Digital Underground - Phreak 020 #phreak-7

___________ __ __ ___________ _________ __________ ___ ___ | _____ | | | | | | _____ | | | | ______ | | | / | | | | | | | | | | | | | | _____| | | | | | | / / | |_____| | | |__| | | |_____| | | |_____ | |______| | | |/ / | _______| | | | _______| | _____| | ____ | | / | | | __ | | |\ \ | | | | | | | |\ \ | | | | | | | | \ \ | |_____ | | | | | | \ \ | | | | | | | | | | | | | | | | | | | | |___| |__| |__| |___| |__| |_________| |__| |__| |___| |__| ________________ _____________ ________________ | __________ | | | | __________ | | | | | | |-----| | | | | | | | | | |___| / / | | | | | | | | / / | | | | | | | | / / | | | | | | | | / /_______ | | | | | |__________| | / | | |__________| | |________________| |______________| |________________| Nummer 7 - 1999-04-30 .-------. Innehåll '-------' ¤ Ledare ¤ Filosofi #2 ¤ Copyright finns inte 2.0 - Underjordiska Hackare .-----. Ledare '-----' Ja nu blir väl CoreWarp glad, med tanke på att i detta nummer kommer Filosofi nummer 2. Ja vad kan man säga nu har Phreak 020 blivit stor! Where is Waldo? Warez Waldo? No Away! Ja en antydning på vad Zinet handlar om... Behöver lite op's på #Phreak020 DALnet. Om du inte vet vad IRC är, ja IRC inte mIRC, så fråga inte... Cartman säger att det ryktas att jag rippar artiklar, ja men hjälp då för fan till med att skriva artiklar! Maila dom sedan till celsius@mindless.com. Vissa undrar också vart Phreak 020 kommer ifrån. Dels från Phreak 071, och dels från 020-795611-KNULLA-DÖDEN. Så var det bra med det. Höll på att glömma, Phreak 020 finns troligen på www.020.cc nu också... Phreak 020 är ju alla Phreakers/Undergroundares veckotidning. Phreak 020 kommer bli den största av alla underground nummer, funderar på att lägga ner tidningen vid 70 nummer eller så =), den svenska motsvarigheten mot Phrack och 2600. Apropå 2600 så varför startar ni inte egna 2600 möten, gå bara in på www.2600.com så står det hur ni ska göra där. Free Kevin! Ja nu har allas vår spoofer #1 suttit inne i fyra(4!) år. Han körde ju med Blind ipspoofing 1995, och hackade en .GOV dator. Undrar om Secret Service kom på hembesök. Så gå nu ut med stora plakat där det står Free Kevin i morron... =) BTW nu har www.020.cc börjat svikta så använd http://come.to/phreak020 istället, och tack för alla former av respons som detta zine ger mig, både dåliga som bra... Japp, jag släpper ju 3-4 nummer i månaden. Om du åker fast för att ha prövat något illegalt härifrån så referera gärna till zinet =), men det är inte vårt fel att du åker fast. Det är ju en fördel om du läser detta zine i edit eller något annat program som kan läsa DOS text(inte notepad). Let's Phreak... Denna gång i zinet kollar vi på följande Filosofi och Copyright finns inte 2.0. .----------. Filosofi #2 '----------' Phreak 020 ska ju vända sig till alla människor, så därför tas också filosofi upp. Roligt tycker jag... Snackade med en polare som tror på metafysiska blixtar, vilke innebär att han tror att det kan flasha till i huvet i några sekunder. Sedan så är en massa saker helt uppenbara... Lite konstigt tycker jag, men han är ju rationalist... Inom filosofin skiller man på rationalism och empirism. Rationalismen går ut på att man inte kan lita på sina sinnen, och empirismen utgår ifrån erfarenheter. Typ bränt barn skyr elden, vilket är logiskt. Ja, man går inte omkring, och säger till folk att dom kanske inte existerar, det är ett rationalistiskt tänkande. Fast alla undrar vi ju någon gång... //Celsius .-----------------------------------------------. Copyright finns inte 2.0 - Underjordiska Hackare '-----------------------------------------------' Här är den fjärde delen till den kända boken Copyright finns inte, Version 2.0. För att kunna läsa den så används en speciel teknik för att markera fetta ord och kursiva ord. Om ett ord markers med _understreck_ så betyder det att ordet är i fett stil, och är det *stjärnor* runt ett ord betyder det att ordet är kursivt. Det kommer komma ett nytt kapitel i varje nummer tillsvidare... Bokens hemsida är: http://www.df.lth.se/~triad/book/ _UNDERJORDISKA HACKARE_ Som en produkt av det hemdatorliv och den futuristiska tidsanda som följt på rymdkapplöpningen och som kulminerat med månlandningen 1969 bildades ett flertal teknologiinriktade subkulturer. Några var helt vanliga sammanslutningar som science fiction fanatiker eller radioamatörer. Andra var... *speciella*. Det är dessa som satt dödskallestämpeln på hackarkulturen och orsakat att hackare allt som oftast associeras med brottslig verksamhet. Hur många av er -- handen på hjärtat -- har någonsin funderat på hur det vore att ha makten över tekniken? Att kunna bestämma vilka radio och TV-program som skall sändas? Tänk om du hade dessa gigantiska elektroniksystem under din kontroll. Tänk att kunna fylla alla TV-rutor med brus när den där människan du avskyr dyker upp... Eller slå ut alla telefonapparater i landet när du vet att din hjärtevän ringer och gullar med sin före detta... Tänk att ha *makten* över samhällets informationsapparatur... _Phreakare_ En grupp elektronikentusiaster som figurerat redan på 60-- och 70--talen, kallade _Phone Phreaks_ var bland de första som tog till sig den nya datatekniken. Dessa "phreakare" hade specialiserat sig på att lura telefonbolagens växlar att koppla gratissamtal över hela den amerikanska kontinenten, något som också kallades *blue boxing*, vilket refererar till en liten blå plastlåda med elektronik som användes för att framställa de toner som lurade växlarna. Phrekarna kom delvis från högskolan. Precis som hackarna hade tyckt att det var roligt att utforska datorer, hade andra funnit att det var våldsamt skojigt att prova olika nummerkombinationer på universitetets telefoner för att se hur långt man kunde koppla sig. En del lyckades på det viset koppla sig ut på det allmänna telenätet och ringa gratis, eftersom det var gratis för högskoleeleverna att använda interntelefonsystemet. En ung man som hette _Mark Bernay_ (alias _The Midnight Skulker_) och hade goda kunskaper om telefonsystemet, åkte runt på USA:s västkust och satte upp klisterlappar i telefonkiosker med nummer till olika konferenslinjer han etablerat, och byggde på så vis upp ett mindre kontaktnät av teknikintresserade ungdomar. Men det var inte de som gjorde phreakande till den enorma illegala verksamhet det är idag. Istället var det en man som hette _Joe Engressia_ som på gränsen mellan 60-- och 70--talet, utan att riktigt veta om det, skapade den underjordiska rörelsen av telefonmanipulatörer. Även om telefonbolaget som då hette Bell, redan 1961 spårat och arresterat de första phrekarna hade få av dessa tillhört någon organiserad rörelse. De flesta hade varit affärsmän, några vanliga arbetare och en och annan student. En var till och med miljonär. Anledningen till att dessa uppstått var att Bell i november 1960 publicerat information om telefonsystemet som gjorde det lätt för vem som helst med tillräckliga kunskaper att bygga en Blå Låda. Joe var blind, men som kompensation hade naturen begåvat honom med den fascinerande egenskapen att ha absolut gehör. Han kunde komma ihåg en ton han hade hört och sedan vissla den exakt. Redan i 8--årsåldern hade han upptäckt att han genom att vissla vissa toner kunde styra telefonväxlarnas system. Dessa kallades *multifrekvenssystem* (eng: M--F, Multi Frequency), och det var informationen om dessa Bell gjort misstaget att publicera 1960. Han greps av polisen för att ha kopplat upp ett gratissamtal åt några kompisar enbart genom att vissla i telefonluren. Tack vare publiciteten kring denna incident kunde Joe tillsammans med andra telefonentusiaster bilda ett underjordiskt nätverk av i huvudsak blinda människor som sedan bara växte och växte. Några få kunde vissla tonerna, men de flesta använde tidiga elorglar och syntar för att producera de nödvändiga tonerna. Med Joe växte phreakandet till en hel ungdomsrörelse. Han greps 1971 och dömdes till villkorligt fängelsestraff mot att han lovade att aldrig mer mixtra med telefoner. Han anställdes senare som telefonreparatör på ett litet företag i Tennessee. Här måste jag få påpeka en sak. Med jämna mellanrum hör jag talas om personer som säger sig ha vänner som kan "vissla" sig förbi telefonväxlar och ringa gratis. Det är aldrig de själva som kan vissla, och om man undersöker saken närmare så visar det sig att det var en vän till en vän... osv. Historier om "visslare" är alltså att betrakta som moderna vandringssägner, precis som många andra historier om phreakare och hackare. Notera att "vissling" *kräver* absolut gehör - något som inte många människor är utrustade med. Sedan måste man känna till, och ha hört, den ton som skall visslas. Alltså återstår ett försvinnande litet antal människor som skulle kunna utföra detta. Kanske en handfull i hela Sverige. Slutligen skall man vara medveten om att det är omöjligt att använda denna teknik på det moderna AXE-systemet. Joe och hans kamrater använde elorglar för att ringa. Än vanligare var dock andra tekniker att alstra de speciella signaler som krävs för att styra växlarna. En metod som användes av _John T Draper_, i folkmun kallad _Cap'n Crunch_ var att ta en leksaksvisselpipa som följde med frukostflingorna med samma namn, och täppa till ett av hålen. När man så blåste i pipan alstrade den en ton på exakt 2600 Hz (motsvarar ungefär ett E i femstrukna oktaven, inte särkilt njutbart). Detta råkade vara samma ton som det amerikanska televerket AT&T m fl använde för att indikera att långdistanslinjer var lediga. Om endera samtalsparten sände ut en sådan ton trodde den uppringande telefonväxeln att samtalet avbrutits (eftersom det var så telefonväxlar talade om för varandra att linjen var öppen) varvid all debitering för samtalet upphörde. Pipan gjorde det alltså möjligt att ringa gratis. Draper var en mycket aktiv phreakare. Han kopplade upp stora konferenser där han kom i kontakt med många av de blinda människorna och delade med sig av sina erfarenheter till andra phreakare. Han höll reda på telefonnummer och organiserade idéutbytet mellan phrekare. Likt vissa av phreakarna var han elektronikentusiast och byggde själv de tongeneratorer som var allt som behövdes för att fullständigt kontrollera hela telefonsystemet. Dessa kallades MF-lådor eller som jag nämnde tidigare *Blå Lådor*, och gav sina ägare fullständig tillgång till nationell och internationell teletrafik -- gratis. Eftersom all information om MF-systemet offentliggjorts var det inte särskilt svårt att konstruera dessa blå lådor. Och då det inte är så billigt att byta ut hela telefonsystem finns det än idag i vissa länder telefonväxlar som kan styras med blå lådor. Många var liksom Draper helt förhäxade av de blå lådornas möjligheter att koppla ett samtal kors och tvärs över jorden via satelliter och kablar -- en känsla av oinskränkt makt över telefonsystemet. Ett av Drapers mer välkända trick var att koppla sig runt jorden genom 7 länder, bara för att uppleva den otroliga känslan av att höra sin egen röst med 20 sekunders fördröjning. 1971 hade massmedia fått nys på phrekarna. En journalist som hette _Ron Rosenbaum_ skrev en artikel om fenomenet och strax därefter arresterades Draper och dömdes till fängelse. Han kontaktades av maffian som ville utnyttja hans kunskaper, och blev svårt misshandlad när han vägrade. Efter att han kommit ut ur fängelset fick han hjälp av en gammal bekant, Steve Wozniak som utveklat datorn Apple II, att sluta med phrekandet och istället ägna sig åt programmering. Efter ett par missöden med modem till Apple II-datorn (som inte bara var modem utan snarare datoriserade blå lådor) tillverkade han bland annat ordbehandlingsprogrammet *Easy Writer* som såldes av IBM tillsammans med IBM PC, vilket han tjänade en dryg miljon dollar på. Samma år (1971) upptäckte hippierna möjligheterna att ringa gratis. Det blev den militanta gren av hippierörelsen som kallades *yippier* som startade en tidning som hette *Youth International Party Line*, ett oöversättligt namn som betyder dels Internationella Ungdomspartiets Program, dels Ungdomens Internationella Partajtelekonferens, ungefär. Tidningen hade som syfte att lära ut olika tekniker för telefonbedrägeri. Det är kanske svårt för en svensk läsare att förstå yippie-fenomenet. Yippier är en sorts härdade hippier som inte tvekar att använda massor av våld och terrorism för att i möjligaste mån slå sönder (det amerikanska) samhället. Man förespråkar dessutom användningen av hallucinogen narkotika. Yippier är människor som blivit så trötta på det amerikanska samhället och hela samhällssystemet att de bara ser en enda utväg -- att slå sönder alltihop. Till skillnad från klassiska anarkister var man inte teknikfientliga, utan tog vara på alla kunskaper och hjälpmedel som fanns till hands. Dessutom visade sig många yippier vara ganska *intelligenta* och det var kanske det mest skrämmande av allt. Yippierna stod för helt nya värderingar som skakade det amerikanska folkhemmet i grundvalen. Denna politiska riktning kom senare att bli ett frö till den ideologi som idag kallas cyberpunk, och som jag skall återkomma till i ett särskilt kapitel. Yippierna leddes av framför allt _Abbie Hoffman_ och _Jerry Rubin_. 1973 bröt sig den teknikfanatiska fraktionen ur yippierörelsen och bildade en rent samhällsfientlig och anarkistisk organisation kring tidningen som nu hette *TAP* (Technical Assistance Program). I den nya varianten av tidningen kunde man lära sig andra saker än bara telefonsvindlerier; det rörde sig om recept på sprängämnen, kopplingsscheman för elektroniskt sabotage, information om hur man förfalskar kreditkort mm mm. Mycket av detta var givetvis "spännande" för tonåringar och lätt barnsliga unga män, och tidskriften kopierades och spreds över hela jorden. Snart fanns det ett världsomspännande nät av phreakare. Den grundläggande filosofin bakom tidningen är dock genomgående densamma som i yippiepartiet Youth International Party. I TAP uppstod det egensinniga skriftspråk som innebar att man bytte ut alla "s" mot "z" och alla "o" mot "0" (noll), samt att ordet "freak" genomgående stavades "phreak". Detta har sedan hängt kvar. Under det tidiga 90-talet dök det upp en figur vid namn _B1FF_ på datanätverket Usenet som förvärrade denna språkmisshandel till det absurdas gräns genom att skriva ord som de uttalades istället för som de stavades, kombinerat med en simulerad tangentbordsovana som innebar att han bytte I mot 1, A mot 4, T mot +, E mot 3 (ett bakåframvänt E) osv. En del blev vansinniga på B1FF, men hackarna tyckte det var skitkul och började skriva som B1FF för att reta var vän av ordning och understryka den anarkistiska prägeln på det annars så disciplinerade Usenet. Man har till och med gått så långt att man helt slumpmässigt blandar stora och små bokstäver. Resultatet blir text som det nästan gör *ont* att läsa. I Sverige uppstod senare en systertidning till TAP som hette *Rolig Teknik*, och som mest är känd för att ha orsakat en del skriverier i kvällspressen. Rolig Teknik skapades av _Nils Johan Alsätra_, en legend i svensk underjordisk kultur. Han var inspirerad av TAP, och publicerade under perioden 1984--1993 ett flertal artiklar med samma samhällsfilosofiska botten som den amerikanska motsvarigheten. I tidningen kunde man bl a läsa om hur man tillverkade falska hundralappar för bensinautomater (vilket många gjorde), hur man lurar elmätare, och (förstås) olika tekniker för att ringa gratis. Nils hade startat tidningen efter att ha blivit dömd till dagsböter för att ha tillverkat och sålt *Svarta Lådor* (eller som han själv kallade dem: *markeringsätare*) som gjorde det möjligt att ringa gratis till den som anslutit apparaten till sin telefon. Innan han startade försäljningen erbjöd han Televerket att köpa uppfinningen för 3 miljoner kronor. Televerket svarade inte ens på brevet. Rolig Teknik dog efter en razzia i Göteborg 1993. Denna var föranledd av att Alsätra börjat publicera anonyma annonser där annonsörerna kunde erbjuda varor med tidningen som mellanhand utan att behöva skylta med namn och adress. För varje produkt där betalningen distribuerades via tidningen tjänade Rolig Teknik 10 kr. Eftersom annonsernas innehåll var minst sagt suspekt ansågs detta vara detsamma som häleri och vapenhandel. Efter att polisen för första gången i svensk historia inhämtat tillstånd från regeringen slog man till mot tidningsredaktionen. Sedan dess har det varit fullständigt tyst kring såväl Rolig Teknik som Alsätra personligen. Möjligheten att använda de "markeringsätare" som tidningen publicerat ritningar till försvann fullständigt i och med AXE-systemet, men många av de andra tipsen fungerar än idag. För moderna hackare är det mest elektroniska tidningar som *Phrack* eller *Phun* som gäller. I sverige finns dessutom en nystöpt papperstidning i samma anda som Rolig Teknik: *Alias*. Phrack är antagligen populärast eftersom den fått mycket publicitet. Phrack är gratis för privatpersoner, medan företag och myndigheter måste betala 100 dollar om året för att få den. På det viset finansierar myndigheterna utgivandet av tidningen, eftersom de måste hålla sig ajour med utvecklingen i den undre världen. Efter hand som televerken börjat täppa till luckorna i sina växelsystem har phreakare lärt sig använda förbluffande utstuderade metoder för att kunna ringa gratis. En metod är att verkligen programmera om telefonbolagens växlar. En annan är att använda stulna eller konstruerade kreditkortskoder för att debitera samtalet på någon annan (ibland icke-existerande) person. Allrahelst skall räkningen skickas till ett multinationellt företag som Coca-Cola, McDonalds, eller telebolagen själva. Poängen med att kunna ringa på kreditkort är man genom att ringa över ett visst 020--nummer skall kunna få samtalet debiterat på sin egen räkning, oavsett vilken telefon eller myntautomat man ringer från. Eftersom man inte kan visa sitt kort för en teleoperatör får man uppge kortnummret och den hemliga tilläggskod (kallas vanligen PIN-kod = Personal Identifier Number) som behövs för att få handla på kredit över telefon. En annan metod för att ringa gratis är att utnyttja en _PBX_ (Private Branch Xchange), vilket är den amerikanska beteckningen på en privat företagsväxel. När man använder en PBX innebär detta oftast att man ringer ett 020--nummer, slår en kod och sedan kan ringa vilket samtal som helst. Samtalet debiteras sedan på företagets räkning. Förfarandet är en förenklad och automatiserad variant av betalkortssystemet som innebär att ingen människa behöver sitta och kontrollera och anteckna nummer. Från början behövde man inte ens slå in någon kod, det var bara att slå rätt 020--nummer och sedan slå det nummer man ville nå. Man trodde att det skulle räcka med att hålla numret hemligt. Eftersom phreakare är kända för att systematiskt ringa långa serier med 020--nummer upptäckte de snart att vissa nummer gick att koppla vidare, varefter telebolagen införde kodsystemet. Av anledningar som jag strax skall illustrera är PBX-koder ständigt på drift från sina rättmätiga ägare. Phrekarna ringer som sagt mer eller mindre slumpmässigt 020--nummer i jakt på PBX:er, datorer, växlar eller andra skojiga teleinstallationer, något som brukar kallas *war-dialling *efter filmen War Games, där tekniken användes, eller kort och gott *scanning*. (Detta är inte på något sätt olagligt -- det är liksom lite av poängen med att ha en telefon att man skall få ringa till vilka nummer man vill, och hur många man vill.) Under dessa strövtåg på telenätet stöter de ofta på lite allt möjligt roligt. Bland annat televerkens egna servicelinjer och sk röstbrevlådor (oftare bara kallade *VMB* = *Voice MailBox*, röstbrevlåda). Via sådana röstbrevlådor kan man skicka meddelanden till varandra om inget annat fungerar. (Läs: om televerken har blockerat alla andra möjligheter att ringa gratis.) Röstbrevlådor används annars mest av storföretag med många tjänsteresande, exempelvis konsult- eller försäljningsföretag, som ett snabbare alternativ till skriven post. Röstbrevlådor kräver en passerkod på samma vis som en minutenautomat, och är ungefär lika lätt att knäcka. (Enkla koder som 1234, 0001 eller samma nummer som röstbrevlådan är allmänt förekommande.) En del röstbrevlådor har dessutom möjligheter till vidarekoppling, vilket innebär att man kan ringa långdistanssamtal via en lokal röstbrevlåda. De flesta phreakare får kunskap om tekniska metoder eller stulna/konstruerade koder från någon annan phreakare. Sådan information sprids genom speciella BBS:er och genom förtroendekontakter. De flesta som sysslar med phreakande vet ingenting om hur man skaffar fram dessa koder eller hur de tekniska råd de får egentligen fungerar. De flesta följer bara anvisningar från andra, slår in några siffror och *voilß!* du har kopplat dig till andra sidan jorden! Men det finns också de som John Draper, som verkligen vet vad de håller på med. De mest nitiska av dessa är ungdomar som ännu inte fyllt 20 men ändå besitter kunskaper i telekommunikation motsvarande 120 poäng ingenjörsutbildning, eller *mer*. Självklart ses detta som livsfarligt i ett samhälle där *kunskap* är *makt*. Televerkens växelsystem är givetvis idiotsäkra. Ingen idiot i hela världen skulle kunna programmera om en telefonväxel att ge honom gratis telefonsamtal. Det är värre med de smarta brottslingarna. Smarta, kunskapshungriga ungdomar som vill skaffa sig kunskaper i hur telenätet fungerar börjar ofta med att läsa vanlig högskolelitteratur om telekommunikation. Flera av dessa skulle säkert klara en 20--poängstenta med glans. De talar teleteknikernas eget slangspråk för olika tekniska mackapärer flytande. Förkortningar som DCE, OSI, V.24, MUX, NCC eller PAD är självklarheter de kan rabbla utantill i sömnen. De tycks hysa en närmast fetischistisk kärlek till telefonnätet. Inte alla (men nästan alla) tekniska detaljer om telefonsystemen är offentliga uppgifter. De som fattas brukar phreakarna ibland luska fram med en metod som kallas *"trashing"* och som på svenka närmast betyder "skräprotning". Det går till så att man uppsöker containern utanför ett stort telefonbolag och letar igenom soporna efter användbar dokumentation som borde körts genom en dokumentförstörare, och som inte alls är avsedd för tonåriga tekniska virtuoser. På det här viset kan phreakare få reda på funktioner, systemkommandon och hemliga telefonnummer som telebolagen använder för internt bruk. Ibland är det etter värre - hackarna har en kontakt på insidan av telebolaget som med berått mod smugglar ut företagshemligheter till dem. Dessa säkerhetsrisker är numera i stort sett tilltäppta, även om det är svårt när så många människor trots allt måste ha del av informationen. Trashing används också för att få tag i bortkastad eller skrotad teknisk utrustning, och ingetdera är väl särskilt fruktansvärt kriminellt. Thrashing är inte heller särskilt vanligt, i synnerhet inte i Sverige. Vanligare (och enklare) är då sk "social ingenjörskonst" (eng:* social engineering*) vilket innebär att man angriper den svagaste länken i hela telefon- och kreditväsendet: människan. Uttrycket är hämtat från telefonförsäljningsbranchen där det ingår i försäljarens jobb att förställa sig och angripa svaga punkter hos kunden, bygga på förtroende och samtidigt vara snabb och effektiv. Exempel på social ingenjörskonst bland phrekare, fritt efter exempel i en ytterst olämplig hackartidskrift (OBS! Använd denna kunskap för att skydda dig själv och andra från att utsättas för brott av denna typ, inte för att begå brott. Missbruk av denna information skulle göra mig mycket besviken!): _P_ = Phreakare _O_ = Oskyldigt Offer _T_ = Offrets telefon _T_: Ring! _O_: Hej det är O? _P_: Hej, mitt namn är Tobias Wallenberg och jag jobbar på Sparbankens säkerhetsavdelning. Nu är det så att vi har haft ett datafel här och ditt Visakort kan för tillfället inte användas längre då ditt kort tyvärr gått förlorat i datan. Du skulle inte kunna tänka dig att ge mig ditt kortnummer och din accesskod så kan vi återupprätta kontot omedelbart? _O_: Vänta lite, vem sade du att du var? _P_: Mitt namn är Tobias Wallenberg och jag jobbar på Sparbankens säkerhetsavdelning. Nu är det så... (upprepar det nyss sagda) _O_: Det här känner jag inte till. Kan jag ringa dig på något nummer? (misstänksam) _P_: Visst, inga problem. Jag förstår er skepsis. Ring mig på 0712-170920. (fingerat nummer som går till en telefonautomat eller som programmerats in i televerkets växel av P själv, och som han sedan kan ta bort utan att lämna några spår efter sig. Givetvis är detta inte P:s riktiga hemtelefonnummer.) _O_: Tack. Adjö! _T_: Klick. Tyst. Ring! _P_: Sparbankens säkerhetsavdelning, Tobias Wallenberg. Vad kan jag stå till tjänst med? _O_: Åh vilken tur! Jag var rädd för att du var en bedragare. Ok, mitt visakortsnummer är XXXX... _P_: Tack. Vi skall försöka återupprätta ert konto så fort som möjligt. Var vänlig och undvik att använda ert kreditkort de närmaste dagarna. Adjö, och tack för ert samarbete. _O_: Adjö. _T_: Klick. Går man på en sådan här blåsning kan följderna bli fruktansvärda. Kreditkortsföretagen står i allmänhet för förlusten om det kan bevisas att det inte är du själv som utnyttjat kortet, men annars... Aj, aj, aj. Det är inte bara vanliga kreditkort som drabbas; även telebolagens och andra företags egna betalkort utnyttjas hejdlöst. Andra sätt att komma åt kontokortsnummer är genom "trashing" som jag nämnde innan, eller genom att helt enkelt rota i folks brevlådor efter brev från banker som kan tänkas innehålla både kontokort och personliga koder. Kontokortsnummer används av phreakare även för att handla varor med, företrädelsevis datorer, kringutrustning till datorer, syntar, stereoanläggningar och andra kapitalvaror. Varorna beställs då till poste restante eller t ex ett ödehus, varefter bedragaren omöjligen kan spåras. Metoden är bland phrekare och hackare känd som "carding". Ett antal svenskar har gripits och dömts för sådana brott. Ett *betydligt* större antal har (som vanligt) sluppit undan. Phreakare är sociala personer som gärna använder sina kunskaper för att prata i *timmatal* om i princip allt och inget. Speciellt om olika tekniker, koder och annat som är nödvändigt för "phreakande" naturligtvis. Ibland kopplar man upp stora internationella konferenser som kan pågå i uppemot åtta timmar. Vissa snackar, andra bara lyssnar, någon lägger på och någon ny rings upp. Konferensen fortsätter så länge organisatören orkar, eller tills televerket anar oråd och upplöser den. En mycket berömd konferens var den sk _2111--konferensen_ som ägde rum på på nummer 2111 i Vancouver, vilket var avsett som ett testnummer för telextrafik. Såväl phreakare som de telefonister som sympatiserade med dem (!) brukade ringa detta nummer för att prata bort några timmar. Även om detta såklart är olagligt, fruktansvärt omoraliskt osv, håller läsaren säkert med mig om att det är ganska roande att några ljushuvuden till tonåringar använder dessa konferenssystem, avsedda för multinationella företag, för att koppla upp globala konferenser och i princip bara *snacka skit!* Phreakarna själva ser detta grova utnyttjande som oskyldigt, åtminstone i de fall där man lurar till sig teletrafiken genom att använda tekniska trick. De menar att eftersom kablarna ändå bara ligger där, varför inte utnyttja dem? Vilken skada gör det egentligen? Skadar det telenätet? Knappast. Inte om man vet vad man gör. Skadar det någon människa? Knappast. Inte om man håller fingrarna borta från sjukhusens och militärens linjer. Förlorar televerket pengar? Knappast. Inga phreakare hade ringt samtalen om de varit tvungna att betala för dem. Överbelastar man telenätet, så att televerken måste betala för att bygga ut dem? Inte direkt. Internationella linjer har ganska högt i tak. Phreakarnas egentliga brott är således att man stör samhällsordningen. Tänk om alla började göra så här! Hur skulle det gå då? Käpprätt åt helvete. De internationella telefonlinjerna skulle bryta ihop under bördan. Ingenting skulle fungera. Kaos och anarki. Detta är alltså ingen fråga om direkt stöld, snarare en *ordningsfråga.* Och att stjäla koder till kontokort är bedrägeri. För en sann yippie är detta ointressant, eftersom hon/han endast är ute efter att förstöra samhället. Många phreakare tillhör dock den vanliga medel- eller rent av arbetarklassen, som egentligen accepterar samhället och dess lagar. Dessa phreakare har dock annammat _Nietzsche_ och betraktar sig en elit, kanske rent av *övermänniskor*, med självklar rätt att utnyttja systemet. De har aldrig menat att *alla* skall utnyttja systemen på samma sätt som de själva. Man säger sig vilja hjälpa telefonbolagen att hitta nya rutiner att skydda sig från angrepp genom att visa på brister i de befintliga systemen. På detta vis menar man att handlingar inte ensidigt kan bedömas som onda eller goda utifrån lagtexter, på samma sätt som Zarathustra hos Nietzsche får demontera begreppen *rätt* och *fel*. Detta har ingenting med fascism att göra: det är en teori om att system kan förbättras genom att man sätter sig över dem. Phrekartidningen TAP har fått flera efterföljare i *2600: The Hacker Quarterly* (namnet kommer från den ton på 2600 Hz som nämndes tidigare), *Iron Feather Journal* och en hel uppsjö elektroniska tidningar som inte går att räkna. (Än mindre kontrollera.) Vårt svenska _Telia_ vill inte gärna kännas vid att phreakare existerar, och det är rimligt att anta att en hel del fall mörkläggs. (Detta säkerligen för att få slippa höra kommentarer som: "varför får *dom* ring gratis när inte *jag* får det?", "Varför *gör* ingen något åt detta elände?", "*Jag* är minsann en hederlig skattebetalare, och jag *kräver...*" osv osv.) I Sverige har phrekarna rent konkret lyckats med att tillverka falska telefonkort, programmera om biltelefoner så att samtalen debiteras på andras abonnemang, utnyttja Telia Access-koder, använda blå lådor för att lura Telias egna växlar, och (mest av allt) utnyttja utländska kreditkort för att ringa gratis utlandssamtal. Dessutom finns den äldsta formen av phreakande, sk *grey-boxing* alltid med i bilden. Grå lådor (som var föregångare till de blå) är sådana som hänger på telefonstolpar eller står bredvid elverkens proppskåp på gatorna. Genom att koppla in sig där kan man rent fysiskt ansluta sig till någon annans telefon och ringa samtal på andras bekostnad. Det finns ingen utredning om dessa brotts omfattning, och inte lär Telia vilja göra någon heller. Att blottlägga säkerhetsluckor vore fatalt på en marknad där Telia måste konkurrera med privata telefonbolag och det är viktigt att framställa sig själv i så god dager som möjligt. Alltså fortsätter man tiga om bedrägerierna. I USA är det värre ändå. En del phreakare har läst in sig ordentligt på företags-PR för att kunna utnyttja social ingenjörskonst när de etablerar falska kontokort eller abonnemang. Där utnyttjar man företagens kundvänliga attityd för att pressa telefonbolagen mot varandra. Om en phreakare t ex misslyckas med att upprätta ett falskt 800--nummer (Amerikansk motsvarighet till 020--numret) kan han avsluta ett samtal där telebolaget börjar ställa för många detaljerade frågor med att säga att "om det skall vara på det viset skall hon/han gå till konkurrenterna". Detta gör att säljare på företagen drar sig för att ställa för många frågor. Problemen pekar på brister i ett samhälle där det sociala umgänget mellan företagare blivit försummat i och med att företagen helt enkelt blivit *för stora* -- den sociala dimensionen av företagandet har skilts från den produktiva i jakten på allt högre effektivitet, och skapat ett anonymt samhälle. Enligt phreakare jag talat med är också de största telebolagen de som är lättast att lura: man vet inte vem som är bedragare och vem som är äkta, eftersom man aldrig tidigare träffat vare sig den ene eller den andre. Den enda metod man har kvar för att skilja agnarna från vetet är genom att höra hur den andra personen *låter* och vilken vokabulär han/hon använder. Telebolagen har blivit anonyma logotyper gentemot sina kunder. Så länge samhället ser ut på det viset kommer phreakare att kunna fortsätta ringa gratis på ett eller annat sätt. En annan form av phreaking förekom på det tidiga 80--talet när de sk "heta linjen"-numren var populära. Som en del kanske kommer ihåg började det med att någon upptäckte att om flera personer ringde ett nummer som inte fanns kunde man prata samtidigt tack vare överhörning, alltså genom att alla samtal till det numret oavsiktligt kopplades samman av televerkets utrustning. _Nätverkshackare_ Nu: från telefonnäten till datanäten. Phrekarna fick, som de teknikfanatiker de var, snart ögonen på datatekniken. Det fanns gott om phrekare som Captain Crunch som från början gett sig på telefonnätet i brist på datorer, och som egentligen helst ville leka med datorer. Tillsammans med avfällingar från högskolan och mindre exemplariska ungdomar bildade de små hackargrupper som sysslade med regelrätt dataintrång. Många av dessa uppnådde stor skicklighet på att manipulera inte bara telefonstationerna utan också de stora datorer (VAX, IBM osv), normalt ett slags _UNIX-system_ (andra namn är machine, site, host, mainframe etc), som satt i noderna på det mot slutet av 80-talet nästan världsomfattande Internet. Andra specialiserade sig på VAX-system där motsvarigheten till UNIX hette _VMS_. VMS var något populärare eftersom det var enklare att penetrera än UNIX. De allra första hackare som blev allmänt kända var _Ronald Mark Austin_ och framför allt gruppen _414-gang_ från Milwaukee i USA. 414-gruppen hade börjat "hacka" främmande datorer redan runt 1980, och det var avslöjandet om dessa hackare strax efter premiären för filmen *War Games* (1983) som drog igång hela diskussionen kring hackande och datasäkerhet. 414-gruppen hade tagit sig in i ett Cancersjukhus i New York, och när man efter att ha intervjuats i New York Times (en intervju som även innebar en demonstration av möjligheterna) skulle rensa bort spåren efter sig råkade man radera uppgifterna i en fil på ett felaktigt sätt, så att den förstördes. Bara *tanken* att detta kunde ha varit viktiga forskningsresultat, eller en behandlingsjournal för någon patient, var hårresande. Före 1983 visste i princip ingen vad hackare var för någonting. Nu pratade alla om det. Antagligen var det i och med denna debatt som begreppet fick sin negativa klang. Själv använder jag begreppet *nätverkshackare* för att karakterisera en hackare av denna typ. (På engelska kallar man dem ibland *crackers* eller *netrunners*.) De flesta av de som blev nätverkshackare i första ledet använde Apple II-datorer, där det under en tid fanns en del phreakartidningar som exempelvis *Bootlegger* som var föregångare för alla de hackar- och phreakartidningar som sedan florerade i massor. När nätverkshackarna dök upp i Europa använde de främst Commodore 64-datorer, och hade inga egna tidningar eftersom någon sådan tradition inte hade uppstått bland europeiska hackare. Detta begränsade till stor del de europeiska hackarnas aktiviteter. Eftersom de inte hade några amerikanska Apple II-datorer kunde de heller inte läsa dessa tidningar, och därigenom inte lära sig att hacka bättre. Nätverkshackandet har *aldrig* varit lika omfattande på denna sida Atlanten. En lustig detalj är att sedan 414-gang blev kända har alla hackargrupper haft nippran på att sätta olika obegripliga siffror före eller efter sina gruppnamn. 414-gang fick sitt nummer från att de kom från det riktnummerområdet i USA. Det kan vara svårt att förstå vad som menas med att "ta sig in" i ett datasystem. Att "knäcka" eller "göra intrång" i ett system innebär helt enkelt att man övertalar en främmande dator att göra saker som den inte får göra. Man skulle kunna kalla det för uppvigling eller bedrägeri med lite vanligare ord. Jag kan illustrera det med följande dialog: *"Hej"*, säger datorn. *"Hej*, säger hackaren,* "jag skulle vilja ha lite uppgifter."* *"Stopp och belägg"*, säger datorn, *"vem är du egentligen?"* *"Jag är datachefen"*, säger hackaren. (Ungefär.) *"Aha då är allt OK"*, säger datorn och ger hackaren vad han vill ha. Precis så här ser det givetvis inte ut, men principen är densamma. Att hacka sig in i ett system innebär i princip att tillämpa en form av social ingenjörskonst på elektroniska individer. Eftersom datorer inte är så smarta kan man inte beskylla dem för att vara dumma när de inte kan skilja på datachefen och en hackare. Därför tycker man att hackaren är ojuste när han lurar datorn på det här viset. (Ungefär som att slå på ett barn.) För att göra det möjligt för datorn att skilja en hackare från datachefen har man gett datorn vissa väldigt speciella igenkänningstecken som användaren måste uppge tillsammans med sitt namn. Dessa kallas *lösenord* (eng: *password*) och det är meningen att hackarna inte skall känna till dem. Ibland lyckas hackarna ändå ta reda på lösenordet eller på något annat sätt få datorn att tro att de är datachefen eller någon annan som *får* använda datorn. Ett existerande namn tillsammans med lösenordet brukar man kalla en *användaridentitet.* (Eller på engelska: NUI = Network User Identification, identitet för nätverksanvändare.) En hackare kallar ibland säkerhetssystemen för *IS.* (Av eng: *ICE* = *Intrusion Countermeasure Electronics*, elektroniska anordningar mot intrång.) Dialogen mellan hackare och dator kan på skärmen se ut något åt det här hållet: *** WELCOME TO LEKSAND KOMMUNDATA ICE *** _UserID_: QSECOFR (hackaren skriver in ett namn) _Password_: ******* (hackaren skriver in ett lösenord, detta brukar inte synas på skärmen) _SECURITY OFFICER LOGGED IN AT 19.07._ (namn och lösenord utgör tillsammans en giltig användaridentitet som heter "Security Officer")__ _ENTER COMMAND>_GO MAIN (hackaren har "kommit in" i datasystemet) De vanligaste sätten att komma åt lösenord är inte särskilt underliga. Enklast är att titta över axeln på någon som skriver in lösenordet, kanske rent av videofilma när någon slår in koden på tangentbordet eftersom den sällan syns på skärmen. Andra "trick" är att leta efter papperslappar under exempelvis skrivbordsunderlägg eller att gissa på olika kombinationer av initialer, födelsedatum eller andra ord med anknytning till den person vars användaridentitet man försöker utnyttja. Väldigt vanligt är (för manliga användare) t ex hustruns efternamn som ogift. Om det konto man försöker använda tillhör en dataansvarig provar man givetvis olika datatermer. Allt detta går in under begreppet social ingenjörskonst som jag nämnde i samband med phrekarna. En förbluffande effektiv metod är att ringa upp den systemansvarige och säga att man är en person som är anställd på företaget och har glömt bort sitt lösenord. Skräpletning i containrar och att samla lösa papper på datamässor är andra vanliga tekniker. De allra mest sofistikerade metoderna går runt hela säkerhetssystemet genom att använda luckor i de sk *systemprogram* (*operativsystem, drivrutiner* eller *kommunikationsprotokoll*) som dessa datorer använder. Systemprogrammen måste nämligen vara aktiva för att datorn skall gå att använda över huvud taget. Eftersom VAX/VMS-system numera är tämligen sällsynta är det främst UNIX-system som utsätts för denna form av hackande. Speciellt vanligt är att använda luckor i kommandon och protokoll som går under kufiska namn som FTP, finger, NIS, sendmail, TFTP eller UUCP. Dessa metoder blir allt ovanligare eftersom luckorna fylls igen så fort de upptäcks. "Igenfyllningen" av luckorna går till så att den systemansvarige får (eller i värsta fall *borde ha fått*) ett antal disketter med programvara som skall laddas in i datorn. (Dessa kallas *fix, patch* eller *uppdatering*.) En hel del systemansvariga slarvar dock lite med att uppdatera programmen i datorn, och luckorna kan därför finnas kvar väldigt länge. Andra struntar i delar av säkerhetssystemet för att det ställer till en massa trassel för de auktoriserade användarna. Till exempel stänger många av funktionen att lösenorden måste ändras med jämna mellanrum, eller att datorn inte godkänner alltför vanliga lösenord. Vissa datorer har fortfarande (1995) säkerhetsluckor som man varnade för redan 1987. Svenska datorer är inget undantag. När en hackare väl kommit in i ett system kan han/hon ofta lätt komma över fler lösenord genom manipulation av systemprogrammen. Ibland läser man också igenom elektronisk post som lagrats i datorn, och där lösenord kan förekomma. Tänk er själva: *"Olle, jag kan inte komma till jobbet på fredag, men om du behöver tillgång till mina siffror så är lösenordet 'saltsyra'."* De flesta av dessa hackare gjorde (och gör) faktiskt inga större skador på systemen, utan är mera ute för att prova "om det går". Det är ungefär samma nöje som att ge sig in i stockholms tunnelbana till fots eller krypa ned i en kloaktunnel, dvs ett spännande och lite förbjudet utforskande. Faktum är att majoriteten av hackarna håller på en oskriven regel som innebär att man _aldrig_ stjäl pengar och _aldrig_ förstör något avsiktligt. De som bryter dessa oskrivna etiska regler kallas "den mörka sidans hackare" (eng: dark side hackers) ett uttryck som man hämtat från science fiction-filmen *Stjärnornas Krig*. I _Clifford Stolls_ bok *En hacker i systemet* kan man följa jakten på en sådan hackare. Hackaren som Stoll hade problem med tillhörde definitivt den mörka sidan; denne försökte nämligen systematiskt tillskansa sig militära hemligheter och visade sig ha kontakt med KGB. (Detta var mitt under det kalla kriget.) Han hade hjälp av en av de mest fruktade hackargrupperna: _Chaos Computer Club_, en organisation med politiska undertoner som bildats 1984 av _Hewart Holland-Moritz_ och som säger sig vilja värna om människans rätt i informationssamhället. Chaos hade gjort sig kända för att ha gett dödsstöten till ett informationssystem som kallats *Bildschirmtext* (svensk motsvarighet: Teletext) genom att vid en presskonferens bevisa att systemet var osäkert och opålitligt. 1989 blev fallet med hackaren världskänt och därefter skrev Stoll sin bok. Fallet har mytologiserats: en av de inblandade som kallade sig _Hagbard _hittades död, bränd till döds ute i en skog, och många misstänkte att KGB låg bakom. Detta är antagligen inte sant; hackaren i fråga hette _Karl Koch_ och hade svåra mentala störningar och drogproblem redan innan han började hacka, och det rörde sig sannolikt (precis som polisen trodde) om ett självmord. Bland annat trodde han att världen styrdes av *Illuminati*, en fiktiv muslimsk maffia som skulle ha infiltrerat regeringar och organisationer sedan 1200--talet, en vanföreställning han hämtat direkt ur böckerna med samma namn. Han var dessutom förtjust i psykedeliska droger vilket inte gjorde saken bättre. Om man studerar fallet närmare kan man tycka att det var uppenbart att Karl var galopperande paranoid, men rubriken *"Hackare lönnmördad av KGB?"* säljer givetvis mer än *"Hackare begick självmord?"* Denne Koch hade tillsammans med _Pengo_ (Hans Hbner) och _Markus Hess_ som medlemmar av hackargruppen _Leitstelle 511_, en grupp med tydlig politisk profil och försmak för långa hackarnätter och drogorgier, lyckats komma över hemlig information och programvara via Internet. Markus var UNIX-expert och Pengo hjärnan bakom intrången. Detta systematiska utforskande av Amerikanska försvarsinstallationer gick under kodnamnet "projekt Equalizer". Equalizer, eller utjämnare på svenska, kallades det efter den lätt naiva idé hackarna hade om att genom sitt spionage jämna ut oddsen mellan öst och väst i det kalla kriget. Detta var snarare en ursäkt för att spionera för egen vinning än ett uttryck för verkliga politiska intentioner. De två mest begåvade hackarna i gruppen, Pengo och Markus, hackade mest för nöjes skull och tjänade inte heller speciellt mycket på det hela. Samtliga inblandade dömdes efter avslöjandet till mellan 1 och 2 års fängelse -- villkorligt. Pengo friades helt eftersom han samarbetat med polisen. Detta fall är ett av de få man känner till där nätverkshackare tjänat pengar på sin "hobby". Normalt ägnar man sig bara åt den här typen av hackande för den intellektuella utmaningens skull eller för de sociala apekterna med datakommunikation. _Kevin Mitnick_ är en annan hackare som blivit mer eller mindre legendarisk. Han var ursprungligen phrekare och utvecklade en hittills oöverträffad talang i att manipulera såväl telefonväxlar som datorer och människor. Han är urtypen för den mörka sidans hackare: han stal källkoden till _Digitals_ operativsystem *VMS 5.0* genom att ta sig in till deras utvecklingsavdelning genom tele- och datanätet. Han var hämndlysten och straffade de poliser och företag som motarbetade honom genom att ge dem fruktansvärda telefonräkningar eller sprida ut lögner via telefon och fax. När polisen försökte spåra hans telefonsamtal visste han om det och kunde snabbt lägga på luren, eftersom han hade hackat sig in i telefonbolaget _Pacific Bells_ övervakningsdatorer. När han greps var han i full fart med att stjäla källkoden till det inte helt obekanta dataspelet *Doom*. (*Källkod* är den version av ett dataprogram som med lätthet kan läsas och modifieras av människor. Efter en process som kallas *kompilering* blir programmet läsbart endast för datorer -- och hackare.) Efter gripandet i december 1988 dömdes han till ett års fängelse och ett halvårs rehabilitering. Han behandlades bl a tillsammans med alkoholister för sitt nästan sjukliga behov att hacka. Nyligen greps han igen, efter att ha jagats av en säkerhetsexpert vid namn _Tsutomu Shinomura_ och en journalist som tidigare skrivit en bok om honom: _John Markoff_. Mycket av publiciteten kring detta andra gripande var uppblåst på gränsen till häxjakt. Många menade att Kevin inte alls var så farlig som Markoff ville få honom att framstå. Detta till trots har Kevin fått stå modell för den "farliga" hackaren; känslokall, hämndlysten och med en otrolig förmåga att manipulera människor och telefonväxlar. Han var däremot inte någon större stjärna på att manipulera datorer -- där hade han många övermän. Värt att notera är att Kevin aldrig sålde vidare den information han kom över. Operativsystemet VMS ville han ha bara för att kunna hacka bättre, och han samarbetade inte med organiserade brottslingar. Denna typ av illegala intrång har glorifierats i filmer som *War Games*, *Sneakers* (1992) eller TV-serien *Whiz Kids*, och just detta brottsliga hackande har ofta (helt felaktigt) ansetts som det enda hackare sysslar med. Även i den svenska *Drömmen om Rita* (1992) förekommer en romantiserad hackare i en av birollerna som något av en symbol för det unga, nya och vilda; en modern Jack Kerouac som drar runt på vägarna med sin dator. Hackaren framstår där som vår tids beatnik. En rolig detalj är att hackaren ifråga kallar sig _Erik XIV_, precis samma pseudonym som en riktig hackare använde under ett par reportage i Aktuellt och Tidningen Z 1989 där han berättade hur han kunde lura kontokortsföretag att betala telefonsamtal och varor från utlandet. (Vilket han senare blev gripen och dömd för.) I själva verket är det mycket få datorintresserade ungdomar som hänfaller åt illegala aktiviteter. Inte desto mindre förekommer det fortfarande, men det egentliga problemet är att datasystemen är för dåligt skyddade; ingen hackare orkar ta sig in i ett tillräckligt väl skyddat system, även om det är teoretiskt möjligt. Ingen lurar en tillräckligt smart dator. De flesta intrång som sker hemlighålls med största sannolikhet av PR-skäl. Så vitt jag vet har t ex ingen bank *officiellt* råkat ut för förluster pga den mörka sidans hackare, men å andra sidan: om jag var en bank och en hackare överförde några miljoner till sitt eget konto, skulle jag i så fall vilja dra det inför domstol så att alla mina kunder fick veta hur osäkert mitt datasystem var? Kom ihåg vilket publicitet det blev kring programfelet i Sparbankens datasystem sommaren 1994... Företag med dålig datasäkerhet skulle sannolikt tycka att det vore mycket pinsamt om allmänheten fick veta att tonåriga hackare kunde läsa av deras hemligheter eller överföra pengar från deras konton. I sådana fall är det PR-riktigt att lägga locket på, vilket man med stor sannolikhet också i ett flertal fall har gjort. Gränsen mellan nätverkshackare och phreakare är flytande. Man brukar säga att en *phreakare* utforskar datasystemen av sociala skäl, mest för att skaffa sig gratis långdistanssamtal för att kunna snacka med sina kompisar, medan en intrångsbenägen *hackare* utforskar systemen mest för deras egen skull, för tjusningen i att lura tekniken. Från phreakarna har man fått den anarkistiska yippieattityden och lusten att bryta ned systemen. Många har med rätta ifrågasatt samhällets allvarliga syn på "hackning" dvs hobbydataintrång. Man har jämfört hackarna med grottklättrare som utforskar ett nytt land mer av nyfikenhet och för utmaningens skull än för egen vinning. Eftersom nätverken är så trassliga att ingen har någon karta på dem, menar man att det finns ett helt nytt, outforskat territorium därute, ibland kallat *telerymd*, där elektroniska konversationer äger rum och som hackarna nyfiket kopplar sig fram igenom. Att jämföra hackande med inbrott är bara dumt. Vid ett inbrott uppstår fysiska skador på dörrar och lås, och verkliga föremål stjäls. En typisk hackare skadar inget vid intrången (mycket få hackare är vandaler), och i den mån han/hon stjäl information *kopierar* hon/han den bara. Originalhandlingarna försvinner inte. Möjligen stjäl de några ören elektricitet och sliter något på maskinen de hackar sig in i, men med tanke på den snabba avskrivningstakten för datautrustning kan det knappast betraktas som förlust. Varje dator som är ansluten till Internet *tillåter* för övrigt utomstående att använda datorn för att söka och förmedla information. Jag misstänker att det som skrämmer etablissemanget är att man tar på sig rollen som någon annan. Att man uppträder som datachef utan att vara det, och åtnjuter de privilegier som detta innebär. Det värsta av allt är att man klarar uppgiften som dataexpert *med glans*, och på det viset förlöjligar de dataexperter som företagen hyrt in för dyra pengar. Sådant sticker i ögonen, speciellt som företagsvärlden i allmänhet och storföretagsvärlden i synnerhet är uppbyggd kring ett system av underförstådda statussymboler där varenda person sitter i toppen av sin egen lilla minihierarki. Att bete sig som något man inte är betraktas som en dödssynd. (Minns Refaat El-Sayeds falska doktorstitel!) Fördömandet av hackarna står inte i proportion till deras brottsliga handlingar, och straffsatserna är ofta på tok för höga. Detta har sin grund i en nästan paranoid rädsla för det hackaren gör, och den etik han/hon anammat. Hackaren är nämligen (liksom de flesta människor) inte till naturen ond, *definitivt* ingen förhärdad brottsling, utan följer sitt hjärtas röst. Han/hon är inte psykopatisk eller ute efter att såra eller stjäla från andra människor i traditionell bemärkelse. Möjligen vill hackaren stjäla andras hemligheter. Detta skrämmer. Mer om hackaretik och ideologi följer längre fram. Svenska nätverkshackare har inte funnits lika länge som i Staterna, delvis beroende på att Televerket ända fram till den 1 juli 1983 hade monopol på de modem som fordras för att ansluta sig till en dator över telenätet. Det första fall jag känner till var 1980 då en student vid Chalmers tekniska högskola dömdes till 25 dagsböter för att ha manipulerat debiteringssystemet på Göteborgs datacentral så att han kunde utnyttja systemet gratis. Det första fall som uppmärksammades av media var när Aftonbladets journalist _Lars Ohlson_ efter att ha sett filmen War Games hyrde in ett par 17-åringar, några modem och några datorer och försökte ta sig in i stockholms datacentral _QZ_. Operatörerna på QZ undrade vad de höll på med, vilket ledde till att Ohlson greps och dömdes till böter under högljudda protester från bland annat Dagens Nyheter. De tre lyckades heller aldrig ta sig in i QZ, och syftet var att testa säkerheten. Den visade sig uppenbarligen vara mycket god... 1983. I #1 1984 av tidningen *Allt om hemdatorer* rapporterade man om ett betydligt mer lyckat intrångsförsök. Med hjälp av en importerad Apple II hade två ungdomar, 17 respektive 19 år gamla, lyckats ta sig in i _DAFA-Spar_, statens person- och adressregister. Även om DAFA-Spar inte innehåller några hemligheter kan man lätt föreställa sig vad som kunnat hända om exempelvis en utländsk makt på detta vis utan vidare kunnat hämta hem uppgifter om varenda svensk medborgare. DAFA-Spar var själva förbluffade och tagna på sängen av det inträffade. Ungdomarna, som var inspirerade av filmen War Games, hade även lyckats ta sig in i Göteborgs Datacentral, Medicin-Data och Livsmedelsverkets datorer. Själva sade de att de begått intrånget för att visa på bristerna i säkerheten. De flesta svenska nätverkshackare tycks liksom sina amerikanska motsvarigheter ha arbetat *solo*, dvs utan att organisera sig i grupper. Enligt uppgifter lär många av de första svenska hackarna ha hämtat inspiration från BBS:en *Tungelstamonitorn* som drevs på en ABC806-dator av socialinspektör _Jan-Inge Flcht_ i en Haninge utanför Stockholm runt 1986--87. Basen bytte senare namn till *Jinges TCL* och gjorde sig känd som en av de mest frispråkiga och uppkäftiga svenska BBS:erna via amatördatanätverket Fidonet. 1987 bildades den mest nambekanta gruppen _SHA_ (Swedish Hackers Association) som underligt nog mest gjort sig kända för att ha irriterat frilansjournalisten och säkerhetskonsulten _Mikael Winterkvist_ efter att denne försökt kartlägga spridningen av datavirus i Sverige. Själva säger sig SHA ha varit Sveriges största och mest välorganiserade hackargrupp. Andra säger att de bara är skrävliga Stockholmare med självhävdelsebehov upp över öronen, vilket är ganska intetsägande eftersom nästan alla underjordiska hackare har ett astronomiskt självhävdelsebehov. Ett av deras mest framgångsrika hack var när en av medlemmarna tog sig in i Sveriges Radios dator och var så förtrogen med systemet att han kunde ändra i programtablåerna om han ville. För skojs skull bytte han ut Pontus Enhörnings lösenord och ringde upp honom och fick på det viset en del publicitet. SHA lyckades under sin aktiva tid ta sig in i ett flertal datorer runt om i Sverige, bl a hos _SICS_, _KTH/NADA_, _ASEA_, _Dimension AB_, _S-E Banken_, _SMHI_, _OPIAB_, _DATEMA_ och sist men inte minst: _FOA_. Inget av de angripna företagen eller myndigheterna har någon större lust att prata om det hela. Svenska säkerhetsexperter rycker mest på axlarna och suckar när de får höra talas om SHA. De har redan hört tillräckligt. Både Polisen och flera företags egna säkerhetsgrupper vet exakt vilka SHA är, men kan inte bevisa vad de har gjort. För det mesta låter man dem bara hållas, eftersom man anser att man har *"koll"* på SHA. Man är inte rädda för SHA, och det finns ingen anledning att vara det heller, eftersom gruppen består av relativt snälla hackare som inte är ute efter att förstöra. För det mesta vill de bara ha lite systemtid och öppna telelinjer. Stänger man dem ute respekterar de det. Är man däremot arrogant och auktoritär i tonen mot SHA, blir de ganska sura och hotar med fruktansvärd vedergällning. Sverige har även utsatts för angrepp av hackare från utlandet. Den kanske mest välkända händelsen var när ett par hackare från Storbrittanien, _Niel Woods_ och _Karl Strickland_ kända under pseudonymerna _Pad_ och _Gandalf_ som _8LGM_ (*8 Little Green Men* eller *the 8 Legged Groove Machine*) under julhelgen 1990 tog sig in i det svenska Datapaknätet och Decnet där de med hjälp av ett dataprogram sökte av 22.000 abonnenter i jakt på datorer att ta sig in i. I 380 fall lyckades de etablera kontakt. De båda 20-åringarna dömdes 4 juni 1993 till vardera 6 månaders fängelse för dataintrång i 15 länder. (De var för övrigt de första som dömts på grundval av den vid tillfället nyskrivna engelska datalagen.) Innan man fördömer Pad och Gandalf skall man också veta att det var de som hackade sig in en av EU:s datorer och hjälpte till att avslöja _Jacques Delors'_ generöst tilltagna representationskonto. _Virushackare_ Datavirus är ständigt på tapeten. Detta spännande område är fortfarande en tacksam källa för publicitet i tidningar och tidskrifter. Speciellt uppmärksammat var viruset _Michelangelo_ tiden före den 6 mars 1992. Viruset troddes kunna orsaka stora skador på data och datorer runt om i världen. Farhågorna visade sig vara minst sagt överdrivna: det hände i princip ingenting. Man tog det som ett tecken på att varningarna i massmedia varit effektiva och tesen bevisade så att säga sig själv. Frågan är om Michelangelo-viruset någonsin var ett hot. Datavirus är små dataprogram, och precis som alla andra dataprogram är de tillverkade av människor. De hackare som slår sig in på virustillverkning utmålas som de värsta av skurkar bland hackare, endast intresserade av att förstöra för andra. När jag skriver detta behandlas ett lagförslag som innebär att såväl tillverkning som spridning av datavirus skall kriminaliseras. De första virusen av modern typ (som exempelvis Michelangelo), de sk *länk- och bootvirusen* dök upp i början och mitten av 80-talet. Många av de första virusen tillverkades i *Bulgarien* av alla ställen, och det var där den första BBS:en inriktad på enbart virusbyte och virusdiskussioner dök upp: *Virus Exchange*. Enligt uppgift skall detta ha berott på att östblocket under någon fas av det kalla kriget fick för sig att tillverka virus för elektronisk krigföring. Bulgarien är känt för sina skickliga datateknologer, så det var naturligt att detta elektroniska vapen skulle tillverkas där. Många bulgariska studenter kom på det viset i kontakt med statsfinansierad virusprogrammering och fortsatte sedan utveckla virus som en hobby. Mest framträdande av dessa studenter är _Dark Avenger_, en student som idag har uppnått kultstatus bland virushackare. De individuella länk- och bootvirusen har olika egenskaper, men gemsamt har de alla att de *sprider sig* - och det effektivt. De flesta är skrivna av hackare, och alla virus är inte destruktiva. Datavirus har av framstående forskare som _Stephen B Hawking_ klassats som levande liv i en elektronisk värld (dvs telerymden). Det är i så fall den första livsform som skapats helt och hållet av människor. En del virushackare är bara vanliga hobbyhackare som fått för sig att göra virus, andra är nätverkshackare som intresserat sig för virus. Ett forum för amerikanska virustillverkare är den elektroniska tidningen _40hex_ (namngiven efter en funktion i operativsystemet på IBM PC) som framför allt listar hela virusprogram och redogör för virustekniker, men även rapporterar om politiska och marknadsmässiga aspekter på virus. Den ges ut av virushackargrupperna *Phalcon* och *SKISM* (Smart Kids Into Sick Methods). Det är synd att påstå att virustillverkare enbart är ute efter att förstöra. För det mesta rör det sig om *graffittifenomenet*, man vill se sitt namn på så många skärmar som möjligt, och man vill läsa i tidningarna om vad ens virus ställt till med. Man vill bli något. Att tillverka ett virus är dessutom en intellektuell utmaning som fordrar relativt djupa kunskaper i programmering. Virushackarna är förmodligen de mest intellektuella hackarna näst efter högskolehackarna. I de fall man är ute efter att förstöra är det samma gamla yippieattityd från phreakarna som dyker upp. Virushackaren är den fascinerande människa som uppstår då en yippieanarkist och en ordningssam programmerare möts i en och samma person. Till saken hör att virus uteslutande skrivs i assemblerspråk - det svåraste och mest komlicerade dataspråk man kan ge sig på. Ingen virushackare har såvitt jag vet någonsin tjänat pengar på att tillverka ett virus. Virushackarna hyser någon form av hatkärlek till _John McAfee_ och hans företag som tillverkar programmet *ViruScan* som tar bort virus från datorer som infekterats. Innan han började jobba med datavirus livnärde han sig på att sälja medlemskort i en förening som intygade att medlemmarna var AIDS-fria, så nog har han erfarenhet av virus alltid. Det har antytts att hans företag skulle underblåsa virusproduktion eftersom det i princip är livsnödvändigt för dem att nya virus ständigt dyker upp. Företaget fungerar nämligen så att man lever på att *uppdatera* programmen efterhand, dvs anpassa dem till de nya virustyper som ständigt dyker upp. När John McAfee sålde AIDS-försäkringar jobbade han enligt ett liknande system. Han anklagades för att underblåsa rädslan för viruset Michelangelo 1992. Datavirus kan dessutom betraktas som konst. Ett datavirus är ett dataprogram som alla andra, och enligt lagen om upphovsrätt innehåller varje nyskapande dataprogram ett konstnärligt element. Att det fordras vilja, ansträngning och fantasi för att skapa ett virus är uppenbart. Tänk, att samtidigt som dessa datachefer och systemvetare kämpar sig fördärvade för att få datasystemen att fungera smidigt och ordentligt, med varje siffra på sin rätta plats, finns det några små ligister som sitter och framställer dataprogram som är avsedda att orsaka det *rakt motsatta*, dvs kaos, oordning, ödeläggelse. Det fordras inte mycket insikt i branchen för att förstå det roliga i detta. Virusmakarna retas med det nästan sjukliga ordningssinnet inom företag och myndigheter. Det kan mycket väl ses som en protest mot en närmast *fascistoid* önskan om kontroll, ordning och reda. *"För somliga är vi som demoner, för andra som änglar* (...) Välsignad är den som inget väntar, för han kommer inte att bli besviken"* (Ur källkoden till viruset *Dark Avenger* av den bulgariske virushackaren med samma namn.) Den mest kända svenska virushackaren går under namnet _Tormentor_. Under 1992 bildade han ett löst sammanhållet nätverk av svenska virushackare under namnet _Demoralized Youth_ (demoraliserad ungdom). Tormentor hörde till den relativt lilla grupp hackare som fattat tycke för virustillverkning, och etablerade kontakt med andra svenska ungdomar med samma intresse. Bland annat kom han i kontakt med en 13-åring som hade samlat på sig ett hundratal virus och även hämtade nya från den nämnda BBS:en *Virus Exchange* i Bulgarien. Under senhösten spred han sitt virus på olika BBS:er i Göteborg, och kunde sedan se hur svallvågorna bredde ut sig över hela Sverige med heta diskussioner på Fidonet som följd. Någon kom på ett sätt att stoppa Tormentors virus. Han ändrade på det och spred ut det en gång till. Det stoppades igen. Processen upprepades 5 gånger innan Tormentor tröttnade på att ständigt ändra och sprida viruset. Efteråt konstaterade han att viruset egentligen hade flera fel. Han hade bara testat det mot McAfees ViruScan, det hade ett flertal programfel, och värst av allt - det var *inte* destruktivt! Så talar en sann anarkist. Tormentor är virushackaren i ett nötskal, förmodligen också en evig svensk legend på området. Redan från första början var han i kontakt med SHA, och ligger i fejd med _Mikael Winterkvist_ på företaget Computer Security Center / Virus Help Center. Bland andra kända virus finns den sk *trojanska hästen* _AIDS_. (Trojanska hästar är virus som *infiltrerar* främmande datorer eller datanätverk.) AIDS är ett program som skickades ut gratis till företag över hela jorden efter en internationell konferens om AIDS-problemet i London, och som utger sig för att innehålla information om AIDS. När man kör programmet låser det datorns hårddisk och man uppmanas betala ett visst belopp till ett konto i Panama. Där kan man snacka om elektronisk utpressning. Detta virus har dock inget med hackare att göra, det skapades av en man vid namn _Joseph Papp_, som inte kunnat ställas till svars för handlingarna eftersom rätten asnåg honom vara "ej psykiskt tillförlitlig". Bland de mer kända datavirusen finns också *RTM* eller *The Internet Worm* som det också kallas. Viruset var ett sk *maskvirus* som kopierar sig självt genom datornätverk. Programmet hade skrivits av hackaren och studenten _Robert Tappan Morris_ (därav RTM) och hans tanke med viruset var att tillverka ett program som på egen hand färdades runt i Internet och testade hur många datorsystem det kunde ta sig in i. Viruset skulle sedan rapportera tillbaka till sin författare så att han kunde se hur långt ut i världen det lyckats ta sig. Dessvärre gjorde han en programmeringsmiss med följd att hela Internet bågnade under viruset. Han dömdes till böter och övervakning för sitt dåd. Idén med maskvirus kommer ursprungligen från företaget Xerox forskningcenter i Paolo Alto, Silicon Valley, där dessa användes för att kunna utnyttja datorernas resurser bättre, t ex genom att vissa program bara kördes på natten när ingen använde datorerna. _Satellit- och Kabelhackare_ Det är tveksamt om man skall kalla satellit- och kabelhackarna för hackare alls, och det är ännu osäkrare om jag har rätt att kalla dem "illegala hackare". För det första är det dessa hackare gör sällan olagligt. För det andra är de mera radioamatörer och elektronikentusiaster än datoranvändare. Å andra sidan anses ju phreakare och hemdatorbyggare ofta vara hackare. För övrigt vill varken radioamatörer eller elektronikhobbyister kännas vid dem. Och så delar de den grundläggande hackarvärderingen att all information skall vara fri. Så då är de väl hackare. Om man slår upp de sista sidorna i en kvällstidning strax efter sporten; de där alla annonser om porrfilmer och hårtillväxtpreparat finns, hittar man inte sällan en annons som säljer byggsatser till kabel-TV dekodrar. Sådana tillverkas av den här gruppen hackare. Hela den svenska grenen av denna underjordiska verksamhet kan härledas till kretsen kring tidningen Rolig Teknik, som jag nämnde tidigare. Det går knappt att uppbringa en dekoderkonstruktör som *inte* har läst Rolig Teknik. Det absolut mest välkända *hack* en sådan hackare presterat drabbade tittarna på TV-kanalen *Home Box Office* den 27 april 1987. Mitt under filmen *Falken och Snömannen* avbröts utsändningen under fyra minuter av en blank skärm med texten: *"Good Evening HBO from Captain Midnight. $12.95 a month? No Way! (Show-time/Movie Channel, Beware!)"*. (På svenska: Godkväll alla HBO-tittare önskar Captain Midnight. 12.95 dollar i månaden? Aldrig i livet! (Show-time/Movie Channel, Se upp!)). Bakgrunden till meddelandet var att HBO planerade att kryptera sina sändningar så att den som ville se programmen skulle vara tvungen att köpa en dekoder för att ta del av utbudet i tablån. _Captain Midnight_, eller _John MacDougall_ som det senare visade sig att han egentligen hette, hade avbrutit HBOs sändning genom att programmera om den satellit som sände kanalen. Sändningen var intressant såtillvida att den med all önskvärd tydlighet visade hur sårbart det högteknologiska samhället är. Tänk om Captain Midnight istället hade fått för sig att styra satelliten ur sin normala bana, och därigenom lyckats sabotera utrustning för flera miljoner? Men värst av allt var kanske att hackarna med detta dåd trängde in i varje TV-tittares medvetande med ett otvetydligt politiskt budskap om att TV, en form av information, inte borde kosta något. Under den här rubriken kan jag passa på att nämna en del andra elektronikhackare som t ex uppsalahackaren och atarientusiasten _Marvin_ (fingerat namn) som tillsammans med sina kompisar konstruerade egna telefonkort - evighetskort som aldrig tog slut... Efter en utdragen process dömdes uppsalahackarna till villkorliga straff och 100 dagsböter medan Telia inte fick ett öre i skadestånd. (Bland annat beroende på att Telia själva planterat beställningar på Marvins kort, nyfikna som de var på dennes uppfinning.) En del ingenjörsstuderande runt om i landet blev så imponerade av Marvins telefonkort att de tillverkade kopior av kortet, och inom kort fanns det betydligt fler kopior än original. Marvin själv tillverkade aldrig särskilt många kort. Han ville i princip bara visa att det var möjligt, eftersom han hört Telia skryta om kortens överlägsna säkerhet. Ett liknande fall rörde amigahackaren _Wolf_ (också fingerat namn), en 23-åring hemmahörande i Helsingborg, som råkade komma över en kortläsare för den typ av magnetkort som används till bl a bankomatkort och, som i det här fallet, *busskort*. Wolf var en ovanligt skicklig ungdom som kunde hantera all möjlig teknisk utrustning. Han var dessutom händig. Han var utbildad på tvåårigt el/tele-gymnasium, men betydligt mer hängiven än de flesta högutbildade ingenjörer. Han hade redan råkat i klameri med rättvisan efter att han sysslat med hembränning. Utan några större svårigheter lyckades han själv ansluta kortläsaren till sin Amiga och skriva det program som användes för att styra den. Från början ville han antagligen bara testa systemet för att se om det gick att programmera busskorten själv, men efterhand blev verksamheten alltmer affärsmässig. Det hela utvecklades till en mindre bulvanverksamhet där hundratals, kanske rent av *tusentals* kort förfalskades. Tack vare ett väl fungerande och säkert datasystem kunde länstrafiken i malmöhus län spåra de skyldiga och spärra de förfalskade korten. Vid en husrannsakan hos Wolf hittade man bland annat Marvins utförliga beskrivning av Telias telefonkort. Behovet av en fungerande lagstiftning för denna typ av brott är skriande. Det finns verksamheter som ligger på gränsen till det tillåtna och som man inte utan vidare kan förbjuda. Det *är inte* förbjudet att äga kortläsare eller tillverka falska kort. Elektroniska "urkunder" som telefonkort eller dekodrar betraktas inte som urkunder just därför att de är elektroniska, och är därför inte förbjudna att inneha. Svensk lagstiftning är helt enkelt inte utformad för elektroniska urkunder. (Än.) Att däremot använda sådana är helt klart att betrakta som bedrägeri. Piratdekodrar har man förbjudit i en speciell lag - men bara den affärsmässiga tillverkningen och försäljningen. Förmodligen har man gjort denna begränsning för att inte inkräkta på radioamatörernas friheter, vilket lett till att byggsatser och andra hjälpmedel för amatörverksamhet är tillåtna. Det vore fullt möjligt att annonsera i kvällspressen om byggsatser för telefonkort, precis som man nu säljer byggsatser för piratdekodrar. Lösningen på kontroversen är givetvis inte förbud, utan att bygga system som är så säkra att de inte kan forceras även om angriparen vet *allt* om hur de fungerar, vilket inte alls är omöjligt med hjälp av bra kryptoteknik. Frågan är om *det* är så jäkla bra. I ett samhälle som allt mer bygger på elektronisk valuta skulle detta nämligen kunna sätta P för *alla* tekniska bedrägerier och valutaförfalskningar. Jag skall återkomma till detta längre fram. _"Anarkister"_ De "hackare" som kallas anarkister är knappast hackare i traditionell bemärkelse. Inte heller är de anarkister. Snarare är de tonåringar med ett rent allmänt intresse för bomber, gift, vapen och droger. Eftersom sådan information inte finns på ett normalt bibliotek söker sig dessa till den underjordiska datorkultur där all information sprids härs och tvärs mellan ungdomar som inte själva har barn och därför inte känner något som helst ansvar för den information de sprider. Av uppenbara skäl betraktar ungdomarna varandra som jämlikar och ser det hela som något av ett uppror mot vuxenkulturen. Barnsligt? Kanske. Som protest mot överförmynderiet kan det knappast betraktas som barnsligt. Det finns för övrigt en hel del vuxna "anarkister" också. Anarkister utmärker sig genom att med aldrig sinande intresse distribuera ritningar på vapen och bomber, recept på droger, olika instruktioner om hur man bäst tar livet av en annan människa osv. En del hackare blir enbart förbannade när de ser sina BBS:er översvämmas av sådant material (som ofta är fullständigt felaktigt, farligt och värdelöst), andra låter anarkisterna hållas. Den i Sverige mest omtalade anarkistiska publikationen är *The Terrorists Handbook*. Många av tipsen i boken handlar bara om helt vanlig pyroteknik och har inget med terrorism att göra. (Jag undrar i bland om en av mina grannar här på studentområdet har handboken hemma hos sig, eftersom han med aldrig svikande frenesi spränger hemmagjorda smällare varenda kväll. Många kemistuderande har tydligen lärt sig mycket om pyroteknik genom att läsa den här typen av information.) En del tycks samla dylika ritningar och böcker på hög på samma vis som andra samlar stenar eller frimärken. Det är mest på senare tid såkallade *ASCII-traders* (*ASCII* betyder American Standard Code for Information Interchange, ungefär detsamma som text, fast digitalt, *trader* betyder handlare eller bytare) har dykt upp - informationssamlare som ringer runt till BBS:er och söker sig igenom Internet efter spännande information som är lite *suspekt* bara, liksom, för att ha den liksom. Fråga inte vad som är så roligt med det. Samlande av döda ting är något man ägnar sig åt i princip helt utan anledning. Samlarlustan när det gäller information är tydligen lika stark som när det gäller fysiska objekt. //Linus Walleij .----------------------------------------------------------------------------. Phreak 020 - Http://come.to/phreak020 - Joina Mailinglistan! #Phreak020 på DALnet och EFnet //Celsius Artiklar sändes till celsius@mindless.com Tack Till VSU, VSP, KBB och 020 för inspiration! '----------------------------------------------------------------------------'

← Svenska e-zines (1990-2008)