Clifford Stoll | Gián điệp mạng (Chương 11)

Tối hôm đó, lẽ ra phải học luật hiến pháp thì Martha lại ngồi khâu một cái chăn hoa. Tôi về nhà với tâm trạng ủ ê: cuộc theo dõi bí mật ở thư viện tưởng chừng đã hứa hẹn là thế! Hãy quên gã hacker đi. Anh về nhà rồi mà.

Nhưng biết đâu ngay lúc này hắn lại đang sục sạo trong hệ thống của anh thì sao? Tôi vẫn chưa thôi nỗi ám ảnh về hắn.

Nếu đúng thế thì anh cũng không thể làm gì được đâu. Đây, xâu kim rồi khâu mũi này cho em.

Martha rũ bỏ những căng thẳng ở trường luật bằng cách khâu vá; vậy chắc cách này cũng phát huy tác dụng với tôi. Sau 20 phút im lặng, trong lúc nàng học bài, đường khâu của tôi bắt đầu có dấu hiệu xiêu vẹo.

Khi có được lệnh của tòa rồi, bọn anh vẫn phải chờ cho đến khi gã hacker xuất hiện. Với những gì bọn anh biết, thì thời điểm đó sẽ là ba giờ sáng, không có ai xung quanh cả.

Em nói rồi, hãy quên gã hacker đi. Anh về nhà rồi kia mà.

Cô ấy thậm chí còn không rời mắt khỏi cuốn sách đang đọc.

Quả nhiên, ngày hôm sau gã hacker vẫn chưa xuất hiện. Nhưng lệnh lục soát thì đã kịp về đến nơi. Thế là công việc của chúng tôi trở thành hợp pháp rồi.

Tất nhiên, không thể tin tưởng giao phó một công việc quan trọng như lần dấu điện thoại vào tay tôi được: Roy Kerth đã nói rõ chỉ ông mới được quyền trao đổi với cảnh sát.

Chúng tôi tập dượt vài lần để học thuộc việc nào thì cần gọi cho ai, đồng thời kiểm tra xem liệu chúng tôi có thể tự dò lần trong mạng nội bộ của chính mình không. Sau đó, tôi chán quá nên quay về viết tiếp phần mềm phân tích các công thức quang học dành cho giới thiên văn học.

Buổi chiều, Roy triệu tập cả hai nhóm quản lý và vận hành hệ thống lại với nhau. Ông cà kê giảng giải cho chúng tôi hiểu vì sao phải giữ bí mật về những cuộc truy lùng này – tóm lại là vì không biết gã hacker từ đâu đến, nên chúng tôi phải tuyệt đối không tiết lộ công việc này cho bất kỳ ai bên ngoài phòng thí nghiệm. Tôi nghĩ có lẽ người ta sẽ nói ít đi nếu họ biết chuyện gì đang xảy ra, nên tôi dùng phấn và bảng để chia sẻ với họ về những gì chúng tôi đã chứng kiến và những ý định tiếp theo. Dave Cleveland nói xen vào về lỗ hổng Gnu – Emacs, còn Wayne chỉ ra rằng từ giờ chúng tôi tuyệt đối chỉ trao đổi miệng với nhau về gã hacker, vì hắn thường xuyên đọc lén email của chúng tôi. Rồi buổi họp trở nên ồn ào và lộn xộn hệt như các cảnh bàn bạc âm mưu trong những bộ phim hài về gián điệp.

12 giờ 42 phút chiều ngày thứ Ba, tài khoản của Sventek bật sáng. Roy gọi cho đội cảnh sát nội bộ của phòng thí nghiệm – chả là họ muốn phụ trách các cuộc truy lùng qua đường dây điện thoại. Khi Tymnet đã dò xong mạng lưới phía họ, Roy hét lớn vào dây nói. Tôi nghe rõ mồn một giọng ông trong cái gọi là cuộc trao đổi này.

Chúng tôi muốn các anh phải truy ra được một con số. Chúng tôi đã có lệnh lục soát của tòa rồi. Hãy làm ngay cho tôi.

Im lặng một lúc. Sau đó, ông lại hét lên.

Tôi không quan tâm đến vấn đề của các anh! Hãy bắt đầu cuộc truy đuổi ngay bây giờ!

Tiếp tục im lặng.

Nếu không làm ngay lập tức, các anh sẽ được tiếp chuyện trực tiếp với giám đốc phòng thí nghiệm đấy.

Nói rồi, Roy dập mạnh máy nói xuống.

Mặt sếp tôi tím lên vì giận dữ. Đội cảnh sát của chúng ta là đồ chết dẫm! Họ chưa làm việc này bao giờ nên không biết phải gọi cho ai ở hãng điện thoại để xử lý.

Phù, may quá. Ít ra cơn giận của sếp nhắm vào chỗ khác.

Mà có lẽ thế lại hay. Gã hacker chỉ liệt kê tên những người dùng đang hoạt động rồi ngắt kết nối sau vài phút. Khi cuộc lần dấu điện thoại vừa bắt đầu thì cũng là lúc không còn kết nối nào để lần theo nữa.

Trong lúc chờ sếp hạ hỏa, tôi ngồi nghiên cứu bản in. Không có gì nhiều để ghi vào sổ nhật ký. Gã hacker chỉ đăng nhập, liệt kê tên người dùng, rồi đăng xuất. Đến email hắn còn không kiểm tra.

A! Tôi hiểu tại sao hắn phải vội vàng như vậy rồi. Lúc đó, người vận hành hệ thống cũng đang hoạt động trên mạng. Có lẽ gã hacker đã biết tên tài khoản của anh ta nên vừa nhìn thấy đối phương, hắn liền biến mất. Quả nhiên, xem lại những bản in cũ, tôi thấy hắn chỉ hoạt động khi trên mạng lưới không có dấu chân của người vận hành hệ thống nào. Thật là một kẻ hoài nghi đến cực đoan. tôi nói chuyện với từng người vận hành, và giải thích cho họ về chuyện này.

Từ giờ trở đi, họ sẽ phải vận hành hệ thống một cách kín đáo bằng các biệt danh.

Ngày 16 tháng Chín là kết thúc tuần thứ hai của cuộc đuổi bắt này. Tôi cố gắng quay lại với đề tài quang học, nhưng tâm trí cứ mê mải với những bản in. Cầu được ước thấy, sang đầu giờ chiều, thiết bị đầu cuối của tôi lại phát ra tiếng bíp: gã hacker đã quay trở lại. tôi gọi cho Tymnet, rồi gọi sếp. Lần này, chúng tôi lập một cuộc gọi hội nghị, nên tôi vừa được lắng nghe diễn tiến của cuộc truy lùng lại vừa được theo dõi trực tiếp hành tung của gã hacker trong hệ thống của chúng tôi.

Chào Ron, Cliff đây. Chúng tôi muốn lần theo dấu vết một cuộc gọi nữa ở đường dây Tymnet, LBL, nút 128, cổng 3.

Đầu dây bên kia phát ra tiếng sột soạt trong một phút.

Có vẻ đó là modem thứ ba trong cụm dây 1.200 baud của chúng tôi. Tức là đường dây 2903. Số 415/ 430 – 2903.

Cảm ơn Ron.

Nghe được thông tin này, viên cảnh sát của chúng tôi báo lại cho Lee Cheng ở công ty điện thoại.

Cuộc gọi xuất phát từ trạm trung chuyển Franklin. Giữ máy nhé. Tôi đã quen với việc phải giữ máy chờ khi liên lạc với công ty điện thoại rồi nên không mấy bận tâm. tôi theo dõi gã hacker kích hoạt tệp tin movemail của Gnu – Emacs. Hắn đang vào vị trí siêu người dùng, nên có lẽ sẽ còn lảng vảng trên mạng lưới trong ít nhất 10 phút nữa. Vừa kịp để chúng tôi hoàn tất cuộc truy lùng. Cố lên, Pacific Bell! Ba phút trôi qua. Lee trở lại đường dây.

Đường dây đang hoạt động, tốt rồi. Kết nối với trục dẫn đến Berkeley. Kỹ thuật viên của tôi đang kiểm tra đường dây này.

Hai phút nữa trôi qua. Gã hacker lúc này đã trở thành siêu người dùng. Hắn đi thẳng tới tệp tin email của quản lý hệ thống.

Kỹ thuật viên ở Berkeley báo rằng đường dây này đang kết nối với đường dây đường dài của AT&T. Giữ máy nhé.

Nhưng Lee không bấm nút giữ, nên tôi ghé sát tai vào máy để nghe cuộc trao đổi của anh với văn phòng Berkeley. Anh chàng kỹ thuật viên ở Berkeley quả quyết rằng đường dây đó xuất phát từ một nơi rất xa; Lee bảo anh ta kiểm tra lại lần nữa. Lúc này, gã hacker đang lần mò trong tệp tin mật khẩu của chúng tôi. Tôi đoán gã định chỉnh sửa nó, nhưng tâm trí tôi còn mải lắng nghe cuộc trao đổi đang diễn ra ở công ty điện thoại.

Đó là nhóm nhánh 369, khốn khiếp thật, nó được định hướng tới 5096MCLN.

Anh chàng kỹ thuật viên ở Berkeley có lẽ đang sử dụng mật ngữ thì phải.

Thôi được rồi, chắc chúng ta phải gọi New Jersey thôi.

Giọng Lee nghe có vẻ thất vọng. Cliff, anh vẫn còn ở đó chứ?

Vâng. Chuyện gì xảy ra vậy?

Không có gì. Liệu hắn sẽ nán lại trong bao lâu nữa? Tôi nhìn vào bản in. Gã hacker đã rời khỏi tệp tin mật khẩu và đang dọn dẹp các tệp tin tạm thời của hắn.

Tôi không dám nói trước đâu. Có thể là – ối, hắn đăng xuất mất rồi.

Ngắt kết nối từ Tymnet.

Ron Vivier im lặng nãy giờ lên tiếng.

Ngắt kết nối điện thoại rồi.

Dấu vết của Lee bốc hơi.

Viên cảnh sát của chúng tôi bắt đầu cuộc trao đổi. Chà, các quý ông, chuyện gì vừa xảy ra vậy?

Lee Cheng lên tiếng trước. Tôi nghĩ cuộc gọi này xuất phát từ khu Bờ Đông. Có chút khả năng đó là một cuộc gọi cục bộ từ Berkeley, nhưng… không phải, nó xuất phát từ AT&T.

Lee đang vừa nói vừa nghĩ, như một sinh viên trong kỳ thi vấn đáp. Tất cả các dây đường trục của Pacific Bell đều được gắn mã định danh ba số, chỉ những trục đường dài mới có mã định danh bốn số. Đường dây này… để tôi xem thử. Tôi nghe tiếng Lee gõ trên bàn phím.

Một phút sau, Lee quay trở lại cuộc trao đổi. Cliff này, anh có biết ai ở Virginia không? Có lẽ là Bắc Virginia chăng?

Không. Không có máy gia tốc hạt nào ở gần đó cả. Thậm chí còn không có phòng thí nghiệm vật lý nào cả. À, có chị tôi ở đó…

Anh có nghĩ là chị gái anh lại xâm nhập vào máy tính của anh không?

À, hẳn rồi. Chị tôi vốn là nhân viên soạn thảo văn bản kỹ thuật cho Hải quân kia mà. Chị ấy còn tham gia chương trình bổ túc buổi tối của trường Cao đẳng Hải chiến của Hải quân nữa.

Nếu chị ấy làm thế, tôi trả lời, thì có lẽ tôi sẽ đi đầu xuống đất.

Vậy thì hôm nay chúng ta chỉ dừng lại ở đây thôi. Lần tới, tôi sẽ cố gắng đẩy nhanh tiến độ truy đuổi hơn.

Thật khó hình dung nổi cuộc truy đuổi nào nhanh hơn thế nữa. Tôi tập hợp mọi người trong năm phút. Ron Vivier dành hai phút để lần dấu cuộc gọi qua Tymnet; Lee Cheng dành bảy phút để len lỏi qua vài tổng đài điện thoại.

Trong chưa đầy 15 phút, chúng tôi đã bám theo gã hacker qua một máy tính và hai mạng lưới.

Nhưng đây mới là vấn đề đau đầu: Sandy Merola linh cảm rằng gã hacker đến từ Đại học Berkeley. Dave Cleveland thì quả quyết hắn nhất định không phải người ở Berkeley. Chuck McNatt từ Anniston lại nghi ngờ hắn lảng vảng ở Alabama. Dấu vết của Tymnet trực chỉ hướng Oakland, California.

Còn bây giờ Pacific Bell lại nói Virginia. Hoặc đó là New Jersey cũng chưa biết chừng? Sổ nhật ký của tôi kín dần lên theo từng phiên truy cập của gã hacker. Chỉ tóm tắt lại sự việc thôi thì chưa đủ. Tôi bắt đầu ghi chú thích cho mỗi bản in và tìm kiếm mối tương quan giữa những phiên truy cập. Tôi muốn hiểu rõ về vị khách của mình: hiểu được những mong muốn của hắn, dự đoán được những bước đi của hắn, biết tên hắn và tìm ra địa chỉ của hắn.

Trong lúc bận điều phối các cuộc truy đuổi, tôi không kịp chú ý đến hành tung của gã hacker. Giai đoạn cao trào qua đi, tôi giấu mình trong thư viện với bản in phiên truy cập mới nhất của hắn.

Ngay lập tức, tôi nhận ra rằng 15 phút tôi vừa quan sát được chỉ là đoạn cuối công việc của gã hacker. Hóa ra, hắn đã kết nối với hệ thống của chúng tôi trong suốt hai giờ, vậy mà tôi chỉ chú ý đến hắn trong vẻn vẹn 15 phút cuối cùng. Tệ thật. Giá mà tôi phát hiện được hắn ngay từ đầu, thì hai giờ sẽ đủ để hoàn thành cuộc truy đuổi.

Điều tệ hơn nữa là lý do vì sao tôi không phát hiện ra hắn sớm hơn. Tôi chỉ tập trung theo dõi hoạt động trên tài khoản của Sventek, trong khi hắn dùng đến ba tài khoản khác trước khi đụng vào tài khoản của Sventek.

Lúc 11 giờ 9 phút sáng, một hacker nào đó đã đăng nhập vào tài khoản của nhà vật lý hạt nhân tên là Elissa Mark. Đây là tài khoản hợp lệ, có hóa đơn sử dụng máy tính được gửi cho phòng vật lý hạt nhân, nhưng chủ sở hữu tài khoản này đang trong năm nghỉ phép nghiên cứu và đang ở Fermilab. Tôi gọi điện hỏi thì Elissa cho hay cô không biết gì về chuyện có người đang sử dụng tài khoản máy tính của mình; cô thậm chí còn không biết là tài khoản này vẫn còn tồn tại. Liệu đây có phải vẫn là gã hacker mà tôi bám theo? Hay là một ai khác? Tôi không có cách nào để biết trước được rằng tài khoản của Mark đã bị đột nhập. Nhưng càng giở các trang sau của bản in, các bằng chứng càng hiện rõ.

Kẻ sử dụng tài khoản của Mark đã trở thành siêu người dùng bằng cách trườn qua lỗ hổng Gnu – Emacs. Với vị thế của quản lý hệ thống, hắn tìm kiếm những tài khoản đã lâu không được sử dụng, và lọc ra ba tài khoản: Mark, Goran và Whitberg. Hai tài khoản sau là của các nhà vật lý học vốn đã rời khỏi phòng thí nghiệm của chúng tôi từ lâu.

Hắn chỉnh sửa tệp tin mật khẩu rồi thổi hồn vào ba tài khoản đã chết này. Vì chưa có tài khoản nào bị xóa, nên mọi tệp tin và thông tin kế toán của chúng vẫn hợp lệ. Để đánh cắp được những tài khoản này, gã hacker cần phải có trong tay mật khẩu. Nhưng mật khẩu lại được quy trình mã hóa bảo vệ, tức hàm cửa lật DES của chúng tôi. Không hacker nào có thể xuyên qua lớp áo giáp này.

Nhưng với quyền năng của siêu người dùng mà hắn đánh cắp được, gã hacker đã chỉnh sửa tệp tin mật khẩu trong toàn hệ thống. Tức là, hắn không tìm cách phá giải mật khẩu mã hóa của Goran mà xóa hẳn nó đi. Khi tài khoản này không còn mật khẩu, hắn có thể đăng nhập với tư cách Goran.

Tới đây thì hắn ngắt kết nối. Hắn định làm gì vậy? Không thể bẻ gãy mật khẩu, nhưng với tư cách siêu người dùng, hắn không cần phải làm vậy. Chỉ cần điều chỉnh tệp tin mật khẩu là xong.

Một phút sau hắn lại xuất hiện trên cương vị Goran, và chọn mật khẩu mới là Benson cho tài khoản này. Lần tới, khi Rodger Goran sử dụng máy Unix của chúng tôi, hẳn anh sẽ bực mình khi thấy mật khẩu cũ đã vô tác dụng.

Gã hacker đã đánh cắp một tài khoản khác.

Ra là vậy – đây là lý do tại sao hắn lại nhắm vào những tài khoản cũ. Nếu hắn đánh cắp tài khoản đang hoạt động, mọi người sẽ nhận ra và phàn nàn.

Cướp của người chết thì không ai kháng cự cả.

Dù trên cương vị siêu người dùng, hắn cũng không thể đảo ngược hàm cửa lật DES, nên không thể phá giải được mật khẩu của những người khác.

Nhưng hắn có thể dùng con ngựa thành Troy để loại bỏ các mật khẩu, hoặc đánh cắp toàn bộ tài khoản bằng cách thay đổi sang mật khẩu mới.

Sau khi đánh cắp tài khoản Goran, hắn chuyển sang tài khoản Whitberg. Gã hacker lúc này đã kiểm soát ít nhất bốn tài khoản là Sventek, Whitberg, Goran và Mark trên hai máy Unix của chúng tôi. Liệu hắn còn nắm giữ bao nhiêu tài khoản khác nữa? Trên những hệ thống nào nữa? Khi hoạt động trên danh nghĩa tài khoản Whitberg, gã hacker tìm cách kết nối qua liên kết Milnet của chúng tôi với ba hệ thống của Không quân. Sau một phút chờ đợi các máy tính xa xôi này phản ứng, hắn bỏ cuộc và quay sang liệt kê các tệp tin của những người ở LBL. Hắn bắt đầu cảm thấy mệt mỏi sau khi đọc một vài bài báo khoa học, một vài đề án nghiên cứu nhàm chán và một bản hướng dẫn chi tiết cách đo tiết diện hạt nhân của một số đồng vị beryllium. Việc xâm nhập vào các máy tính chắc chắn không phải là chìa khóa dẫn đến quyền lực, sự nổi tiếng và trí khôn ngoan của thời đại.

Việc xâm nhập vào hai hệ thống Unix vẫn chưa thỏa mãn được lòng tham của kẻ thù của tôi. Hắn tìm cách nhảy qua đường hào xung quanh chiếc máy Unix – 8 đã được bảo vệ, nhưng thất bại – Dave đã phong tỏa nó rồi. Bực bội vì việc này, hắn ra lệnh in danh sách các máy tính ở xa xôi đang kết nối với chúng tôi.

Không có gì bí mật ở đó cả, chỉ là những cái tên, số điện thoại và địa chỉ điện tử của 30 máy tính Berkeley.

Đọc Gián điệp mạng, chương 01 tại đây.

Đọc Gián điệp mạng, chương 02 tại đây.

Đọc Gián điệp mạng, chương 03 tại đây.

Đọc Gián điệp mạng, chương 04 tại đây.

Đọc Gián điệp mạng, chương 05 tại đây.

Đọc Gián điệp mạng, chương 06 tại đây.

Đọc Gián điệp mạng, chương 07 tại đây.

Đọc Gián điệp mạng, chương 09 tại đây.

Đọc Gián điệp mạng, chương 10 tại đây.

Đọc Gián điệp mạng, chương 11 tại đây.

Đọc Gián điệp mạng, chương 12 tại đây.