День четвертый

Следующее утро началось с проверок записей на устройстве 3Com, в ожидании тех, кто попытается осуществить соединение. Как только соединение происходило, они старались как можно быстрее определить IP‑адрес входящего соединения.

Они обнаружили, что подобные соединения длились минуту или около того, а потом прерывались. Если их предположение было верным, это означало, что курьер соединялся через dial‑up, получал рабочее задание и прерывал соединение. Это означало, что им надо было действовать максимально быстро. «Когда мы видели, что появился новый IP‑адрес, то дрожащими руками старались схватить его», – так образно Луис описывает свои ощущения. Адреналин буквально переполнял их в этот момент, как будто они играли в увлекательную компьютерную игру.

Так они выявили несколько портов для услуг, которые могли быть уязвимы, надеясь найти тот, который они смогли бы атаковать, например, telnet или ftp‑сервер, или Интернет‑сервер с недостаточным уровнем безопасности. К тому же, они надеялись получить доступ к открытым общедоступным директориям через NetBIOS. Они изучали также и такие программы на основе удаленного терминала GUI, как WinVNC или PC Anywhere.

По мере того, как занимался день, они увидели, как на некоторых узлах заработали определенные сервисы.

«Мы никуда не проникали, мы просто сидели и активно сканировали все, когда появлялось соединение с удаленным пользователем. И когда произошло очередное соединение, мы провели очередное сканирование и нашли открытый порт, используемый для PC Anywhere».

Приложение PC Anywhere позволяет получить удаленный контроль над компьютером. Однако, это можно сделать только в том случае, когда другой компьютер тоже выполняет какую‑то программу.

«Видя этот порт во время сканирования, мы испытали очередной прилив энтузиазма: «О, на этой машине работает PC Anywhere. Это, наверное, один из компьютеров пользователей, давайте попробуем с ним разобраться.

Мы как будто кричали в пространство: «У кого установлен PC Anywhere?». Кто‑то кричал нам в ответ: «Это мы». Поэтому я прокричал IP‑адрес, так, чтобы он мог соединиться с системой как можно быстрее».

Луис называет попытку соединения с системой PC Anywhere «очень важным моментом». Он присоединился к другому парню, – пользователю, при помощи окна, появившегося на экране. «Вначале там был просто темный фон, – рассказывает Луис, – а затем происходила одна из двух вещей – либо быстро появлялся серый пароль, или же фон становился голубым, и на сцену выходила система Windows desktop».

«Именно ответа в варианте desktop мы ждали, затаив дыхание. Мгновения казались вечностью, пока мы ожидали, что черный экран исчезнет. Я думал про себя: „Соединяйся, соединяйся, время кончается“. И еще: „я хочу получить пароль“.

Как раз в последнюю секунду, когда я подумал: «ну, сейчас появится пароль» – появился Windows desktop! Ура! Мы, наконец, получили вожделенный desktop. Все, кто был в комнате, могли подойти и посмотреть. Моей первой реакцией было: «У нас опять появился шанс, нельзя его упустить!»

Итак, им опять повезло, они «поймали» клиента, который соединился с устройством 3Com.

«В этот момент мы подумали, как говорится: „либо пан, либо пропал“ –мы знали, что эти люди соединяются лишь на короткое время и понимали, что у нас может просто не быть другой возможности».

Первое, что надо делать при появлении сессии PC Anywhere, это нажимать две клавиши на экране. Луис называет их так: «Кнопка очистки экрана» и «Кнопка для фиксации клавиш консоли». Он объясняет:

«Когда вы используете PC Anywhere, по умолчанию оба пользователя –на компьютере и тот, кто использует PC Anywhere – имеют доступ к мышке и могут двигать ей по экрану, чтобы запускать приложения или открывать файлы и т.п. Но при помощи PC Anywhere вы можете заблокировать клавиатуру для другого пользователя».

Они сделали это и получили контроль над сессией, убедившись, что пользователь не может видеть, что они делают, поскольку они обнулили его экран. Луис понимал, что довольно скоро у пользователя возникнут какие‑то подозрения или он решит, что у него определенные проблемы и отключит компьютер, поэтому времени у них было совсем мало.

«Мы пытались использовать этот шанс и получить доступ внутрь системы. Надо было быстро решить, что мы хотим предпринять, и какую ценную информацию можно извлечь из этого компьютера.

Я заметил, что на компьютере была установлена ОС Microsoft Windows 98 и нам надо найти кого‑то, кто посоветует, какую информацию можно извлечь из такого компьютера.

К счастью один из ребят, находившихся рядом с нами, не был полностью погружен в свои занятия и знал, как извлечь информацию из такой системы».

Он предложил посмотреть на файл со списком паролей (PWL). (Это файл, используемый в системах Windows 95, 98 и ME, содержит важную информацию, такую, например, как пароли для dial‑up и сетевые пароли. Например, если вы используете вход в сеть dial‑up под Windows, все детали авторизации, включая номер телефона dial‑up, имя пользователя и логин содержатся именно в этом файле).

Перед тем, как загрузить к себе этот файл, они должны были отключить все антивирусные программы, чтобы те не обнаружили средств, которые они использовали. Затем они попытались использовать возможности передачи файлов в PC Anywhere, чтобы передать PWL‑файл из компьютера, которым пользовался курьер в данный момент, на свой компьютер. Это не сработало. «Мы не понимали почему, но у нас не было времени сидеть и обсуждать это. Мы должны были извлечь PWL‑информацию из того компьютера немедленно, пока курьер еще не прервал соединения».

Что еще они могли сделать? Одна из возможностей: загрузить туда программу для взлома паролей, взломать PWL‑файл на компьютере курьера и извлечь информацию в текстовый файл, который потом переслать себе. У них уже было имя пользователя и пароль, которыми пользовался курьер. Но они вовремя осознали проблему: клавиатура на компьютере курьера была на иностранном языке – вот что было причиной их неудачи с авторизацией. «М ы продолжали получать сигнал „Имя неправильное“, потому что клавиши клавиатуры там означали другие буквы». А время бежало…

«Мы чувствовали, что время уходит. Парень, сидящий в грузовике, мог перевозить кучу денег, или, к примеру, заключенных. Он вполне мог задать себе вопрос: „Что за чертовщина здесь происходит?“ В таком случае, он отключился бы еще до того, как мы получили то, что нам было нужно».

Да, время сейчас играло не в их пользу, и никто из их коллег в той же комнате не мог помочь разрешить проблему с иностранной клавиатурой. Может быть, в более спокойной обстановке они смогли бы ввести имя пользователя и пароль, используя коды ASCII вместо настоящих букв и цифр. Но в данный момент никто не мог посоветовать им, как это сделать.

Что же делать сегодня человеку, если ему очень быстро нужно пол у ч и т ь ответ на вопрос? Именно это и сделали Луис и Брок: «М ы быстро вошли в Интернет и стали искать способы ввода букв без использования клавиатуры».

Достаточно быстро они нашли ответ: надо нажать ключ «Num Lock», затем нажать и держать ключ < A L T >, а потом набирать численные значения ASCII‑символов на цифровой части клавиатуры. Остальное – просто.

«Нам часто приходится переводить буквы и символы в ASCII‑коды и наоборот. Надо просто встать и посмотреть в одну из полезных таблиц, которые развешаны у нас по всем стенам».

Вместо полуголых девиц у этих ребят на стенах висели таблицы перевода символов из одной систему в другую. «ASCII‑красотки», – говорит Луис.

С помощью приятелей, которые подсказывали, какую последовательность цифр надо набирать, они успешно ввели в компьютер имя пользователя и пароль. После этого они смогли передать программу для взлома PWL и запустить ее, чтобы извлечь информацию из P W L –файла в текстовый файл, который затем переслать из ноутбука водителя на FTP‑сервер, находящийся под их контролем.

Когда Луис просмотрел этот файл, он нашел там необходимые для авторизации данные, которые искал, включая номер телефона для dial‑up соединения и те имя и пароль, которые водитель использовал для соединения с VPN‑сетью компании. Луис подумал, что это вся информация, которая ему нужна.

Проверяя, не оставил ли он следов своего пребывания в ноутбуке водителя, Луис просмотрел все «иконки» на рабочем столе компьютера и обратил внимание на одну, которая выглядела как приложение, с помощью которого курьеры‑охранники могли получать информацию из компании. Теперь они знали, что водители соединялись через компанию с сервером приложений, чтобы получить необходимую им информацию.