Клифф Столл — случайный инвентор
В 80-х понятие компьютерных преступлений было бесконечно далеко от сегодняшнего, когда хакеру достаточно допустить одну малейшую ошибку в своем опсеке, чтобы его неминуемо нашёл товарищ майор. Но все с чего-то начинается, и компьютерная криминалистика началась отнюдь не в лабораториях силовых ведомств.
Будучи школьным учителем физики и астрономом, Клиффорд Столл всего лишь подрабатывал сисадмином в Нацлаборатории Беркли, где он проводил исследования в своей профильной дисциплине. Это не помешало ему положить начало одного из важнейших направлений кибербезопасности и даже создать один из крупнейших источников разведданных в ней.
В 1986, во время серфинга по локальной сети лаборатории и внешней, еще новой, ARPANET (предок интернета), Столл получил задание от начальства — проверить, куда пропали недостающие в финансовом отчете по аренде вычислительных ресурсов лаборатории 75 центов.
В ходе проверок платных аккаунтов, сисадмин заметил, что 1 из них использовал лишь 9 секунд работы и не заплатил за них из своей работы не оплачивал, но продолжал работать. Так вел себя не только он — оказалось, что такие аккаунты использовались хакером, получившим root-доступ к сети лаборатории.
Столл заметил, что хакер использовал соединение в 1200 бод (скорость сигнала, аналог бит/с в старых системах, где для передачи 1 символа использовался 1 бит), что говорило о работе с телефонного модема.
Следующие 10 месяцев он провел в практически круглосуточном выслеживании хакера, даже ночую перед терминалом, т.к. силовики, к которым он не раз обращался (хакер ломал в т.ч. военные системы), ему помогать не хотели — тогда и понятия «киберпреступление» еще не было.
Терминалов Столл собрал 50 штук, беря все свободные, когда сотрудники уходили на выходные домой. Столько их нужно было потому, что 50 телефонных линий приносили сигналы в лабораторию, и один из подключенных к ним терминалов должен был отследить место подключения аккаунтов, заходящих всего на 9 секунд. А это 80-е — не самых быстрых соединений и машин время.
Столл наблюдал, как хакер ворует файлы с паролями и почти без усилий переходит из ARPANET в военную часть сети MILNET, где ленивые админы не меняли стандартные настройки, в которых часто пароля вообще не было. Сопоставив время логинов, Столл пришел к выводу, что атаки происходят откуда-то из-за пределов восточного побережья США, т.е. скорее всего из Европы.
С помощью телеком-операторов и отдельных агентов спецслужб, он выследил спутниковый сигнал до университета в Бремене (Германия). К терминалам в Бремене хакер подключался по телефонным линиям. Чтобы найти его точное местоположение, нужно было заставить его просидеть в аккаунте дольше.
Для этого Столл создал вымышленный отдел высокой секретности и аккаунт для него, наполнив последнего тонной созданных из смеси бюрократии и «Звездных войн» документов, которыми в конечном итоге хакер заинтересовался и подключился к аккаунту, чтобы их забрать. Времени на скачивание хватило для установления адреса дома хакера в Ганновере (Германия).
Им оказался Маркус Хесс — один из участников будущего Chaos Computer Club, который, наряду с боровшимся с иллюминатами Карлом Кохом, через сеть Столла воровал секретные данные США и продавал их КГБ СССР. Косвенным доказательством этому послужила фиктивный адрес почты, на который после поимки Хесса написал гэбист из Венгрии — видимо, КГБ так проверяли, не сфабриковали ли эти документы сами хакеры.
Таким образом история объединяет в себе начало 3 знаковых событий: Столл собрал первый в истории ханипот — ловушку для хакера. Хесс вошел в историю, как один из первых (если не первый) хакеров, совершивших компьютерный взлом, а в КГБ впервые использовали агента (хакера) для электронной разведки.
