Hackerne

INFORMATIONS TEKNOLOGI
Hackere








Lavet af: Philip Svendsen
Fag: Informations Teknologi C+B
Lærer: Arne



HACKER

Onsdag den 10. november 1993 ringer en telefon på Københavns Universitet: "Hallo, du taler med sikkerhedschefen. Der er nogle hackere, som forsøger at misbruge din adgang til universitetets computersystem. Giv mig lige dit password, så jeg kan komme ind og stoppe dem." Manden på universitetet er naturligvis skeptisk, men stemmen i telefonen tilhører tydeligvis en computerekspert, og navnet på sikkerhedschefen er også rigtigt nok, så efter lidt overtalelse oplyser han sit hemmelige kodeord. Det skulle han aldrig have gjort. For stemmen i den anden ende er alt andet end sikkerhedsekspert. Han er hacker. Og for ham er kodeordet lige så værdifuldt, som brækjern og dirk er det for en indbrudstyv. Efter at være brudt ind i universitetets computere giver han sig til at snuse rundt i systemet. Han søger hverken efter forskningsresultater eller eksamensopgaver. For ham er universitetets computere kun en platform, der kan bruges til at komme videre ud i verden. Hver gang en hacker får magten over en ny computer, har han vundet en sejr. Det er i virkeligheden, det, det hele gælder om. At narre computeren til at give ham ubetinget magt over hele systemet. Så snart han har fået det, er computeren uinteressant, og han hopper videre ud på den elektroniske informationsmotorvej, hvor flere hundrede tusinde computere er forbundet i netværk verden over. Der forsøger han efter udgangen. Hvad hackeren og hans kolleger dog ikke ved, er, at den sikkerhedsmand, hvis navn de misbrugte til at skaffe sig det hemmelige kodeord, er lige i hælene på dem.

Nåede at hacke i elleve lande, før fælden klappede
Da indbruddet på Københavns Universitet skete, havde sikkerhedsfolk fra Danmarks edb-center for forskning og uddannelse, Uni-C, i månedsvis vidst, at en gruppe danske hackere var meget aktive. Men det var endnu ikke Lykkedes dem at få tilpas stort overblik over hakkernes færden til at sige noget præcist om, hvor de opererede fra.
Det lykkedes til gengæld en lille måned senere. Onsdag den 8. december klappede fælden, og fire hackere. De fire unge med dæknavnene "Le Cerveau",
"Dixie", "Zephyr" og "Wed-lock" var alle mellem 17 og 23 år, og med anholdelsen begyndte førstedel af det, der udviklede sig til Skandinaviens hidtil største hackersag. I de sidste dage før anholdelserne "arbejdede" hackerne næsten i døgndrift. De brød dagligt ind i et halvt hundrede computersystemer og nåede ud over Danmark at besøge Belgien, Brasilien, England, Grækenland, Japan, Israel, Norge, Sverige, Tyskland og USA.

Små uregelmæssigheder afslører hackerne
Ligesom i tidligere sager om hacking var sikkerhedskonsulent Jørgen Bo Madsen fra Uni-C også med i jagten på "Le Cerveau", "Dixie", "Zephyr" og "Wedlock". Men da sagen endnu ikke er færdigbehandlet, afviser han at tale om netop den. Han udtaler sig kun generelt: "En hackerjagt starter altid med, at nogen opdager, at noget ikke er, som det plejer." Det kan være tydelige spor, som at dele af et computersystem er blevet slettet, eller at særligt mange indtaster forkerte kodeord, når de ringer op til systemet. I ni ud af ti tilfælde findes der en naturlig forklaring. Men i det tiende tilfælde viser mistanken om et hackerangreb sig at være begrundet. Og så går jagten ind. "Nogle gange kommer vi for sent. Vi kan se tydelige spor efter hackerne - de kan fx havde oprettet en bagdør. Men de bruger den ikke mere, og så er festen forbi," fortæller Jørgen Bo Madsen. En bagdør er et hemmeligt hul computerens sikkerhedssystem, som hackerne selv laver, efter de er brudt ind i systemet. Bagdøren står altid åben, så hackerne til en hver kan bryde ind i computeren uden at oplyse så meget som et password. Hvis hackerne derimod stadig færdes i computeren, giver sikkerhedsfolkene sig i al ubemærkethed til at overvåge deres aktiviteter. "Vi ser, hvad de laver, og prøver at få overblik over deres færden. For os gælder det om at finde den røde tråd i deres aktiviteter, inden de mister interessen for maskinen og hopper videre til en anden." Det største problem for Jørgen Bo Madsen og hans kolleger er, at hackerne går mange og lange omveje for at sløre deres spor. Det er ikke ualmindeligt, at en hacker starter med at bryde ind i en computer i Danmark og derfra hopper videre til et system i fx USA. Der springer han måske videre mellem fire forskellige universiteter, inden han via Tyskland kommer tilbage til den computer i Danmark, han i virkeligheden ville prøve kræfter med. "Det gør det meget vanskeligt for os at spore dem. I løbet af kort tid kan 30 forskellige systemadministratorer være involveret Jorden rundt flere gange, samme sag.

Der er ikke meget James Bond over det
I modsætning til amerikanske film, hvor popsmarte digitaldetektiver zoomer ind på hackerne og nagler dem til et virtuelt gerningssted med nogle få tastetryk, er virkeligheden knap så actionpræget. "Der er ikke meget James Bond over det vi laver" siger Jørgen Bo Madsen og forklarer: "Langt det meste af tiden går med at kommunikere med andre system-administratorer og med at læse log-filer. En logfil er billedlig talt en "optagelse" af alt, hvad der foregår på en computer. Og selvomlogfilerne når at blive et par dage gamle, inden Jørgen Bo Madsen får dem hjem, er de mange tal og bogstaver stadig lige spændende læsning for ham. "Efterhånden, som jeg får overblik over logfilerne, lærer jeg også hackerne at kende. Fx kan jeg se, om det er ham den klodsede, som altid bytter om på bogstaverne E og R, der har været der. Eller jeg kan genkende ham den superdygtige der på ingen tid tjekker alle afkroge af systemet og laver sig en bag dør så han altid kan vende tilbage." Når Jørgen Bo Madsen kommer til det punkt, hvor han kan overskue hackernes færden og kender deres vaner, er der typisk gået tre måneder. I rundt regnet hundrede dage har han fulgt sporet og formentlig været. Jorden rundt flere gange. Men det er ikke kun hackerjægeren, der lever med hackerne dag og nat. Hackerne lever også med jægeren. Og hackere, der om nogen mestrer kunsten at gemme sig i computere, er også eksperter i at få færten af andre, der prøver at gemme sig i de samme computere. Hackere har flere sløringstaktikker. En af de mere raffinerede, som de dog kun kan bruge, hvis de har fuld kontrol med computeren, er at slette de logfiler, som vidner om deres færden. En anden og langt mere udbredt taktik er at skifte rute med jævne mellemrum, så jægeren bliver sat et par dage tilbage i sporingsarbejdet.

Jægeren er ikke et hak bedre end bytte
Men jægeren lægger også røgslør ud og sætter også fælder op.
"Vi tager chancer hele tiden. Hvis fx gerne vil have dem til at tage en anden rute, hvor vores sporingsmuligheder er bedre, eller hvis en computer er risikabel at have stående åben, så lukker vi maskinen ned. For ikke at vække hackernes mistanke lægger vi en falsk besked om, at systemet er nede på grund af service eller lignende," fortæller Jørgen Bo Madsen.
Hvis hackerne opfører sig, som hackere plejer, komer de dog før eller senere til at give jægerne en hjælpende hånd ganske ufrivilligt.
Det gør de, fordi antallet af computere, de har kontrol over, stiger eksplosivt i løbet af nogle få måneder. Hvert system giver adgang til en hel række nye systemer, der igen giver adgang til... De mange muligheder gør ofte hackerne uforsigtige. De bliver sløsede, glemmer, at de ikke er usårlige, og begynder at slække på "sikkerheden". Typisk skærer de ned på antallet af computere, de bruger som mellemstationer, og gør det på den måde nemmere for jægerne at følge deres spor.

Ikke alle tør melde hackerne til politiet
Når og hvis det lykkes for Jørgen Bo Madsen at spore den telefonlinie, hackerne arbejder fra, er hans arbejde i og for sig slut. Alt, hvad han har tilbage at gøre, er at ringe op til ejeren af det pågældende computersystem og fortælle, hvad han ved. Og kun hvis ejeren ønsker at melde det til politiet, kan en egentlig sporing af telefonlinien komme på tale. Men hvis ejeren af den første computer, hackerne bruger på deres verdens omspændende indbrudsturne, fx tilhører en bank, der ikke vil risikere offentlighedens søgelys, så slutter jagten få meter fra byttet. Ofte bliver flere firmaer angrebet samtidig. I den aktuelle sag mod de fire danske hackere var der sikre spor efter 13 digitale indbrud i Danmark. Kun ni af de angrebne henvendte sig til politiet. En af grundene til, at der "kun"blev fundet beviser for 13 tilfælde af hacking i Danmark, var, at mange af dem, der lå inde med belastende materiale, nåede at slette deres spor. Det gjorde de fordi, de blev advaret. Advarslen blev spredt i hele Danmark af pressen. Da rygtet om de første anholdelser nåede den hårde kerne i hackermiljøet, kontaktede de pressen og fortalte, at en stor hackerrazzia var i gang. Og takket være pressen gik der ikke mange timer, før rygtet nåede den fjerneste afkrog af landet. Det er frækt!