Часть IV КОНЕЦ И НАЧАЛО

Глава 33 Хакер против самурая

Ozg ojglw lzw hshwj gf AH Khggxafy lzsl BKR skcwv ew stgml ? [155]

Получив новые удостоверения личности, я должен был уехать из Лас-Вегаса, пока удача все еще мне благоволила. Оставалось всего ничего до нового 1995 года, и я не мог отказать себе в удовольствии ненадолго вернуться в Денвер – город, который так пришелся мне по душе. Собирая вещи, я прихватил старый лыжный костюм. Я думал, что в праздники смогу провести чуть больше времени на заснеженных склонах.

Когда же я приехал в Денвер и остановился в симпатичной недорогой гостинице, развернулась драма, в которой участвовали двое людей. Их обоих я никогда не встречал. Первым был тот самый высокомерный американский японец, специалист по безопасности, чей сервер я взломал год назад. Вторым оказался талантливый хакер из Израиля. Эта драма раз и навсегда изменила мою жизнь.

Мне довелось пересечься в Интернете с одним евреем, который выступал в IRC под своими инициалами JSZ. IRC – это так называемый ретранслируемый интернет-чат, онлайновая служба, позволяющая общаться с незнакомцами, которые разделяют с вами общие интересы. В нашем случае общие интересы сводились к хакерству.

Он рассказал мне, что взломал системы большинства, если не всех крупнейших компаний-разработчиков программного обеспечения, которые специализировались на производстве операционных систем,

например Sun, Silicon Graphics, IBM, SCO и т. д. JSZ скопировал исходные коды из их внутренних рабочих систем и установил лазейкибэкдоры, чтобы вернуться в эти системы, когда только пожелает. Это вам не шутки. Такое сразу производит впечатление.

Мы стали рассказывать друг другу о наших хакерских похождениях, делиться секретами о новых эксплойтах, системах скрытого доступа, клонировании сотовых телефонов, добыче исходного кода и взломе систем специалистов, которые занимаются исследованием уязвимостей.

Во время одного из разговоров он спросил, читал ли я статью Морриса об IP-спуфинге, где рассказывалось о крупной уязвимости, обнаруженной в основном протоколе Интернета.

Роберт Т. Моррис, компьютерный гений, нашел хитрую уязвимость в системе безопасности. Эту брешь можно было использовать методом IPспуфинга, обманывая систему на этапе аутентификации, который был завязан на IP-адресе удаленного пользователя. Через десять лет после того, как Моррис опубликовал свою работу, группа хакеров, в том числе JSZ, который действовал из Израиля, создала инструмент для использования этой уязвимости. Поскольку на тот момент уязвимость считалась возможной только теоретически, никто даже не пробовал от нее защищаться.

...

Познавательная страничка для технарей. В данном случае атака с применением IP-спуфинга основывается на довольно старой технологии, называемой R-службой. Такая технология требовала конфигурировать каждую компьютерную систему так, чтобы она принимала доверенные соединения. Это означало, что пользователь может войти в учетную запись, которая зависит от конфигурации системы, но при этом не требуется вводить пароль. Таким образом, системный администратор мог задавать для сервера конфигурацию, которая заставляла систему доверять определенным компьютерам на этапе аутентификации. Практическим примером послужит ситуация, в которой системный администратор управляет сразу большим количеством машин, поэтому, когда кто-то входит в систему, имея административные привилегии, администратору не требуется пароль, чтобы входить и в другие системы, доверяющие серверу

При атаке с применением IP-спуфинга хакер сначала ищет такие системы, которые будут доверенными для административного аккаунта, работающего на сервере-мишени. То есть если какойто пользователь приобретет административные

права в одной из доверенных систем, то он сможет войти и в учетную запись администратора на атакуемом сервере, не указывая пароля.

В данном случае такое проникновение было несложным. При помощи команды «finger» атакующий мог определить, когда авторизованный пользователь подключается к целевой системе с другого компьютера, расположенного в той же локальной сети. Вероятно, эти две системы доверяют и открывают друг для друга административный доступ. На следующем этапе необходимо установить соединение с целевой системой, это делалось путем имитации IP-адреса одного из доверенных компьютеров.

Здесь ситуация становилась уже интереснее. Когда две системы устанавливают предварительное соединение по протоколу TCP, между ними в обоих направлениях отправляются последовательности пакетов, которые создают само соединение, или сессию. Такой процесс называется трехэтапным квитированием. Во время квитирования, или рукопожатия, целевая система передает пакет обратно к той машине, которая пытается установить соединение. Поскольку атакуемый сервер считает, что он отвечает на запрос реальной системы (его цель – установить сетевое соединение), процесс квитирования не завершается, так как система атакующего хакера не получает пакета, необходимого для выполнения трехэтапного квитирования.

Вводим порядковый номер TCP. Данный протокол использует порядковые номера, чтобы подтвердить прием данных. Если атакующий может предсказать порядковый номер пакета, пересылаемого из целевой системы на реальный сервер при первом квитировании, то у него есть возможность успешно завершить этот процесс, переслав пакет подтверждения синхронизации с правильным

порядковым номером и установив соединение, которое явно казалось бы исходящим от доверенной машины.

Таким образом, при установлении соединения приходилось фактически отгадывать порядковый номер TCP. Поскольку атакуемая система была обманута и считала, что устанавливает соединение с доверенной машиной, атакующий мог воспользоваться доверенным статусом соединения и обойти обычное требование предъявления пароля, далее он приобретал полный контроль над атакованной машиной. На данном этапе хакер мог переписать файл. rhosts, который находился на тот момент на атакованном компьютере, позволив кому угодно попадать на атакованную машину без указания пароля.

Вся операция проникновения основывалась на способности атакующего предсказать порядковый номер TCP для того пакета, который отсылался целевым компьютером в момент предварительного контакта. Если бы атакующий умел успешно предсказывать порядковые номера TCP, которые атакуемый компьютер использует при квитировании, то такой взломщик мог бы выдавать себя за доверенный компьютер и обходить защитные механизмы, чья работа основывалась на проверке IPадреса пользователя.

Я сказал JSZ, что читал эту статью. «Но все это теория. На практике она пока не реализована».

«Нет, приятель, не такая уж это и теория. Мы разработали один инструментик, и он фурычит как по маслу». Он говорил о программе, которую разрабатывал вместе с подельниками, жившими по всей Европе.

«Быть того не может! Прикалываешься надо мной!» «Нет, я серьезно».

Тогда я спросил, не мог бы он скинуть мне копию программы. «Может, попозже, – ответил JSZ, – но я в любой момент могу

продемонстрировать тебе, как она работает. Просто даешь мне цель, и все готово».

...

Я рассказал JSZ о том, как взламывал сервер Марка Лоттора, а также об интересной переписке между Лоттором и Тсутому Шимомурой, которого

яназывал по кличке.

Ярассказал JSZ о том, как взламывал сервер Марка Лоттора, а также об интересной переписке между Лоттором и Тсутому Шимомурой, которого я называл по кличке. Я рассказал, как мне удалось проникнуть в систему Калифорнийского университета Сан-Диего, а потом анализировать сетевой трафик, пока какой-то клиент ariel не подключился к серверу Шимомуры. За Ариэлем туда попал и я. «Только Шимми как-то догадался, что одного из тех, кто имел доступ к его компьютеру, хакнули, а через несколько дней он убрал меня из системы», – сказал я.

Япросмотрел некоторые сообщения об ошибках в системе безопасности, посланные Шимми в DEC и Sun, и меня здорово впечатлило, как лихо он находит такие недочеты. Придет время, и я узнаю, что у него прямые черные волосы до плеч, он любит приходить на работу в сандалиях и рваных хипповских джинсах, а также то, что он увлекается лыжными гонками. По всей видимости, Шимми был из тех, к кому в Калифорнии принято обращаться «чувак», например: «Здоров, чувак, как житуха?»

Ярассказал JSZ, что у Шимми, наверное, есть исходный код к телефону OKI или подробная информация об обратном проектировании,

спомощью которого они с Лоттором реконструировали прошивку этого телефона, не говоря уж о тех новых ошибках в системе безопасности, которые он мог найти в последнее время.

На Рождество в 1994 году я решил сходить в кино. Кинотеатр находился в центре Денвера в комплексе Tivoli. Тогда я и включил свой клонированный мобильник, позвонил JSZ, чтобы подколоть его и пожелать счастливого еврейского рождества.

«О, хорошо, что ты позвонил, – отозвался он. – У меня есть для тебя рождественский подарочек. Знаешь, дружище, сегодня ночью я был в ariel».

Он дал мне номер порта, на котором установил лазейку. «Входишь – никакой регистрационной формы. Просто пишешь „.shimmy.“ –

открывается административная оболочка». «Не может быть!»

Для меня это был шикарный рождественский подарок. Я так хотел вернуться в компьютер Шимми, чтобы поподробнее узнать состояние их с Марком проекта о мобильниках OKI. Кроме того, очень хотелось выведать, есть ли у кого-то из этой парочки доступ к исходному коду. В любом случае я собирался получить с этого сервера столько информации, сколько смогу унести. Я хотел все, что касается сотовых телефонов OKI 900 и 1150.

В хакерском сообществе все знали, что Шимми очень высокомерен в общении, он всегда считал себя умнее всех. Мы решили немного поумерить его чувство собственного величия и отрезвить этого парня просто потому, что могли это сделать.

...

Обратный путь на машине к гостинице показался мне самым долгим в моей жизни, хотя он и продлился не больше 20 минут.

Обратный путь на машине к гостинице показался мне самым долгим

вмоей жизни, хотя он и продлился не больше 20 минут. Однако я не решался прибавить газу и ехал спокойно в темпе медленного вечернего уличного движения. Если бы меня остановили и у копа возникли какие-то подозрения относительно моих водительских прав, могло бы пройти намного больше 20 минут. Тогда я бы нескоро оказался онлайн. Терпение, дружище Митник, только терпение!

Когда я вошел в гостиничный номер, то сразу же включил ноутбук и вышел в сеть Colorado Supernet. Я воспользовался привычной маскировкой: при помощи сотового телефона выдал свой звонок за звонок самого обычного денверца.

Язапустил сетевую программу мгновенных сообщений, из которой можно было напрямую соединиться с компьютером JSZ в Израиле. Так мы смогли бы общаться в одном окне и в то же время взламывать Шимми

вдругом. На компьютер Шимми я вышел через бэкдор, установленный там JSZ. Бинго! Я приобрел административные привилегии.

Невероятно! Какой кайф! Наверное, это можно сравнить с ощущением мальчишки, который доходит до высшего уровня в

компьютерной игре, где он сражался на протяжении нескольких месяцев, или с покорением Эвереста. Дрожа от волнения, я поздравил JSZ с отлично сделанной работой.

В поисках ценной информации мы с JSZ прозондировали систему Шимми. Мы хотели найти все, что касалось ошибок в системе безопасности, его электронной почты и файлов, в названиях которых встречался компонент oki. У него были целые залежи файлов. Пока я сжимал и архивировал все, что подходило подмой критерии, JSZ не сидел без дела и высматривал, что здесь может быть полезного. Мы оба волновались, что Шимми может вдруг залогиниться и посмотреть, много ли ему пришло поздравительных рождественских писем, а вместо поздравлений обнаружить, что его взломали. Мы хотели завладеть его сокровищами, пока он ничего не заметил. Я боялся, что он может просто выдернуть кабель, как это сделал Лоттор несколько месяцев назад.

Мы работали не покладая рук, чтобы выпотрошить всю информацию из компьютера Шимми. Эндорфины зашкаливали.

Покончив с поиском, архивацией и сжатием интересовавшей меня информации, я задумался о том, где бы надежно запрятать обретенный код. Ответ нашелся быстро: я уже располагал административным доступом на всех серверах Лектронной сети всей Земли, также известной как «Колодец» [157] . В числе пользователей «Колодца», начало которому положили Стюарт Бранд с партнером, теперь уже были и самые влиятельные лица Интернета, но всяческие панты этого сайта меня совершенно не волновали. Мне было интересно лишь то, достаточно ли в этой сети свободного дискового пространства и смогу ли я спрятать там много информации так, чтобы ее не заметили системные администраторы. Я подолгу зависал на этом сайте. Через несколько дней после того, как на первой странице New York Times вышла пресловутая статья Джона Маркоффа, я обнаружил, что у Джона была учетная запись в «Колодце». Какая удобная мишень. С тех пор я стал прочитывать всю его переписку, следя за тем, не попадается ли в ней информация обо мне.

Закончив переброску интересовавшего нас материала, мы решили забрать и все то , что лежало у Шимми в домашнем каталоге. JSZ заархивировал и сжал всю эту папку. Получился единый файл, который весил больше 140 Мбайт.

Мы едва дышали, пока файл перекачивался. Когда передача успешно завершилась, мы, образно говоря, ударили друг другу по рукам прямо

через Интернет.

JSZ перенес копию файла в одну европейскую систему на случай, если системный администратор «Колодца» обнаружит наш файлище и удалит его. Я тоже скопировал файл в нескольких других точках.

JSZ не переставал меня убеждать, что для Шимми не составит труда найти тот простенький бэкдор, который JSZ установил в системе японца, чтобы я мог туда проникнуть. Я согласился. Действительно, найти его было легко. Я предложил устроить более продвинутый бэкдоруже на уровне самой операционной системы, где его будет гораздо сложнее идентифицировать.

«Все равно найдет», – возразил JSZ.

«Если понадобится, мы войдем обратно также, как вошли сейчас», – сказал я.

После этого я вышел из системы, a JSZ замел следы, удалив свою простую лазейку и все журнальные записи о том, чем мы занимались.

Это был очень волнительный момент. Мы пробрались на сервер специалиста в области компьютерной безопасности, кроме того, меньше чем за год я это сделал повторно. Мы с JSZ решили, что независимо друг от друга проверим файлы Шимми, а потом расскажем о том, что нашли.

...

Просматривая старую переписку Шимми, я наткнулся на сообщения, которыми он обменивался с моим старинным недругом Джоном Маркоффом.

Учитывая, насколько просто нам удалось замести следы, я практически не сомневался, что Шимми увидит какой-нибудь верный признак визита незваных гостей. Не может быть, чтобы мы ничего не упустили.

Просматривая старую переписку Шимми, я наткнулся на сообщения, которыми он обменивался с моим старинным недругом Джоном Маркоффом, который писал для New York Times статейки на темы, связанные с новыми технологиями. Эти двое переписывались обо мне еще с начала 1991 года. Они обменивались информацией о моих подвигах. Например, меня заинтересовала серия писем 1992 года. Из переписки следовало, что Шимми взял на себя труд изучить мою радиолюбительскую лицензию, позывной N6NHG. Кроме того, в одном

письме он спросил Маркоффа, есть ли в Федеральной комиссии связи правило, которое запрещает выдавать радиолюбительские лицензии лицам, обвиняемым в серьезных уголовных преступлениях.

Почему эти двое так мною интересовались, по-прежнему оставалось загадкой. Я никогда не встречался с Шимми, никогда не контактировал с ним, если не считать последних взломов его системы.

Почему же их так волновали мои дела?

По крайней мере в одном я оказался прав: Шимми очень быстро понял, что мы его взломали. Поскольку я и JSZ хотели всего лишь заполучить его файлы, мы не заметили, что у него на компьютере работает программа tcpdump – сетевой инструмент, который отслеживает

ификсирует весь сетевой трафик. Еще мы не заметили программу cron. Она периодически отправляла его системные журналы ассистенту Шимми, Эндрю Гроссу. Гросс заметил, что размер журналов уменьшился,

исообщил Шимми, что происходит что-то подозрительное. Стоило Шимми просмотреть журналы, как он понял: его взломали.

Это уже не имело особого значения. У нас были его файлы, и мы кропотливо изучали их целыми днями и даже неделями.

Почему же Шимми пользовался сетевым инструментом, который фиксировал весь трафик, идущий через его сервер? Паранойя? Или это была машина-приманка? Шимми – слишком хороший специалист по компьютерной безопасности. Он знал, что рано или поздно его система падет под натиском какой-нибудь новой, достаточно умной атаки. Я подумал, что та машина, на которую мы забрались, могла играть роль обманчиво доступной наживки. Шимми мог отслеживать все атаки, которым она подвергалась, а потом изучать методы, примененные при этих атаках. Однако в таком случае почему он оставил на машинеприманке свои файлы и даже инструмент для прослушивания сетей bpf

(это аббревиатура от Berkeley Packet Filter)? [158] . Подобную программу он написал для ВВС США. Ее можно было внедрять непосредственно в операционную систему без всякой перезагрузки.

Может быть, он просто недооценивал своих противников и полагал, что в его систему никто, кроме него самого, не войдет? Для меня это попрежнему оставалась загадкой.

Многие люди уважают меня как того парня, который написал программу и с ее помощью взломал серверы Шимми методом IPспуфинга. Я действительно горжусь тем, что это поразительное достижение было совершено с моим участием. Я совсем не против