A kibervédelem történetében vannak sorsfordító pillanatok. Olyan esetek, amelyek megmutatják, hogy a biztonság nem mindig a technológiáról, hanem sokszor a figyelemről, a kitartásról és az emberi kíváncsiságról szól. Az egyik ilyen ikonikus történet 1986-ban indult — egy mindössze 75 centes eltérésből.

A sztori főszereplője Clifford Stoll, eredetileg csillagász, aki a Lawrence Berkeley National Laboratoryban (LBL) dolgozott. Miután a kutatási forrásai megszűntek, adminisztratív okokból a számítógépközpontba helyezték át rendszergazdának. Nem volt klasszikus informatikus: papucsos, kávésbögrés, különc tudós volt, aki többet tudott a távcsövekről, mint a VAX-rendszerekről.

Mégis ő fektette le a modern számítógépes biztonság egyik alapkövét.

A 75 centes hiba

Egy augusztusi napon Stoll főnöke, Dave Cleveland egy problémával fordult hozzá: a havi könyvelési riport nem stimmelt. 75 centes eltérés volt két számlázási rendszer között. Egy ekkora összeg 1986-ban sem volt sok, és legtöbben egyszerű kerekítési hibának könyvelték volna el. Stoll viszont kíváncsi volt.
A kérdés nála nem az volt, hogy mekkora a hiba, hanem hogy miért van hiba.

Elkezdett beleásni a rendszer naplóiba. Ekkor találta meg a jelet: egy felhasználói fiók úgy használta a rendszert, hogy nem volt hozzá előzetesen könyvelt gépidő, vagyis mintha valaki potyázott volna, és ingyen használta volna a fizetős rendszert.

Ez önmagában még lehetett volna adminisztrációs baki is, de Stoll észrevette, hogy a fiók jelszava megváltozott. Ez már rendszergazdai jogosultságot igényelt — és Stoll biztos volt benne, hogy nem ők csinálták. Igaz, ekkor még arra gondolt, hogy egy kreatív tanuló viccelődik. Ezen a ponton Stoll megvonhatta volna a fiók hozzáférési jogát, és lezárhatta volna az esetet, de ehelyett nyomozni kezdett.

A péntek esti csapda — 50 terminállal

Stoll, aki addig főleg távcsöveket épített, most elkezdett “kreatív” rendszergazda lenni. Egy péntek estén — amikor a labor kiürült — 50 terminált “kölcsönzött” a kollégák irodáiból, és fizikailag rákötötte őket az LBL bejövő modemvonalaira.

Azt gondolta, hogy amennyiben a hacker a hétvégén bejelentkezik, látni fogja, melyik telefonvonalról jön a hívás. Ez az ötlet egy 80-as évekbeli SOC-elemző kreativitását tükrözte.

És a csapda működött, a történet pedig innen kezdett igazán thriller jelleget ölteni.

A hacker nem Berkeleyben volt

Kiderült, hogy a bejövő kapcsolat nem helyi számról érkezett. A nyomok a Tymnet nevű országos csomagkapcsolt hálózatra vezettek, amely képes volt több államon átvezetni a végfelhasználói kapcsolatokat.

Ezután valós időben figyelte – a vonalhoz csatlakoztatott teleprinteren keresztül –, ahogy a hacker Berkeley számítógépeit indítóállásként használja, hogy betörjön az Egyesült Államok katonai bázisaira.

A hacker kifejezetten olyan szavakra keresett rá, mint a „nukleáris”, a „rakéta”, „CIA”, vagy a „NORAD” (North American Aerospace Defense Command) Ez már nem poén volt, a behatoló katonai és kormányzati rendszerekhez próbált hozzáférni — Berkeley gépeit átjáróként használva.

Amikor Stoll ezt jelentette az FBI-nak, megkérdezték tőle:

“Mekkora a kár?”
“75 cent.”

Az FBI pedig ejtette az ügyet. A 80-as években a számítógépes bűnözés még gyerekcipőben járt. Nem volt tiszta szabályozás arról, hogy ilyen esetben ki az illetékes. A CIA azt mondta, belföldi ügy, az FBI azt mondta, nem elég jelentős, a légierő pedig azt, hogy ez nem az ő hálózatuk.

Stoll tehát tovább nyomozott, és a nyomok Németországba vezettek.

A Tymnet és az AT&T mérnökeivel együttműködve Stoll lépésről lépésre visszakövette a kapcsolatot. A hívásokat több amerikai hálózaton keresztül “piggybackelte” a támadó, hogy eltüntesse a nyomait — végül azonban így is sikerült megállapítani az eredeti forrást: Hannover, Nyugat-Németország, egy háztartási telefonvonal.

A Westdeutsche Post (az akkori német távközlési hatóság) azonban csak akkor tudta a pontos címet azonosítani, ha a hacker hosszabb ideig online marad. Ezért Stoll új csapdát készített.

Operation Showerhead — a világ első honeypotja

Egyes források szerint Stoll és barátnője zuhanyzás közben találta ki a megoldást: hamis dokumentumokat kell létrehozni a rendszerben. Látványos, technikai zsargonnal telepakolt, hosszú fájlokat — olyasmit, amit a hacker első ránézésre “fontosnak” gondolna.

Létre is hoztak egy fiktív kutatási részleget, egy fiktív titkárnőt (“Barbara Sherwin”) és rengeteg fiktív katonai projektleírást. Ez volt a világ egyik legelső tudatosan létrehozott digitális honeypotja.

A hacker pedig ráharapott a csalira, és sokkal tovább maradt online, mint korábban. Annyi ideig, ami már elég volt a német hatóságoknak.

A tettes: Markus Hess

A vonal Hannover egyik lakásába vezetett. A hacker: Markus Hess, egy fiatal nyugatnémet programozó volt, aki nem egyedül dolgozott. Tagja volt egy kisebb csapatnak, amelyek amerikai katonai és ipari rendszerekből lopott információkat adtak el a KGB-nek.

Mint később kiderült, a csoport legalább 50 000 dollárt kapott a szovjet hírszerzéstől, Hess pedig több tucat amerikai katonai hálózatot tört fel, köztük: katonai támaszpontok VAX rendszereit, kutatóintézeti Unix gépeket, űrtechnikai és félvezetőipari projekteket, hadiipari beszállítók rendszereit.

A német hatóságok 1987-ben letartóztatták, a tárgyalás 1990-ben zárult le — Stoll három napig vallott a bíróságon.

A kiberbűnözést akkor még Európában sem vették komolyan, és ugyan Hess-t és két társát elítélték, mindössze 20 hónapos börtönbüntetést kaptak, azt is felfüggesztve. A csoport egyik tagja, Karl Koch azonban rejtélyes körülmények között meghalt; hivatalosan öngyilkosság volt, de sok konspirációs elmélet kapcsolódik az ügyhöz.

A Cuckoo’s Egg öröksége

Stoll ezután megírta a Stalking the Wily Hacker című technikai cikket, később pedig a világsikerré vált The Cuckoo’s Egg című könyvet. A PBS dokumentumfilmet készített a történetből (The KGB, the Computer, and Me).

De a valódi jelentősége még ennél is nagyobb. Mit adott ez az ügy a modern IT-securitynek?

• A logelemzés és anomáliadetektálás fontossága
  Egy 75 centes eltérés = egy nemzetközi kiberkémhálózat.
  
• A honeypotok gyakorlati alkalmazása
  Stoll egyik elsőként használt csalit célzott támadó ellen — ma a honeynet fontos védelmi eszköz.
  
• Cross-network incident response
  A vizsgálat több vállalatot, hálózati szolgáltatót, országot és hírszerzési szervet érintett — ez ma standard folyamat.
  
• A támadói viselkedéselemzésének korai formája
  Időzónák, minták, preferált keresési kulcsszavak: Stoll elsőként alkalmazta ezeket éles helyzetben.
  
• A “human factor” szerepe
  Nem egy logelemző rendszer oldotta meg a helyzetet, hanem egy kíváncsi rendszergazda, aki nem hagyott figyelmen kívül egy hibaüzenetet.

Az esetet jól bemutatja az alábbi dokumentumfilm, jó szórakozást, ha van kedved megnézni: