Мы оставили немецкого хакера Карла Коха, также известного как Hagbard, в тот непростой момент его биографии, когда он с коллегами наладил контакты с берлинским филиалом КГБ СССР и стал добывать для советской разведки интересное с американских серверов в военных и научных организациях. Этот увлекательный процесс продолжался всю осень 1986 года — однако главные герои этой истории не знали, что с самого начала их действия не остались незамеченными. Не потому, что они были неосторожны — просто «с другой стороны монитора» в одной из точек проникновения оказалась не менее необычная личность. В отличие о Карла Коха и его коллег, Клиффорд Столл оставил подробные воспоминания — которые очень помогают реконструировать ход событий и то, как действовала группа ганноверских хакеров в поиске военных секретов США. На некоторое время переместимся из прокуренной хакерской квартиры в Ганновере в подземную серверную в калифорнийском Беркли.
36-летний Клиффорд Столл, сисадмин Национальной лаборатории имени Лоуренса, выглядел как совершенно каноничный безумный учёный наподобие Эмметта Брауна из «Назад в будущее». Вечно взлохмаченные волосы, дёрганые жесты и пружинящая походка, постоянные разговоры с оборудованием и неизменный мячик на резинке в руке — он мог бы показаться персонажем ситкома, но выглядел именно так в повседневной жизни. Взгляды его были не менее причудливыми: с одной стороны, он со своего студенчества времён Вьетнама и движения хиппи был настроен категорически антивоенно и с большими подозрениями в адрес руководства США. Именно поэтому он отказался от работы в Ливерморской национальной лаборатории имени всё того же Лоуренса, хотя зарплаты и условия там были лучше. Однако там работали над военными проектами, в том числе ядерным оружием и космической программой СОИ, а Клиффорд не желал иметь к этому никакого отношения. По той же причине он отказался работать на АНБ США, несмотря на наличие подходящих для этого ведомства мозгов и склада мышления. С другой — выражения вроде «чёртов коммунист» были в его языке одними из худших ругательств: так он часто клял отказывающиеся работать компьютеры. Столл с детства хотел быть академическим учёным, некоторое время работал в сфере астрофизики — но при Рейгане финансирование фундаментальной науки, если она не имела отношения к оборонке, урезали, и ему пришлось переквалифицироваться в сисадмины. Благо ещё с колледжа он искренне увлёкся компьютерами и программированием.
Клиффорд присоединился к уже существовавшей команде из двух сисадминов Национальной лаборатории имени Лоуренса. Старший из них, Дейв, в порядке тестирования умений новичка предложил ему глянуть, в чём состоит проблема с их самопальной программой учёта оплаты машинного времени. В ней за прошлый месяц почему-то не сходилось 75 центов из общей суммы в 2387 долларов. Программа, как вспоминал Клиффорд, была странным комплексом из написанных и дописанных разными людьми фрагментов на ассемблере, Фортране и Коболе — и он не удивился бы, узрев там куски кода на санскрите или латыни. Работала она скорее вопреки, нежели благодаря, но с какого-то момента отладки умудрялась делать это безупречно — но теперь дала странный глюк в 75 центов. Админ полез разбираться, копался до поздней ночи — и убедился, что программа ни в чём не виновата. Просто какой-то пользователь с ником Hunter попользовался машинным временем утром субботы — и не оплатил его.
Небольшое уточнение. В своих воспоминаниях Клиффорд то ли забыл указать точные даты в начале истории, то ли почему-то не захотел этого делать — но, судя по дальнейшему, первая аномалия возникла утром субботы 26 июля 1986 года. Обычно в истории деятельности группы Карла Коха начало взломов американских серверов связывают с августом — но конкретные даты никогда не называются, так что попробуем опереться на хронологию Клиффорда, дающего хотя бы время и дни недели. Он же говорит, что аномалия была замечена в отчёте за месяц, и этот месяц не может быть августом, так как в начале сентября его попытки отследить хакеров шли уже полным ходом и не первую неделю. Поэтому, хотя в прошлой части в качестве времени начала первых взломов с целью собрать «портфолио» для начала переговоров с КГБ был указан август, всё же его правильнее связать с концом июля 1986 года. А вот в какою именно неделю августа Клиффорду поручили разобраться — не вполне ясно. Итак, продолжим.
Клиффорд попытался выяснить, что это за пользователь — но оказалось, что никто из коллег такого не заводил и понятия не имеют о том, кто это может быть. Решив, что в любом случае ничего страшного не произошло, непонятную учётку снесли и рассудили, что если владелец придёт ругаться, то сам виноват и вообще торчит лаборатории 75 центов. Однако на следующий день к ним пришло возмущённое письмо: некто под ником Docmaster из Мэриленда близ стольного града Вашингтона писал, что его пытались взломать из их лаборатории. Именно на прошедших выходных. Клиффорд полез разобраться в логах подробнее — и обнаружил единственный вход в систему от пользователя Джо Свентека. Который, вроде бы, только зашёл и через полчаса вышел, но в разных системных отчётах время активности почему-то оказывалось разным на несколько минут. Когда Столл сказал об этом коллегам-админам, те очень удивились: «гуру UNIX» Джо Свентек действительно работал у них до устройства Клиффорда. Однако он не заходил в систему лаборатории более года, и вряд ли должен был делать это теперь — так как уехал из Беркли работать в британский Кембридж. Более того, один из коллег продолжал переписываться с Джо и сказал, что как раз сейчас тот должен быть в отпуске в глубоком лесном оффлайне.
Клиффорд подумал, что речь может идти о хакере — но поначалу этому скорее удивился, чем встревожился. Дело в том, что на компьютерах Национальной лаборатории имени Лоуренса обсчитывали исключительно задачи фундаментальной физики невоенного назначения. По его словам, многие из учёных, которые заказывали им вычисления, были бы скорее рады, если бы какой-то любознательный компьютерщик решил поинтересоваться их работой, понятной не такому уж большому числу специалистов на планете. Меры безопасности на мейнфреймах лаборатории были скорее символическими — и начальство куда больше интересовал учёт машинного времени со своевременной оплатой, а не возможные утечки «даром никому не нужных» данных. Кроме того, учёные регулярно возмущались даже минимальными требованиями информационной безопасности как досадным помехам в работе. Даже вход в систему продолжительностью менее минуты толком не учитывался и не ограничивался, и лишь потом программа-франкенштейн требовала правильный логин и включала «счётчик». Лишь через некоторое время Клиффорду в голову пришла мысль: а что, если все замеченные странности указывали на то, что вошедший в систему субботним утром хакер за те полчаса и 75 центов сумел завладеть правами суперпользователя, администратора? Впрочем, и это на тот момент казалось скорее досадным: основной угрозой и в таком случае казались скорее идиотские шутки с данными и аккаунтами со стороны студентов или других гиков-компьютерщиков. Столл сообщил о произошедшем руководителю лаборатории, тот устало постановил разобраться, выяснить, пресечь и доложить.
На следующий день Клиффорд с утра сидел и отслеживал все входы пользователей в систему. В 12:33 вновь активизировался пользователь «Джо Свентек». Он пробыл онлайн всего минуту — но этого хватило для определения порта и темпа передачи 120 символов в секунду, что было характерно именно для модема. Столл поначалу подумал подправить «демонов» UNIX так, чтобы они записывали все действия зашедших через модем пользователей, но коллеги указали на то, что хакер, скорее всего, толковый юниксоид, который это заметит и в отместку что-нибудь сломает. Клиффорд решил действовать тоньше и грубее одновременно. Вечером пятницы, после завершения рабочего дня, он собрал в помещениях лаборатории около 50 (!) терминалов, телетайпов и вообще всех устройств, которые можно было подрубить на все 50 выходящих в телефонную сеть проводов и снять на них всё, что будет делать хакер на выходных. Начальство и операторов устройств в известность он не ставил, решив, что лучше «сделать, а потом извиниться, чем спросить и не сделать вообще». Вскоре помещение было заставлено отчаянно чирикающими и печатающими устройствами, а Клиффорд бегал между ними в мыле, меняя рулоны бумаги для печати и меняя заполняющиеся магнитные накопители.
Очнувшись утром воскресенья после очередного краткого сна посреди всей этой красоты, админ стал вновь проверять улов. Прямо как в кино, нужное обнаружилось на самом последнем из устройств, когда Клиффорд уже потерял надежду. 24 метра распечатки подробно свидетельствовали о трёх часах, которые хакер провёл в системе лаборатории с пяти до восьми утра. Последние строки еле читались, так как в принтере кончалась краска. Читая логи, Столл не только удостоверился, что некто извне получил права суперпользователя, но и увидел, как это было сделано через ту самую лазейку, которую Маркус Гесс нашёл в утилите movemail в GNU-Emacs. Собственно, насколько предполагается из расследований, в Национальную лабораторию имени Лоуренса в это время заходил не Карл Кох, а именно Маркус, он же Urmel, собирая с коллегами-хакерами «первичный набор» данных для будущей демонстрации своих возможностей КГБ. В эту ночь он уже расслабился под админскими правами и даже уделил время изучению личных дел сотрудников, включая самого Клиффорда. Затем полазил по локальной сети, удалил показавшуюся ему связанной с отслеживанием доступа утилиту, скачал зашифрованный файл с паролями пользователей и ушёл.
Утром понедельника Клиффорд доложил о наблюдениях начальству. Начальство решило, что хакера надо непременно отловить, потому что неизвестно, что с таким уровнем доступа он мог уже оставить в системе, вроде стирающих данные вирусов с таймером и прочих пакостей, и простая блокировка не решала проблемы полностью. Клиффорд получил карт-бланш на любые меры в поиске хакера, а о ситуации поставили в известность ФБР и окружного прокурора. Киберпреступность уже начинала становиться модной темой, и как раз 2 октября 1986 года Сенат США примет новый закон «Computer Fraud and Abuse Act» против хакеров. В это самое время Кевин Митник вовсю ломал правительственные сети, но в поле зрения правоохранителей он попадёт лишь в следующем году. Однако в это время простое проникновение в чужие компьютеры всё ещё считалось скорее шалостью, а под киберкриминалом понимали в основном хищения средств, программ или распространение опасных вирусов. Взлом несекретной научной лаборатории впечатления на правоохранителей не произвёл. В ФБР впрочем в некоторой степени заинтересовались, но сказали, что шалит кто-то из студентов-компьютерщиков Калифорнийского университета. Эта ошибочная уверенность могла бы затянуться, но коллега Клиффорда Дэйв обратил внимание на то, что хакер использовал команды, которые давно уже не применялись в общеупотребительной здесь версии UNIX-Berkeley. Судя по почерку, он был привычен к более архаичной UNIX AT&T — следовательно, скорее всего, не имел отношения к среде компьютерщиков Западного побережья, где почти все давно перешли на UNIX-Berkeley. По словам Столла, для знатока это было примерно такой же разницей, как между американской и британской версиями английского языка: очень похоже, но некоторые вещи очевидно и характерно отличаются.
В 7:51 среды 10 сентября 1986 года — первая точная дата в воспоминаниях Клиффорда — хакер вновь зашёл под видом Джо Свентека, однако не задержался в лаборатории и двинулся дальше. Когда Столл обнаружил, куда именно, то понял, что «вечер перестаёт быть томным». Следы вели в MilNet, умеренно закрытую военную часть американских сетей, которая при этом остаётся связанной с большим Интернетом. Зайдя на один из его серверов, хакер вновь зарегистрировался как Hunter, проверил наличие на машине GNU-Emacs, и немедленно вышел. Из открытых источников Клиффорду удалось выяснить, что физически цель проникновения располагалась в учебной части армии США в Аннистоне, Алабама. Сама по себе часть была мало интересна кому бы то ни было — но рядом располагается Редстоунский арсенал. Речь идёт об огромной базе армии, ВВС и космических сил США на севере Алабамы с «населением» в десятки тысяч человек, где в числе прочего проводятся секретные исследования в областях ракетного оружия, БПЛА и космической разведки. Именно сюда, в частности, свозили бывших нацистских учёных и инженеров во главе с фон Брауном после Второй мировой войны. Секретных данных и разработок тут было (и есть) как бы не больше, чем в знаменитой Зоне 51 в Неваде.
Клиффорд, не тратя времени, узнал официальный номер в справочной и позвонил в учебную часть, заявив, что к ним ломился хакер. Там удивились, но вскоре по закрытой линии перезвонил местный армейский сисадмин Чак МакНатт и сказал, что в общем-то в курсе, а «этот такой-то сын Hunter» ломился к ним уже не в первый раз. Как услышал Клиффорд, тот зашёл в систему в прошлую субботу (то есть 6 сентября) и обнаружил, что там сидит некий Hunter, успевший потратить кучу машинного времени. Армейский админ Чак потребовал от посетителя назвать себя, на что получил ответ «Как вы думаете, кто я?» — «Назови себя или я выкину тебя из системы!» — «Отвечать не собираюсь». Чак, естественно, выкинул пользователя, после чего, как и полагается, связался с местным ФБР. Где его… послали. Туда же его послали и в военной контрразведке, которую он попросил принять меры по отслеживанию на случай новых попыток взлома. В отличие от ЦРУ и АНБ, где уже задумывались о подобного рода угрозах, спецслужбисты в сонной южной Алабаме явно ещё считали хакеров чем-то из области фантастики для очкариков.
А ведь компьютер в учебной части в Аннистоне имел прямую связь с серверами в набитом секретами Редстоунском арсенале — его мощности использовали для обработки данных, так как своих машин там часто не хватало, а в учебной части особых задач для компьютерных расчётов не было. Чак был огорошен рассказом Клиффорда о том, как этот хакер использовал лазейку в GNU-Emacs в Беркли. Более того, более подробная проверка показала, что неведомый хакер — видимо, всё тот же Хесс — впервые зашёл на компьютер военной части в Аннистоне ещё в начале июня, когда Кох и компания ещё только начали думать о сотрудничестве с КГБ. Видимо, «просто потому, что мог». Впрочем, Чак решил и пытался убедить Клиффорда, что хакер, скорее всего, местный, из Алабамы. И использует команды UNIX AT&T потому, что в их южной глубинке о UNIX-Berkeley ещё мало кто слышал. Да и военные компьютеры там работали тоже под UNIX AT&T.
Клиффорд и Дейв продолжали вести слежку за визитами хакера, каждый раз пытаясь вычислить его местоположение. Однако каждый раз следы становились всё более разнообразными, ведя в разные точки на территории США от Западного до Восточного побережья. Через некоторое время Клиффорд с изумлением обнаружил, что визитов хакера или хакеров куда больше, чем он думал — ибо кто-то успел дополнительно задействовать давно неактивные, но продолжавшие оплачиваться аккаунты трёх учёных, незаметно стерев их и подменив новыми с теми же никнеймами и своими паролями. Заодно выяснилось, что с использованием этих аккаунтов кто-то ходил на сервера нескольких баз ВВС США. А вскоре Клиффорд в режиме реального времени увидел, как хакер пытается пробиться на ракетный полигон Уайт Сэндс в Нью-Мексико, где в 1945-м был произведён первый ядерный взрыв — а в 80-е, по неофициальным слухам, испытывались элементы космической противоракетной обороны системы СОИ. Но там, как оказалось, специалисты по компьютерной безопасности были толковыми, и проникновения не произошло.
Клиффорд позвонил в ФБР и сообщил о том, что видел — но теперь федералы послали и его, решив, видимо, что военные сами разберутся. Тем более, что формально в Милнете при наличии доступа в Интернет ничего секретного храниться было не должно, в советских хакеров мало кто верил, а возможности OSINT ещё не были полностью осмыслены (хотя все разведки уже не первый десяток лет бодро гнали в центральные офисы «с риском добытые секретные данные», позаимствованные из открытых источников по принципу «места знать надо»). После серии безуспешных попыток привлечь внимание хоть каких-то спецслужбистов, и будучи посланным далеко от разных подразделений ФБР пять раз, Клиффорд добрался до специального агента Джима Кристи. Тот представлял малоизвестную во внешнем мире Air Force Office of Special Investigations, Службу специальных расследований ВВС США, занимающуюся как криминалом среди их военнослужащих, так и контрразведкой. Кристи принял во внимание информацию Столла о том, как действует хакер, и даже дополнил картину предположением, что на сервера полигона Уайт Сэндс он нацелился после изучения материалов с Редстоунского арсенала: два крупных военных объекта были тесно связаны, так как разработки из Ресдстоуна обычно испытывали как раз в Уайт Сэндс. И оба объекта как раз были активно задействованы в программе СОИ.
Ещё через несколько дней Клиффорд обнаружил новый вход — следы в очередной раз вели на Восточное побережье, в Вирджинию. На сей раз хакер полез не просто в Милнет, а добрался до отдела обработки данных ЦРУ в Лэнгли и принялся снимать там данные о действующих сотрудниках американской разведки с телефонами и адресами почты. Клиффорд, олдовый хиппи, тут даже задумался: а правильно ли он вообще поступает, мешая таинственному хакеру? Всё же он никогда не любил ни военных, ни тем более спецслужбистов, а в ФБР его за последнее время послали пять раз подряд в ответ на попытки помочь в борьбе с киберкриминалом. Быть может, хакер — это не злоумышленник и даже не раздолбай-студент, а подпольный герой цифрового сопротивления, который стремится открыть миру мрачные тайны правительства США? По иронии судьбы — примерно таковыми по ту сторону экрана и считали себя участники «проекта Эквалайзер», и прежде всего их идейный вдохновитель Карл Кох. Кроме разве что гоповатого Педро, который ввязался в работу с КГБ сугубо из-за денег, потому что в наркоторговле его физиономия уж слишком примелькалась. Быть может, сложись судьба иначе, Клиффорд Столл и Карл Кох даже сумели бы найти общий язык.
Но в нашем таймлайне Клифф, как он сам рассказывал в воспоминаниях, схватил телефонную трубку и стал набирать номера из скачанного хакером списка сотрудников ЦРУ, «чтобы не успеть передумать». Третий номер, записанный как Эдвард Дж. Мэннинг, ответил. В отличие от ФБРовцев, он сразу понял масштаб проблемы. Он сказал, что, скорее всего, заинтересовал хакера в силу того, что имеет отношение к компьютерам Национальной лаборатории баллистики на Абердинском полигоне в Мэриленде, и что завтра… нет, завтра суббота, в понедельник к Клиффорду придут его коллеги для содержательной беседы. Столл испытал смешанные чувства: с одной стороны, наконец-то его противостояние с хакером приняли всерьёз, с другой — теперь он ощущал себя чуть ли не предателем всех идеалов юности: «я только что пригласил в свободомыслящий Беркли агентов ЦРУ, которые поставляют оружие разным головорезам и вообще сатрапы системы»?
Однако встреча была назначена, и отступать уже было некуда.
© 2025 ООО «МТ ФИНАНС»
Telegram-канал со скидками, розыгрышами призов и новостями IT 💻
