03.09.2025
1 хв
1539
Історія Карла Коха, відомого під ніком Hagbard, стала однією з найгучніших у період холодної війни. У другій частині ми занурюємося у подробиці співпраці молодого німецького хакера з радянським КДБ та спостерігаємо, як його дії змінили ставлення світу до кіберзагроз. Саме завдяки системному адміністратору Клиффорду Столлу вдалося викрити перші кібершпигунські атаки, що велися проти наукових центрів та оборонних організацій США.
Німецький хакер Карл Кох, відомий під псевдонімом Hagbard, разом зі своїми колегами саме в той складний період біографії налагодив контакти з берлінською філією КДБ СРСР і почав передавати радянській розвідці дані, отримані зі зламаних американських серверів у військових і наукових установах. Ця діяльність тривала всю осінь 1986 року. Однак самі учасники не здогадувалися, що з перших днів їхньої операції перебували під пильним спостереженням. Не через необережність — просто на іншому боці монітора випадково опинилася людина, яка виявилася не менш цікавою за них самих.
На відміну від Карла Коха та його спільників, Кліффорд Столл залишив детальні спогади, що дають змогу точно відтворити події та зрозуміти, як діяла ганноверська група під час пошуку американських військових секретів. Тож тепер варто перенести увагу від прокуреної квартири хакерів у Ганновері до підземної серверної лабораторії університету в Каліфорнійському Берклі, де почалася зовсім інша історія.
36-річний Кліффорд Столл, системний адміністратор Національної лабораторії імені Лоуренса, виглядав як класичний образ «божевільного вченого» — немов персонаж Емметт Браун із «Назад у майбутнє». Вічно скуйовджене волосся, різкі жести, енергійна хода, постійні розмови з технікою й улюблений м’ячик на гумці в руці — усе це було його звичним образом не лише на роботі, а й у повсякденному житті.
Погляди Столла теж відзначалися своєрідністю. Ще з часів студентських протестів проти війни у В’єтнамі він залишався переконаним антивоєнним пацифістом і з недовірою ставився до політичного керівництва США. Саме з цієї причини він відмовився від посади в Ліверморській національній лабораторії ім. Лоуренса, хоча там пропонували значно вищу зарплату та кращі умови. Лівермор займався військовими розробками — зокрема ядерною зброєю та проектами, пов’язаними зі Стратегічною оборонною ініціативою (СОІ), — а Столл категорично не бажав мати до цього стосунок. Із тієї ж причини він не прийняв пропозицію працювати в АНБ США, попри відповідні здібності та тип мислення, які могли зробити його цінним фахівцем.
Водночас у розмовах він часто вживав фразу «чортів комуніст» — але не як політичну образу, а як лайку на адресу комп’ютерів, що відмовлялися працювати. Столл із дитинства мріяв бути науковцем і певний час працював у галузі астрофізики, однак за президентства Рейгана фінансування фундаментальних досліджень без військового застосування різко скоротили. Це змусило його змінити напрям і перейти до адміністрування комп’ютерних систем, чому він, утім, залишався відданим — адже ще зі студентських років щиро захоплювався програмуванням і світом технологій.
Кліффорд приєднався до команди з двох системних адміністраторів, яка вже працювала в лабораторії. Старший із них, Дейв, вирішив перевірити здібності новачка й запропонував розібратися з дивною проблемою у внутрішній програмі обліку оплати машинного часу. За підсумками минулого місяця не сходилося 75 центів із загальної суми в 2387 доларів.
Програма, за словами Кліффорда, являла собою строкатий конструктор із фрагментів коду, написаних різними людьми на асемблері, Фортрані та Коболі — настільки строкатий, що, як він жартував, не здивувався б знайти там частини, написані санскритом чи латиною. Працювала вона радше всупереч, ніж завдяки своїй структурі, але з якоїсь миті примудрялася функціонувати бездоганно. І тепер раптом дала дивний збій у 75 центів.
Столл узявся за перевірку, копався до пізньої ночі та з’ясував, що сама програма працює правильно. Проблема була в іншому: якийсь користувач під ніком Hunter скористався машинним часом у суботу вранці, але не оплатив його, що й спричинило різницю в обліку.
Невелике уточнення. У своїх спогадах Кліффорд Столл не вказав точні дати початку подій — чи то забув, чи свідомо опустив їх. Однак, судячи з подальших описів, перша аномалія у звітах виникла вранці суботи, 26 липня 1986 року. Традиційно початок зламів американських серверів групою Карла Коха пов’язують із серпнем, проте конкретні числа ніколи не наводяться. Якщо ж орієнтуватися на хронологію Столла, який фіксує послідовність днів і подій, логічно вважати, що активна фаза зламів почалася наприкінці липня.
У своїх нотатках Столл зазначає, що аномалія з’явилася у звіті за місяць, і цей місяць не міг бути серпнем — оскільки вже на початку вересня його спроби вистежити невідомого хакера йшли повним ходом і тривали не перший тиждень. Тож, попри раніше згаданий серпень як орієнтир початку операцій, правильніше пов’язувати перші злами з останнім тижнем липня 1986 року. А ось у який саме тиждень серпня Кліффорду доручили розібратися з незвичними «помилками» — залишається невідомим.
Кліффорд спробував з’ясувати, хто такий користувач із ніком Hunter, але виявилося, що ніхто з колег не створював такого облікового запису й не мав уявлення, хто це може бути. Вирішили, що нічого серйозного не сталося, і просто видалили загадковий профіль, пожартувавши, що якщо власник з’явиться зі скаргами — сам винен і взагалі заборгував лабораторії 75 центів.
Та вже наступного дня надійшов роздратований лист. Хтось із ніком Docmaster, який працював у Меріленді поблизу Вашингтона, повідомляв, що минулими вихідними його систему намагалися зламати з адреси лабораторії в Берклі.
Кліффорд узявся переглядати журнали доступу детальніше й натрапив на єдиний підозрілий запис — вхід у систему від користувача Джо Свєнтека. Здавалося, що той просто зайшов і через пів години вийшов, але в різних логах час активності розходився на кілька хвилин. Коли Столл розповів про це колегам-адміністраторам, вони здивувалися: Джо Свєнтек, знаний як «гуру UNIX», справді працював у лабораторії раніше, проте не входив у систему вже понад рік, оскільки переїхав до британського Кембриджу. Більше того, один із колег підтримував із ним листування й запевнив, що на цей момент Свєнтек перебуває у відпустці в глибокому лісі без доступу до мережі.
Кліффорд припустив, що йдеться про хакера, проте спочатку відчув радше здивування, ніж тривогу. Комп’ютери Національної лабораторії імені Лоуренса використовувалися виключно для розрахунків у галузі фундаментальної фізики, без будь-яких військових завдань. Як згадував Столл, більшість учених, які замовляли обчислення, навпаки, зраділи б, якби якийсь цікавий програміст зацікавився їхніми дослідженнями, зрозумілими лише для небагатьох фахівців у світі. Заходи безпеки на мейнфреймах були мінімальними, а керівництво значно більше цікавили своєчасні платежі за машинний час, ніж гіпотетичні витоки «нікому не потрібних» наукових даних.
Більше того, самі дослідники часто скаржилися навіть на найпростіші вимоги безпеки, вважаючи їх зайвими перепонами. Сесії доступу тривалістю менше хвилини навіть не фіксувалися, а система вимагала пароль і запускала облік лише після певної затримки. Через деякий час Столлу спала на думку тривожна гіпотеза: можливо, той самий хакер, який увійшов у систему суботнього ранку й «коштував» лабораторії 75 центів, за півгодини отримав права суперкористувача, тобто адміністратора системи.
Навіть тоді це здавалося радше прикрою неприємністю, ніж реальною загрозою — найімовірнішим сценарієм вважалися студентські жарти чи пустощі технічних ентузіастів. Кліффорд повідомив про інцидент керівнику лабораторії, і той спокійно розпорядився: розібратися, з’ясувати, припинити й доповісти.
Наступного дня вранці Кліффорд відстежував усі входи в систему. О 12:33 знову з’явився користувач «Джо Свентек» — пробув онлайн лише хвилину, але цього вистачило, щоб визначити порт і темп передачі 120 символів на секунду, типову швидкість модему. Столл спочатку подумав налаштувати системні «демони» UNIX так, щоб вони фіксували всі дії користувачів, що підключаються через модем, але колеги застерегли: тямущий юніксоїд помітить підкручування логування і в помсту може щось порушити в системі.
Кліффорд вирішив піти іншим шляхом — поєднати більш тонкий і більш грубий підхід одночасно. У п’ятницю ввечері, після закриття лабораторії, він скомплектував близько 50 терміналів, телетайпів та інших пристроїв, які можна було підключити до телефонної мережі через наявні 50 ліній, щоб записувати все, що робитиме хакер у вихідні. Колег і керівництво він про це офіційно не повідомляв, вважаючи за краще «зробити, а потім вибачитися».
Незабаром приміщення було заставлене дзижчачими і друкуючими апаратами; Кліффорд постійно бігав між ними, підмінював рулони паперу і змінював магнітні накопичувачі, що заповнювалися, аби зберегти якомога більше слідів активності з модемного підключення.
Прокинувшись у неділю після короткого сну серед навколишньої краси, адміністратор знову взявся перевіряти результати своїх пошуків. Як у кіно, потрібна інформація виявилася на останньому пристрої, коли вже здавалося, що все даремно. Двадцять чотири метри роздруківки детально відображали три години активності невідомого користувача в системі лабораторії — з п’ятої до восьмої ранку. Останні рядки майже зникали, бо у принтері закінчувалася фарба. Аналіз журналів доступу підтвердив: сторонній отримав права суперкористувача, скориставшись тією самою вразливістю в утиліті movemail у GNU Emacs, яку свого часу виявив Маркус Гесс.
Згідно з даними розслідування, саме Гесс, відомий під псевдонімом Urmel, а не Карл Кох, тієї ночі підключався до Національної лабораторії імені Лоуренса. Разом із товаришами-хакерами він збирав так званий «первинний набір» даних для демонстрації своїх можливостей перед КДБ. Перебуваючи в системі з адміністративними правами, хакер вивчав особисті файли співробітників, зокрема й самого Столла, досліджував локальну мережу, видалив утиліту, що, на його думку, могла відстежувати дії користувачів, завантажив зашифрований файл із паролями та вийшов із системи.
У понеділок вранці Кліффорд повідомив керівництву про виявлене вторгнення. Реакція була негайною: вирішили, що зловмисника необхідно обов’язково вирахувати й спіймати, адже невідомо, що він міг залишити в системі, маючи такі широкі повноваження. Йшлося про потенційні «закладки» — віруси з таймером, скрипти для знищення даних та інші небезпечні елементи, які простим блокуванням облікового запису усунути було неможливо. Кліффорду надали повну свободу дій у пошуку зловмисника, а про інцидент негайно поінформували ФБР та окружну прокуратуру. У цей час кіберзлочинність лише починала привертати увагу громадськості, і саме 2 жовтня 1986 року Сенат США ухвалив закон Computer Fraud and Abuse Act, спрямований проти хакерських дій.
Тоді ж інший відомий згодом хакер, Кевін Мітнік, активно зламував урядові мережі, хоча його діяльність стане предметом розслідування лише наступного року. На той момент проникнення в чужі комп’ютери сприймали радше як безневинну витівку, а під справжніми кіберзлочинами розуміли розкрадання коштів, викрадення програм або поширення шкідливих вірусів. Тому факт зламу не секретної наукової лабораторії не викликав особливого занепокоєння в правоохоронців. У ФБР лише відзначили випадок, припустивши, що діє хтось із місцевих студентів Каліфорнійського університету.
Ця хибна впевненість могла затягнути розслідування, проте колега Кліффорда — Дейв — звернув увагу на важливу деталь: хакер користувався командами, які давно вже не застосовувалися в актуальній версії UNIX-Berkeley. Це вказувало, що зловмисник звик працювати зі старішою системою UNIX AT&T, а отже, навряд чи був пов’язаний із колом комп’ютерників Західного узбережжя, де вже давно перейшли на нову платформу. Для фахівців різниця між цими системами була приблизно такою ж, як між американською та британською версіями англійської мови — схожими на перший погляд, але з помітними, характерними відмінностями.
О 7:51 ранку середи, 10 вересня 1986 року — це перша точно зафіксована дата у спогадах Кліффорда Столла — хакер знову проник у систему, використавши обліковий запис Джо Свентека. Цього разу він не залишався довго: швидко пройшов через лабораторію та попрямував далі. Коли Столл відстежив напрямок його руху, стало зрозуміло, що ситуація набуває зовсім іншого масштабу. Сліди привели у MilNet — військовий сегмент американських мереж, який, хоч і мав обмежений доступ, залишався пов’язаний із глобальним Інтернетом. Зайшовши на один із серверів, зловмисник увійшов під псевдонімом Hunter, перевірив, чи встановлено на машині GNU Emacs, і одразу вийшов.
Подальше дослідження показало, що сервер, у який він заходив, фізично знаходився в навчальному підрозділі армії США в Анністоні (штат Алабама). Здавалося б, нічого особливого — звичайна військова частина. Проте поруч розташовувався Редстоунський арсенал — величезний комплекс армії, ВПС і космічних сил США на півночі штату, де працювали десятки тисяч фахівців. Саме там проводилися секретні дослідження у сфері ракетних технологій, безпілотників і космічної розвідки. Після Другої світової війни сюди звозили німецьких учених і інженерів, зокрема Вернера фон Брауна та його команду, які стояли біля витоків американської ракетної програми. За рівнем секретності й масштабом проєктів Редстоунський арсенал можна було сміливо порівняти з легендарною Зоною 51 у Неваді.
Кліффорд негайно знайшов офіційний телефон навчальної частини і подзвонив, повідомивши про спробу злому. На тій стороні спочатку здивувалися, але незабаром по закритій лінії зателефонував місцевий військовий системний адміністратор Чак МакНатт і повідомив, що вони в курсі ситуації — «якийсь син Hunter» уже намагався потрапити до їхніх систем раніше. За словами Чака, минулої суботи (6 вересня) у системі виявили обліковий запис Hunter, який встиг витратити значну кількість машинного часу.
Коли Чак вимагав від відвідувача представитися, той відповів ухильно: «Як ви думаєте, хто я?» На наполегливе «Назви себе чи я викину тебе із системи!» прийшла відмова: «Відповідати не збираюся». Після цього Чак відключив користувача і, як належить, звернувся до місцевого відділення ФБР. Там на прохання відреагувати — відправили. Те саме сталося з військовою контррозвідкою, до якої Чак звернувся з проханням відстежувати нові спроби злому. На відміну від ЦРУ чи АНБ, де такі загрози вже починали сприймати серйозно, місцеві спецслужби в тихій південній Алабамі ставилися до хакерів скоріше як до фантазії для «очкариків».
Комп’ютер у навчальній частині Анністона був безпосередньо підключений до серверів Редстоунського арсеналу, де зберігалися величезні обсяги секретних даних. Потужності навчального центру використовувалися для обробки інформації з арсеналу, адже власних обчислювальних ресурсів там часто бракувало. Сам навчальний підрозділ не мав критично важливих завдань, тому його комп’ютери нерідко залучали до допоміжних розрахунків.
Коли Кліффорд розповів Чаку, що зловмисник потрапив у систему, використовуючи вразливість у GNU Emacs у Берклі, той був щиро вражений — не очікував, що така складна схема могла бути реалізована проти звичайної військової частини. Подальший аналіз журналів показав, що невідомий хакер — імовірно, Маркус Гесс — уперше проник у систему ще на початку червня, тобто задовго до того, як Кох і його спільники почали всерйоз обговорювати можливу співпрацю з радянською розвідкою. Ймовірно, він зробив це просто з цікавості або для перевірки своїх можливостей.
Попри все, Чак наполягав, що зловмисник, найімовірніше, місцевий мешканець Алабами. Він пояснював це тим, що хакер користувався командами UNIX AT&T, які якраз були поширені в регіоні, тоді як про UNIX-Berkeley у їхній південній провінції знали небагато. До того ж, більшість військових комп’ютерів у цьому регіоні працювали саме під UNIX AT&T, що могло здаватися логічним поясненням його дій.
Кліффорд разом із колегою Дейвом продовжували уважно відстежувати активність зловмисника, намагаючись визначити його місцезнаходження. Проте що далі, то складніше було це зробити — сліди з’являлися у різних точках США, від Західного до Східного узбережжя, що створювало враження або надзвичайно рухливого хакера, або цілої групи, яка діяла під єдиним псевдонімом.
Згодом стало очевидно, що ситуація набагато серйозніша, ніж здавалося спочатку. Кліффорд виявив, що кілька неактивних, але ще оплачуваних акаунтів трьох науковців були непомітно змінені: старі облікові записи стерто, а замість них створено нові з тими самими іменами користувачів. Цей крок дозволив зловмисникам отримати додаткові «легальні» точки входу в систему, що значно ускладнило пошук.
Подальший аналіз показав, що через ці підмінені акаунти хакер отримував доступ до серверів кількох баз ВПС США. А згодом Кліффорд у реальному часі спостерігав, як невідомий намагається проникнути на сервери ракетного полігону Вайт-Сендс (White Sands) у штаті Нью-Мексико — місця, де в 1945 році було проведено перший ядерний вибух у світі. У 1980-х, за неофіційними повідомленнями, саме там тестували елементи майбутньої протиракетної космічної оборони в межах програми СОІ (Стратегічна оборонна ініціатива).
На щастя, фахівці з кібербезпеки на полігоні виявилися досвідченими — спроба проникнення була своєчасно заблокована, і цього разу зловмиснику не вдалося просунутися далі.
Коли Кліффорд повідомив ФБР про спробу злому військових серверів, реакція виявилася передбачувано байдужею — федерали знову відмахнулися, вважаючи, що ситуацією повинні займатися самі військові. Формально їхня позиція мала логіку: у MilNet не повинно було зберігатися нічого секретного, адже це була мережа з обмеженим, але все ж доступом до Інтернету. До того ж, у середині 1980-х мало хто серйозно сприймав загрозу від радянських хакерів, а поняття OSINT — збору розвідданих із відкритих джерел — ще не усвідомлювалося як стратегічно важливий напрям. Хоча на практиці навіть великі розвідки десятиліттями надсилали у штаб «секретні дані», здобуті саме з відкритих матеріалів.
Після п’яти невдалих звернень у різні підрозділи ФБР, де його кожного разу чемно, але твердо «відправляли подалі», Кліффорд нарешті дістався до людини, яка його вислухала — спеціального агента Джима Крісті.
Крісті представляв маловідому поза межами військових структур організацію — Air Force Office of Special Investigations (AFOSI), тобто Службу спеціальних розслідувань ВПС США. Вона займалася не лише кримінальними справами, пов’язаними з військовослужбовцями, а й контррозвідувальною діяльністю.
Агент уважно вислухав Кліффорда, вивчив його нотатки й погодився, що справа може мати серйозне продовження. Більше того, Крісті припустив, що хакер обрав ціллю ракетний полігон Вайт-Сендс не випадково. Ймовірно, він потрапив на цю ідею після дослідження матеріалів із Редстоунського арсеналу, адже ці два об’єкти були тісно пов’язані між собою: нові розробки, створені в Редстоуні, зазвичай проходили випробування саме у Вайт-Сендс.
Обидва комплекси — Редстоунський арсенал і полігон Вайт-Сендс — на той момент брали активну участь у реалізації програми Стратегічної оборонної ініціативи (СОІ), тож інтерес до них із боку радянських хакерів виглядав більш ніж логічним.
Під час чергового моніторингу Кліффорд виявив новий слід проникнення — цього разу маршрути трафіку впевнено вели на Східне узбережжя, до Вірджинії. Зловмисник не обмежився військовою мережею MilNet: він пробрався далі — у відділ обробки даних ЦРУ в Ленглі, де почав переглядати інформацію про чинних співробітників американської розвідки, включно з телефонами та поштовими адресами.
Для Кліффорда, який залишався за духом олдовим хіпі, цей момент став моральним викликом. Його раптом охопили сумніви: чи правильно він чинить, заважаючи невідомому хакеру? Адже сам він ніколи не симпатизував військовим чи спецслужбам, а ФБР за останній час п’ять разів відмовило йому у співпраці, коли він намагався попередити про небезпеку.
На мить здалося, що, можливо, перед ним не зловмисник, а цифровий ідеаліст, людина, яка прагне розкрити суспільству приховані урядові таємниці. У часи, коли поняття «кіберопору» лише зароджувалося, така думка звучала спокусливо.
Іронія полягала в тому, що саме так сприймали себе учасники «Проєкту Еквалайзер», зокрема Карл Кох, який вважав, що бореться проти системи, розкриваючи правду світу. Його спільники бачили в собі не злочинців, а революціонерів нової епохи інформації — крім, хіба що, Педро, для якого злам і співпраця з КДБ стали лише способом заробити, після того як торгівля наркотиками зробила його обличчя занадто впізнаваним.
Можливо, за інших обставин, якби не розділені ролі — «адміністратор» і «хакер» — Кліффорд Столл і Карл Кох могли б зрозуміти один одного. Їх об’єднувала одна риса: непокора правилам і прагнення знайти істину у світі, що стрімко занурювався у цифрову добу.
Коли Кліффорд побачив, що хакер завантажує список співробітників ЦРУ, він не став довго роздумувати: узяв телефон і почав дзвонити за номерами прямо зі списку, поки не встиг передумати. На третій спробі слухавку підняв чоловік, зазначений у файлі як Едвард Дж. Меннінг.
На відміну від більшості співрозмовників, з якими Столл стикався раніше, Меннінг миттєво оцінив серйозність ситуації. Він пояснив, що хакера, найімовірніше, зацікавили саме його дані, бо він мав прямий стосунок до комп’ютерних систем Національної лабораторії балістики на полігоні Абердин у Меріленді. Розмова завершилася коротко: «Завтра — субота. Але у понеділок до вас прийдуть мої колеги, поговоримо детальніше».
Для Кліффорда цей момент став переломним: роботу нарешті сприйняли серйозно — вперше з початку полювання на невловимого хакера. Водночас мучили внутрішні сумніви: як людина, вихована у вільнодумній атмосфері Берклі, він відчував себе зрадником власних ідеалів — мовилося про те, що саме зараз у Берклі викликали агентів ЦРУ, людей, причетних до постачань озброєнь авторитарним режимам.
Проте зустріч уже була призначена, і відступати було нікуди: розслідування перетворювалося на операцію національного масштабу, де кожен крок міг мати непередбачувані наслідки.
Отже, німецький хакер Карл «Хагбард» Кох, конспіролог та борець з ілюмінатами , організував клуб однодумців у Ганновері. З літа 1986 року вони почали видобувати вміст комп’ютерів у різних організаціях США для берлінського філіалу КДБ СРСР із поєднання фінансових та ідейних міркувань, ставши «першими хакерами радянських спецслужб». Однак на іншій стороні планети, в Національній лабораторії імені Лоуренса в Берклі, новий сисадмін Кліффорд Столл вирахував нелегальне проникнення в свою мережу. Коли «органи» проігнорували його стурбованість, він розпочав власне розслідування. Через кілька тижнів Столл з’ясував, що через його лабораторію хтось забирається на військові бази США, а потім і в штаб-квартиру ЦРУ.
У якомусь сенсі Столлу для звернення до ЦРУ знадобилося переступити через себе: одна справа поліція і ФБР, які, на його думку, в основному дійсно боролися зі злочинцями, і зовсім інше — встигнуло замазатися в самому центрі. розвідувальне керування. Їхню «контору» він не любив давно, глибоко і щиро — приблизно з тих самих причин, що й Карл Кох, лише без конспірології про «ЦРУ як щупальце всесвітньої змови ілюмінатів». Однак інші силовики його здебільшого «футболили» — лише у ФБР Кліффорду встигли відмовити у допомозі з розслідуванням шість разів, і навіть проникненням на сервери військових об’єктів зацікавилася єдина людина Джим Крісті з контррозвідки ВПС. Проте саме об’єкти ВПС США не були порушені атаками, і тому військово-повітряна контррозвідка не могла офіційно зайнятися питанням. Тепер, як сподівався Столл, хоч хтось займеться таємничими хакерами всерйоз.
До того ж, як Кліффорд сам писав у мемуарах, він трохи сподівався на те, що хтось із «головорізів, які контрабандою поставляють зброю кривавим режимам», нарешті займеться чимось корисним для американських громадян. Напередодні призначеного візиту до лабораторії він навіть «загнався» з приводу того, що ці «фахівці Великого Брата з мокрих справ, та ще й явно республіканці» можуть заразом усунути і його самого — якщо насправді він випадково вліз у якісь великі шпигунські ігри і може виявитися непотрібним їх. Начальнику довелося його заспокоювати — і навіть рекомендувати не виявляти під час зустрічі явної ворожості.
Лише затриманий айтішник Грег запропонував залишатися на контакті, неабияк здивувавши розповіддю про те, що ЦРУ до цього моменту «буквально набито комп’ютерами» — і не «для повалення іноземних урядів», як не втримався підколоти Кліффорд, а для обробки величезних обсягів розвідувальної та іншої інформації. Ще він розповів, що нещодавно ЦРУ зіткнулося з витоком секретних даних, коли співробітник одного з підрядників, які займалися розширенням їхньої внутрішньої комп’ютерної мережі, вирішив принагідно зберегти собі дані секретної властивості — його не прикопали в лісі, як припустив Кліффорд, а «тиждень перевіряли на детекторі брехні», а потім звільнили.
Щоправда, враження від нового знайомства дещо зіпсувало згадування ним тієї обставини, що, крім комп’ютерних справ, Грег має відношення до створення мережі інформаторів серед студентів університетів (чого, строго кажучи, ЦРУ на території США робити не належить). Але Кліффорд вирішив, що все одно варто спробувати з ним попрацювати. Грег пообіцяв, що спробує переконати свого начальника Едварда Дж. Меннінга — того самого, чиї контакти викачав хакер і кому дзвонив Кліффорд, який виявився керівником відділу інформаційних технологій ЦРУ — хоча б неформально й «по сірому» дати добро на участь у розслідуванні про хакерів. Але, поки цього не сталося, Столл доведеться й далі стежити за всім самому. І повідомляти Грегу про новини.
Хакер знову проник у лабораторію наступного ж ранку — і діловито рушив по мережі спочатку до Анністона, де добув файл про боєздатність ракет, а потім до армійської науково-дослідної лабораторії балістики в Абердіні, де нічого цікавого у відкритому доступі не виявилося. Через годину хакер повернувся — але, на подив Столла та його колеги, якимось новим хитрим чином через локалку, через що їх налаштована система розпізнавання несанкціонованого входу з оповіщенням не спрацювала.
На ще більше здивування Кліффорда, виявилося, що вхід цього разу був із лабораторії, що працювала на тему ядерної зброї в Ліверморі, і саме від них хтось цього разу забрався до них. Негайно зв’язавшись із сисадмінкою в Ліверморі, вдалося з’ясувати: хакер добув у мережі у Кліффорд пароль співробітника, який бував і там, і там, і був досить необережним, щоб зберігати пари логін-пароль у простому текстовому файлі. Однак вона відмовилася зайнятися вистеженням того, звідки заліз хакер, і просто заблокувала облік: «якщо начальство дізнається, полетить багато голів, а цього ідіота я особисто наздую».
Наступного дня хакер забрався через мережу Столла до Лабораторії штучного інтелекту MIT в Кембриджі, Массачусеттс — як бачимо, інтереси групи Карла Коха не обмежувалися суто питаннями програми СОІ, і питаннями СОІ. Щоправда, система Массачусетського технологічного інституту виявилася досить незвичайною — і йому довелося здебільшого розумітися на тому, як це все взагалі працює, часто звертаючись до вбудованої довідкової системи. На вихідні Кліффорд, щоб хоч трохи відпочити, взагалі відрубав мережу лабораторії від Інтернету, а в понеділок виявилося, що в неї наполегливо намагалися проникнути з таких місць, як армійська база в Анністоні, лабораторія ІІ в MIT, ядерна лабораторія в Ліверморі і навіть пов’язаний з Ліверморі.
Столл переконався, що хакер активно використовував простий, але дуже робочий у ті наївні часи метод: він старанно обшукував усі доступні мережі навколонаукових організацій, починаючи з його лабораторії, у пошуках файлів із парами логін-пароль вчених. А потім шукав аналогічні логіни, які зазвичай збігалися з прізвищами, в мережах навколовоєнного характеру. Саме так, зокрема, він вліз у MIT. Завсідником у мережі Національної лабораторії імені Лоуренса в Берклі хакер був тому, що вона, з одного боку, вона активно працювала у сфері ядерних досліджень, а з іншого — на відміну від Ліверморської, залишалася відкритою. Її мережа була постійно і повністю підключена до Інтернету, але тут же працювало багато вчених та інженерів, які паралельно мали пряме відношення до військових і секретних програм у куди більш закритих організаціях. А до комп’ютерної безпеки багато хто з них ставився як до докучливої формальності, яку цілком можна ігнорувати для зручності.
На той час Кліффорд відчував себе дуже не дуже. Закінчувався третій тиждень відпущеного йому начальством терміну для затримання хакера, після чого передбачалося, що він повернеться до суто робочих обов’язків і не відволікатиметься на «дурницю». Колеги по лабораторії, які не були в курсі про деталі на кшталт зламів військових та спецслужбистських об’єктів, вже відкрито подейкували, що й без того дивакуватий Стол остаточно довкнувся на ґрунті параної. Та ще й «црушників притяг» до Берклі, де їм мало хто був радий. Допомоги ні від ФБР, ні від ЦРУ так і не було. Потрібно було якось прискоритися, і в напружених роздумах Столл народив-таки ідею, як хоча б почати підбиратися до обчислення розташування хакера.
Він зрозумів, що з завантаження файлів той зазвичай використовував протокол і ПЗ Kermit, які тоді були поширені. При передачі даних щодо нього відбувалося постійне пінгування для підтвердження правильності процесу. Кліффорд вирішив спробувати експериментально заміряти швидкість проходження пінгу між комп’ютерами в лабораторії та хакером за допомогою підручного осцилографа. Перші виміри дали близько трьох секунд, і за розрахунками вийшло щось близько відстані від Землі до Місяця. Обговоривши питання з колегами та фізиками, що працюють у лабораторії, Столл зрозумів, що потрібно робити поправки на цілу низку додаткових факторів, що затримують проходження сигналів у мережі — і для розуміння об’єктивних швидкостей потрібні експерименти.
Скориставшись старими та новими знайомими з різних кінців США, він зумів визначити приблизну відповідність між географічною відстанню та швидкістю проходу пінгів у Kermit: близько 1 секунди за 2 тисячі миль (близько 3,2 тисячі кілометрів), наприклад, між Берклі та Нью-Йорком. Судячи з отриманих раніше даних від телефонної компанії, хакер швидше за все входив до американського сегменту Інтернету через Віргінію на Східному узбережжі. Відповідно, залишалося ще дві секунди чи чотири тисячі миль. Припущення, що хакер міг діяти з-за меж США, почало переростати у впевненість.
До кінця вересня 1986 року активність хакера стала спадати – він з’являвся майже щодня, але всього на кілька хвилин, а на початку жовтня зник зовсім. Через збіг обставин саме в цей час історія стала надбанням преси: Кліффорду нажалився сисадмін зі Стенфордського університету, якого дошкуляв невловимий хакер — з зовсім іншим почерком і швидше за все з-поміж студентів, а той розповів про своє розслідування. Незабаром у газеті San Francisco Examiner вийшла стаття вже відомого нам з історії Кевіна Мітніка Джона Маркоффа, де той яскравими фарбами розписав хакерські бешкетування в Стенфорді, а також згадав, що проблеми подібного роду є в лабораторії імені Лоуренса. Знову хакер з’явився в мережі 12 жовтня, і одразу вирушив на базу в Анністоні, але там адмін уже видалив облік, яким він користувався. Продемонструвавши продуманість і добре розуміння своєї справи, хакер зумів швидко знайти залишену ним ще влітку «закладку» на такий випадок у системі, і спокійно продовжив копатися у файлах.
Через деякий час він знову з’явився в системі лабораторії – і методично змінив паролі на всіх обліках, що використовуються на lblhack: буквально «злом Лоуренсівської Лабораторії в Берклі». Для чого це було зроблено, не цілком зрозуміло, але можна припустити, що команда Карла Коха на цей момент передбачала продати КДБ логіни та паролі для самостійного входу, і очікувано не хотіла «палити» власні. Якраз у Хелловін 31 жовтня хакер знову перевершив сам себе в очах Столла, хвацько вдершись з атрибутами UUCP на лабораторний комп’ютер Elxsi, про який не знав і сам Кліффорд, зареєструвавшись там з ніком Марк. Це вже було явним нахабством – оскільки, ймовірно під 99%, вчинив це саме Марк ус Urmel Гесс з команди Карла Коха.
Столл, втомившись офігувати, знову спробував привернути увагу компетентних органів — і знову все розвели руками. Включно з ФБР уже всьоме — і більше того, через начальство йому дали зрозуміти, що ФБР він уже добряче задовбав. Окремо у Кліффорда смикалося око від того, що з точки входу у Віргінії можна було відстежити хакера далі, але зламування комп’ютера в Каліфорнії за тодішнім законодавством не могло бути підставою для дій ФБР чи когось ще у Віргінії.
Але цього разу він отримав від співробітника служби безпеки Міністерства енергетики Каліфорнії, до сфери діяльності якого належала лабораторія, пораду звернутися до єдиного несекретного підрозділу АНБ — Національного центру комп’ютерної безпеки. В АНБ воно вважалося найменш престижним, але там був шанс, що Столла хоча б не надішлють відразу. До АНБ Кліффорд теж ставився вкрай несхвально — небезпідставно вважаючи, що там вдень і вночі прослуховують і читають чужі розмови без особливої уваги формальної легальності цього захоплюючого процесу.
Але робити не було чого. Зік Хенсон із НЦКЛ АНБ щиро зацікавився розслідуванням, але він сказав, що з юридичної точки зору нічим допомогти не може. Хоча обговорить питання із керівництвом. Столл описував, що після цієї розмови просто опинився в прострації: він уже багато тижнів усіма силами намагається захистити національну безпеку США, але всі могутні спецслужби наддержави відмовляються йому допомагати з формально-бюрократичних причин і дивляться майже як на дурника.
Кліффорд з юності побоювався спецслужб, бачачи в них могутні й легко ігнорують закони організації — але за ближчого знайомства вони постали перед ним безпорадними перед формальними приписами бюрократами, які вперто відмовлялися зайнятися прямою і явною загрозою національній безпеці та їх власним даним.
Можливо, перші хакери на службі КДБ так і залишилися б невідомими широкому загалу — але Кліффорд Столл через кілька хвилин роздумів найпохмурішої властивості вирішив, що все ж таки має наступити на хвіст тим, хто так нахабно використовує підзвітну йому комп’ютерну мережу. Навіть якщо спецслужбам те, що відбувається, абсолютно «по барабану». Наприкінці листопада 1986-го він випадково з’ясував, що для визначення телефонного номера, за яким відбувалося з’єднання, не був потрібний формальний ордер: компанії зазвичай відмовлялися робити це за запитами громадян просто тому, щоб позбутися зайвої мороки та завадити любителям ідіотських розіграшів.
Він зумів нарешті «дотиснути» компанію методами улюбленої Митником соціальної інженерії і з’ясувати нарешті номер 703/448-1060 — а потім, ними ж, пославшись на дзвінок, що зірвався, з’ясувати місцезнаходження телефону. Воно виявилося в офісі тісно пов’язаним з американським ВПК та спецслужбами у сфері секретних проектів та розробок НКО MITRE Corporation, Маклейн, Віргінія. Саме поруч зі штаб-квартирою ЦРУ в Ленглі. І це була одна з тих організацій, проникнення в які зарубіжних розвідок було ніби небезпечнішим для нацбезпеки США, ніж у Ленглі або Пентагон.
