TCP lockpicker:2842 catlow.cyberverse.com:22

ESTABLISHED

TCP lockpicker:2982 www.kevinmitnik.com:http

ESTABLISHED

В столбце «Local Adress» перечислены имена местных машин («lockpicker» — так тогда назывался мой компьютер) и номер порта той машины. В столбце «Foreign Adress» показано имя хоста (узла) или IP- адрес удаленного компьютера, с которым реализовано соединение. Например, первая линия распечатки показывает, что мой компьютер установил соединение с 64.12.26.50 через порт 5190. который обычно используется для передачи мгновенных сообщений (AOL Instant Messenger). Столбец «State» показывает состояние соединения — «Established», если соединение в данный момент активно, «Listening» — если компьютер ожидает соединения.

В следующей строке, начиная с «catlow.cyberverse.com» показано имя хоста компьютерной системы, с которой соединен я. В последней строке « www.kevinmitnik.com:http» означает, что я активно соединен со своим личным Интернет-сайтом.

Владелец компьютера не должен запускать приложения на общеизвестных портах, но он может сконфигурировать компьютер так, чтобы использовать нестандартные порты. Например. H T T P (Интернет-сервер) работает на порте 80, но владелец может изменить номер порта, чтобы Интернет-сервер работал где угодно. Изучая ТСР-соединения сотрудников. Адриан обнаружил, что сотрудники @home соединяются с Интернет-сервером через нестандартные порты.

Из этой информации Адриан смог получить IP-адреса для компьютеров компании, что было аналогично проникновению в секретную корпоративную информацию @home. Среди других «драгоценностей» он обнаружил базу данных имен, адресов электронной почты, номеров кабельных модемов, текущих IP-адресов, даже операционных систем, работающих на компьютерах, для каждого из примерно трех миллионов абонентов широкополосной связи.

Это была «экзотическая атака» по словам Адриана, поскольку она включала в себя перехват соединения от внешнего компьютера, соединяющегося с сетью.

Адриан считает это достаточно простым процессом. Вся основная тяжесть, которая заняла месяц проб и ошибок, состояла в составлении подробной карты сети: надо было выяснить все ее составные части и то, как они связаны друг с другом.

Ведущий сетевой инженер excite@home был человеком, которому Адриан поставлял информацию в прошлом, и ему можно было доверять. Отступив от своего обычного правила использовать посредника для передачи информации в компанию, куда он проник, он позвонил инженеру прямо и объяснил, что он обнаружил определенные слабости в сети компании. Инженер согласился на встречу с ним. несмотря на позднее время. Они встретились в полночь.

«Я показал ему часть из документации, которую я набрал. Он позвонил их эксперту по безопасности, и мы встретились с ним в офисе excite@home около 4.30 утра». Инженер и эксперт внимательно просмотрели материалы Адриана и задали ему несколько вопросов о том, как он проникал в сеть. Около шести утра они закончили, и Адриан сказал, что хотел бы посмотреть на их реальный прокси- сервер, один из тех, что он использовал для получения доступа.

«Мы посмотрели на э т о т сервер и они сказали мне: „А как вы бы обезопасили эту машину?“

Адриан уже знал, что сервер не используется для каких-то важных дел, это был просто «случайный сервер».

«Я вытащил мой перочинный ножик, один из самых простых, с лезвием для открывания бутылок. Я подошел к серверу, перерезал его кабель и сказал: „Теперь компьютер безопасен“.

«Они ответили: „Нам это подходит“. Инженер написал на бумаге „не соединять“ и прикрепил ее к серверу».

Адриан обнаружил доступ в сеть крупной компании при помощи одного компьютера, который уже давно перестал выполнять важные функции, но никто даже не заметил этого и не позаботился о том, чтобы удалить его из сети. «В любой компании», — говорит Адриан, — «есть множество подобных компьютеров, стоящих повсюду, соединенных с внешним миром и неиспользуемых». Каждый из них — потенциальная возможность для проникновения.

MCI WORLDCOM

Так же, как он поступал и с другими сетями, Адриана начал с атаки на прокси-сервер «королевства» WorldCom. Он начал поиск, используя свое любимое средство для навигации в компьютерных сетях, программу под названием ProxyHunter, которая локализует открытые прокси-серверы. Запустив эту программу на своем ноутбуке, он просканировал корпоративные Интернет-адреса WorldCom, быстро идентифицировал пять открытых прокси-серверов — один из них имел URL-адрес, заканчивающийся на world.com. Теперь ему нужно было только сконфигурировать свой браузер для того, чтобы использовать один из этих прокси, и он мог бы путешествовать по внутренней сети WorldCom так же свободно, как и любой сотрудник этой компании.

После проникновения во внутреннюю сеть он обнаружил и другие уровни безопасности, где для проникновения на Интернет-сайты нужны были пароли. Некоторые люди, я уверен, сочли бы удивительным, насколько внимательным старается быть атакующий типа А д —риана, и как много времени он готов провести в своих попытках проникновения и сеть компании. Через два месяца Адриан наконец решил, что пришла пора приступать к делу.

Он получил доступ к системе управления кадрами WorldCom, где узнал список имен и номеров социальной страховки для всех 86000 сотрудников. Обладая этой информацией и датой рождения человека (которую можно найти на сайте anybirthday.com), он получал возможность поменять пароль сотрудника, а также доступ к такой приватной информации, как заработная плата и контактные телефоны. Он мог даже добраться до депозитов сотрудников и переводить их заработную плату на свой счет. Он не соблазнился такой возможностью, но знал, что «куча народу не задумываясь разрушила бы город, чтобы получить несколько сотен тысяч долларов».

ВНУТРИ MICROSOFT

Во время наших бесед Адриан ожидал приговора за несколько компьютерных преступлений: он рассказал историю, за которую его не судили, но она была включена в информацию, собранную следователями. Однако, не желая себе дополнительных сроков заключения, он чувствовал, что должен быть особенно осторожным, рассказывая историю о Microsoft. Надо держать язык за зубами. объяснял он, и везде где только можно вставлял слова «как мне приписывают».

«Я могу рассказать, что мне приписывают. По их словам, я обнаружил (как мне приписывают) Интернет сайт, на который можно входить без авторизациии, на нем не было указания, что это секретный сайт и на нем не было ничего, кроме функции поиска».

Даже этому «королю» программирования не всегда удается держать свои компьютеры в безопасности.

Введя имя, Адриан (как ему приписывают!) обнаружил детальный список онлайн-заказов пользователей. По словам представителей правительства, говорит Адриан, этот сайт содержал информацию о заказах и их выполнении для всех, кто когда-либо заказывал что-нибудь на Интернет-сайте Microsoft, там же содержалась информация о тех случаях, когда кредитные карточки не были приняты к оплате. Совершенно недопустимо было, чтобы такая информация вышла за пределы компании.

Адриан объяснил детали взлома системы безопасности Microsoft журналисту из The Washington Post,

Добавить отзыв
ВСЕ ОТЗЫВЫ О КНИГЕ В ИЗБРАННОЕ

0

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Отметить Добавить цитату