Яйцо кукушки (книга)

1989 г. — документальная книга Клиффорда Столла.

«Яйцо кукушки: выслеживание шпиона в лабиринте компьютерного шпионажа» — книга Клиффорда Столла, изданная в 1989 году . Это его рассказ от первого лица об охоте на компьютерного хакера , взломавшего компьютер в Национальной лаборатории Лоуренса в Беркли (LBNL).

Использование Столлом этого термина расширило метафору «яйцо кукушки» с паразитизма у птиц на вредоносное программное обеспечение .

Краткое содержание

Автор Клиффорд Столл, астроном по образованию, управлял компьютерами в Национальной лаборатории Лоуренса в Беркли (LBNL) в Калифорнии. Однажды в 1986 году его руководитель попросил его устранить ошибку в 75 центов в счетах за использование компьютера. Столл проследил ошибку до неавторизованного пользователя, который, по-видимому, использовал девять секунд компьютерного времени и не заплатил за это. В конце концов Столл понял, что неавторизованный пользователь был хакером, который получил доступ суперпользователя к системе LBNL, эксплуатируя уязвимость в функции movemail оригинального GNU Emacs .

В начале и в течение длинных выходных Столл собрал пятьдесят терминалов, а также телетайпы , в основном «заимствуя» их со столов коллег, которые уезжали на выходные. Они физически подсоединялись к пятидесяти входящим телефонным линиям в LBNL. Когда хакер позвонил в те выходные, Столл определил используемую телефонную линию, которая исходила от службы маршрутизации Tymnet . С помощью Tymnet он в конечном итоге отследил вторжение до колл-центра в MITRE , оборонном подрядчике в Маклине, Вирджиния . В течение следующих десяти месяцев Столл потратил огромное количество времени и усилий, отслеживая происхождение хакера. Он увидел, что хакер использовал соединение на скорости 1200 бод , и понял, что вторжение происходило через телефонное модемное соединение. Коллеги Столла, Пол Мюррей и Ллойд Беллкнап, помогали с телефонными линиями.

Вернув свои «заимствованные» терминалы, Столл оставил телетайп, подключенный к линии вторжения, чтобы видеть и записывать все, что делал хакер. Он наблюдал, как хакер искал — и иногда получал — несанкционированный доступ к военным базам по всем Соединенным Штатам, ища файлы, содержащие такие слова, как «ядерный» или « SDI » (стратегическая оборонная инициатива). Хакер также копировал файлы паролей (чтобы проводить атаки по словарю ) и устанавливал троянских коней для поиска паролей. Столл был поражен тем, что на многих из этих сайтов с высоким уровнем безопасности хакер мог легко угадывать пароли, поскольку многие системные администраторы никогда не удосужились изменить пароли с заводских настроек по умолчанию . Даже на военных базах хакер иногда мог войти в систему как «гость» без пароля.

Это был один из первых, если не первый , задокументированных случаев взлома компьютеров, и Столл, похоже, был первым, кто вел ежедневный журнал действий хакера. В ходе своего расследования Столл связывался с различными агентами в Федеральном бюро расследований (ФБР), Центральном разведывательном управлении (ЦРУ), Агентстве национальной безопасности (АНБ) и Управлении специальных расследований ВВС США (OSI). В самом начале была путаница в отношении юрисдикции и общее нежелание делиться информацией; ФБР, в частности, не было заинтересовано, поскольку не было вовлечено большой суммы денег и не было доступа к хосту секретной информации .

Изучая свой бортовой журнал, Столл увидел, что хакер был знаком с VAX/VMS , а также с AT&T Unix . Он также отметил, что хакер, как правило, был активен около середины дня по тихоокеанскому времени . В конце концов Столл выдвинул гипотезу, что, поскольку счета за модемы ночью дешевле, а большинство людей учатся или работают днем ​​и имеют много свободного времени для взлома только ночью, хакер находился в часовом поясе, расположенном на некотором расстоянии к востоку, вероятно, за Восточным побережьем США.

С помощью Tymnet и агентов из различных агентств, Штолль обнаружил, что вторжение осуществлялось из Западной Германии через спутник. Почтовое отделение Западной Германии, Deutsche Bundespost , имело контроль над телефонной системой там и отследило звонки до университета в Бремене . Чтобы соблазнить хакера раскрыть себя, Штолль создал сложную мистификацию — известную сегодня как honeypot — придумав фиктивный отдел в LBNL, который якобы был недавно сформирован по контракту «SDI», также фиктивному. Когда он понял, что хакер особенно заинтересован в фальшивой организации SDI, он заполнил учетную запись «SDInet» (которую вела воображаемая секретарша по имени «Барбара Шервин») большими файлами, полными впечатляюще звучащего бюрократического жаргона . Уловка сработала, и Deutsche Bundespost наконец нашла хакера у него дома в Ганновере .

Хакера звали Маркус Гесс , и он несколько лет занимался продажей результатов своего взлома гражданскому разведывательному агентству Советского Союза , КГБ . Этому было дополнительное доказательство, когда венгерский агент связался с фиктивным SDInet в LBNL по почте, основываясь на информации, которую он мог получить только через Гесса. По-видимому, это был метод КГБ для двойной проверки, чтобы убедиться, что Гесс просто выдумывает информацию, которую он продает. Позже Столл вылетел в Западную Германию, чтобы дать показания на суде над Гессом.

Упоминания в популярной культуре

• Книга была запечатлена в эпизоде ​​NOVA канала WGBH под названием «КГБ, компьютер и я», который вышел в эфир на станциях PBS 3 октября 1990 года. Столл и несколько его коллег приняли участие в реконструкции описанных событий. ^{[ необходима цитата ] [1]}
• Другой документальный фильм, «Ловец шпионов» , был снят Йоркширским телевидением . ^[1]
• Числовая последовательность, упомянутая в главе 48, стала популярной математической головоломкой, известной как «Яйцо кукушки», «Числовая последовательность Морриса» или « Посмотри и скажи» .
• Летом 2000 года название «Яйцо кукушки» использовалось для описания попытки взлома файлообменника, в ходе которой файлы с законными песнями в Napster и других сетях заменялись файлами с белым шумом или звуковыми эффектами. ^[2]
• Эти события упоминаются в фантастическом рассказе Кори Доктороу « Вещи, которые делают меня слабым и странным, уходят в прошлое» как « системный администратор, который отследил аномалию в счете на 0,75 доллара и обнаружил иностранную шпионскую сеть, которая использовала его системы для взлома его армии». ^[3]

Смотрите также

• 23 — фильм, снятый с точки зрения хакеров
• Цифровой след
• Карл Кох (хакер)

Ссылки

1. Персональная веб-страница Ричарда Столла о телевизионных адаптациях (Архивировано 6 августа 2011 г., на Wayback Machine )
2. Проект «Рука-2-рот» по созданию яйца кукушки
3. «То, что делает меня слабым и странным, убирается инженерами». Tor.com. Отредактировано 24.06.2015.

Внешние ссылки

• Изображение обложки 1-го издания — Doubleday
• «Преследование хитрого хакера» — оригинальная статья автора о ловушке
• Интервью Booknotes со Столлом о «Яйце кукушки», 3 декабря 1989 г.
• Ссылка на книгу Internet Storm Center
• Западногерманские хакеры использовали программное обеспечение Kermit от Columbia для взлома десятков военных компьютеров США и сбора информации для КГБ, раздел «История вычислительной техники Колумбийского университета, 1986-1987».