1996年国会听证会
情报和安全

附录B.

案例研究:
罗马实验室,
Griffiss空军基地，纽约侵入

下面的案例研究很好地说明了我们国防部信息基础设施面临的威胁类型。尽管空军特别调查办公室(OSI)已经对该事件进行了全面调查，但仍有许多问题没有得到解答。

1994年3月28日，罗马航空发展中心的计算机系统管理员Griffiss空军基地（“罗马实验室”）发现了他们的网络已经被一个被称为“嗅探器”的非法窃听计算机程序渗透和损害¹已经隐蔽地安装在连接到罗马实验室网络的一个系统上。罗马实验室是空军首屈一指的指挥和控制研究设施。其项目包括人工智能系统，雷达引导系统和目标检测和跟踪系统。罗马实验室与学术机构，商业研究设施和国防承包商合作。

在检测到嗅探器时，罗马实验室系统管理员立即通知国防信息系统代理（DISA），罗马实验室的几台计算机通过未知的入侵者渗透。国防信息系统机构拥有计算机安全专家的计算机应急响应团队（CERT），可协助国防部系统管理员的计算机安全事件。

不赞成事件严重性的DISA证书，通知了入侵的特殊调查（AFOSI）的空军办公室。Afosi的代理商通知空军计算机安全专家在空军信息战中，德克萨斯州圣安东尼奥省。²

¹黑客通过黑客安装在计算机网络上的嗅探器，以非法收集授权用户的用户登录。一般嗅探器收集每个新用户登录的前128个字符。用户会话的前128个字符通常包含用户想要登录的计算机系统的网络地址信息，然后是其私有登录和密码。这些嗅探器将在来自大多数系统管理员隐藏的文件中捕获这种敏感信息，使得即使专家知道要查找的内容也很难找到。黑客周期性地返回（电子方式）并读取捕获的用户登录的嗅探器文件。然后，黑客可以伪装成具有他们登录和密码的任何授权用户。

²空军信息作战中心拥有空军计算机应急响应小组(AFCERT)，负责接收所有AF计算机安全事件报告。ReportsReports为此，空军派出了来自空军信息战中心(AFIWC)、空军情报局和AFOSI计算机犯罪调查小组的多纪律小组。AFCERT的计算机安全专家在罗马实验室执行了三个功能;1)协助评估罗马实验室系统的危害程度2)安全系统，3)为AFOSI的计算机犯罪调查人员提供计算机监视支持。

附录B.2.

由安全专家和计算机犯罪调查人员组成的团队前往罗马实验室，继续审查审计追踪，并与系统管理员和证人面谈。他们的初步调查显示，有两名不明身份的人:通过电子方式侵入了罗马实验室的七个计算机系统，并获得了系统中所有信息的完全访问权;下载(复制)数据文件;并在七个系统上都安装了嗅探软件。

这七个嗅探程序总共破坏了30个罗马实验室的系统。这些系统包含敏感的研究和开发数据。计算机系统安全日志显示，罗马实验室的系统最初是在1994年3月23日被侵入的，但直到5天后(3月28日)才被发现。

调查显示，七个嗅探器程序通过捕获用户登录和密码来损害100多个其他用户帐户。读取，复制和删除用户的电子邮件。敏感的未分类战场模拟程序数据被读取并复制。

攻击者在罗马实验室的所有30个系统损害后，入侵者使用罗马实验室系统作为互联网发射平台，以攻击世界范围内的其他军事，政府，商业和学术系统，妥协的用户账户，安装嗅探程序和下载来自穿透系统的大量数据。

调查团队汇总了罗马实验室指挥官，他们选择了保护攻击者渗透的所有系统，或者离开一个或多个受到攻击的攻击系统，所以代理商可能会尝试追踪路径攻击回到他们的起源并识别攻击者。该指挥官选择留下某些系统为代理开放，但是30个受损的计算机系统中的大部分都得到了保障。

使用标准软件和计算机系统命令，攻击最初追溯到其路径的一条腿。大多数攻击都追溯到两个商业互联网提供商，^3.Cyber​​space.com，在西雅图，华盛顿和mindvox.phantom.com,在纽约。报纸文章表明mindvox.phantom.com的计算机安全被认为自己是“两名前东海岸军团的毁灭性妇女队”。厄运军团是一个宽松针织的计算机黑客集团，有几名成员于1990年和1991年签订了公司电话交换机的入侵。

由于这些特工不知道纽约互联网供应商的所有者是否愿意参与，或者仅仅是罗马实验室入侵的一个中转站，他们决定

^3.互联网提供商是由商业公司提供的订阅服务。在这种情况下，该公司的计算机连接到互联网和一组电话线连接到他们的计算机系统，可以通过家庭或办公室的计算机通过调制解调器访问。一旦用户进入公司的计算机系统，他或她就可以在他们的系统中存储数据，利用他们的参考图书馆或使用他们系统中的程序。此外，该服务提供商还为您提供到Internet的连接。

附录B第3页。

监视受害者的电脑系统，以查明入侵者进入电脑的程度，并确定所有受害者的身份。在得到总部AFOSI法律顾问、空军总法律顾问办公室和司法部计算机犯罪部门的法律协调和批准后，在罗马实验室的一个网络上建立了实时内容监控。实时内容监控类似于执行第三章窃听，因为它允许您窃听通信，或者在本例中是文本。调查小组还开始全面“击键监控”⁴在罗马。团队安装了复杂的嗅探程序，以捕获进入罗马实验室系统的任何入侵者的每个击键。⁵另外，商业互联网提供商的上下文监测也被远程执行。该有限的上下文监测包括订阅商业互联网提供商服务，并仅利用Internet Provider授权每个订阅者使用的软件命令和实用程序。

入侵者的路径只能追溯一条腿。要确定入侵者路径的下一条腿，所需的访问沿着黑客路线的下一个系统。如果攻击者正在利用电话系统访问互联网提供商，则需要一个法院命令的电话线“陷阱和跟踪”。由于获取此类订单所涉及的时间限制，它不是一个可行的选择。此外，如果攻击者改变了他们的道路，陷阱和追踪不会富有成效。

在入侵过程中，调查团队在侵入系统时监测黑客，试图将入侵者追溯到原产地。他们发现入侵者正在使用互联网，并欺诈使用电话系统或“手机关键”。⁶由于入侵者使用多条路径来启动他们的攻击，因此由于难以在多个国家追溯多个系统，因此调查团队无法实时追溯到原点。随后的监督日志的审查显示，1994年3月30日，该系统工程师的陆军队，薇薇普，密西西比州的系统被罗马实验室的系统袭击。此外，从监测中，调查人员能够确定黑客使用绰号Datastrean和Kuji。

AFOSI计算机犯罪调查人员转向他们的人为智能网络的线人“冲浪互联网”。调查人员征收他们的线人来识别这两者

⁴击键监测是由登录到系统的用户键入的预定数据捕获。击键监控通常捕获每个用户登录系统的每个击键都捕获。击键监测是一种相当于窃听的电子监视。

⁵由于罗马实验室之前安装了一个登录警告横幅，提醒所有用户该系统“仅供官方使用”，出于安全目的被监控，“使用该系统构成同意监控”，因此不需要法院命令。只有得到空军总法律顾问办公室的批准，监视才能开始。

⁶手机Phreaking是一种计算机黑客的子集，涉及黑客手机系统，以制作欺诈手机，或操纵电话系统。手机phreakers可以安装调用呼叫功能，如来电显示，呼叫等待，拨打电话会议，零结算记录等。

黑客使用处理Datastream和Kuji。1994年4月5日，一名线人告诉调查人员，他与一名自称“数据流牛仔”(Datastream Cowboy)的黑客交谈。谈话是通过电子邮件进行的，那个人说他来自英国。这段在线对话发生在三个月前。在告密者提供的电子邮件中，Datastream显示他是一名16岁的英国人，喜欢攻击。密耳”⁷因为它们很不安全。Datastream甚至为他自己建立的黑客公告板系统提供了他的家庭电话号码。⁸

空军代理商先前已经与新苏格兰院子建立了联络人，他们能够识别居住在与数据流的电话号码相关的居住地的个人。New Scotland Yard拥有英国电信启动个人电话线的监测（笔寄存器）。笔记本记录了居住地拨打的所有数字。几乎立即立即透露，居住的人是通过英国电信的手机释放，这在英国也是非法的。

新苏格兰场发现，每当罗马实验室受到入侵时，在英国的个人都在窃取电话线路，以便从英国拨打免费电话。他的攻击来自英国，通过南美多个国家的系统，欧洲多个国家，还通过墨西哥和夏威夷，偶尔会在罗马实验室结束。在罗马实验室，他能够通过互联网攻击美国国家航空航天局、加州喷气推进实验室和马里兰州格林贝尔特的戈达德太空飞行中心的系统。

1994年4月10日披露的英国和美国当局继续监督数据，DatastReam通过安装嗅探器成功地渗透到航空航天承包商的家庭系统，这些系统被罗马实验室遭到损害。当承包商将在加利福尼亚州和德克萨斯州登录其家庭系统时，攻击者捕获了罗马实验室的承包商登录。嗅探器将捕获其家庭系统的地址，并加上该家庭系统的承包商登录和密码。一旦登录和密码损失，攻击者可以伪装成承包商的家庭系统上的授权用户。承包商的四个制度在加利福尼亚州和德克萨斯州的第五次受到损害。

DataStream还在该航空承包商的多个系统上使用互联网扫描软件攻击。互联网扫描软件是一个开发的黑客工具，用于获得智能系统。它将试图收集有关计算机正在运行的操作系统类型的信息，以及任何其他可用信息，这些信息可用于帮助攻击者确定哪些攻击工具可能成功地侵入该特定系统。该软件还试图定位被扫描系统的密码文件，然后试图使

⁷“.mil”是许多军事互联网地址附加的后缀。

⁸黑客们通常会设立公告板，作为他们希望向互联网社区传播的信息的开放存取储存库。

附录B Page 5。

密码文件的副本。密码文件被盗的重要意义在于，即使密码文件通常是加密存储的，它们也很容易被解密。有几个黑客“密码破解”程序可在互联网上。如果密码文件被盗/复制并被破解，攻击者就可以作为系统认为的合法用户登录到该系统。

4月12日，监控活动披露，Datastream从罗马实验室(Rome Labs)向位于纽约的美国能源部(Department of Energy)布鲁克海文国家实验室(Brookhaven National Labs)发起了互联网扫描软件攻击。Datastream还与航天承包商系统进行了两个小时的连接。

4月14日，西雅图互联网提供商的远程监控活动，网络空间。COM，通过空军，指示Kuji连接到戈达德太空飞行中心，格林贝尔特，马里兰州，通过互联网提供商和拉脱维亚。监测披露的数据正在从戈达德太空飞行中心转移到互联网提供商。为了防止丧失敏感数据，监控团队违反了连接。如果从美国国家航空航天局（NASA）系统转让的数据注定了除拉脱维亚时仍然是未知的。

西雅图互联网提供商的进一步远程监控活动，网络空间。COM。，披露了访问国家航空航天飞机联合方案办公室，由美国宇航局和威廉省赖特 - 帕特森（Wright-Patterson）领导的联合项目领导的联合项目。监控透露了从赖特 - 帕特森机器人传输的数据转移到穿过cyberspace.com拉脱维亚。显然，Datastream攻击并破坏了拉脱维亚的一个系统，而这个系统只是用来防止身份识别的管道。

Kuji还在同日从华盛顿州西雅图的互联网供应商发起了针对Wright-Patterson AFB的互联网扫描软件攻击。他们还试图从赖特-帕特森空军基地的计算机系统窃取密码文件。

4月15日，实时监测披露了罗塞尔，比利时和赖特 - 帕特森AFB，俄亥俄州的北约总部执行互联网扫描软件的Kuji。Kuji似乎没有从这种特定攻击中获得任何北约系统。然而，来自Shape Technice Center（北约总部），海牙的系统管理员接受了AFOSI和AFOSI和披露的DataStream从纽约的互联网提供商攻击了一个形状的计算机系统之一，mindvox.phantom。com。

一旦他们确认了黑客的身份，并找到了可能的原因，新苏格兰场请求并获得了对Datastream住所的搜查令。计划是等到那个人在罗马实验室，然后执行搜索权证。调查人员希望在线捕捉数据流，因此他们可以识别其居住和罗马实验室之间的路径中的所有受害者。一旦Datastream在罗马实验室就在线，

附录B Page 6。

他们发现他突然在韩国和逻辑上访问了一个系统⁹获得了韩国原子研究所系统上存储的所有数据，并在罗马实验室的系统上存放。最初尚不清楚韩国系统是否属于朝鲜或韩国。关切的是，如果是朝鲜，朝鲜人将认为存储空间的逻辑转移是美国空军的入侵，这可以被认为是一种积极的战争行为。在此时间框架中，美国在核武器方案上与朝鲜致密的谈判。在几小时内，确定数据集被砍成韩国原子研究所。此时，新苏格兰院子决定扩大调查，并要求空军继续监测和收集证据，以支持他们的调查和推迟执行搜索权证

5月12日，新苏格兰场执行了对Datastream住所的搜查令。搜索结果显示，Datastream仅用一台25mhz, 486 SX台式电脑和170兆字节的硬盘就发动了攻击。这是一个非常适中的系统，非常慢，存储容量非常有限。¹⁰Datastream有许多文件包含了对互联网地址的参考，包括6个NASA系统、美国陆军和美国海军系统，以及如何在多个系统中循环以避免被发现的说明。

在搜索过程中，Datastream被捕并接受了新苏格兰场侦探的讯问。侦探们说，当他们进入他的房间时，Datastream刚刚退出计算机系统。Datastream承认多次侵入罗马实验室以及其他多个空军系统(马萨诸塞州的Hanscom空军基地和俄亥俄州的Wright-Patterson空军基地)。Datastream承认偷了一份涉及Air研究的敏感文件

强制人工智能。他补充说，他搜查了“导弹”这个词，不要找到导弹数据，而是可以找到专门了解人工智能的信息。他进一步解释说，他偷走的文件之一是3-4兆字节的文件（大小为3-400万个字符），他在纽约的互联网提供商系统中存储了它（mindvoxphantom.com）。他在互联网提供商的系统中存储了它，因为它太大而无法适应他的家庭系统。此文件是一个人工智能计划，用于处理航空秩序。DataStream解释了他为互联网提供商的服务支付了欺诈性信用卡号，由他在互联网上找到的黑客计划生成。在面试后，DataStream在保释中发布。

调查从未透露了Ku​​ji的身份。从通过调查人员监测观察到的行为，Kuji是比16岁的数据流更复杂的黑客。空军调查人员能够观察到Kuji只会在短时间内留在电话线上，而不是足够长的来成功追踪。没有信息信息，除了从澳大利亚维多利亚人警察局的计算机犯罪调查人员看到了Kuji的一些黑客公告董事会制度

⁹当用户逻辑上拾取数据时，他或她正在添加其自己的系统访问的远程磁盘存储，就好像它在自己的系统内部就在物理上一样。

¹⁰现在市面上出售的电脑，仅仅两年之后，就有了超过100mhz的奔腾处理器和超过1g的磁盘存储容量。

附录B第7页。

在澳大利亚。不幸的是，Datastream以电子方式向Kuji提供了大量他窃取的信息。

此外，Kuji似乎有辅导数据流程如何闯入网络以及获取的信息。在监测期间，调查团队可以观察到

Datastream攻击系统，无法入侵。Datastream将进入在线“聊天会话”¹¹由于互联网提供商在互联网提供商的情况下监测有限，调查团队无法看到的Kuji。这些聊天会话将持续20-40分钟。在线对话后，调查团队将观看数据流攻击同一系统，他以前未能渗透，但这一次他会成功。显然kuji辅助和指导数据流，并返回，从DataStream Stolen信息收到。当新苏格兰院子里的电脑犯罪调查人员采访时，DataStream告诉他们，他从未遇到过Kuji，只能通过互联网或电话与他沟通。没有人知道Kuji用这些信息做了什么，或者为什么被收集。此外，kuji居住的何处尚未知道。在26天的攻击期间，两个黑客，Datastream Cowboy和Kuji有超过150个已知入侵。

1994年10月31日对入侵罗马实验室的系统进行了一次损害评估。摊款表明美国空军的全部损失为211 722美元。这笔费用不包括调查工作或回收和监测队的费用。其他受到黑客攻击的联邦机构，包括美国国家航空航天局(NASA)和垦荒局(Bureau of Reclamation)，都没有进行损害评估。在参议员萨姆·纳恩的要求下，总会计办公室进行了额外的损害评估。(见高报告信息安全，计算机攻击百货国防构成越来越大的风险。)

DataStream在英国等待着起诉。这项调查的许多方面仍未解决：

• 苦集的身份和动机。虽然调查人员认为他在技术上比Datastream更复杂，但他的身份尚未确定，他的动机目前也不清楚。此外，还不知道Datastream是否是他唯一的代理，或者他是否以相同的方式使用了其他代理。

• 攻击的范围。调查人员认为他们只发现了袭击的一部分。目前尚不清楚(1)在嗅探器被发现之前，黑客是否曾攻击过罗马实验室;(2)黑客是否攻击了未被发现的其他系统。

• 损害的程度。一些成本可归因于诸如维修费用等事件，以及调查努力的成本。然而，调查无法

¹¹聊天会话是发生在互联网上的用户之间的文本对话，用户实时输入他们的对话，而不是通过语音电话线路交谈。

附录B第8页。

揭示从网络下载的内容，或者是否篡改了任何数据。鉴于各种计算机网络中包含的敏感信息 - 罗马实验室，在戈迪达德太空飞行中心，Wright-Patterson AFB的喷射推进实验室，或国家航空飞机计划 - 这是非常困难量化国家的损失安全视角。