CCC - Das chaos Computer Buch
CCC - Das chaos Computer Buch
CCC - Das chaos Computer Buch
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Das</strong> Chaos <strong>Computer</strong> <strong>Buch</strong><br />
<strong>Das</strong> Chaos <strong>Computer</strong> <strong>Buch</strong><br />
Eine Meldung<br />
Message inbox: 118 - Read<br />
From: «Roy Ommond» (OMOND~EMBL.BITNET)<br />
To: «Info-Vax§SRI-KL.arpa)<br />
Subject: *** Important Message ***<br />
Date: Fri, 31 Ju1 87 17:56:39 n<br />
Organisation: European Molecular Biology Laboratory<br />
Postal-Adress: Meyerhofstrasse 1, 6900 Heidelberg, W. Germany<br />
Phone: (6221)3 87-0 (switchboard) (6221)3 87-248 [direct]<br />
Fellow System Managers,<br />
take heed of the following saga.<br />
Well, the well known patch to SECURESHR.EXE took a *long* time in coming to<br />
Europe. In fact, it took me several days to convince the local DEC people that there<br />
was a security loophole in VMS 4.5. . . *sigh*. Anyway, in the meantime, we got<br />
screwed around by German hackers (probably from the notorious Chaos <strong>Computer</strong><br />
Club in Hamburg). Before I hat the change to install the patch, atheyn managed to get<br />
in an did pretty well at covering their tracks. They patched two images, SHOW.EXE<br />
and LOGINOUT.EXE so that a) they could login to *any* account with a certain<br />
password, which i'll not divulge, b) SYS$GWIJOBCNT was decremented and c) that<br />
process would not show up in SHOW USERS. They have cost a lot of real money by<br />
using our X.25 connection to login to several places all around the globe. I have done<br />
my best to notify per PSImain those VAX sites that were accessed from our hacked<br />
system. I pray (and pray and pray. ..) that no other damage has been done, and that I'm<br />
not sitting an a time bomb. Anyway, the following information might help others to<br />
check if they have been tampered with:<br />
Use CHECKSUM to perform a checksum of LOGINOUT.EXE and SHOWEXE as<br />
follows:<br />
$ Check Sys$System:Loginout.Exe<br />
$ Show Symbol Checksum$Checksum<br />
if you get value 3490940838 then you're in trouble<br />
$ Check Sys$System: Show.Exe<br />
if you get 1598142435, then again you're in trouble.<br />
Now something I'm a bit unsure about whether I should publicise: Two persons, with<br />
known connections with the Chaos <strong>Computer</strong> Club in Hamburg who I know have<br />
distributed the patches mentioned above (and in my opinion are to be considered along<br />
with the lowest dregs of society) I will name here:<br />
and (at our own outstation of the EMBL in Hamburg)<br />
(at the Univ. of Karlsruhe)<br />
in the hope someone somewhere will a) be saved some hassle from them and b) might<br />
perform physical violence an them.<br />
Jeez, I'm scared.. .<br />
Roy Ommond<br />
System Manager etc.<br />
European Molecular Biology Laboratory,<br />
Heidelberg, West German.<br />
Liebe Kollegen System-Manager,<br />
hört die nun folgende Saga.<br />
Nun, der wohlbekannte Patch für SECURESHR.EXE (eine Sicherheitsroutine)<br />
brauchte *lange* Zeit, um nach Europa zu kommen. Tatsächlich benötigte ich einige<br />
Tage, um die hiesigen DEC-Leute davon zu überzeugen, dass es ein Sicherheitsloch<br />
in VMS 4.5 gab... *seufz*. Wie dem auch sei, in der Zwischenzeit kriegten wir es mit<br />
deutschen Hackern zu tun (wahrscheinlich von dem berüchtigten Chaos <strong>Computer</strong><br />
Club in Hamburg). Bevor ich den Patch installieren konnte, gelangten «sie» ins<br />
System und verwischten ihre Spuren sehr gut. Sie veränderten zwei Programme,<br />
SHOW.EXE und LOGINOUT.EXE, so dass sie<br />
a) sich unter *jedem* beliebigen Benutzernamen mit einem bestimmten Passwort, das<br />
ich hier nicht offenbaren werde, einloggen konnten,<br />
b) SYS$GWIJOBCNT (eine Systemvariable) heruntersetzten, c) von SHOW USERS<br />
nicht angezeigt wurden.<br />
Sie haben uns eine Menge Geld gekostet, indem sie unsere X.25-Verbindungen<br />
nutzten, um sich zu anderen Systemen weltweit durchzuschalten. Ich habe mein Bestes<br />
getan und versucht, mittels PSImain herauszufinden, welche VAX-Installationen von<br />
unserem gehackten System aus erreicht wurden. Ich bete (und bete und bete. . .), dass<br />
kein weiterer Schaden angerichtet wurde und dass ich nicht auf einer Zeitbombe sitze.<br />
Nun ja, die folgende Information könnte anderen helfen zu überprüfen, ob sie auch<br />
betroffen sind. Man benutze CHECKSUM und überprüfe damit LOGINOUT.EXE<br />
und SHOW.EXE wie folgt:<br />
$ Check Sys$System:Loginout.exe $ Show Symbol Checksum$Checksum Wenn<br />
dabei 3490940838 herauskommt, haben Sie Ärger. $ Check Sys$System:Show.exe<br />
Wenn dabei i598t42435 herauskommt, haben Sie ebenfalls Ärger.<br />
Jetzt kommt etwas, bei dem ich nicht sicher bin, ob ich es öffentlich machen soll:<br />
Zwei Personen mit bekannten Verbindungen zum Hamburger Chaos <strong>Computer</strong> Club,<br />
die ich kenne (und die ich zum äußersten Abschaum der Gesellschaft zähle), haben die<br />
oben erwähnten Patches verteilt. Ich benenne hier:<br />
Seite 36<br />
Seite 37