『カッコウはコンピュータに卵を産む』
20191122 開始
20191123 読了
フィクションではない。
1986 年、ローレンス・バークレー研究所のシステム管理者だった著者は、研究所のシステムへの侵入に気がつき、それを追いかけ始める。というストーリー
75 セントだけコンピュータ利用代金が合わない、ということがきっかけ。
ゲストとして接続してきていた、特定の名前のゆーざが怪しいと踏む。プログラムを書いて待ち受ける。一瞬だけ port 23 に接続しにくる。研究所のネットワークで記録を見ると 1200 ボー・レートで接続してきてる。外部から電話のモデムだ。内部ではない。
UNIX のデーモンいじって、接続してきたユーザの操作を記録するか?と検討するが却下。ハッカーが気付くかもしれない。
なので旧式のテレタイプをつないで、アナログ信号をデジタルに変換するところ?でやりとりを監視
ハッカーが super user をゲットした手口
GNU Emacs はファイルを同じマシン上の他のユーザに転送する機能があるが、これは誰に対しても送ることができる。研究所のマシンには Emacs がインストールされていた。
ハッカーは Emacs 機能を使って、atrun と呼ばれる 5 min ごとの定期実行プログラムを同名の、しかし内容は root をゲットするスクリプトに差し替えた。
ハッカーは自身の侵入の痕跡を消したり、10 分ごとにログインしているユーザを確かめたりと慎重に振る舞った
その後もう少し効率のいい監視の仕組みを作って待つこと一週間。きた。
著者は習慣で ps -aux をつかうがハッカーは ps -eafg をつかっていた
電話かな?交換手に連絡してどこから接続してきているのかを確認する。
ps オプションの癖から、ハッカーは旧世代 unix 信者だと見抜く
ハッカーはパスワードファイルを読んでいたが、これは DES でハッシュ化されている。それを見てどうするつもりだというのか
著者は天文学者。黙々とデータを集めて、そこからなにが起こっているかを推測することに慣れている。
研究所を踏み台に、インターネットの一部、milnet (ミルネット) に接続していく様子を見る。国防総省の管轄。そちらに電話したところ存在を認識していた
研究目的のアープネット、軍のミルネット。前者がのちの、つーかいまのインターネットの基礎
電話回線はもれなく監視していながら、ネットワークの接続には警戒をおこたっためである
ハッカーはログインした後、他のユーザに対して偽ログインプログラムを見せた。そこでパスワードを入力させて、盗む。
だがハッカーはバークレー UNIX 想定でそのトロイの木馬プログラムを組んでいた。研究所は AT&T/UNIX だったので正常に動かずこと無きを得る
FBI は動かなかったが軍は協力してくれそう。いやそうでもない興味を示すだけ
プリンタが印字する速度で距離が図れる。電話回線だからな
ハッカーが使っている複数の名前には共通点があった。ドイツ語でなんとかカモメの名前。他の言語で関わる単語を別名義にしている。とか
利用者リストから、新聞に載ったハッカーの名前を調べる。ここから別人であるとわかる。
電話番号のヒントから組み合わせで電話会社に聞いてみる。ソーシャルハックしてるんだよなぁ
でその先が CIA の本部の所在地だったと
日誌をこまめに書いている。だからこの物語というかノンフィクションが書けたんだろうなぁ
これが後々、CIA や FBI に協力してもらうときにも役立った。解釈を交えず事実だけを伝えることができる
スタンフォードの方でハッカーは侵入した先のコンピュータで宿題をやろうとした。そこで名前を入れてしまう。クヌート・シアーズ。どうやら著者が追ってるハッカーとは別人らしい
国防企業マイターから接続されている。教えてくれなかったのでこちらからハッキングというかアクセスをかけた。反応は早いのにネットワークが遅い。トロイの木馬が仕込まれていてそれでパスワード抜かれたとみる。
じゃあこの中に犯人はいない。踏み台だ、と。
問題のハッカーはバークレーに侵入する前からさまざまなコンピュータに侵入していた。国防系やらに 1 分だけ接続したり
ハッカーからの侵入は常に昼間。深夜ではない。
国際電話会社 ITT から接続している
;; 最近本読んだところの会社だ。
さらに追うとどうやらヨーロッパ、西ドイツから接続しているらしいとわかる。アメリカの昼はドイツの夜。電話料金の安い時間を狙っている
国外が関わってるとなって周りが協力してくれるようになる
telnet コマンドだけ叩く行に「ミルネットに接続」と説明してるな
このハッカーが root 取った後よくやるのが、休眠アカウント、最近使われていないアカウントのパスワードを書き換えて乗っ取ること
二時間引き止めないとドイツ側で逆探知ができない。
だれもまともに協力してくれないので罠を貼ることにした。軍事機密っぽい文書をでっち上げて、新しいコンピュータの中に仕込んで接続する。機密ぽい文章を全部転送するのに二時間以上かかる計算
いや、新しいコンピュータはつないでないのかな。
ハッカー根気強くあてずっぽうパスワードで軍事関係コンピュータに侵入を試みる。根気大事
著者も根気が半端ではないな
パスワードは hash 化されている。hash プログラムは公開されている
辞書にある単語を片っ端から hash 化して、盗んだ /etc/password にきさいされている hash 済パスワードと突き合わせる。辞書に載ってる単語をパスワードに使ってれば、わかる
ドイツ側では現行犯逮捕しないといけない、さらに複数人を同時に抑えるとかでなかなか逮捕に至らず
罠として仕掛けておいた資料請求以来に問い合わせがきた。送り先はピッツバーグ
グラシン 封筒?要はトレーシングペーパーらしい
最終的にはドイツのハノーヴァーで逮捕された?のかな?
著者には最後のオチはすべて明かされず
事件は報じられ、新聞社はドイツの犯人への電話インタビューまでやってた。捕まって裁判中。名前はマークス・ヘス 25 歳。昼間はソフトウェア企業で働くサラリーマンで、興味本位でやったという。背景など詳しい情報は話さなかった
ヘスと組んでいたハグバードという男はKGB に情報を売っていた。
ピッツバーグからの情報請求は、KGB がもっと情報を得ようとして間接的に依頼したものだった。一応実在の人物だった。
最終的にハグバードは自殺。ヘスは今でもハノーヴァーで暮らしている