ГДЕ-ТО В ЛОНДОНЕ
Итак — мы находимся где-то в лондонском Сити.
Картина следующая: большая комната без окон в глубине здания, где тусуется технический персонал. Прекрасная иллюстрация для историй о «хакерах, как о существах, далеких от общества и не связанных с ним», работающих каждый за собственным компьютером и связанных друг с другом только «в удаленном доступе».
Давайте назовем одного из них Луисом. Он вырос в маленьком городке в северной Англии и начал общаться с компьютером в возрасте семи лет, когда его родители купили «какое-то старое железо», чтобы дети получили представление о современной технологии. Он начал заниматься хакерством еще в школе, когда случайно обнаружил список всех пользователей и их паролей, и его любопытство впервые зашевелилось. Этим первым хакерским опытом он нажил себе большие проблемы, так как один из студентов старших курсов («префект» по английской терминологии) поймал Луиса. Но эта неудача не отвратила его от компьютерных секретов.
Теперь высокого темноволосого взрослого Луиса больше не волнуют достижения в «самых английских видах спорта» — крикете и футболе, которые так занимали его, когда он был школяром.
ПОГРУЖЕНИЕ
Некоторое время тому назад Луис со своим приятелем Броком занимались совместным проектом. Их мишенью была компания, расположенная где-то в Европе — компания, занимающаяся безопасностью, перевозящая большие суммы денег, а также и заключенных из тюрьмы в суд и обратно, и из одной тюрьмы в другую. ( Т о , что одна и та же компания занимается перевозкой денег и заключенных, необычно для американцев, но это вполне общепринято в Европе и в Англии).
Любая компания, которая объявляет, что занимается чем-то, связанным с безопасностью, берет на себя большую ответственность. Если они занимаются безопасностью, означает ли это, что хакеры не могут взломать их систему? Для любой группы ребят с хакерским менталитетом подобная декларация звучит как вызов, особенно, если вначале у ребят нет ничего, кроме названия компании.
«Мы относились к этому, как к проблеме, которая должна быть решена. Поэтому сначала мы должны были отыскать как можно больше информации об этой компании», — говорит Луис. Они начали с того, что стали искать упоминания о компании в Google, используя Google даже для перевода текстов, поскольку никто из них не говорил на языке той страны, где была расположена их мишень.
Автоматический перевод давал им вполне достаточное представление о том, чем занимается компания и насколько велик ее бизнес. Но им было непросто организовывать атаки социальной инженерии из-за языкового барьера.
Они смогли определить общедоступные IР-адреса компании для Интернет-сайта и почтового сервера из европейского регистра IP-ад-ресов (RIPE), аналогичного A R I N в США.
(ARIN — American Registry of Internet Numbers — американский регистр Интернет-адресов — это организация, которая управляет номерами IP-адресов для США и примыкающих к ним стран. Поскольку Интернет-адреса должны быть уникальными, должна существовать специальная организация, которая будет следить за этим и выделять компаниям блоки IP-адресов. RIPE — Reseaux IP Europeens — организация, распределяющая номера IP-адресов для Европы).
Они поняли, что хостингом внешнего сайта занималась специальная компания. Но IP-адрес их почтового сервера был зарегистрирован на саму компанию и располагался внутри их корпоративных адресов. Поэтому наши ребята могли запросить DNS компании и получить IP-адреса, проверяя записи обмена письмами.
Луис попробовал применить технику посылки электронной почты на несуществующий адрес. Вернувшееся к нему письмо с уведомлением о том, что оно не может быть доставлено, могло содержать в своем заголовке некоторые IP-адреса компании и некоторую информацию о маршруте доставки электронной почты.
Однако в нашем случае Луис получил ответ от внешнего почтового ящика компании, поэтому в нем не содержалось никакой полезной для него информации.
Брок и Луис понимали, что их жизнь стала бы легче, если бы у компании был собственный Domain Name Server. В этом случае они могли бы сделать запросы, чтобы попытаться получить больше сведений о внутренней сети компании или использовать какие-то лазейки, связанные с конкретной версией DNS. Им не повезло: DNS компании был расположен у местного Интернет-провайдера.
ОПРЕДЕЛЕНИЕ СТРУКТУРЫ СЕТИ
В качестве следующего шага Луис и Брок использовали обратное сканирование DNS, чтобы получить имена узлов различных систем, расположенных в диапазоне IP-адресов компании (как уже не раз объяснялось в главе 4 и других местах). Чтобы сделать это, Луис использовал «просто текст REFL», который написали сами ребята. (Обычно атакующие используют имеющееся в наличии ПО для обратного DNS-сканирования, например, такое, как на сайте http://www.samspade.org ).
Они заметили, что «от некоторых систем компании к ним возвращалось достаточно много информативных имен», которые служили ключом к тому, кто какие функции выполняет внутри компании. Это давало также некоторое представление о стиле мышления сотрудников ИТ-департамента компании. «Выглядело так, как будто администратор не полностью контролирует всю информацию о своей сети, а это был первый ответ на вопрос: смогут ли они проникнуть внутрь или нет». По мнению Брока и Луиса, полученные сведения давали основания для оптимизма.
Это один из примеров того, как кроме чисто технических методов проникновения хакеры занимаются и своеобразным психоанализом, стараясь проникнуть в головы администраторов и понять, как они создавали свою сеть. Для наших конкретных атакующих «это было основано частично на уже имеющемся у нас знании о сетях и компаниях, которые мы уже видели в европейский странах, на наших ИТ-знаниях и на том факте, что в этой стране люди отставали от Англии на год-полтора».
ОПРЕДЕЛЕНИЕ МАРШРУТИЗАТОРА
Они анализировали сеть, используя обычный метод отслеживания путей UNIX, который показывает число маршрутизаторов, через которые прошли пакеты данных к определенной цели; на жаргоне это называется числом «скачков». Они проанализировали подобные пути для почтового сервера и для пограничного межсетевого экрана. Отслеживание путей показало им, что почтовый сервер находится на один скачок за межсетевым экраном.
Эта информация дала понять, что почтовый сервер либо находится в DMZ, либо все системы за межсетевым экраном расположены в одной сети. (DMZ — это так называемая демилитаризованная зон а — электронная область, где нет людей, расположенная между двумя межсетевыми экранами и обычно доступная как из внутренней сети, так и из Интернета. Цель DMZ состоит в защите внутренней сети на тот случай, если какая-то из систем, доступная из Интернета, будет взломана).
Они знали, что у почтового сервера открыт порт 25 и, проделав traceout, поняли, что могут проникнуть через межсетевой экран для связи с почтовым сервером. «Вначале нам показалось, что мы сбились с пути, но потом мы быстро поняли, что перескочили маршрутизатор, и находимся уже за межсетевым экраном, а еще на один скачок за ним мы увидели почтовый сервер, и мы начали понимать, как устроена сеть».
Луис говорил, что они часто начинают свою атаку с проверки нескольких общедоступных портов, которые, как известно, остаются открытыми для межсетевого экрана: среди них он называл порт 53 (используемый Domain Name Service); порт 25 (почтовый сервер SMTP); порт 21 (FTP); порт 23 (telnet); порт 80 (HTTP); порты 139 и 445 (оба используются для NetBIOS в различных версиях Windows).
«Перед тем, как проводить сканирование портов, мы очень точно убедились, что имеем список узлов для атаки, в котором нет неиспользуемых IP-адресов. На самом начальном этапе надо иметь список реальных мишеней, а не перебирать все IP-адреса слепо. После перечисления потенциальных мишеней мы поняли, что есть пять-шесть систем, которыми имеет смысл заниматься и дальше».