home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / misc / sh.txt < prev    next >
Encoding:
Text File  |  1995-01-03  |  9.1 KB  |  160 lines
  1. Super Hacker-WAS HE BUSTED OR DID HE SLIP OFF INTO THE NIGHT-You decide what happened in this true story.
  2.  
  3.  
  4.  
  5. From: David Rogers <DRogers@SUMEX-AIM.ARPA>
  6. Subject: "19 year old UCLA hacker"
  7.  
  8.     Well, that 19 year old hacker was here at Stanford, and here is a 
  9. system programmers account of what it was like. After reading this message, 
  10. I took the problem of hackers much less casually.
  11.  
  12.     (By the way, "call-back" systems are good, but if the computer is on a 
  13. network, it's virtually impossible to keep the hackers out. Read on.)
  14.  
  15.  9-Nov-83 16:47:37-PST,8835;000000000000
  16. Return-Path: <@SU-SCORE.ARPA:mail-daemon@Glacier>
  17. Date: Wednesday, 9 November 1983 16:44:19-PST
  18. To: su-bboards@Score
  19. Subject: the breakin: short summary of a media event
  20. From: Brian Reid <reid@Glacier>
  21.  
  22. Enough people have asked me "what really happened" that I thought it was 
  23. worth posting a medium-sized note to bboard explaining what this computer 
  24. intruder stuff is all about. I will also tell the tale of how it came to be 
  25. a full-fledged media phenomenon.
  26.  
  27. Early morning on September 17 I had logged on to Shasta and noticed an 
  28. unseemly slowness to the logon process. I was the only user on the system, 
  29. which made it even more curious. I was too sleepy to care, but filed it 
  30. away for future puzzleement. A few hours later Jeff Mogul telephoned me 
  31. with the truth, which he had discovered and explained. The Shasta directory 
  32. /usr/local/bin contained a file named "stty", whose contents was actually a 
  33. shell script that copied /bin/csh into ~somewhere/.$USER, then chmod u+s 
  34. $USER .$USER, then an exec of the real stty. Translating into English from 
  35. Unix-ese, this means that when some innocent victim ran this false "stty" 
  36. program, it would store in the perpetrator's directory a copy of the shell 
  37. (a shell is like the Tops-20 EXEC) set up in such a way that when the 
  38. perpetrator later executed that shell, he would acquire all of the 
  39. permissions and access rights of the victim. The unseemly delay that I had 
  40. noticed at 5:30 a.m. was caused by the length of time that it took to copy 
  41. the 64KB shell file into the intruder's directory.
  42.  
  43. The "stty" program on Unix is used by virtually all users to set up their 
  44. terminal characteristics when logging on, and most Shasta users have their 
  45. search lists set up to look in /usr/local/bin before /usr/bin. This means 
  46. that after the passage of a few hours, the perpetrator's directory 
  47. contained many files with names like ".reid" or ".mogul" or ".hennessey", 
  48. each rigged so that if he executed it he could read or write any files to 
  49. which reid or mogul or hennessey had access.
  50.  
  51. The account used by the perpetrator belonged to Jim Miller, who had visited 
  52. HPP last year, and who had left quite some time ago. Tom Rindfleisch 
  53. assured me that Miller was an honest person who would not do such a thing; 
  54. we therefore concluded that some alien was using the account. I spent a 
  55. couple of minutes finding out some biographical data about him, and was 
  56. easily able to guess his password. That solved the mystery of how the 
  57. intruder was using Miller's account.
  58.  
  59. We waited for the perpetrator to log on again, and when he did so, he was 
  60. coming in through the Internet from Purdue. I traced the net connections 
  61. back to find out that he was logged on as Mark Bronson at Purdue, and 
  62. immediately called Walter Tichy at Purdue to ask about Bronson, and was 
  63. told that Mark Bronson had graduated a year ago and gone to work for a 
  64. certain company in another state, which intriguingly enough was the same 
  65. company that Miller worked for. This "clue" turned out to be a red herring, 
  66. but it distracted us for a day. Chris Kent of Purdue traced the network 
  67. connections back to SU-TAC, where the perpetrator was dialed in on a 300-
  68. baud line.
  69.  
  70. At this point I wanted to go home for dinner, so I shut down Shasta's 
  71. internet service, which made it impossible for him to telnet in to Shasta 
  72. from ARPA-land. I figured that he would think Shasta had just crashed. To 
  73. my amazement, he was logged back on within 30 seconds, this time coming in 
  74. from Navajo via PUP telnet (which I had not shut off). A quick trace of the 
  75. net connections showed that he was logged on to Navajo as Anita Mayo. Steve 
  76. Hartwell phoned Anita in New York to ask her if she was doing this; she 
  77. said no, she wasn't, but her password wou| to guess. I 
  78. tried guessing "Anita", and sure enough it worked. Wanting to go home for 
  79. dinner, I changed Anita's Navajo password to something unrememberable and 
  80. killed the Mayo job on Navajo, figuring that this would keep him out.
  81.  
  82. 30 seconds later he was back on again, this time coming in from Diablo, 
  83. where he was logged on as Jeff Adams. I was unsuccessful at guessing Jeff 
  84. Adams' password, but I realized at this point that I was dealing with 
  85. organized crime and not just with some casual password hacker: he clearly 
  86. had access to lists of account names and passwords all over the place. I 
  87. hotwired Shasta's "login" so that only people actually physically in ERL 
  88. could log in, and went home a bit shaken.
  89.  
  90. At this point I called Ralph Gorin to ask for advice, and he advised me to 
  91. call the FBI. It took 24 hours to get them to return my call, and another 
  92. 24 hours to get them to believe that a real crime was taking place. They 
  93. came to campus and spent a day talking to me, to Len Bosack, and to Ralph. 
  94. The following morning they obtained permission authorizing Pacific 
  95. Telephone to put a "trap" on the SU-TAC dialin lines; simultaneously, Len 
  96. and Benjy Levy connected a hardcopy terminal to the TAC dialin line so that 
  97. we could get a transcript of what the intruder was doing, to use as 
  98. evidence if necessary.
  99.  
  100. Meanwhile back at Shasta, we were walking the fine line between keeping 
  101. this intruder out of our files and keeping him interested enough to stay on 
  102. the line long enough for us to trace the call. We did this by leaving his 
  103. Trojan horse in place, and periodically getting volunteers to run it, 
  104. whereupon he would get quite excited and spend an hour or two checking to 
  105. see if he had acquired any interesting new privileges.  Steve Przybylski, 
  106. Glenn Trewitt, Steve Hartwell and I took turns at this babysitting task.
  107.  
  108. Pacific Telephone told us that the calls were being made from a certain 
  109. travel agency in San Bruno. The FBI folks made a visit there, and found no 
  110. evidence of any such thing. Pacific Telephone then suspected that the 
  111. telephone wires in that building had been compromised, but after another 
  112. day of fooling around, Pac Tel admitted that what was *really* going on was 
  113. that the call was coming in through a long-distance calling service, such 
  114. as Sprint or MCI. The long-distance calling service people refused to 
  115. cooperate; Len and the FBI obtained the necessary search warrant (another 
  116. delay); they cooperated and told us that the calls were coming from Los 
  117. Angeles.
  118.  
  119. At this point I went out of town for a program committee meeting, so I am a 
  120. little fuzzy on the exact details, but Len and the FBI together managed to 
  121. get the necessary traps in place on the Los Angeles local telephone end. I 
  122. returned from the trip to resume my shift at babysitting Shasta to make 
  123. sure the intruder did not get too carried away. By this point we had a 
  124. fairly automatic notification mechanism set up; we doctored "login" so that 
  125. whenever the intruder logged on it would send mail notification to all of 
  126. us who were participating in the chase.
  127.  
  128. But he never logged in again. After a few days of wondering whether he had 
  129. detected our traps and chickened out, I got word from Ralph that Ralph had 
  130. gotten word that the Los Angeles police had raided some teenager's 
  131. apartment and seized a computer. The date and time of the raid mesh fairly 
  132. well with the last recorded instance of our intruder coming in, but of 
  133. course we have no hard evidence that it is the same person. The FBI might 
  134. have further evidence; they aren't talking.
  135.  
  136. That was September 22. I had thought the whole issue was dead, but last 
  137. week somebody at Purdue told a reporter for the Los Angeles Times that I 
  138. had located this intruder and informed Purdue of his existence; the L.A. 
  139. Times reporter called me and I told him the story pretty much as you read 
  140. it above. It appeared in the Sunday LA Times, and went out on the LA Times 
  141. News Service newswire.
  142.  
  143. Well, it seems that when the LA Times runs a story on something it becomes 
  144. Big News. The following morning (Tuesday a.m.) Len and I started getting 
  145. calls from every imaginable reporter (Only his name and mine appeared in 
  146. the LA Times story). Before 10am, 10 radio stations, 4 TV stations, all of 
  147. the local newspapers, even the Stanford Daily had picked up on this hot 
  148. story of evil alien spies penetrating the Department of Defense through 
  149. Stanford University, and all had to have the story first-hand.
  150.  
  151. It has all blown over now; today something else is Big News. Please, 
  152. everyone, please make sure your passwords are hard to guess. Try to make 
  153. them non-pronounceable, and long, and certainly make them unrelated to your 
  154. life. And try to understand that not every quote you read in the papers is 
  155. correct.
  156.  
  157. Brian
  158. ------------------------------
  159. DOWNLOADED FROM P-80 SYSTEMS
  160.