr/users/debra:/bin/sh
connie:x:1149:101:Connie
Colabastistto:/usr/users/connie:/bin/sh bill:x:1005:101:William Hadley:/usr/users/bill:/bin/sh
Это типичная форма файла паролей в Unix или Linux, когда зашифрованные пароли хранятся в отдельном защищенном файле. Каждая строка соответствует имени человека, имеющего учетную запись в этой системе. Слово «sdshell» в некоторых строках означает. что эти пользователи в целях дополнительной безопасности носят с собой маленькое электронное устройство под названием «RSA Secure ID», которое показывает шестизначное число, изменяющееся каждую минуту. Чтобы войти в компьютер, эти пользователи должны набрать шестизначное число, которое в данный момент показывает их устройство вместе с определенным PIN-кодом (который выдается руководством в одних компаниях или же выбирается самостоятельно в других). Сайт Белого Дома был искажен практически в тот же момент, как они его взломали, чтобы показать, что они уже оказались там — так рассказывает neOh, который и предоставил им картинку для искажения сайта8 . Кроме эмблемы группы хакеров gLobaLheLL на этой странице был еще текст Hong Kong Danger Duo. По словам neOh, это было написано без особого смысла, просто чтобы заполнить страницу сайта.
http://www.attrition.org/mirror/attrition/1999/05/10/www.whitehouse.gov/mirror.html
Как вспоминает neOh, ребята, которые хакнули Белый Дом, не чувствовали никакой особой гордости по тому поводу, что им удалось проникнуть на один из десятка самых охраняемых в США Интернет-сайтов. Они постоянно «были заняты тем, что проникали повсюду», объясняет neOh, «чтобы доказать всему миру, что мы самые крутые». Вместо того, чтобы устраивать виртуальные пляски по поводу удачного взлома, все, что они могли сказать друг другу по этому поводу: «Хорошая работа, парни, мы сделали это. Кто следующий?»
Но у них уже оставалось не так много времени для того, чтобы делать следующие взломы. Их мирок уже близился к распаду и в этой части истории опять появляется таинственный Халид.
Теперь Zyklon, известный еще как Эрик Бернс, берет нить повествования в свои руки. Он даже не был членом группы gLobaLheLL, по его словам, а просто тусовался на сайтах IRC с некоторыми ребятами. Проникновение на сайт Белого Дома, как он рассказывает, стало возможным после того, как он обнаружил «дыру» в программе под названием PHF, которая использовалась для доступа к базе данных телефонов. Именно эта «дыра» стала уязвимым местом сайта, о ней знали многие в хакерском сообществе, «но немногие люди использовали ее», говорит Zyklon.
Выполнив некоторую последовательность шагов (подробное описание которой приведено в разделе «Анализ» в конце главы), он смог проникнуть в корневую директорию на сайте whitehouse.gov и получить доступ к другим системам локальной сети, включая и сервер электронной почты Белого Дома. После этого Zyklon получил возможность перехватывать любую переписку между сотрудниками Белого Дома и внешним миром, хотя, естественно, в этих письмах не содержалось никакой секретной информации.
Zyklon также отметил, что он смог «получать копии секретных файлов и файлов паролей». Они тусовались на этом сайте, просматривая, что там есть интересного и дожидаясь, пока сотрудники начнут приходить на работу. Как раз в это время ему позвонил Халид, который сказал, что пишет статью о самых последних хакерских успехах и не может ли ему Zyklon рассказать что-нибудь «свеженькое». «Я сказал ему, что мы как раз сейчас находимся на Интернет-сайте Белого Дома», — вспоминал Zyklon.
Через несколько часов после этого разговора, рассказывал мне Zyklon, он заметил, что на сайте появился «нюхач» — это системный администратор решил проверить, что происходит на сайте и попытаться установить, кто на нем находится. Что это — случайное совпадение? Или в этот момент появились причины стать подозрительным? Прошли месяцы, пока Zyklon не нашел ответа на этот вопрос. Как только он обнаружил «нюхач», все хакеры отсоединились от сайта, надеясь, что они заметили администратора быстрее, чем он заметил их присутствие.
Однако, образно говоря, они разворошили осиное гнездо. Через две недели сотрудники ФБР задержали всех членов gLobaLheLL, кого им удалось идентифицировать. Кроме Zyklon (19 лет, задержан в Вашингтоне), они схватили MostHateD (Патрик Грегори, 19 лет, Техас), MindPhasr (Чад Дэвис, Висконсин) и других.
neOh оказался одним из тех, кому удалось уйти. Наслаждаясь ощущением свободы в своем убежище, он решил послать на сайт Белого Дома оскорбительное сообщение. Вот как оно выглядит: «Слушайте, Вы, м….и долбаные из ФБР. Не дое…есь до нас, вы все равно проиграете. Ваш домен fbi.gov в наших руках. БОЙТЕСЬ НАС. Вам удалось арестовать нас, поскольку вы, тупые идиоты, смогли вычислить, кто хакнул Белый Дом, верно? Поэтому вы хватаете нас всех и смотрите — кто из нас нарк. ОБЛОМИТЕСЬ, КОЗЛЫ ГРЕБАНЫЕ, МЫ НЕ НАРКУШИ. Понятно? МЫ — ПОВЕЛИТЕЛИ МИРА!»
И подписался: «neOh, немилосердный».
ПОСЛЕДСТВИЯ
Как же так случилось, что ранним утром системный администратор решил установить на сайте «нюхач»? Zyklon не сомневался в ответе. Когда представители прокуратуры обнародовали свои материалы по данному случаю, он обнаружил там упоминание о том, что информацию о взломе сайта Белого Дома группой gLobaLHeLL предоставил информатор ФБР. Как припоминает Zyklon, там было написано, что этот информатор живет в Нью-Дели, Индия.
По мнению Zyklon, больше никаких сомнений не оставалось. Единственный человек, которому он говорил о взломе Белого Дома, был Халид Ибрагим. Один плюс один равно двум: Халид был информантом ФБР.
И все же оставалась некоторая неясность. Даже если Zyklon прав, то вся ли это правда? Кто такой Халид — информатор, помогающий ФБР отлавливать юных хакеров, стремящихся взломать важные сайты? Или же есть иное объяснение: то, что он информатор — это только полправды: кроме этого, он пакистанский террорист, как считает и индийский генерал. Он играет роль двойного агента, сотрудничая и с Талибаном, и с ФБР.
Его постоянные опасения, что кто-то из ребят донесет о нем в ФБР, вполне вписываются в эту версию.
Наверняка всю правду о ситуации знали совсем немного людей. Были ли среди них сотрудники ФБР и прокураторы или же их так же дурачили?
В конце концов, Патрик Грегори и Чад Дэвис были приговорены к двадцати шести месяцам, a Zyklon Бернс — к пятнадцати месяцам. Все трое уже отбыли свои сроки и вышли из тюрьмы.
ПЯТЬ ЛЕТ СПУСТЯ
Сейчас хакерство для Comrade в общем-то, только воспоминание. но и сейчас он заметно оживляется, когда говорит о том, что «это так заводит — делать то, что тебе нельзя делать, лезть туда, куда тебе лезть нельзя, или идти туда, куда нельзя ходить, в поисках чего-нибудь действительно клевого».
Но пора уже и взрослеть. Он говорит, что подумывает о колледже. Мы разговаривали с ним вскоре после того, как он вернулся из лагеря скаутов в Израиле. Язык не оказался проблемой — он учил иврит в школе и был удивлен тем, насколько хорошо он его помнит.
Его впечатления от страны были самые разные. Девчонки были «действительно классными», оказалось, что израильтяне очень любят Америку. «Казалось, что они берут пример с американцев». Как-то он был с несколькими израильтянами, которые пили напитки. о которых он никогда не слышал, под названием RC Cola: оказалось, что это американские напитки. Как объяснили израильтяне, «в рекламе говорилось, что американцы пьют именно эти напитки». Он встретил там и «некоторые антиамериканские настроения у людей, которые не были согласны с политикой США», но воспринял это спокойно: «я подумал, что такое можно встретить везде».
Ему очень не понравилась погода, — во время его пребывания «было холодно и дождливо». Были проблемы и с компьютерами. Он купил ноутбук с возможностью беспроводной связи специально для путешествия, но обнаружил, что «дома построены из огромных толстых камней». Его компьютер зарегистрировал пять или даже десять сетей, но сигнал был слишком слабым для соединения, и приходилось идти двадцать минут до того места, где он мог бы установить надежную связь.
Итак, Comrade вернулся в Майами. Совсем еще молодой человек с уголовным преступлением за плечами, он живет в унаследованном доме и собирается принять решение — поступать или не поступать в колледж. Ему двадцать лет и он умеет делать совсем не так уж много.
Старый приятель Comrade neOh работает в крупной телефонной компании (работа с девяти до пяти ему совсем не нравится), но скоро он на три месяца поедет в Лос-Анджелес, где поработает в какой-то лаборатории, потому что там платят во много раз больше, чем он сейчас зарабатывает. Участвуя в жизни общества, он надеется отложить достаточно для того, чтобы купить себе домик там, где он живет.
После того, как трехмесячная «халтура» завершится, neOh тоже подумывает поступить в колледж, но не для того, чтобы изучать компьютерные науки. «Большинство людей со степенью в компьютерных науках, которых я встречал, знали кучу всякого бесполезного дерьма», — говорит он. Он собирается стать экспертом в бизнесе и управлении компаниями, и намерен выйти на компьютерный рынок на серьезном уровне.
Разговор о его старых подвигах возродил в памяти его преклонение перед Кевином. До какой степени он вообразил себя моим последователем?
« Х о т е л ли я, чтобы м е н я поймали? И да, и нет. Б ы т ь пойманным означал о продемонстрировать всем: „ Я могу с д е л а т ь это, я с д е л а л это“. Б ы т ь пойманным совсем не было для меня главным, но я хотел быть пойманным, чтобы победить их, освободиться и быть хакером, который освободился. Выйдя, я получил бы хорошую работу в правительственном агентстве и установил бы контакты с андерграундом».
НАСКОЛЬКО ВЕЛИКА УГРОЗА?
Сочетание усилий профессиональных террористов и бесстрашных юных хакеров может быть совершенно разрушительно для страны. Рассказанный эпизод заставил меня подумать, как много таких же «халидов», жаждущих больших денег, самоутверждения или достижения своих целей, вербуют несмышленых детей (или же агрессивно настроенных взрослых хакеров). Помощники новых «халидов» могут гораздо лучше замаскироваться и их будет труднее отыскать.
Когда я находился в предварительном заключении по обвинению в своих хакерских делах, со мной несколько раз общался один крупный колумбийский наркоторговец. Ему угрожало пожизненное заключение без возможности обжалования. Он предложил выгодную сделку — заплатить мне пять миллионов долларов наличными, если я проникну в «Центр» — компьютерную систему Федерального управления тюрем — и освобожу его из заключения. Этот человек говорил совершенно серьезно и наверняка выполнил бы свое обещание. Я не принял его предложения, но сделал вид, что готов ему помочь, чтобы избежать проблем с ним. Я не знаю, как поступил бы neOh в подобной ситуации.
Наши враги могут серьезно готовить своих солдат для ведения компьютерной войны, для атак на нашу инфраструктуру и для защиты своей. Очевидно, что эти группы будут привлекать себе на помощь умелых хакеров со всего мира, чтобы они «натаскивали» солдат для выполнения спецзадании.
В 1997 и в 2003 гг. Министерство обороны проводило специальную операцию (Operation Eligible Receiver) — для того, чтобы проверить уязвимость США перед электронной атакой, В соответствии с отчетом, опубликованным в «Washington Times»10 о результатах первой такой проверки, «высшие чины Пентагона были потрясены демонстрацией того, как легко хакеры взламывали американские военные и гражданские компьютерные сети». Далее в статье говорилось, что Национальное агентство по безопасности срочно собрало группу компьютерных экспертов — «red team» (Специальный термин, означающий: проверка содержания и качества квалифицированными специалистами, не принимавшими участия в подготовке продукта. Смысл работы red team — проверка систем, программ, военных планов теми, кто может думать, как бандит, хакер, террорист и т. д. — прим.ред.) для «мозгового штурма». Их задачей было проанализировать возможности хакеров. Им разрешалось работать только на общедоступном компьютерном оборудовании, используя хакерс-кие средства, включая программы, которые они загружали себе из Интернета или создавали сами.
Через несколько дней группа смогла проникнуть в компьютерные системы, управляющие энергетической сетью и с помощью серии команд могла лишить часть страны электричества. «Если бы действия группы были реальными». — писал тогда журнал «Christian Science Monitor», «они могли бы разрушить коммуникационные системы Министерства обороны (вывести из строя большинство тихоокеанских подразделений) и получить доступ к компьютерным системам на борту военно-морских кораблей США»11 .
В моем личном послужном списке есть несколько побед над механизмами безопасности, которые используют американские телефонные компании для управления доступом к телефонным станциям. Лет десять назад у меня был полный контроль над большинством переключателей таких крупнейших американских телефонных операторов, как Pacific Bell, Sprint, GTE и многие другие. Представьте себе, какой хаос мог возникнуть, если бы такие возможности оказались доступными группе террористов.
Члены Аль-Кайды и других террористических групп используют компьютеры при планировании своих террористических актов. Есть доказательства того, что и при планировании атак 9/11 террористы использовали Интернет.
Если даже Халиду Ибрагиму удалось получить какую-то информацию у кого-то из юных хакеров, ни один из них не сознается в этом. Если он действительно был связан с атаками на башни Всемирного торгового центра и Пентагон, то доказательств этому нет. Нет сведений и о том, когда он или кто-то из его подручных появятся опять на компьютерной сцене в поисках несмышленых помощников, которые испытывают непреодолимое желание «делать то, что тебе нельзя делать, лезть туда, куда тебе лезть нельзя, или идти туда, куда нельзя ходить, в поисках чего-нибудь действительно клевого». Таких помощников, которые могут считать поставленные перед ними задачи «крутыми».
Для молодых хакеров слабая безопасность остается непреодолимым соблазном. Хакеры, о которых идет речь в этой истории, вынуждены были признать, насколько опасно выполнять задания иностранных заказчиков по проникновению в секретные американские компьютерные сети. Можно только предполагать, сколько других «neOh» были завербованы нашими врагами.
Безопасность стала жизненно важным делом, поскольку мы живем в мире, населенном террористами.
АНАЛИЗ
neOh подробно рассказал нам, как он проник в компьютерную систему компании Lockheed Martin. Его рассказ является важным свидетельством, — как пример и для хакеров («Если в системе безопасности есть лазейка, то мы отыщем ее» — таков их лозунг), так и для служб компьютерной безопасности в любой организации.
Он быстро определил, что в компании Lockheed Martin используется собственный сервер доменных имен (DNS — Domain Name Server). DNS — это Интернет-протокол, который, например, транслирует имя сайта www.disney.com в 198.187.189.55 — адрес, который может использоваться для маршрутизации пакетов. neOh знал, что группа исследования безопасности в Польше опубликовала то, что хакеры называют «exploit» (подвигом или достижением) — программу, специально созданную для атаки одного конкретного уязвимого места в версии DNS, которую использовала компания Lockheed.
Компания использовала разновидность DNS-протокола под названием BIND (Berkeley Internet Name Domain). Польская группа обнаружила. что одна из версий BIND уязвима перед определенным типом атак (переполнение удаленного буфера) и именно эта версия используется в Lockheed Martin. Следуя инструкциям статьи, neOh смог получить привилегии администратора на обоих серверах компании Lockheed.
После получения этих привилегий neOh организовал перехват паролей и электронной почты при помощи программы «вынюхивания», которая действует, как своеобразное подглядывающее компьютерное устройство. Любой посланный трафик эта программа перехватывает; обычно хакер пересылает перехваченную информацию туда, где ее невозможно найти. Чтобы спрятать координаты «нюхача», рассказывает neOh, он создал директорию без имени, тo есть «var/adm/…». При проверке системный администратор вполне мог и пропустить такую незаметную ссылку.
Подобная техника маскировки программ «вынюхивания» очень эффективна и совсем проста; для сокрытия следов хакерского вмешательства есть много более сложных методов.