Реальна історія Кліффорда Столла та першого кіберполювання

У серпні 1986 року в Національній лабораторії імені Лоуренса Берклі (Каліфорнія) сталася подія, яка на перший погляд виглядала повною дрібницею.

У бухгалтерському звіті за користування комп’ютером не сходився баланс.
Не вистачало 75 центів.

Для більшості співробітників це була б звичайна помилка округлення або неточність обліку.
Але не для Кліффорда Столла.

Астроном, який звернув увагу на дрібницю

Кліффорд Столл був астрономом за фахом. У той період він тимчасово працював системним адміністратором комп’ютерного центру лабораторії. Його завданням було просте — з’ясувати, звідки взялася невідповідність у білінгу.

Перевірка почалася з найочевиднішого — журналів доступу.

Саме там Столл і побачив те, що змусило його насторожитися:
у систему заходив користувач, якого не мало існувати.
Більше того — цей користувач мав підвищені права.

Незнайомець у системі

Столл не став одразу блокувати доступ. Замість цього він вирішив зрозуміти, хто саме знаходиться в системі та що він робить.

Аналіз активності показав тривожну картину.
Невідомий підключався переважно вночі, переміщувався між різними комп’ютерами та систематично шукав файли за ключовими словами:

• nuclear
• missile
• SDI (Стратегічна оборонна ініціатива США)

Це вже явно не виглядало як студентський експеримент чи чиясь витівка.

“Яка шкода?”

Столл звернувся до різних державних структур — військових, спецслужб, ФБР.
Але середина 1980-х — це час, коли кібербезпеку ще не сприймали серйозно.

Реакція була показовою:

— Яка шкода завдана?
— Менше одного долара.

Для системи це виглядало як курйоз, а не загроза національній безпеці.

Сам на сам з атакою

Не отримавши реальної підтримки, Столл вирішив діяти самостійно.

Він буквально жив у серверній:

• ночами відстежував активні сесії,
• аналізував логи,
• записував час з’єднань,
• співставляв маршрути телефонних ліній, через які відбувалися підключення.

Щоб змусити зловмисника довше залишатися в системі, Столл створив фейкові файли, які виглядали як секретні матеріали оборонної тематики.

Сьогодні ми назвали б це honeypot.
У 1986 році такого терміну ще не існувало.

Полювання дає результат

Приманка спрацювала.
Хакер почав проводити в системі більше часу.

Цього вистачило, щоб через міжнародні телефонні мережі (X.25, Tymnet) простежити маршрут підключень.
Слід привів до Західної Німеччини.

Хто був по той бік екрана

Зловмисником виявився Маркус Гесс — німецький хакер, який разом із невеликою групою зламував комп’ютерні системи США та продавав отриману інформацію радянському КДБ.

Американські комп’ютери використовувалися як проміжні вузли для маскування реального походження атак.

Після зібраних доказів німецькі правоохоронні органи заарештували Гесса.
Його судили та засудили за комп’ютерне шпигунство.

Спадщина 75 центів

Кліффорд Столл пізніше описав цю історію в книзі “The Cuckoo’s Egg” (“Яйце зозулі”).
Це не художній роман, а документальний опис реальних подій.

Книга стала бестселером і класикою, а методи, які Столл застосовував інтуїтивно, сьогодні є стандартом кібербезпеки:

• аналіз логів
• моніторинг мережевої активності
• використання приманок
• мислення з позиції нападника

Висновок

Ця історія не про хакерів.
І навіть не про спецслужби.

Вона — про уважність.

Найбільші інциденти часто починаються з дрібних аномалій.
Іноді достатньо однієї людини, яка вирішить не ігнорувати 75 центів.