Глава 11: Сочетая технологию и социальную инженерию
(Chapter 11 Combining Technology and Social Engineering)
Перевод: Daughter of the Night (admin@mitnick.com.ru)
Социальный инженер живет своей возможностью манипулировать людьми, заставлять делать то, что поможет ему достичь своей цели, но успех обычно требует большого количества знаний и навыков в использовании компьютеров и телефонных систем.
Взлом решетки
Какие системы вы можете вспомнить, защищенные от взлома – физического, телекоммуникационного или электронного? Форт Нокс ? Конечно. Белый Дом? Абсолютно точно. NORAD (North American Air Defence), Северно‑американская воздушно‑защитная база, расположенная глубоко под горой? Определенно.
А как насчет тюрем и мест заключений? Они должны быть не менее безопасны, чем другие места в стране, верно? Люди редко убегают, и даже если это им удается, их обычно вскоре ловят. Вы можете думать, что государственная организация будет неуязвима для атак социальных инженеров. Но вы будете не правы – нигде нет такой вещи, как «защита от дурака».
Несколько лет назад, пара профессиональных мошенников столкнулись с проблемой. Так получилось, что они унесли большую сумку наличных у местного судьи. У этой пары уже не первый год были проблемы с законом, но сейчас федеральные власти особо заинтересовались. Они поймали одного из мошенников, Чарльза Гондорффа, и посадили его в исправительную колонию рядом с Сан‑Диего. Федеральный судья приказал удерживать его как угрозу обществу и потенциального беглеца.
Его друг Джонни Хукер знал, что для Чарли потребуется хороший адвокат. Но откуда взять деньги? Как и у многих других мошенников, все его деньги уходили на хорошую одежду, модные машины и женщин так же быстро, как и приходили. Джонни с трудом хватало денег на проживание.
Деньги на адвоката должны были прийти после очередного дела. Джонни не собирался делать все самостоятельно. Чарли Гондорфф всегда планировал все их аферы. Но Джонни даже не смел зайти в исправительную колонию, чтобы спросить у Чарли, что делать, учитывая то, что федералы знали, что в преступлениях участвовали двое, и жаждали заполучить второго. Только члены семьи могли посещать заключенных, что означало, что ему пришлось бы воспользоваться фальшивым удостоверением, утверждая, что он – член семьи. Пытаться использовать фальшивое удостоверение личности в федеральной тюрьме – не самая разумная идея.
Нет, ему надо было как‑то связаться с Гондорффом.
Это будет нелегко. Ни одному заключенному из федеральной, штатной или местной организации не позволено отвечать на звонки. Над каждым телефоном в федеральной колонии висят таблички, на которой может быть написано, к примеру, «Предупреждаем вас, что все Ваши разговоры с этого телефона будут подвергнуты прослушиванию, и использование этого телефона означает согласие с прослушиванием». Правительственные работники будут слушать ваши звонки, когда совершение преступления – это способ продления государственно‑оплачиваемого отпуска.
Джонни знал, что некоторые звонки не прослушиваются: звонки между заключенным и его адвокатом – отношения, защищенные Конституцией, к примеру. Вообще то, учреждение, где задерживался Гондорфф, было соединено напрямую с Офисом Общественных Защитников (ООЗ). Поднимая один из телефонов, устанавливается прямое соединение с ООЗ. Телефонная компания называет это прямой линией . Ничего не подозревающая администрация полагает, что эта служба безопасна и неуязвима для вторжения, потому что исходящие звонки поступают только в ООЗ, а входящие звонки блокируются. Даже если кто‑либо как‑либо узнает номер, он запрограммирован в телефонной компании на deny terminate(запрет прекращения) , неуклюжий термин телефонных компаний для услуги, где запрещены входящие звонки.
Поскольку любой достойный мошенник отлично разбирается в искусстве обмана, Джонни понял, что можно решить эту проблему. Изнутри, Гондорфф уже пытался поднимать трубку и говорить: «это Том, из ремонтного центра компании. Мы проверяем эту линию, и мне надо, чтобы вы набрали 9, а потом 00». Девятка открыла бы доступ на внешние линии, а ноль‑ноль бы соединили с оператором по дальним звонкам. Но это не сработало – человек, ответивший на вызов, уже знал этот трюк.
Джонни был более успешен. Он уже узнал, что в тюрьме есть десять жилых отделений, каждое с прямой линией к Офису Общественных Защитников. Джонни встретил несколько препятствий, но как социальный инженер, он знал, как преодолеть эти раздражающие камни преткновения. В каком именно отделении был Гондорфф? Какой был номер у службы прямого соединения с этим отделением? И как ему передать его первое сообщение Гондорффу, чтобы оно не было перехвачено тюремными властями?
То, что может показаться невозможным для среднестатистического человека, как получение секретных номеров, расположенных в государственных заведениях, – не более чем несколько звонков для афериста. После пары бессонных ночей мозговой атаки, Джонни проснулся однажды утром с полным планом в голове, состоящим из пяти пунктов.
Во‑первых, надо узнать номера десяти отделений, соединенных с ООЗ.
Все 10 надо изменить на прием входящих вызовов.
Потом надо узнать, в каком отделении Гондорфф задерживается.
После этого надо выяснить, какой номер соединен с этим отделением.
И, наконец, договориться с Гондорффом о звонке так, чтобы правительство ничего не заподозрило.
Лакомый кусочек , подумал он.
LINGO
Прямое соединение – Термин телефонных компаний для телефонной линии, которая соединяется с определенным номером когда поднята трубка.
Deny Terminate – Сервис телефонной компании, где оборудование настроено так, что входящие звонки не могут быть приняты с определенного номера.
Звоню в Ma Bell (американская телеф. компания – прим. пер.)
Джонни начал со звонков в офис телефонной компании под видом сотрудника гособслуживания, организации, ответственной за приобретение товаров и услуг для правительства. Он сказал, что работает над заказом по покупке дополнительных услуг, и хотел получить счета по всем используемым прямым линиям связи, включая рабочие номера и телефонную стоимость в тюрьме Сан‑Диего. Женщина была рада помочь.
Чтобы убедиться, он попробовал набрать один из номеров, и ответил типичный голос с записи: «Эта линия отключена или не обслуживается». На самом деле ничего подобного не имелось в виду, это означало, что линия запрограммирована блокировать входящие звонки, как он и ожидал.
Он знал из его обширных знаний об операциях и процедурах телефонных компаний, что ему придется дозвониться до департамента Recent Change Memory Authorisation Center или RCMAC (Я всегда буду задавать себе вопрос – кто придумывает эти названия! Действительно необычно – это переводится как "Уполномоченный Центр Частой Смены Памяти " – прим. пер.). Он начал со звонка в коммерческий офис фирмы, сказал, что он из отдела ремонта и хотел узнать номер центра RCMAC, который обслуживал зону с названным им с кодом и префиксом, и он оказался тем же офисом, обслуживающим все линии тюрьмы. Эта была самая обычная услуга, предоставляемая техникам на работе, нуждающимся в помощи, и служащий незамедлительно дал номер.
Он позвонил в RCMAC, назвал «телефонное» имя и опять сказал, что он из отдела ремонта. Когда женщина ответила, Джонни спросил: «Установлен ли на номере deny terminate»?
«Да» – сказала она.
"Тогда это объясняет, почему клиент не может получать звонки… "– сказал Джонни. «Слушай, окажи мне, пожалуйста, услугу. Надо изменить свойство линии или убрать запрет входящих, ладно?» Возникла пауза, пока она проверяла другую компьютерную систему, есть ли приказ, разрешающий изменение. «Этот номер должен запрещать входящие звонки. Нет приказа об изменении».
«Тогда это ошибка… Мы должны были передать приказ вчера, но представитель счета заболела, и забыла попросить кого‑либо отнести приказ за нее. Так что теперь клиентка бурно протестует по этому поводу».
После секундной паузы женщина обдумала просьбу, ведь просьба необычна и противоречит стандартным операциям, и сказала «Ладно». Он слышал, как она печатает, внося изменения. И через несколько секунд, все было сделано.
Лед тронулся, между ними образовалось нечто, похожее на сговор. Поняв отношение женщины и ее желание помочь, Джонни, не колеблясь, решил попробовать все сразу. Он сказал: «У тебя есть еще пару минут, чтобы помочь мне?»
«Да, – она ответила, – Что вам надо?»
«У меня есть еще пару линий, принадлежащих той же клиентке, и на всех та же проблема. Я прочту вам номера, чтобы вы проверили, поставлен ли на них запрет входящих – хорошо?» Она согласилась.
Через несколько минут, все линии были «починены» на прием входящих звонков.
Поиск Гондорффа
Теперь ему надо было узнать, в каком отделении находится Гондорфф. Это информация, которую люди, содержащие места заключения и тюрьмы, точно не захотят предоставить посторонним. Снова Джонни должен был положиться на свои навыки в социальной инженерии.
Он решил позвонить в тюрьму другого города – Майами, но любой другой бы подошел, и сказал, что он звонит из Нью‑йоркской тюрьмы. Он попросил кого‑нибудь, кто работает с компьютером центрального бюро, содержащего информацию обо всех заключенных, содержащихся в тюрьмах по всей стране.
Когда человек подошел к телефону, Джонни заговорил на своем Бруклиновском акценте. «Привет, – он сказал, – Это Томас из FDC (Federal detention center), Нью‑Йорк. Наше подключение с центральным бюро не работает, не могли бы вы посмотреть расположение преступника для меня, мне кажется, он может быть в вашем учреждении», – и он сказал имя Гондорффа и регистрационный номер.
«Нет, он не здесь,» – сказал парень через несколько секунд. «Он в исправительном центре в Сан‑Диего».
Джонни притворился удивленным. «Сан‑Диего! Его должны были переправить в Майами на судебном самолете на прошлой неделе! Мы говорил об одном человеке – какая у него дата рождения?»
«12/3/60» сказал мужчина, прочитав с экрана.
«Да, это тот парень. В каком отделении он находится?»
«Он в Северном‑10», сказал мужчина, беззаботно ответив на вопрос, не смотря на то, что не было уважительной причины, зачем эта информация понадобилась работнику в Нью‑Йорке.
Сейчас у Джонни были телефоны, включенные на прием входящих, и знал, в каком отделении находится Гондорфф. Теперь надо узнать, какой номер подключен к отделению Северное‑10.
Это – сложная часть. Джонни позвонил на один из номеров. Он знал, что звонок телефона будет выключен; никто не узнает, что он звонит. Так что он сидел и читал туристический справочник Величайшие Города Европы Фодора (Fodor's Europe's Great Cities), слушая постоянные гудки в телефоне, пока наконец‑то кто‑то не поднял трубку. Заключенный на другом конце линии, конечно, будет пытаться добраться до своего адвоката, назначенного судом. Джонни подготовил ответ. "Офис Общественных Защитников, " – он объявил.
Когда мужчина попросил своего адвоката, Джонни сказал: «Я посмотрю, свободен ли он. Вы из какого отделения?» Он записал ответ мужчины, щелкнул по hold, вернулся через полминуты и сказал: «Он сейчас в суде, вам придется перезвонить позднее».
Он потратил большую часть утра, но могло быть и хуже; его четвертая попытка оказалась Северной‑10. Теперь Джонни знал номер, соединенный с ООЗ в отделении Гондорффа.
Синхронизируй свои часы
Теперь надо передать сообщение Гондорффу, когда ему надо поднять трубку, подключенную к Офису Общественных Защитников. Это было проще, чем может показаться.
Джонни позвонил в тюрьму, используя «официально – звучащий» голос, представился как сотрудник, и попросил, чтобы его соединили с Северным‑10. Звонок соединили. Когда надзиратель поднял там трубку, Джонни обманул его, используя внутреннюю аббревиатуру для Приема и Выпуска (Recieving and Discharge), отдела, который работает с новыми и отбывающими заключенными: «Это Томас из П&В,» сказал он. «Я должен поговорить с заключенным Гондорффом. У нас есть некоторые его вещи, и он должен сообщит нам адрес, куда нам их лучше отправить. Не могли бы вы его позвать к телефону?»
Джонни слышал, как охранник кричит через комнату. Через несколько нетерпеливых минут, он услышал знакомый голос на линии.
Джонни сказал ему: «не говори ничего, пока я не объясню тебе, что я задумал». Он рассказал все предисловие так, чтобы казалось, будто Джонни обсуждает, куда он хочет доставить вещи. Потом он сказал: «если ты сможешь добраться до телефона офиса общественных защитников сегодня днем – не отвечай. А если не сможешь, назови время, когда ты сможешь быть там». Гондорфф не ответил. Джонни продолжил: «Хорошо. Будь там в час. Я тебе позвоню. Подними трубку. Если он начнет звонить в Офис Общественных Защитников, нажимай на сброс каждые 20 секунд. Не переставай пробовать, пока не услышишь меня на другом конце».
В час дня, когда Гондорфф поднял трубку, Джонни уже ждал его. У них была живая, приятная, неторопливая беседа, начавшая серию подобных звонков, чтобы спланировать аферу, которая принесет деньги на оплату легальных счетов – свободных от правительственной завесы.
Анализ обмана
Этот эпизод показывает основной пример того, как социальный инженер может сделать то, что кажется невозможным, обманывая нескольких людей, каждый из которых делает нечто, кажущееся непоследовательным. На самом деле, каждое действие дает маленький кусочек головоломки, пока афера не закончена.
Первая сотрудница телефонной компании думала, что отдает информацию из гособслуживания.
Далее сотрудница телефонной компании знала, что она не должна изменять класс линии без соответствующего приказа, но все равно помогла дружелюбному мужчине. Это дало возможность звонить во все 10 отделений тюрьмы.
Для мужчины из исправительной колонии в Майами, просьба помочь другому федеральному учреждению, у которого проблемы с компьютером, звучала абсолютно убедительной. И даже если у него не было другой причины узнать номер отделения, почему бы не ответить на вопрос?
А охранник в Северном‑10, поверивший, что собеседник действительно из этого же заведения, звонит по официальному делу? Это была полностью приемлемая просьба, так что он позвал заключенного Гондорффа к телефону. Совсем не серьезное дело.
Серия хорошо спланированных рассказов, которые складываются в единую цепь.
Быстрое скачивание
Через 10 лет после завершения юридического института, Нэд Рэсин видел своих одноклассников, живущих в маленьких миленьких домах с лужайками перед домом, членов различных клубов, играющих в гольф 2 раза в неделю, по‑прежнему работая с копеечными делами людей, которым никогда не хватало денег на оплату счетов. Зависть может стать коварным спутником. Однажды Нэду это надоело.
Его единственный хороший клиент владел маленькой, но очень успешной бухгалтерской фирмой, которая специализировалась на покупках и объединениях. Они работали с Нэдом недолго, но достаточно, чтобы он понял, что они участвовали в сделках, которые могли бы повлиять на биржевую цену одной или двух компаний. Копеечное дело, но в чем‑то оно лучше – маленький скачок в цене может стать большой процентной прибылью от инвестиций. Если бы только он мог заглянуть в их файлы, и посмотреть, над чем они работают…
Он знал человека, который знал человека, который разбирался в не совсем типичных вещах. Мужчина услышал план, зажегся и согласился помочь. За меньшую сумму, чем он обычно просил, вместе с процентом от прибыли с валютной биржи, мужчина рассказал Нэду, что надо делать. Он так же дал полезное маленькое устройство – новинку в магазинах.
Несколько дней подряд Нэд наблюдал за стоянкой в маленьком бизнес парке, где у бухгалтерской компании были непрезентабельные офисы, похожие на витрину магазина. Большинство людей уходило в 5:30‑6:00. В 7 здание было пустым. Уборщики приезжали примерно в 7:30. Идеально.
На следующий вечер, за несколько минут до восьми, Нэд припарковал свою машину на стоянке фирмы. Как он и ожидал, она была пуста, не считая грузовика уборочной компании. Нэд, одетый в костюм и галстук, держа в руке потертый чемодан, приложил ухо к двери и услышал работающий пылесос. Он постучал очень громко. Ответ не последовал, но он был терпелив. Он постучал снова. Мужчина из уборочной команды наконец‑то появился. «Здравствуй», кричал Нэд через стеклянную дверь, показывая пропуск одного из сотрудников, который он нашел чуть раньше. «Я закрыл свои ключи в машине и мне надо добраться до стола».
Мужчина открыл дверь, опять закрыл ее за Нэдом, и пошел по коридору, включая свет, чтобы Нэд видел, куда идти. А почему бы и нет – ведь он по идее один из тех, кто помогает ему класть еду на стол. По крайней мере, у него были все причины так думать.
Нэд сел за компьютер одного из сотрудников и включил его. Пока он включал его, он установил устройство, которое ему дали, на порт USB, достаточно маленькое, чтобы носить в связке ключей, и, тем не менее способное умещать до 120 мегабайт информации. Он подключился к сети, используя логин и пароль секретарши сотрудника, приклеенный на бумажке к дисплею. Менее чем за 5 минут, Нэд скачал все файлы с таблицами и документами с рабочего компьютера и сетевых папок партнера, и уже направлялся к дому.
Сообщение от Митника
Промышленные шпионы и компьютерные взломщики иногда физически проникают в цель. Они не используют лом, чтобы пройти, социальные инженеры используют искусство обмана, чтобы повлиять на человека с другой стороны двери, который откроет дверь для него.
Легкие деньги
Когда а впервые познакомился с компьютерами в старших классах школы, нам приходилось подключаться к одному центральному миникомпьютеру DEC PDP 11, расположенному в пригороде Лос‑Анджелеса, который использовали все школы Л.А. Операционная система на компьютере называлась RSTS/E, и эта была первая операционная система, с которой я научился работать.
В то время, в 1981 году, DEC устраивали ежегодную конференцию для своих пользователей, и в этом году конференция пройдет в Л.А. В популярном журнале для пользователей этой операционной системы было объявление о новой разработке по безопасности, Lock‑11. Этот продукт продвигали с хорошей рекламной кампанией, где говорилось нечто вроде: «Сейчас 3:30 утра, и Джонни с другого конца улицы нашел ваш номер дозвона, 555‑0336, с 336й попытки. Он внутри, а вы в пролете. Покупайте Lock‑11». Продукт, как говорилось в рекламе, был «хакероустойчивым». И его собирались показать на конференции.
Я жаждал посмотреть на разработку. Друг старшеклассник, Винни, являвшийся моим партнером по хакингу в течение нескольких лет, впоследствии ставший государственным информатором против меня, разделял мой интерес к новому продукту DEC, и воодушевил меня на поход на конференцию с ним.
Деньги на линии
Мы пришли и обнаружили большой переполох в толпе около презентации Lock‑11. Похоже, что разработчики ставили деньги на то, что никто не сможет взломать их продукт. Звучит как вызов, перед которым я не смог устоять.
Мы направились прямо к стенду Lock‑11, и обнаружили, что руководят там разработчики проекта; я узнал их, и они узнали меня – даже в юности у меня уже была репутация фрикера и хакера из‑за большого рассказа в LA Times о моем первом контакте с властями. В статье рассказывалось, как я благодаря одним диалогам вошел посреди ночи в здание Pacific Telephone (телефонная компания – прим. переводчика), и вышел с компьютерными руководствами, прямо перед носом у их охраны. ( Похоже, что Times хотели напечатать сенсационный рассказ, и в своих целях напечатали мое имя; я был еще несовершеннолетним, и статья нарушала не только традиции, а возможно даже закон о сокрытии имен несовершеннолетних, обвиненных в правонарушении.)
Когда Винни и я подошли, это вызвало интерес у обеих сторон. С их стороны был интерес, потому что они узнали во мне хакера, о котором читали, и были немного шокированы, увидав меня. Интерес с нашей стороны вызвало то, что у каждого из трех разработчиков, стоявших там, был чек на $100, торчавший из значка участника конференции. В сумме приз для любого, кто сможет взломать их систему, составлял $300 – и это показалось большой суммой денег для пары тинэйджеров. Мы с трудом могли дождаться того, чтобы начать.
Lock‑11 был спроектирован по признанному принципу, полагавшемуся на два уровня безопасности. У пользователя должен был быть верный идентификационный номер и пароль, но и вдобавок этот идентификационный номер и пароль будут работать, только если они введены с уполномоченного терминала, подход называемый terminal‑based security (безопасность, основанная на терминалах) . Чтобы победить систему, хакеру бы понадобилось не только знание идентификационного номера и пароля, но и пришлось бы ввести информацию с правильного компьютера. Метод был хорошо признанным, и изобретатели Lock‑11 были убеждены, что он будет держать плохих парней подальше. Мы решили преподать им урок, и заработать триста баксов.
Знакомый парень, который считался гуру в RSTS/E, уже подошел к стенду раньше нас. Несколько лет назад, он был одним из тех парней, кто озадачил меня взломом внутреннего компьютера разработчиков DEC, после чего его сообщники выдали меня. Теперь он стал уважаемым программистом. Мы узнали, что он пытался взломать программу безопасности Lock‑11, незадолго до того, как мы пришли, но не смог. Этот инцидент дал разработчикам еще большую уверенность, что их продукт действительно безопасен.
Соревнование было непосредственным испытанием: ты взламываешь – ты получаешь деньги. Хороший публичный трюк … если кто‑нибудь не опозорит их и заберет деньги. Они были так уверены в своей разработке, и были достаточно наглыми, что даже приклеили распечатку на стенд с номерами учетных записей и соответствующих паролей в системе. Но не только пользовательские учетные записи, но и все привилегированные.
Это было гораздо менее приятно, чем звучит. С таким видом настроек, я знал, что каждый терминал подключен к порту на самом компьютере. Это – не ракетная физика, чтобы догадаться, что они установили пять терминалов в зале для конференций, и посетитель мог войти только как непривилегированный пользователь – это значит, что подключения были возможны только с учетных записей с правами системного администратора. Похоже, что было только два пути: обойти систему безопасности, для предотвращения чего и был рассчитан Lock‑11, или как‑нибудь обойти программное обеспечение, как разработчики даже не представляли.
LINGO
Terminal‑based security – Безопасность, частично основанная на идентификации конкретного используемого компьютера; этот метод был особо популярен с главными компьютерами IBM.
Вызов принят
Мы с Винни уходили и говорили о конкурсе, и я придумал план. Мы невинно ходили вокруг, поглядывая на стенд с расстояния. Во время обеда, когда толпа разошлась, и трое разработчиков решили воспользоваться перерывом и пошли вместе купить себе что‑нибудь поесть, оставив женщину, которая могла быть женой или девушкой одного из них. Мы прогуливались туда‑сюда, и я отвлекал женщину, разговаривал с ней о разных вещах: «давно ли ты работаешь в компании?», «какие еще продукты вашей компании имеются в продаже» и т.д.
Тем временем, Винни, вне поля ее зрения, приступил к работе, используя навыки, которые мы развивали. Помимо очарованности взломом компьютеров и моего интереса к магии, мы были заинтересованы в обучении открытия замков. Когда я был маленьким, я прочесывал полки подпольного книжного магазина в Сан‑Франциско, в котором были тома о вскрытии замков, вылезании из наручников, создании поддельных удостоверений – и о других вещах, о которых дети не должны знать.
Винни, как и я, тренировался вскрывать замки до тех пор, пока у нас не стало хорошо получаться с замками магазинов с железом. Было время, когда я устраивал розыгрыши – находил кого‑нибудь, кто использовал 2 замка для безопасности, вскрывал их и менял местами, и это очень удивляло и расстраивало, если он пытался открыть их не тем ключом.
В выставочном зале, я продолжал отвлекать девушку, пока Винни подполз сзади будки, вскрыл замок в кабинет, где стоял их PDP‑11 и кабели. Назвать кабинет запертым – это почти шутка. Он был защищен тем, что слесари называют wafer lock(вафельный замок), известный как легко открываемый, даже для таких неуклюжих любителей взламывать замки как мы.
Винни понадобилась примерно минута, чтобы открыть замок. Внутри, в кабинете он обнаружил то, что мы не любили: полосы портов, для подключения пользовательских терминалов, и один порт, который называется консольным терминалом. Этот терминал использовался оператором или системным администратором, чтобы управлять всеми компьютерами. Винни подключил кабель, идущий от консольного порта к одному из терминалов, находящихся на выставке.
Это означало, что теперь этот терминал воспринимается как консольный терминал. Я сел за переподключенную машину, и использовал пароль, который так смело предоставили разработчики. Поскольку Lock‑11 определил, что я подключаюсь с уполномоченного терминала, он дал мне доступ, и я был подключен с правами системного администратора. Я пропатчил операционную систему, изменил ее так, что можно будет подключиться с любого компьютера на этаже в качестве привилегированного пользователя.
Когда я установил свой секретный патч, Винни вернулся к работе, отключил терминальный кабель и подключил его туда, где он был первоначально. Он еще раз вскрыл замок, на этот раз, чтобы закрыть дверь кабинета.
Я сделал листинг директорий, в поисках папок и программ, связанных с Lock‑11, и случайно наткнулся на кое‑что шокирующее: директория, которая не должна была быть на этой машине. Разработчики были слишком уверены, что их программное обеспечение непобедимо, что они даже не побеспокоились о том, чтобы убрать исходный код их нового продукта. Я передвинулся к соседнему печатающему терминалу, и начал распечатывать порции исходного кода на длинных листах зелено‑полосатой бумаги, используемой компьютерами в те времена.
Винни едва успел закрыть замок и вернуться ко мне, когда парни вернулись с обеда. Они застали меня, сидящего возле компьютера бьющего по клавишам, а принтер продолжал печатать. «Что делаешь, Кевин?»– спросил один из них.
"А, просто печатаю исходники, “ я сказал. Они предположили, что я шучу. Пока не посмотрели на принтер и не увидели, что это действительно тот ревностно охраняемый исходный код их продукта.
Они не поверили, что я действительно подключился как привилегированный пользователь. «Нажми Control‑T,» – приказал один из разработчиков. Я нажал. Надпись на экране подтвердила мое утверждение. Парень ударил рукой по своему лбу, когда Винни говорил «Триста долларов, пожалуйста».
Сообщение от Митника
Вот еще один пример того, как умные люди недооценивают противника. А как насчет вас – вы уверены, что можно поставить $300 на ваши охранные системы, против взломщика? Иногда обход вокруг технологических устройств не такой, какой вы ожидаете.
Они заплатили. Мы с Винни ходили по выставке оставшуюся часть дня со стодолларовыми чеками, прикрепленными к нашим значкам конференции. Каждый, что видел чеки, знал, что они означают.
Конечно, мы с Винни не победили их программу, и если разработчики установили бы хорошие правила в конкурсе или использовали бы действительно безопасный замок, или присматривали за своим оборудованием более внимательно, то им бы не пришлось терпеть унижение того дня – унижение из‑за парочки подростков.
Позже, я узнал, что команде разработчиков пришлось зайти в банк, чтобы получить наличные: эти стодолларовые чеки – все деньги, взятые с собой, которые они собирались тратить.
Словарь как орудие атаки
Когда кто‑нибудь получает ваш пароль, он может вторгнутся в вашу систему. В большинстве случаев, вы даже не узнаете, что произошло что‑то плохое.
У юного хакера, которого я назову Иваном Питерсом, есть цель – получить исходный код для новой электронной игры. У него не было проблем с проникновением в сеть компании, потому что его друг‑хакер уже скомпрометировал один из веб‑серверов фирмы. Найдя непропатченную уязвимость в программном обеспечении веб‑сервера, его друг чуть не свалился со стула, узнав что система была настроена в как dual‑homed host , что означало, что у него был входной пункт в локальную сеть фирмы.
Но когда Иван подключился, он столкнулся с испытанием, похожим на хождение по Лувру в надежде найти Мона Лизу. Без карты, вы можете бродить неделями. Компания была международной, с сотнями офисов и тысячами компьютерных серверов, и они не предоставили список систем разработчиков или услуги туристического гида, чтобы сразу привести его к нужному.
Вместо того, чтобы использовать технический подход, чтобы узнать, какой сервер является его целью, он использовал социально‑инженерный подход. Он звонил, основываясь на методах, похожих на описанные в этой книге. Сначала, позвонил в службу технической поддержки, и заявил, что он сотрудник компании, у которого проблемы с интерфейсом в продукте, который разрабатывала его группа, и спросил телефон руководителя проекта группы разработчиков игры.
Потом он позвонил тому, чье имя ему дали, и представился как тот парень из техподдержки. «Позже ночью», сказал он, «мы будем заменять роутер и должны убедиться, что люди из твоей группы не потеряют связь с сервером. Поэтому мы должны знать, какие серверы использует ваша команда.» В сети постоянно производился апгрейд. И сказать название сервера никому и никак не повредит, верно? Раз он был защищен паролем, всего лишь сказав имя, это не помогло бы никому взломать его. И парень сказал атакующему имя сервера. Он даже не позаботился о том, чтобы перезвонить парню и подтвердить рассказ, или записать его имя и телефон. Он просто сказал имена серверов, ATM5 и ATM6.
Атака паролями
В этом месте Иван использовал технический подход для получения удостоверяющей информации. Первый шаг в большинстве технических взломов систем, предоставляющих удаленный доступ – найти аккаунт со слабым паролем, который даст первоначальный доступ к системе.
Когда атакующий пытается использовать хакерские инструменты для паролей, работающих удаленно, может понадобится оставаться подключенным к сети компании в течение нескольких часов за раз. Он делает это на свой риск: чем дольше он подключен, тем больше риск, что его обнаружат и поймают.
В качестве начального этапа Иван решил сделать подбор пароля, который покажет подробности о системе (возможно, имеется ввиду, что программа показывает логины – прим. пер.). Опять‑таки, интернет удобно преоставляет ПО для этой цели (на http://ntsleuth.0catch.com ; символ перед «catch» – ноль). Иван нашел несколько общедоступных хакерских программ в сети, автоматизирующих процесс подбора, избегая необходимости делать это вручную что займет больше времени, и следовательно работает с большим риском. Зная, что организация в основном работала на основе серверов Windows, он сказал копию NBTEnum, утилиту для подбора пароля к NetBIOS(базовая система ввода/вывода). Он ввел IP (Internet Protocol) адрес сервера ATM5, и запустил программу.
LINGO
Enumeration – Процесс, показывающий сервисы, работающие на системе, операционную систему и список имен аккаунтов пользователей, у которых есть доступ к стстеме.
Программа для подбора смогла определить несколько учетных записей, существовавших на сервере. Когда существующие аккаунты были определены, та же программа подбора получила возможность начать атаку по словарю против компьютерной системы. Атака по словарю – это что‑то, что знакомо парням из службы компьютерной безопасности и взломщикам, но многие будут поражены, узнав что это возможно. Такая атака нацелена на раскрытие пароля каждого пользователя, используя частоупотребляемые слова.
Мы все иногда ленимся в некоторых вещах, но меня никогда не перестает удивлять, что когда люди выбирают пароли, их творческий подход и воображение, похоже, исчезают. Многие из нас хотят пароль, который одновременно даст защиту и его легко запомнить, что означает, что это что‑то близкое для нас. К примеру, наши инициалы, второе имя, ник, имя супруга, любимая песня, фильм или напиток. Название улицы, на которой мы живем, или города, где мы живем, марка машины, на которой мы ездим, деревни у берега на Гавайях, где мы любим отдыхать, или любимый ручей, где лучше всего клюет форель. Узнаете структуру? В основном, это все – имена собственные,названия мест или слова из словаря. Атака словарем перебирает частоиспользуемые слова с очень быстрой скоростью, проверяя каждый пароль на одном или более пользовательских аккаунтов.
Иван устроил атаку в трех частях. В первой он использовал простой список из 800 самых обычных паролей; список включает secret , work и password . Программа также изменяла слова из списка, и пробовала каждое с прибавленным числом, или прибавляла численное значение текущего месяца. Программа попробовала каждый раз на всех найденных пользовательских аккаунтах. Никакого везения.
Для следующей попытки, Иван пошел на поисковую систему Google, и ввел «wordlist dictionaries,» и нашел тысячи сайтов с большими списками слов и словарями на английском и на некоторых иностранных языках. Он скачал целый электронный английский словарь. Он улучшил его, скачав несколько словарей, найденных в Google. Иван выбрал сайт www.outpost9.com/files/WordLists.html .
На этом сайте он скачал (и все это – бесплатно ) подборку файлов, включая фамилии, вторые имена, имена и слова членов конгресса, имена актеров, и слова и имена из Библии.
Еще один из многих сайтов, предлагающих списки слов предоставляется через Оксфордский университет, на ftp://ftp.ox.ac.uk/pub/wordlists .
Другие сайты предоставляют списки с именами героев мультфильмов, слов, использованных у Шекспира, в Одиссее, у Толкина, в сериале Star Trek, а также в науке и религии и так далее (одна онлайновая компания продает список, состоящий из 4,4 миллионов слов и имен всего за $20). Атакующая программа также может быть настроена на проверку анаграмм слов из словаря – еще один любимый метод, который, по мнению пользователей компьютера, увеличивает их безопасность.
Быстрее, чем ты думаешь
Когда Иван решил, какой список слов использовать, и начал атаку, программное обеспечение заработало на автопилоте. Он смог обратить свое внимание на другие вещи. А вот и удивительная часть: вы думаете, что такая атака позволит хакеру поспать, и программа все равно сделала бы мало, когда он проснется. На самом деле, в зависимости от атакуемой операционной системы, конфигурации систем безопасности и сетевого соединения, каждое слово в Английском словаре может быть перепробовано менее, чем за 30 минут!
Пока работала эта атака, Иван запустил похожую атаку на другом компьютере, нацеленную на другой сервер, используемый группой разработчиков, ATM6. Через 20 минут, атакующая программа сделала то, что многие неподозревающие пользователи считают невозможным: она взломала пароль, показывая, что один из пользователей выбрал пароль «Frodo», один из хоббитов из книги Властелин Колец .
С паролем в руке, Иван смог подключиться к серверу ATM6, используя пользовательский аккаунт.
Для нашего атакующего была хорошая и плохая новости. Хорошая новость – у взломанного аккаунта были администраторские права, которые были нужны для следующего этапа. А плохая новость – то, что исходный код игры нигде не был обнаружен. Он должен быть, все‑таки, на другом компьютере, ATM5, который, как он уже узнал, смог устоять перед атакой по словарю. Но Иван еще не сдался; он еще должен был попробовать несколько штучек.
На некоторый операционных системах Windows и Unix, хэши (зашифрованные пароли) с паролями открыто доступны любому, кто получает доступ к компьютеру, на котором они находятся. Причина в том, что зашифрованные пароли не могут быть взломанными, а следовательно, и не нуждаются в защите. Эта теория ошибочна. Используя другую программу, pwdump3, также доступную в Интернете, он смог извлечь хэши паролей с компьютера ATM6 и скачать их.
Типичный файл с хэшами паролей выглядит так:
Administrator:500:95E4321A38AD8D6AB75E0C8D76954A50:2E8927A0B04F3BFB341E26F6D6E9A97:::
akasper:1110:5A8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357F157873D72D0490821:::
digger:1111:5D15C0D58DD216C525AD3B83FA6627C7:17AD564144308B42B8403D01AE26558:::
elligan:1112:2017D4A5D8D1383EFF17365FAF1FFE89:07AEC950C22CBB9C2C734EB89320DB13:::
tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:1F0115A728447212FC05E1D2D820B35B:::
vkantar:1116:81A6A5D035596E7DAAD3B435B51404EE:B933D36DD112258946FCC7BD153F1CD6F:::
vwallwick:1119:25904EC665BA30F449AF4449AF42E1054F192:15B2B7953FB632907455D2706A432469:::
mmcdonald:1121:A4AED098D29A3217AAD3B435B51404EE:E40670F936B79C2ED522F5ECA9398A27:::
kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DEC8E827A121273EF084CDBF5FD1925C:::
С хэшами, скачанными на его компьютер, Иван использовал другую программу, делавшую другой вид атаки, известную как brute force(брутфорс). Этот тип атаки пробует каждую комбинацию цифровых, буквенных и специальных символов.
Иван использовал утилиту под названием L0phtcrack3 (произносится лофт‑крэк; доступно на www.atstake.com ; еще один ресурс для отличных программ, вскрывающих пароли – www.elcomsoft.com ). Системные администраторы используют L0phtcrack3 для проверки «слабых» паролей; атакующие используют его для взлома паролей. Функция брутфорса в LC3 пробует пароли с комбинациями букв, цифр, и большинства символов, включая !@#$% ^&. Она систематически перебирает каждую возможную комбинацию из большинства символов (Запомните, однако, что если используются непечатаемые символы, LC3 не сможет открыть пароль).
У программы почти невероятная скорость, которая может достигать 2.8 миллионов попыток в секунду на компьютере с процессором с частотой 1ГГц. Но даже с такой скоростью, если системный администратор правильно настроил операционную систему Windows (отключив использование хэшей LANMAN),взлом пароля может занять много времени.
LINGO
Атака брутфорсом Стратегия обнаружения пароля, которая пробует каждую возможную комбинацию буквенных, численных и специальных символов.
По этой причине атакующий часто скачивает хэши и запускает атаку на своем или чужом компьютере, а не остается подключенным к локальной сети компании, рискуя быть обнаруженным.
Для Ивана ожидание не было долгим. Через несколько часов, программа предоставила ему пароли каждого члена из команды разработчиков. Но это были пароли пользователей сервера ATM6, и он уже знал, что исходный код, который он искал, был не на этом сервере.
Что же дальше? Он все равно не смог получить пароль для аккаунта на компьютере ATM5. Используя свой хакерский стиль мышления и понимая неправильные небезопасные привычки пользователей, он предположил, что один член команды (разработчиков) мог выбрать одинаковые пароли на обеих компьютерах.
На самом деле, именно это он и обнаружил. Один из членов команды использовал пароль «gamers» на ATM5 и ATM6.
Дверь широко открылась перед Иваном, и он нашел программы, которые он искал. Когда он обнаружил исходники и радостно скачал их, и сделал еще один шаг, типичный для взломщиков систем: он сменил пароль неиспользуемого аккаунта с администраторскими правами, в случае если он захочет получить более новую версию программного обеспечения в будущем.
Анализ обмана
В этой атаке, основывавшейся на технических и человеческих уязвимостях, атакующий начал с предварительного звонка, чтобы узнать местоположение и имена серверов разработчиков, на которых была частная информация.
Он использовал программу, чтобы узнать имена пользователей аккаунтов каждого, у кого был аккаунт на сервере разработчиков. Потом он провел две успешных атаки на пароли, включая атаку по словарю, которая ищет частоиспользуемые пароли, перебирая все слова в английском словаре иногда дополненный несколькими списками слов, содержащих имена, места и специализированные предметы.
Так как коммерчесие и общественные программы для взлома могут быть получены каждым для любых целей, важно, чтобы вы были бдительны при защите компьютерных систем предприятия и сетевой инфраструктуры.
Важность этой угрозы не может быть переоценена. По данным журнала Computer World , исследования в Oppenhiemer Funds в Нью‑Йорке привели к поразительному открытию. Вице‑президент фирмы по сетевой безопасности произвел атаку на пароли, используемые сотруднами фирмы, применявших один из стандартных пакетов ПО. Журнал сообщает, что за три минуты он смог узнать пароли 800 сотрудников.
Сообщение от Митника
Если воспользоваться терминологией игры «Монополия», если вы используете словарное слово в качестве пароля – отправляйтесь сразу в тюрьму. Не проходите поле «Вперед», вы не получите $200.(Максимально приближено к русской версии монополии, хотя точно не помню)
Предотвращение обмана
Атаки социальных инженеров могут стать еще более деструктивными, когда атакующий использует элементы технологии. Предотвращение этого вида атаки обычно включает в себя меры безопасности на человеческом и технологическом уровне.
Просто скажи «Нет»
В первой истории в этой главе, служащий компании RCMAC не должен был снимать статус deny terminate с 10 телефонных линий без ордера, подтверждающего изменение. Недостаточно того, чтобы сотрудники знали правила безопасности и процедуры; сотрудники должны понимать, насколько важны эти правила для компании для предотвращения нанесения ущерба.
Правила безопасности должны не должны поощрять отклонение от процедуры, используя систему поощрений и последствий. Естественно, правила безопасности должны быть реалистичными, не призывающие сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут проигнорированы. Также, программа обучения (ликбеза) по безопасности должна убедить служащих, что надо выполнять поручения по работе быстро, но кратчайший путь, пренебрегающий системой безопасности, может оказаться вредным для компании и сотрудников.
Та же осторожность должна присутствовать при предоставлении информации незнакомому человеку по телефону. Не смотря на то, как убедительно он представил себя, невзирая на статус или должность человека в компании, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена. Если бы эти правила строго соблюдались, социально‑инженерный план в этом рассказе потерпел бы неудачу, и федеральный заключенный Гондорфф никогда не смог бы спланировать еще одну аферу с его приятелем Джонни.
Этот единственный пункт настолько важен, что я повторяю его на протяжении всей книги: проверяйте, проверяйте, проверяйте. Каждая просьба, не сделанная лично, никогда не должна быть выполнена без подтверждения личности просящего – и точка.
Уборка
Для любой фирмы, у которой нет охранников круглосуточно, план, где атакующий получает доступ к офису на несколько часов – трудность. Уборщики обычно относятся с с уважением к каждому, кто кажется членом компании и не выглядит подозрительно. Все‑таки, этот человек может вызвать у них неприятности или уволить. По этой причине уборщики, как сотрудники фирмы так и работающие по контракту из внешнего агентства, должны быть обучены технике безопасности.
Уборочная работа не требует образования в колледже и даже умения говорить по‑английски, и даже если требует обучения, то не по безопасности, а только по использованию разных очистительных средств для разных назначений. Обычно эти люди даже не получают указаний вроде: «если кто‑нибудь попросит вас впустить их после рабочего времени, вы должны проверить у них пропуск, позвонить в офис уборочной компании, объяснить ситуацию и подождать разрешения».
Организации нужно заранее спланировать, что делать в конкретной ситуации, как эта, прежде чем она произойдет и соответственно обучить людей. По моему опыту, я узнал что большинство, если не весь частный бизнес неточен в этой части физической безопасности. Вы можете попробовать подойти к проблеме с другой стороны, возложив бремя на сотрудников своей компании. Компании без круглосуточной охраны должны сообщать сотрудникам, что если им понадобится войти после рабочего дня, им придется воспользоваться собственными ключами или электронными картами, и не должны ставить уборщиков в положение выбора, кого можно пропустить. Сообщите уборочной компании, что их люди должны быть обучены не впускать кого‑либо в помещение в любое время. Это простое правило – никому не открывайте дверь. Если нужно, то это может быть включено в контракт с уборочной компанией.
Также уборщики должны знать о технике «piggyback»(посторонние люди следуют за уполномоченным человеком через безопасный вход). Они должны быть обучены не разрешать другим людям входить в здание только потому, что он выглядит как сотрудник.
Примерно три или четыре раза в год устраивайте тест на проникновение или оценку уязвимости. Попросите кого‑нибудь подойти к двери, когда работают уборщики, и попробуйте проникнуть в здание. Но лучше не используйте для этого собственных сотрудников, а наймите сотрудников фирмы, специализирующейся на этом виде тестов на проникновение.