Кевин Митник - Искусство вторжения

Одна из подобных записок привлекла внимание Адриана, В ней был описан случай пользователя, который более года назад просил о помощи в связи с тем, что его кредитная карточка была украдена кем-то с сайта IRC. В этой записке было отмечено, что техническая служба ответила, что это не входит в их компетенцию. Попросту бедного парня отфутболили. Адриан позвонил этому человеку. Представился техником компании и сказал: «Привет, я не занимаюсь вашей проблемой, я просто хочу понять, отвечал ли вам кто-нибудь из нашей службы?» Мужчина ответил, что не услышал ни одного слова в ответ. Адриан прямо отправил ему необходимый отчет и всю внутреннюю документацию, относящуюся к нему.

«Я почувствовал удовлетворение, поскольку я хочу верить в справедливость мира даже в таком извращенном виде, когда ответить на вопрос об украденной у вас кем-то из I R C базе данных вам через год может лишь хакер, который проник в сеть компании, которую вы доверчиво просите о помощи».

В конце концов, открытый им прокси-сервер перестал давать ему доступ. Он не знал почему, просто перестал входить в него. Тогда он стал искать другой путь. Подход, который он придумал, был по его словам «совершенно новым».

Первый его шаг заключался в том, что называется «поиск обратной D N S » — поиск названия узла по его IP-адресу. (Если вы дадите своему браузеру указание идти на сайт www.defensivethinking.com, то запрос отправится в Domain Name Server, который и преобразует это имя в адрес, который может быть использован в Интернете для переадресации вашего запроса — 209.151.246.5. Тактика, которую избрал Адриан была обратной: он набирал IP-адрес, а в ответ получал имя домена, которому этот адрес соответствовал).

Таким образом он исследовал много адресов, большинство которых не представляло никакого интереса. Он набрел только на несколько сайтов, начинающихся со слова «dialup», типа dialup00.corp.home.net, Он предположил, что это названия узлов, с которыми связываются сотрудники, находящиеся в дороге для входа в корпоративную сеть.

Вскоре он обнаружил, что эти dial-up номера используются сотрудниками, которые работают на компьютерах со старыми версиями операционных систем, таких как Windows 98. Некоторые сотрудники использовали «открытое ПО», которое позволяло осуществить удаленный доступ к некоторым директориям или даже ко всему жесткому диску без необходимости читать или писать пароль. Адриан понял, что может внести изменения в тексты операционной системы так, что будут выполняться команды по его желанию. После написания собственных файлов запуска операционных систем пришлось подождать, поскольку система должна была перезагрузиться, чтобы заработала его версия с изменениями. Но Адриан умел быть терпеливым.

Терпение всегда вознаграждается, и Адриан перешел к следующему шагу: установке «RAT» (Remote Access Trojan — троянский червь для удаленного доступа). Чтобы сделать это, он не стал использовать уже известные трояны, созданные другими хакерами для своих злобных намерений. Современные популярные антивирусные программы разработаны для того, чтобы распознавать общеупотребительные трояны и программы создания «черного хода» и обезвреживать их мгновенно. Для решения этой проблемы Адриан нашел совершенно законное приложение, созданное для использования сетевыми и системными администраторами — коммерческое ПО для удаленного управления, которое он слегка модернизировал, чтобы оно стало незаметным для пользователя.

Тогда как антивирусные программы ищут программы удаленного доступа, которые используют хакеры, они не смотрят на законные программы для удаленного доступа, созданные крупными разработчиками ПО, предполагая, что такие программы ничего плохого сделать не могут (так полагал и я, поскольку крупная компания может подать иск, если антивирусное ПО сочтет ее программу вредной и заблокирует ее действие). Лично я считаю, что это плохая идея; антивирусные программы должны извещать пользователя о любом продукте, который может использоваться в злонамеренных целях и предоставить пользователю решать, насколько он законен. И вот — Адриан часто устанавливал «законные» RAT, которые антивирусные программы не могли обнаружить.

После того, как он успешно установил RAT на компьютере сотрудника @home, компьютер выполнил определенную последовательность команд, которая дала Адриану информацию об активных сетевых соединениях с другими компьютерными системами. Одна из таких команд «netstat» показала ему сетевую активность сотрудника, который в данный момент был соединен с внутренней сетью @home через dial-in и выявил тот компьютер во внутренней сети, на котором работал этот человек в данное время.