Stephen Dendtlerrel az ausztrál kormány nemcsak példát akar statuálni – amit a másod fokon kirótt kemény ítélet is mutat -, hanem lebuktatásának részleteivel rendőrei rátermettségét is bizonyítani kívánja.

Az AusCert biztonsági konferencián Bruce Van der Graaf felügyelő, az Új-Dél-Walesi rendőrség hi-tech csoportjának munkatársa előadásában beszámolt, hogy sikerült azonosítaniuk Dendtlert, aki ausztrál, japán, amerikai és német hálózatok gépeiről 435 ezer felhasználó nevéhez és jelszavához jutott hozzá. Van der Graaf elmondta, hogy az Optus adminisztrátorai 2001. december 18-án figyeltek fel a gyanús mozgásra, ellenőrizték a Secure Shell (SSH) nyilvántartást, ahol mindjárt egy trójai falóra bukkantak. Megfigyelték, hogy a támadó fájlokat visz be egy könyvtárba, amely találtak egy gyökérkészletet – ezt az adminisztrátorok CD-re másolták, és bizonyítékként átadták a rendőröknek. Van der Graf elmondta, hogy a két legfontosabb bizonyíték a gyökérkészlet és a “SeN” betűsort tartalmazó fájlok voltak. A trójai falóról időközben megállapították, hogy az egy adott ping csomaggal aktiválható 240 bájt hosszú kód, amely hátsó ajtót telepít a 23282-es kapura, amely a DVP protokoll segítségével átjárást biztosít a tűzfalakon.

Az elemzés során kiderült, hogy a hátsó ajtót a “SeNif” jelszó nyitja, mely betűsor ismét a program szerzője felé mutatott. A gyökérkészlet tartalmazott egy másik programot is Ozidler néven, amely csevegő csatornákhoz csatlakozott, és e csatornák host szervereinek IP címét tartalmazta. A rendőrség megbízásából egy külső tanácsadó azonosított egy csevegőt, aki a SeN nevet használta. Az IP cím böngészőbe vitele után a rendőrök egy weboldalt találtak, rajta linkeket képek felé, amelyek a támadót és barátait ábrázolták. Ez már internetre kitett nyilvános információ volt. A rendőrök már tudták, hogy emberük a FiNest nevet használja az interneten. Ha elhagyjuk a “t”-t és visszafelé olvassuk a szót, a SeNif-hez jutunk, a trójai falovat megnyitó jelszóhoz, amelyben ott van a SeN betűsor is, amelyet a gyökérkészlet fájlnevei is tartalmaztak.

Ezután már a rendőrök házkutatási engedélyt kérhettek, és Dendtler otthonában le is foglaltak két gépet, melyeket szoftvermérnökök zártak le, hogy a törvényszéki vizsgálathoz fel lehessen használni őket. “Számolnunk kellett azzal, hogy rejtett szkripteket tartalmaznak, amelyek megrongálják az állományokat, vagy hogy az adatok titkosítva vannak, de kiderült hogy semmi sem volt kódolva”, mondta a nyomozó. Ezután a Linux dd parancs segítségével “bit stream” képet készítettek, amelyek további érdekes bizonyítékokhoz vezettek, így az Optus kiszolgálójából kimásolt felhasználó nevekhez és jelszavakhoz, valamint egy IP cím listához, amelyekhez Dendtler egyszavas kommentárokat fűzött. Van der Graaf végül elmondta, a legkeményebb erőpróbát a rendőrök számára az jelentette, hogy a technikai bizonyítékokat úgy csatolják a vádindítványhoz, hogy azokat a laikusokból álló esküdtszék is megértse.