home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud2 / cud203d.txt < prev    next >
Text File  |  1992-09-26  |  9KB  |  146 lines
  1.  
  2.  
  3.   ****************************************************************************
  4.                   >C O M P U T E R   U N D E R G R O U N D<
  5.                                 >D I G E S T<
  6.               ***  Volume 2, Issue #2.03 (Sepember 14, 1990)   **
  7.   ****************************************************************************
  8.  
  9. MODERATORS:   Jim Thomas / Gordon Meyer  (TK0JUT2@NIU.bitnet)
  10. ARCHIVISTS:   Bob Krause / Alex Smith
  11. USENET readers can currently receive CuD as alt.society.cu-digest.
  12.  
  13. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  14. information among computerists and to the presentation and debate of
  15. diverse views.  CuD material may be reprinted as long as the source is
  16. cited.  It is assumed that non-personal mail to the moderators may be
  17. reprinted, unless otherwise specified. Readers are encouraged to submit
  18. reasoned articles relating to the Computer Underground.
  19. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  20. DISCLAIMER: The views represented herein do not necessarily represent the
  21.             views of the moderators. Contributors assume all responsibility
  22.             for assuring that articles submitted do not violate copyright
  23.             protections.
  24. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  25.  
  26.  Date: September
  27.  From: Entity
  28.  Subject: A comment on Zod's case
  29.  
  30. ********************************************************************
  31. ***  CuD #2.03: File 4 of 4: A Comment on the Zod Case           ***
  32. ********************************************************************
  33.  
  34.  
  35.  I hope to present you with some of the details regarding Zod's bust so
  36.  that your readers can be more familiar with the case.  Sometime around
  37.  late October 1989 or so, Zod set up a multi user chat system on a US Air
  38.  Force system.  The program he was using was Hans Kornedor's chat program ,
  39.  which many of you may recognize as the chat program used on the ALTOS
  40.  german hacker chat systems.  In any case, Zod modified this program,
  41.  making superficial changes and labelled it TDON chat.
  42.  
  43.  What he did was infiltrate a US Air Force UNIX system at Andrews Air Force
  44.  Base.  Because of the extremely lax security on the system, he was easily
  45.  able to gain super user privileges and set up an SUID shell in one of the
  46.  directories.  He then changed the password on an unused account (Foster.
  47.  Password was TDON) and set his TDON chat system up.  He then went onto
  48.  places such as TCHH (Germany), ALTGER (Germany) and QSD (France) and
  49.  started spreading the news of this great new chat.  Thankfully, not many
  50.  people paid any attention to Zod (who is world reknown to be a class "A"
  51.  bozo.)  Very few people called and of those who did, it was mostly
  52.  american users on telenet, although there were a few european callers as
  53.  well.  I was actually invited to the system by an up and coming VAX/VMS
  54.  hacker who used the alias 'Corrupt' (he was part of the group HiJiNx!).  I
  55.  knew him from meetings on the various european chat systems as well as him
  56.  being on the Corrupt Computing Canada BBS System in Toronto, Canada.  Last
  57.  I heard, he was busted as well, although I am not sure of on what charges.
  58.  
  59.  The chat itself was up for maybe a week -- a week and a half at best.  At
  60.  this point you are probably wondering who would be suicidal enough to set
  61.  up a hacker chat system on a US Air Force system, right?  Well, there's
  62.  more to Zod's stupidity than just that.  In addition to setting up the
  63.  chat, Zod decided that he would be smart and in the .login script for the
  64.  foster account he added in the TEE command to log everything to a file.
  65.  For those unfamiliar with UNIX, the tee command basically takes the input
  66.  coming into the user's TTY, and makes a copy of it into a specified file.
  67.  Zod had this input go into a directory with the filename the same as the
  68.  user's process ID.  I guess Zod's intention was to at a later time peruse
  69.  these files for useful information, but what he ended up doing was handing
  70.  us all to the authorities on a silver platter.
  71.  
  72.  Now one of the modifications that Zod had made to the chat program was to
  73.  add in a shell escape.  I never did figure out what the escape sequence
  74.  was (not that I ever looked very hard), but I noticed that if I lifted my
  75.  phone up, (thereby sending garbage over the modem) and put it back down, I
  76.  would automatically be plopped into the shell!  It was here that I
  77.  discovered all the craziness that Zod had set up.  You can imagine my
  78.  surprise when I looked at some of the files in my directory and discovered
  79.  that this chat system had been set up on a military unix machine!  It was
  80.  then that I found all the TEE'd files, the source code to his TDON chat,
  81.  and the SUID root shell.  Again for those unfamiliar with unix, an SUID
  82.  root shell basically allows a user to run this file and gain superuser
  83.  privileges by temporarily changing their User ID to that of root
  84.  (superuser).  Those familiar with hacking unix's will agree that it is
  85.  never a good idea to leave such a file around on a system since it can be
  86.  easily detected if not hidden properly.  Not only was this file NOT
  87.  hidden, it was put in plain view of the system administrator!  If my
  88.  memory serves correctly, it was put into the /tmp directory under a very
  89.  obvious filename!
  90.  
  91.  Of course, the biggest problem with this particular set up was the TEE'd
  92.  log files that zod had created.  Those files had some very far reaching
  93.  consequences as I shall describe in just a minute.  Because of Zod's
  94.  generosity in logging all chat sessions, Air Force Security staff had no
  95.  reason to do any additional logging of information.  What the security
  96.  staff did was first of all change the password on the foster/tdon account
  97.  and then made backups of all the chat session files.  These were then
  98.  compiled into a huge document (looks to be about 800-900 pages) and was
  99.  edited to take out overlapping chat processes.  I have managed to acquire
  100.  this document through a friend of mine who was recently charged for
  101.  infiltrating several systems.  Part of the evidence was that document
  102.  submitted by the Andrews Air Force base.
  103.  
  104.  For the benefit of those people who called this chat and who gave out
  105.  incriminating evidence, I will just briefly list their names.  You guys
  106.  should realize that your particular sessions were logged and are included
  107.  as part of the evidence.  I would not be surprised if a further
  108.  investigation stemming from Zod's bust were to be carried out.  The people
  109.  who should be watching their tails are: Sam Brown, Hunter, Phreakenstein,
  110.  Outlaw, Corrupt and Jetscream.  These are obviously not the only people
  111.  who were logged, but they do represent those who passed out accounts and
  112.  passwords and other incriminating information on the chat, as well as
  113.  having spent the most amount of time on there.
  114.  
  115.  So how does this lead up to Zod's arrest?  Well, I'm not positive.  On the
  116.  Air Force machine, zod was dumb enough to leave his name plastered all
  117.  over the chat including on the logon screen.  Of course this cannot be
  118.  used solely as evidence enough to convict, but it sure as hell points in
  119.  his direction.  Zod was also not a very careful person -- this is of
  120.  course obvious from him having set up the Air Force Chat, but in addition,
  121.  he left behind a lot of clues.  He wasn't a very competent hacker and never
  122.  cleaned up after himself.  I assume it wasn't very difficult to track him
  123.  down from his blatant misuse of the City University system in Washington.
  124.  It is my understanding that Corrupt and others were busted indirectly
  125.  because of him.  Perhaps someone closer to the source can confirm this.
  126.  
  127.  In any case, what all this goes to show you is how the stupidity of one
  128.  individual can lead to the problems of so many others.  By setting up a
  129.  hacker chat system on the Andrews Air Force base system, he committed a
  130.  great mistake.  By then inviting so many hackers from the international
  131.  hack scene, he committed a greater sin.  But for actually logging all this
  132.  information and never deleting it, he committed the ultimate crime.  This
  133.  kid is a royal pain in the posterior and a serious threat to all hackers.
  134.  
  135.  - Entity/CCCAN!  (Corrupt Computing Canada)
  136.  
  137.  
  138. ********************************************************************
  139.  
  140. ------------------------------
  141.  
  142.                            **END OF CuD #2.03**
  143. ********************************************************************
  144. ! 
  145. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  146.