Призрак в Сети. Мемуары величайшего хакера - Уильям Саймон

Добраться до электронной почты Маркоффа было не сложнее. К сожалению, он настроил свой почтовый клиент так, чтобы все сообщения удалялись после того, как он скопирует их на компьютер. На сервере осталось несколько писем, но в них не было никакой информации, которая бы касалась меня.

Я немного изменил конфигурацию. Теперь любые письма, направляемые Маркоффу, переадресовывались бы на другой ящик, который уже был под моим контролем. Я надеялся раскрыть его информаторов – людей, которые могли ему рассказывать, где, по их мнению, я нахожусь. Мне не терпелось узнать, насколько он был замешан в моем деле.

Позже выяснилось, что, пока я этим занимался, Шимми и его люди просто наблюдали. Они пассивно отслеживали входящий сетевой трафик на Netcom и WELL. Это не составило им никакого труда, так как интернет-провайдеры предоставили полный доступ к своим сетям.

Шимми установил слежку над Netcom 7 февраля, а потом попросил одного администратора просмотреть записи об учете системных ресурсов и узнать, какие пользователи работали в системе в то время, как с компьютеров Netcom осуществлялся незаконный доступ к аккаунтам «Колодца». Оказалось, такой доступ происходил с аккаунта gkremen, а его пользователь обычно выходил в систему Netcom через модемы, которые находились в Денвере и Рейли.

На следующий день, просматривая почту Маркоффа и пытаясь найти информацию, которая могла касаться меня, я запустил поиск последовательности символов «итни», так как попытаться найти «Митник» означало моментально выдать себя. Шимми и его команда наблюдали за мной в реальном времени и, заметив этот поисковый запрос, получили еще больше доказательств того, кто же их незваный гость.

Это был очень необычный запрос, ведь он поступал от гражданского лица помощнику федерального прокурора США: право на такие запросы имеют только правоохранительные службы .

Шимми связался с Кентом Уолкером и сообщил, что взломщик дозванивался в сеть через модемы, расположенные в Денвере и Рейли. Потом Шимми попросил Уолкера произвести трассировку одного номера дозвона до Netcom в Денвере. Действительно, с этого номера мне приходилось звонить. Это был очень необычный запрос, ведь он поступал от гражданского лица помощнику федерального прокурора США: право на такие запросы имеют только правоохранительные службы.

Уолкер позвонил в денверское отделение ФБР, и денверцы запросили в лос-анджелесском отделе ФБР право на расследование этого дела. Однако в Лос-Анджелесе предпочли, чтобы денверцы не вмешивались. Это очень напоминало внутриведомственную борьбу за сферы влияния – как же еще объяснить то, что лос-анджелесское бюро отказалось от помощи денверских коллег в организации трассировки. Все они хотели поиметь с меня кусочек. Если бы я тогда знал об их склоках, то мог бы воспользоваться этим…

Поскольку gkremen выходил в сеть и из Рейли, люди Шимми попросили агента ФБР связаться с General Telephone, телекоммуникационной компанией, которая предоставляет номера для дозвона в Netcom пользователям, работающим в Исследовательском треугольнике. Компания должна была отследить звонок в реальном времени. Не с первого раза, но довольно скоро техникам из General Telephone удалось выполнить перехват. Они передали номер в ФБР и сообщили, что звонок сделан из сети мобильного оператора Sprint.

Такая информация могла завести моих преследователей куда угодно. Чтобы обеспечить дополнительный уровень защиты, я заблаговременно подготовил так называемый конечный серийный номер. Чтобы провернуть это дело, сначала понадобилось взломать коммутатор телекоммуникационной компании, найти неиспользуемый телефонный номер и добавить на линию переадресацию вызова. Потом я задал на коммутаторе другой биллинговый номер и сделал так, чтобы все звонки, исходящие с захваченного мною телефонного номера, шли якобы с биллингового телефона. Почему? Просто я обнаружил в программе коммутатора уязвимость: иногда сама система выдавала не тот номер, с которого уходил вызов, а именно биллинговый номер. Поэтому, когда работники телефонной компании пытались отследить мои звонки, они не могли сразу обнаружить конечный серийный номер, тот номер, через который я направлял все вызовы. Они выходили на биллинговый номер какого-то совершенно случайного абонента, которым я маскировался. Я знал: некоторые техники, обслуживающие коммутатор, даже не в курсе, что система может выдавать биллинговый номер. Это служило мне еще одним уровнем защиты. В любом случае, насколько я могу судить, телефонные компании так и не обнаружили, что я пользуюсь конечным серийным номером. Отследить мои звонки становилось еще сложнее, ведь телефонщики даже не предполагали, что кто-то может взломать их коммутатор.

Несколько недель назад мы с JSZ создали для меня аккаунт на сайте escape, com, принадлежавший Рамону Казану, приятелю JSZ. Теперь мы могли напрямую связываться через эту систему. Это стало еще одним из тех многочисленных ходов, через которые я попадал в Интернет. Поскольку у меня на сайте были административные права, я также запрятал там кучу хакерских инструментов, информации об эксплойтах и обычного исходного кода из самых разных компаний, системы которых я незадолго до этого взламывал. Мой аккаунт в escape.com назывался «marty», так звали героя из кино «Тихушники» [171] .

Всякий раз, когда я заходил в аккаунт в escape.com, система выводила мне дату и время последнего входа. Любой сеанс я начинал с удаления записей в журнале, то есть заметал следы. Как-то раз, войдя в аккаунт, я обнаружил, что кто-то на нем уже сидит. Этот гость пришел из «Колодца»! Что же это такое?

Я сразу же зашел в «Колодец» и стал искать, но не нашел ничего, что могло бы указать мне на таинственного лазутчика.

Тогда я немедленно вышел из сети, чувствуя, что за мной следят.

Тем временем инженер из компании Sprint пытался понять, на какой же номер этой сотовой сети вышла GTE, которая отслеживала мой звонок. Когда он просмотрел абонентские записи компании, этого номера там не оказалось. Это было очень странно. Однако инженер догадался: номер не имел никакого отношения к Sprint, у него даже не было мобильного кода. Шимми обратился в ФБР и сказал, что требуется устроить телефонную конференцию, чтобы можно было обсудить эту странность со специалистом из Sprint. Потом он сам решил позвонить на этот номер, рассчитывая, что кто-нибудь ответит. Как только соединение установилось, в трубке послышался характерный тикающий шум, который становился все тише и тише, потом звонок оборвался. Это заинтриговало и Шимми, и инженеров. Им стало казаться, что я установил специальный предохранитель и он не позволял меня вычислить. Впоследствии возник логичный вопрос: а не повозился ли я с коммутатором?

Тогда инженер Sprint попробовал найти не звонки, исходившие с этого номера, а телефоны, с которых звонили на этот номер.

Поскольку я дозванивался в Netcom с моего конечного серийного номера через сотовую сеть Sprint, создалось впечатление, что и сам конечный номер относится к этой сети. Однако это не соответствовало действительности. Конечный серийный номер и номер дозвона в Netcom относились к одному и тому же коммутатору. Тогда инженер Sprint решил сменить тактику и применить так называемый поиск входящих номеров. Он попробовал найти не звонки, исходившие с этого номера, а телефоны, с которых звонили на этот номер.

Достаточно скоро его поиски увенчались успехом. Просмотрев учетные записи о звонках, инженер обнаружил, что на отслеженный номер неоднократно звонили с телефона из сети Sprint, вернее с мобильного номера, который применялся для дозвона в Netcom. У этого номера уже был региональный код города Рейли.

Инженер заметил: маршрутизация звонков обычно шла через одну и ту же сотовую вышку. Таким образом, телефон на другом конце цепи был стационарным. Вот так они обнаружили Рейли, город, где я скрывался.

Как только инженер рассказал Шимми о том, что удалось обнаружить, японец вскочил на самолет и отправился в Рейли.

Я пытался дозвониться до JSZ в Израиль и писал ему по электронной почте, чтобы исключить маловероятную возможность, ведь теоретически он мог заходить в мой аккаунт escape.com из «Колодца». Воскресным вечером, когда Шимми уже летел в Рейли, JSZ прислал мне электронное сообщение, которое меня шокировало.

«Привет!

Сегодня утром у отца был сильный сердечный приступ. Он сейчас в больнице. Я весь день пробыл там и, наверное, буду здесь весь день завтра.

Ближайшие 3–4 дня меня не будет в сети. Надеюсь на понимание.

Бывай,Джонатан.»

Я, с трудом справляясь с нервами, немедленно подключился к коммутатору телефонной компании, который обслуживал номера дозвона в Netcom, и выполнил маршрутизацию через Исследовательский треугольник. Это был один из путей, которым я пользовался в Рейли для доступа в Интернет. Я на самом деле даже предпочитал этот маршрут, так как если дозваниваться по сотовому напрямую в денверский Netcom, то связь будет очень неустойчивой.