Hacker`lar sistemlere nasıl girerler... ve yakalanırlar!

Abednego bir gün evinde bilgisayar başında otururken IRC`ye girmeye karar verir. Güçlü işletim sistemi Unix ile ilgili bir kanala girdikten sonra nete bağlı insanların birbirleriyle birlik olmalarını ve bilgi alışverişi yaptıklarını izler. Sahne Star Wars filmindeki bar sahnesine benzemektedir.

Muhabbete katılmak - ve diğerlerini etkilemek - için birisinin çok basit bir soru sormasını bekler. Bu sayede katılımcıların birbirine hakaret ettiği bir kavga - flame war - başlatabilecektir. Tam o sırada 'Dogberry' lakaplı biri ev hava istasyonu için bir cihaz sürücüsü yazmakla ilgili bir soru sorar. Abednego şansını kullanır. Cevabı 'RTFM' dir. Bunun açılımı 'read the f*****g manual' yani 'kahrolası manueli oku(sana)' . (read the fine material'in değiştirilmiş hali)

Diğerleri hakaretlere başlarlar, ama Dogberry`ye değil. Görünüşe göre soru Abednego`nun algıladığından çok daha karmaşıktı. Dogberry`nin 'Çaylak!' cevabı hakaretleri daha da hararetlendirir. Rezil olan Abednego intikam almaya yemin eder.

IRC`deki 'finger' komutu ile email adresini öğrenir mailto:Dogberry@refrigerus.com - Dogberry@refrigerus.com . Abednego, Dogberry Unix`i bu kadar iyi biliyorsa refrigerus.com daki bilgisayarların yöneticisi olabilir diye düşünür. Önsezisini onaylamak için telnet kullanarak mesaj sunucusuna bağlanır. Sonra 'expn root@refrigerus.com' komutu ile Dogberry`nin gerçekten orda sistem yöneticisi olduğunu öğrenir.

Abednego, o anki güçlü duygularıyla, refrigerus.com daki açık portları bulmaya yaracak olan bir port tarayıcısı (strobe) çalıştırır. Tarayıcı titizlikle (mesajların gönderilip alınmasından sorumlu olan servisler gibi) servislerden gelen cevapları kaydeder. Abednego her port`un açık bir kapı olduğunu bilmektedir. Eğer servisin açıkları varsa kullanıp sisteme girebileceği kapılar.

Fakat strobe bir duvarla karşılaşır. Kesin olmak gerekirse, Dogberry`nin güvenlik duvarı. Bu güçlü savunma yazılımı içeri gelen her pakedi kesip, TCP/IP başlıklarını okur ve hangi port ile bağlantı kurmak istediğini bulur. Güvenlik duvarı bu isteği kendi katı erişim kurallarıyla karşılaştırır. Bu durumda, refrigerus.com Abednego`nun bilgisayarına sadece tek bir cevap vermeye karar vermişti.

O andan itibaren, refrigerus.com`daki bir program Abednego`yu anlamsız bilgi yağmuruna tutar ve evdeki bilgisayarına aşırı yük bindirir. Diğer taraftan, başka bir servis Abednego`nun servis sağlayıcısına mesaj atar ve birisinin refrigerus.com`a girmeye çalıştığından şikayetçi olur. Dakikalar sonra servis sağlayıcı bilgisayar suçundan şüphelenerek Abednego`nun kullanıcı hesabını kapatır.

Abednego gardı açıkken yakalanmış olsa da (çoğu servis sağlayıcı bu kadar çabuk ve ciddi davranmayacaktır) fazla birşey kaybetmemiştir. Kapatılan hesap zaten onun servis sağlayıcının sistemlerine girdikten sonra yarattığı birkaç hesaptan biridir. Fakat o anda kapatılan hesap kendisinin tamda hakaretler arasındayken IRC`den düşmesine yol açar. Odadakiler ya Abednego`nun makinesi birileri tarafından çökertildiğini yada Abednego`nun saklanmak için kaçtığını düşüneceklerdir.

Abednego misilleme yapmak için yanıp tutuşmaktadır. Bir sonraki adımı gizli (stealth) port tarayıcısı kullanmak olur. Bu tip programlar IP trafiğinin bazı özelliklerinden yararlanırlar. Bir bilgisayar diğeriyle konuşmak istediğinde önce SYN (synchronize-senkronize) flag içeren bir paket göndermelidir. Pakedin başlığı aynı zamanda kaynak ve hedef adresleri gibi bazı diğer önemli bilgileri içerir. Cevap olarak, alıcı servis ACK (pakedi aldığını bildirmek için) ve gelecek olan bağlantının koordine edilmesi için gerekli bir sıra numarası ile SYN içeren bir paket geri gönderir. İlk bilgisayar geri dönen ACK/SYN`yi aldıktan sonra herşeyin tamamlandığını belirtmek için kendisi bir ACK geri döner ve böylece 3 yollu el sıkışma (3-way handshake) gerçekleşir ve iki bilgisayar arasında bir oturum (session) başlar.

Ve artık bağlantıyı başlatan taraftaki bilgisayar elindeki sıra numarası ile diğer tarafa mesajını gönderebilir.

Bağlantının sonunda başlatan taraf FIN (finish-bitiş) içeren bir paket gönderir ve

alıcı bir ACK sinyali dönerek bağlantının sonlandığını onaylar.

Abnego gizli (stealth) bir port tarayıcısının bilgisayardaki tüm portlara zamansız bir FIN paketi göndererek bu durumdan yararlanacağını bilir. Genelde eğer bir port açıksa alıcı servis geriye bir cevap dönmeyecektir. Fakat bir port kapalıysa bilgisayar bir RST (reset-sıfırla) paketi geri dönecektir. Ve bilgisayar 3 yollu bir el sıkışma olmadan bağlantıyı tam olarak tanımayacağından bunu loglamaz. Böylece bir FIN tarayıcı herhangi bir bağlantı açmadan gizlilik içinde bir bilgisayarı tarayabilir. (Ama, Abednego`nunda yakında öğreneceği gibi, bir tek FIN pakedinde bile gönderenin kimliğini belirleyecek yeterli bilgi bulunabilir.)

Genç Dogberry başka bir yol izledi. Yerel servis sağlayıcıda teknisyen bir arkadaş edindiğinde bir ağı nasıl yöneteceğini öğrenmişti. Uzun zaman önce Dogberry ve teknisyen arkadaşı bilgisayarlar girme ve savunma oyunları oynuyorlardı. Servis sağlayıcının güvenliğini arttırmada bunun yararlarını gördüler. Bu başarı ile, servis sağlayıcı onu part time işe aldı ve diğer vakitlerde bilgisayar mühendisliği derslerine devam etti.
Böylece, Abednego Dogberry`yi ele geçirmeyi düşünürken, ilk hatasını yapmıştı bile. Dogberry bir beyaz şapka (white-hat) hacker`dı ve pek çok siber-savaş yaşamıştı.

Noktaları birleştirme
Şafak sökerken, Abednego sonunda kodu derlemeyi bitirdi ve yerleştirmeye hazırdı. Birkaç dakika içinde, FIN tarayıcı ona refrigerus.com`un sadece onaylanmış IPlerden gelenlere sunduğu servislerinin bir resmini çıkardı. İki tanesi, 'Secure Shell' servisi ve Web sunucu dikkatini çekmişti.
Birden Abednego`nun yüreği hopladı. Sıradışı bir port numarası, 31659, FIN taramasına cevap vermişti. Başka bir saldırgan onden önce davranıp sisteme yakalanmadan giriş sağlayacak bir 'backdoor' mu bırakmıştı?

Çağrı cihazının sesi Dogberry`yi derin uykusundan uyandırdı. Etherpeek, refrigerus.com ağında kurulu bir dinleme programı, port taramasını yakalamıştı. Dogberry hemen ofise gitti ve bilgisayarının konsoluna geçip gelebilecek saldırıları izlemeye hazırlandı. En iyi savunma programları sadece o bilgisayardan ve fiziksel olarak orada olan biri tarafından çalıştırılabiliyordu. Bu şekilde uzaktaki bir saldırgan tarafından kurcalanamıyorlardı.

Bu sırada, 31659 portunda çalışan servisin çekiciliğine rağmen, Abednego şimdilik kovalamacayı bırakmaya karar verir. Birşey -hacker içgüdüleri- ona başka bir gece geri dönmesini söyler. Böylece Dogberry işyerine vardığında hiçbir aktivite görmez.

Dogberry, sıradışı saldırıdan şüphelenerek bilgisayarının loglarını incelemeye başlar ve hacker`ın FIN paketlerinden kaynak adresini bulur. Bu bilgi ile Abednego`nun servis sağlayıcısına bir email atar ve sisteme girişi bildirip kullanıcı hesabı hakkında detaylı bilgi ister. Fakat servis sağlayıcıdaki sistem yöneticisi bir gizlilik politikasından bahsederek, port taramanın hiçbir kanunu çiğnemediğini düşünerek, Dogberry`nin isteğini geri çevirir.

3 gün sonra Abednego ava devam eder. Fakat servis sağlayıcıya bağlanmaya kalktığında şifresinin çalışmadığını görür. Tedirgin olur ve servis sağlayıcıyı aradığında hesabının FIN taraması yüzünden kapatıldığını öğrenir. Fakat bu tip olaylar onun cesaretini kırmaz. Aksine, artık daha da kararlıdır.

Kredi kartı numarası ve başka bir servis sağlayıcıya telefon ile bir kaç dakika sonra tekrar 'online'dır. Fakat bu sefer daha dikkatlidir. Yeni hesabı ile başka bir servisa sağlayıcıdaki hack ettiği başka bir hesaba 'logon' olur. Oradan 'whois refrigerus.com' komutunu çalıştırır ve alan adının Refrigerators R Us adında ulusal bir parekendeci zincirine ait olduğunu öğrenir.

Sonra, Abednego 'telnet refrigerus.com 31659' komutunu çalıştırarak refrigerus.com 31659 nolu porta bağlanmayı dener. Cevap olarak 'Seni lamer! Gerçekten bunun bir `backdoor` olduğunumu düşündün?' yazısı ile karşılaşır. Sonra 31659 portunda çalışan servis bozuk paketler göndererek Abednego`nun bilgisayarını çökertmeye çalışır ve aynı zamanda birisinin bilgisayar suçu işlemeye kalktığını servis sağlayıcıya email ile bildirir. Birkaç dakika içinde Abednego`nun bağlantısı kopar.

Dahada kararlı bir şekilde, Abednego direk firewall`u geçmeye çalışacağına başka bir yerden girmeye çalışmaya karar verir. Pekçok hack edilmiş kullanıcı hesaplarından bir diğeri ile refrigerus.com`a ait bilgisayarların listesini almaya başlar. Bu bilgiye sahip olmak için, IP adresleri dizinlerini içeren, ana veritabanlarında aramalar yapan 'nslookup' programını kullanır.

Fakat 'nslookup'tan hiçbir yararlı bilgi alamaz. Dogberry refrigerus.com`u iç IP`lere gelen paketleri önce bir isim-sunucusu programına gönderilecek ve daha sonra ordan iç IP`lere gidecek şekilde ayarlamış olmalıydı. Bu işlem dışardaki birisinin firewall arkasındaki makinalar hakkına bilgi almasını engelliyordu.

Abednego`nun bir sonraki denemesi IP adresi taraması olur. Önce 'nslookup' ile refrigerus.com`u nümerik bir adrese çevirir. O adresin yukarı ve aşağısını taramaya başlar. 50 internet adresi bulur. Bunların refrigerus.com`a ait olduğu garanti değildir ama Abednego bunun yüksek ihtimal olduğunu düşünür.

Sonra 'whois' komutunu kullanarak başka alan adlarının Refrigerators R Us`a kayıtlı olup olmadığına bakar. Cevap nümerik adresin refrigerus.com`dan uzakta bir alan adını ortaya çıkarır: refrigeratorz.com. Ve IP adres tarayıcı refrigeratorz.com etrafında 5 adres daha bulur.

Güvenlik önlemi olarak, Abednego o anki kullanıcı hesabından başka bir hesaba telnet çeker. Ve ordanda FIN port taramaları yapmak için başka bir hack edilmiş hesaba telnet çeker. Bu ekstra adımlar kanun güçlerinden birisinin 3 şirket için arama emri çıkartmasını gerektiriyor ve böylece işlemi zorlaştırıyordu.

Ayrıca 3. hack edilmiş bilgisayar hesabında, zararsız gibi görünen, anormal aktivitelerin bulunmasında gerekli olan logların tamamını temizleyen, bir truva atı programı olan 'rootkit' koruması altında saklanmaya karar verir. Bu program ayrıca sistem dosyalarında yapılan değişiklikleri bulmaya çalışan programlarıda alt eder. Bu güvenli noktadan, Abednego birbiri ardına refrigerus.com ve refrigeratorz.com daki makinaları taramaya başlar. FIN tarayıcı her bir makina için firewall`u geçer. Fakat bu aktivite Dogberry`nin pager`ına alarm gönderen Etherpeek programı tarafından yakalanır. Dogberry işyerine acele ile varır ve FIN taramasının kaynağını hemen bulur. Abednego`nun 3. hack edilmiş hesabının sahibi servis sağlayıcıdaki sistem yöneticisine haber verir. Fakat rootkit işini iyi yapmıştır. Abednego`yu meraklı sistem yöneticisinden gizler. Abednego cesurca devam eder. Firewall`un korumadığı bir IP adresi bulabilme umuduyla FIN tarayıcıdan strobe`a geçer.

Refrigerus.com firewall`undan gelen anlamsız bilgi seli haricinde hiçbir bilgi edinememiştir. Ani yük artışı sonunda Abednego`nun hack edilmiş hesabının bulunduğu servis sağlayıcının sistem yöneticisi sistemde bir hacker olduğuna inanmıştır. En etkili yöntem olarak sistemin Internet bağlantısını tamamen kapatır. Bağlantısı koptuğunda Abednego firewall`u geçmenin düzgün bir yolu olmadığını farkeder.

Çalışkanlık

Abednego, her büyük firmanın ağında yetkisiz bir modem bulunduğu düşüncesiyle ShokDial isimli bir war-dialer programı kurar. Bu program Refrigerators R US’ın telefon numarasındaki tüm dahili numaraları tarayacaktır. Şirketin ana merkezindeki gece bekçisi telefonların birbiri ardına çaldığını duyar fakat bu konuda hiçbirşey düşünmez.

Ve 2:57 de, war-dialer bir modem yakalar. Abednego bir Silicon Graphics bilgisayarın logon ekranı ile karşılaşır: “Refrigerators R Us Pazarlama Departmanı. Irix 6.3”. Abednego “Harika” diye düşünür çünkü Irix bir Unix çeşididir ve Dogberry’nin dünyasına açılan bir kapı olabilir.

Abednego’nun bir sonraki stratejisi, o makinada tüm komutları çalıştırabilecek ve tüm bilgilere erişebilecek olan root kullanıcı hesabının şifresini brute-force (Irix makineyi devamlı olarak arayarak şifrelerini denemek) yöntemi ile bulacak bir program kullanmaktır. Irix makinenin sahibinin uzaktan bir root hesabına erişime izin bıraktığını umar.

Şifre bulucu program öncelikle genel kullanılan kelimeleri dener. Bu işlem aylar hatta yıllar sürebilir çünkü şifre bulucu program bir sözlükteki, bir ansiklopedideki yada telefon rehberindeki tüm isimleri deneyebilir. Fakat Abednego şanslıdır. Sabah 5 e doğru şifrenin “nancy” olduğunu bulur.

“Evet” diye bağırır Abednego sisteme login olduğunda. Hemen izlerini gizleyebilmek için FTP ile kurban makineye bir rootkit ve sniffer programı yerleştirir. Keystroke loggin adı verilen, kullanıcının sistemde bastığı tüm tuşları ve ağ üzerinden login’leri kayıt edecek sniffer programlarını çalıştırır. Sniffer bu bilgiyi, dikkat çekmeyecek isimde bir dosyada saklayacaktır. Birkaç dakika içinde Abednego’nun rootkit’i logon olmak için ek bir yol daha hazırlamıştır: Kullanıcı ismi: “revenge” (intikam) Şifre: “DiEdOgB”.

Abednego’nun sabah son olarak basit bir işlem daha yapar. Ele geçirdiği makinanın internet adresini bulmak için “who” komutunu kullanır ve “revenge” kullanıcısının picasso.refrigeratorz.com adresine logon olduğunu görür. Ve sabah daha geç saatlerde picasso’nun gerçek kullanıcısı sistemin başına geçtiğinde bilgisayarının bir başkası tarafından kullanıldığını farkedemez. Abednego’nun rootkit’i işini iyi yapmaktadır.

Dogberry, logları incelediğinde sabah erken saatte refrigeratorz.com’a internetten girme denemesi dışında olağan dışı birşey görmez. Son günlerdeki FIN taramalarını hatırlayıp bu deneme karşısında endişelenir fakar elinde çok az bilgi vardır.

İki gece sonra Abednego picasso’ya loglarını incelemek için modem ile bağlanır. İç ağdaki trafiğin şifrelenmiş olduğunu görür. Fakat sniffer’ının basılan tuşları loglaması işe yaramıştır ve picasso’nun kullanıcısının fantasia isimli başka bir makineye login olduğunu görür. Artık fantasia için de bir kullanıcı ismi ve şifresi vardır. Açıl Susam Açıl!

Abednego makinenin televizyon reklamları için olabilecek animasyonların render edildiği bir SPARC workstation olduğunu öğrenir. Makina diğer makinalar tarafından da kullanılan bir sunucu olabilieceğinden, Abednego bir şifre dosyası aramaya başlar. Bulabildiği şifrelerin firmadaki diğer makinalarda da çalışabileceğini ummaktadır.

Dosyayı bulur fakat şifrenin olması gereken yerde “x” karakterleri bulunmaktadır. Göründüğü üzere aradığı bilgi başka bir (shadowed) dosyada gizlenmektedir. Abednego ftp programını çalıştırır ve çökmesini sağlar. Bingo! Core dump!

Fantasia, RAM (random-access memory) deki bilgilerin bir kısmını ortaya çıkarmak zorunda bırakılmıştı. Abednego’nun şansına bu bilgi (RAM de o anda tutulan bilginin kaydı) kullanıcı dizinindeydi artık.

Core dump’ların asıl amacı programcıların dijital kalıntılarda programın niye başarısızlığı uğradığı hakkında fikir/bilgi sahibi olmasıdır. Fakat, Abednego’nun iyi bildiği gibi, core dump başka amaçlar içinde kullanılabilir. Bir “shadowed” şifre sistemi bazen kriptolanmış şifreleri RAM’de tutarlar. Bir kullanıcı logon olduğunda bilgisayar kullanıcının girdiği şifreyi tek yönlü olarak kriptolar ve shadow’lanmış dosyadaki kriptolanmış şifre ile karşılaştırır. Eğer ikisi birbirini tutuyorsa kullanıcı sisteme girer.

Abednego’nun fantasia’daki core dump’tan elde ettigi şifreler kriptolanmış haldedir, O yüzden şifre kırıcı programını çalıştırır. Program şifreyi kırmak için birkaç gün belkide haftalarca uğraşacaktır.

Bekleyemiyecek kadar sabırsız olan Abednego bir sonraki işlemine başlamıştır bile. Unix sisteminin bir açığından faydalanmak. Bir sistemde çalışan bir program tampon hafızaya (buffer - hafızada geçici depolama alanı) aşırı miktarda bilgi dökerse bu bilgiler bilgisayarın hafızasının diğer alanlara taşar.

Abednego kendi kodunu SPARC makinede çalıştırabilmek için hafıza taşmasından yararlanır. Bu sayede bir root shell’ine sahip olur. Son çabaları Abednego’yu fazlasıyla memnun etmiştir. Birde sniffer ve rootkit kurur sisteme. Rootkit aktif olduğu zamandan sonraki izleri gizleyeceğinden, Abednego gece boyunca önceden yaptığı işlerin izlerini siler.

Son bir iş kalmıştır. Fantasia’ya internet’ten girilmesine izin verilen başkaları varmı? Abednego sisteme bağlantı yapan kişilerin listesini görmek için “last” komutunu kullanır. Refrigerators R Us güvenlik duvarı dışarısında bulunan “adagency.com” alanından internet yoluyla fantasia’ya logon olan iki kullanıcı ismi görür: “vangogh” ve “nancy”.

Abednego o sabah zorla uyur. Yakında Refrigerators R Us’a sahip olacağı (own) düşüncesi onu heyecanlandırmaktadır.

Son Darbe

O makinede, ağa yapılmış bağlantıları görmek için ‘netstat’ komutunu çalıştırır. Önceki aramalarında gözünden kaçan bir makina bulur. 'admin.refrigerus.com'. Acaba bu makine Dogberry’nin sistemi izlediği makine olabilirmi?

Bu sırada Abednego’nun PC’si kullanıcı şifrelerini kırdıkça onları refrigerus.com’daki diğer makinalarda denemektedir. Fakat hiçbiri zaten sahip olduğu fantasia dışında başka bir makinede çalışmamaktadır.

Fantasia’da firmanın web sitesini güncelleyen vangogh tarafından basılan tuşları yakalar. Ve artık refirgerus.com’un web sitesini hacklemek için elinde gerekli şifre vardır. Ayrıca picasso’daki sniffer’ı Nancy isimli birisinin makineye dialup bağlandığını ve root kullanıcı hesabı için bir backdoor kullanarak admin.refrigerus.com a girdiğini ortaya çıkarır.

Nancy nin peşinden admin.refrigerus.com’a login olur. Root hesabını kullanarak diğer makinelere login olmaya çalışır fakat Dogberry aşırı derecede dikkatli davranmıştır. Refrigerators R US ağında root haklarına sahip birisi bile diğer makinelere yeni bir şifre girisi yapmadan girememektedir.

Tekrar web sunucusuna döner ve yeni hesabıyla login olur. Evdeki PC sinden refrigerus.com için bugünü düşünerek hazırladığı yeni bir web sayfasını upload eder.

Refrigerators R US da, Dogberry geç saatte çalışmaktadır. Loglarını dikkatlice incelemektedir. Görünüşe göre pazarlama çalışanları adagency.com dan alışılmışın üstünde bir bağlantı gerçekleştirmektedir. Yarın ordakilere neler olduğunu soracaktır. Ayrıca bir zamanlar yeni bir sistem yazılımını kurmasına yardım ettiği sistem yöneticisine de soracaktır.

Dogberry tam eve gitmek için çıkacakken ofis telefonu çalar. Öfkeli bir müşteri Refrigerators R US web sitesinde pornografi içerik olduğundan bahsetmektedir. Dogberry değiştirilmiş web sitesini görür görmez web sunucusunun ethernet kablosunu çekmeye koşar.

Abednego sanat eseri çok kısa sürede kapatıldığı için sinirlenir. Fakat arkada çok delil bıraktığından endişelenerek hala dogberry’nin bilmediği, picasso’daki dialup hatta yönelir. Yönetim makinesinin harddiskini formatlayarak zaman kazanır. Böylece Dogberry’nin saldırı hakkındaki detayları araştırmasını geçici olarak engeller.

Dogberry yönetim bilgisayarına konsoldan boot etmek için koşar fakat artık çok geçtir. Artık dogberry o makineyi sıfırdan kurmak zorundadır (yedeklerden). Abednego’nun bilmediği birşey ise, yandaki macintosh makinede EtherPeek çalışmaya ve loglamaya devam etmektedir.

Abednego hala öfkelidir ve o geceki son hareketini yapar: refrigerus.com a trafiğin çoğunluğunu harcayacak şekilde bir saldırı yapar. Kısa sürede dogberry firma satış elemanalrının birinden telefon alır. Kullanıcı önemli email’lerini alamamaktadır.

Ertesi sabah, Dogberry yorgun bir sekilde teknik bölüm üst yönetiminden ağdaki tüm makinaların temizlenmesi ve baştan kurulması için izin ister fakat bu işlem uzun süreceğinden isteği reddedilir.

Bu noktada, Abednego’nun kötü amaçlı ve yokedici saldırıları kanun sınırlarını aşmıştı. Fakat FBI o sıralar çeşitli ordu bilgisayar sistemlerine yapılan saldırıları araştırmaktaydı ve Dogberry kendi başına daha çok delil toplamalıydı.

Saldırgan, ağ internet’ten fiziksel olarak koparıldıktan sonra bile sistemde kaldığına göre Dogberry binada bir yerlerde haberi olmadığı bir modem olduğundan şüphelenir. Kendi war-dialer’ını çalıştırır ve modemi tespit eder. Şimdi pazarlama departmanına söyleyecek bir çift sözü vardır.

Dogberry kendisinin ana yönetim bilgisayarını tekrar hazırlar ve saldırgan admin.refrigerus.com a login olmak istediğinde kendisini üzerinde sahte muhasebe bilgiler vs olan bir NT sunucuya yönlendirecek şekilde port-mapping yapar.

2 gece sonra Dogberry nöbette iken saat 8:17 P.M. de birisinin admin.refrigerus.com a girmeye çalıştığını farkeder. Bu Abednego’dur. Abednego pornografigrafik web sitesinin underground kesimde konuşulduğunu duymuş ve heyecanlanmıştır. Bazı yerlerde de haber olması onun kendisini yenilmez hissetmesini sağlamıştır.

Ve bu gece her zamanki dikkatini vermeden Refrigerators R US a girer. Bir servis sağlayıcıdaki misafir hesabına bağlandıktan sonra fantasia’daki backdoor a hızlı erişim için adagency.com a telnet çeker.

Abednego admin.refrigerus.com dan otomatik oalrak tuzak NT sunucuya yönlendirilir. Abednego önemli finans bilgileri olduğuna inandığı bilgileri incelemek için heyecanlanmaktadır.

Dogberry ise sniffer ile edindiği bilgileri analiz etmekle meşguldur. Abednego’nun fantasia’daki root şifresini bulmuştur bile. DiEd0gB. Ve saldırganı dagency.com a kadar izleyebilmiştir. Dogberry oranın sistem adminin çağrı cihazına mesaj gönderir. Admin işten çoktan ayrılmıştır fakat yardım edeceğini Dogberry yi arayarak telefonda bildirir.

Böylece, Abednego uydurma kredi kartları bulunan büyük bir dosyayı çekerken Dogberry adagency.com a bir sniffer yerleştirir. Abednego tembelce tüm makinalarda aynı şifreyi kullandığı için dogberry farkettirmeden adagency.com a died0gb şifresini kullanarak girer. Ve Abednego büyük dosyayı çekmesini bitirip logoff olmadan Dogberry saldırganın izini servis sağlayıcıya kadar takip etmiştir bile.
Dogberry’nin elde ettiği bilgi FBI’ı getirmek için yeterlidir. FBI sonraki gün Servis sağlayıcıyı arayarak Abednego’nun kimliğini telefon loglarından bulur. Eldeki delillerle ve macintosh’un etherpeek loglarıyla arama emri çıkartılır.