Текст книги "Создаем вирус и антивирус"

Получение пароля BBS без взлома

Рассмотренные выше способы взлома BBS предполагают наличие у пользователя базовых знаний о системе. Теперь немного о том, как можно достать пароль еще проще. Практически на каждой BBS существуют неопытные пользователи, имеющие высокий уровень доступа (информация об уровне доступа пользователей BBS доступна почти всегда). Если же такого пункта нет, то «хорошего» пользователя всегда можно вычислить, например, по времени, которое он проводит на станции, или по объему скопированной и присланной им информации. Итак, определив человека, паролем которого неплохо завладеть, пишем ему письмо о том, что по техническим причинам (причину придумываем любую, главное правдоподобную) ему следует изменить свой рабочий пароль (предлагаем новый, например «HACK_01»). После того, как пользователь поменяет свой пароль (на это ему нужно отвести дня два-три, поскольку в один день он может не позвонить, в другой – только поменяет пароль, в общем, время ему понадобиться), можно беспрепятственно входить под его именем и пользоваться системой. Главное, чтобы письмо было написано от имени системного оператора или какого-либо администратора данной системы. Если система не позволяет менять имя адресата в поле FROM, стоит зайти в нее под другим именем (к примеру, Mr. CoSysOp) и написать подобное письмо. Наверное, не надо предупреждать, что все данные, указанные при регистрации под заведомо ложным именем, не должны быть настоящими.

Можно предложить еще один способ проникновения – метод «забывания пароля». Вся хитрость в том, что при входе в систему указывается имя какого-либо пользователя этой BBS, пароль которого, естественно, не известен. После неудачных попыток ввода пароля (не надо пытаться его подобрать, лучше сделать вид, что пароль забыт, вводя различные слова, типа Sprite, Cola и так далее) нужно составить письмо системному оператору с просьбой поменять «забытый» пароль на другой. Указываем новый пароль, затем сочиняем душещипательную историю о каком-нибудь хакере, якобы подобравшем наш пароль на другой BBS или вообще в Интернет, из-за чего приходится использовать на всех системах разные пароли. Если системный оператор не очень опытный, выслушав такую ужасную историю он обязательно войдет в положение несчастного и выполнит его просьбу – поменяет текущий пароль на предложенный. Дальше – полная свобода действий. Работоспособность данного метода зависит от того, насколько опытен оператор, а также убедительна ли выдуманная история. Прочитав ее, системный оператор не должен и предположить, что его обманывают.

Взлом FTN-сетей

Что можно сказать о широко используемой технологии FTN? Множество лазеек для взлома. Чего стоит почтовый файл PKT, содержащий в себе незашифрованный пароль, узнать который никаких проблем не составляет! А файлы с паролями в уважаемом всеми T-Mail, хранящиеся в нешифрованном виде и доступные любому грамотному человеку, впрочем, как и все конфигурационные файлы наиболее распространенных программ для работы с FTN? На основе подобных промахов в разработке уже давно написаны программы, позволяющие сломать ту или иную BBS, вызвать режим DoorWay и сотворить с удаленным сервером все, что угодно. Однако это еще не предел возможностей программиста. Подумаешь, сломать BBS! Власть над одной из BBS – ничто в сравнении с тем, что хакер может держать в своей руке почту от сотен почтовых узлов, отправлять почту от чужого имени, действовать от лица другого члена или пользователя FTN. Фантастика? Нет – реальность.

Почитатели Эдгара По наверняка знают выражение «Червь-Победитель». Собственно, любой грамотно написанный «червь» станет победителем, если выйдет на свободу. Особенно с применением свежих идей. Применяя технологию СМ (саморазмножающиеся механизмы), называемую в народе «компьютерные вирусы», можно добиться немалого. Включив в свой СМ некоторую особенность, вместо привычной деструкции можно получить парольный доступ ко многим почтовым узлам со всеми вытекающими отсюда последствиями. Как известно, при установке соединения между двумя FTN-мейлерами они сравнивают свои адреса и пароли. То есть сначала хост получает основной адрес звонящего мейлера и пароль на сессию. Если в конфигурации хоста указаны адрес и пароль звонящего и они совпадают с предъявленным паролем, хост показывает звонящему свой пароль и при совпадении таковых происходит парольная сессия. В подавляющем большинстве случаев электронная почта передается только в парольные сессии, иначе любой мейлер мог бы предъявить хосту подставной адрес и забрать почту, предназначенную для других. В данном случае для того, чтобы перехватывать чужую электронную почту или действовать от лица какого-либо системного оператора, необходимо узнать пароли на сессию звонящей системы и хоста, ожидающего звонка. Кто-то иронически улыбнется: «Как же их можно узнать, если нет возможности «прикинуться хостом», чтобы звонящая система показала свои пароли, если она звонит совсем по другому номеру телефона?!». Разумеется. Но это не нужно. Кто-то скажет: «В таком случае получить эти пароли и от хоста нельзя, поскольку он не будет предъявлять свой пароль и не включит парольную сессию, пока не увидит, что предложенный пароль совпадает с его паролем!» Конечно. Но это тоже не нужно. Что же предпринять? Дело в том, что и хост, и звонящая система могут преподнести свои пароли «на блюдечке». Для этого не нужно захватывать в заложники семью системного оператора или предлагать миллионы долларов хозяину системы – достаточно разместить на компьютере системного оператора незаметную программу, которая эти пароли найдет и отправит на какой-либо из указанных FTN-адресов. Вот и все. Больше ничего не нужно.

Теперь несколько возможностей реализации этого плана. В странах бывшего СССР наиболее часто используется DOS-совместимый мейлер Андрея Елкина T-Mail, поэтому принципы взлома рассмотрены на примере системы, работающей именно на его основе, Некоторые пользуются программой Антона Дейнова «SantaFox-Mail», принципы ее взлома похожи, кроме того, взломать эту систему гораздо легче благодаря встроенной функции DoorWay. Но об этом ниже. Итак, что же программа должна сделать с системой, чтобы заветные пароли наконец-то были получены? Собственно, алгоритм весьма прост, и описать его можно примерно так:

1. Определение расположения программы T-Mail на жестком диске системы.

2. Определение расположения конфигурационных файлов системы.

3. Извлечение списка паролей и адресов из конфигурации системы.

4. Шифрование списка паролей и адресов с эмуляцией PGP-кодирования.

5. Отправление зашифрованного списка паролей и адресов через аплинка по роутингу на систему взломщика.

Теперь рассмотрим возможные способы реализации. Теоретически это не сложно.

Как правило, системные операторы держат свой T-Mail на жестком диске. Первая задача – определить, куда же оператор спрятал свое «сокровище». Тут-то и намечается разделение. Можно написать «троянца», подсадить его в какую-либо конкретную систему и ждать, когда эта система пришлет свои пароли по почте. Но можно написать и «вирус», расходящийся на несколько почтовых узлов, после чего все зараженные узлы сообщат пароли на сессии со всеми своими парольными линками. Можно искать T-Mail по всему жесткому диску с помощью рекурсивного обхода всех логических дисков и вложенных каталогов. Понятно, что этот метод не так уж деликатен, поскольку системный оператор может заметить, что некая программа на протяжении нескольких минут почему-то занимает винчестер. От такой глупости откажемся. Другое дело, если этим будет заниматься вирус. Почему? Да потому, что большинство вирусов отслеживают вызовы функции 4Bh DOS-прерывания 21h для заражения программ. В таком случае, что мешает этому вирусу анализировать запущенные программы на предмет «а не T-Mail ли это часом?» и находить «сокровища» именно таким образом? Ничего. Анализ правильнее будет вести не только по имени запускаемого файла, потому что системный оператор мог переименовать программу, а в данном случае необходима максимальная надежность. Поэтому лучше всего отлавливать T-Mail по постоянной сигнатуре EXE-файла.

Узнав, где находится программа T-Mail, можно определить, где находятся ее конфигурационные файлы. Если при запуске T-Mail ключ «C» не задан (кстати, перехват командной строки – это еще один довод в пользу того, что поиск программы корректнее выполнять при помощи вируса), основным файлом конфигурации является «T-MAIL.CTL», находящийся в том же каталоге, что и T-Mail. При запуске программы ключ «-C» задает путь и имя основного конфигурационного файла, который понадобится для взлома. Так что необходимо предусмотреть оба варианта запуска. После определения места расположения основного конфигурационного файла нужно получить путь еще к двум файлам – файлу паролей и файлу подстановок (пароли могут находиться в обоих файлах). Важное замечание: если пароль для какого-либо адреса указан в файле подстановок, его дублер из файла паролей игнорируется.

Путь к файлу паролей указан в переменной Security, к файлу подстановок – в переменной SubstList, Переменная конфигурационного файла – это строка, начинающаяся со специальных слов. Например, строка:

Security C:NETWORKT−MAILPASSWORDS.LST

называется переменной Security и содержит путь и имя файла паролей, в то время как строка

SubstList C:NETWORKT−MAILSUBST.LST

называется, соответственно, переменной SubstList и содержит путь и имя файла подстановок. Разумеется, было бы нежелательно отправлять эти два файла вложением (attach), поскольку оно может потеряться. Надежнее передать эти текстовые файлы по электронной почте в виде обычного письма. Тут возникает проблема: если системный оператор станции, через которую будет проходить это послание (ведь всем известно о его праве читать транзитную почту), обнаружит пароли, он немедленно предупредит об этом того оператора, у кого эти пароли были украдены. Последний договорится со всеми линками о новых паролях, и все старания окажутся напрасными. То есть в целях конспирации придется зашифровать письмо, чтобы при его просмотре казалось, что оно содержит прикрепленный файл. Разумеется, это не обязательно должен быть настоящий PGP, достаточно лишь внешнего сходства и невозможности быстро расшифровать засекреченное послание. Это неплохая гимнастика для ума, поскольку хакер должен уметь не только расшифровывать, но и маскироваться, не только ломать, но и строить.

Теперь нужно выбрать адрес, на который придет это письмо. Желательно отправить его по e-mail в Internet через FTN-Internet гейт. Дело в том, что в таком случае пострадавшему системному оператору будет очень сложно найти отправителя. Очевидно, в этом письме поле «From:» и обратный адрес должны быть подставными. Это собьет системного оператора с толку, и он не станет удалять или задерживать письмо, особенно если в него добавлены «лишние» клуджи «@Via:». О том, как создать нетмейл письмо, можно прочитать в FTS.

Почему же SantaFox-Mail сломать гораздо проще? Дело в том, что в основном конфигурационном файле SF-Mail имеется переменная, указывающая пароль на режим DoorWay. От «червя» требуется только задать какой-либо заранее известный пароль на пользование DoorWay, после чего нужно соединиться терминальной программой с этой системой и набирать это слово. Попав в DoorWay, файлы паролей и подстановок можно украсть «голыми руками». Конечно, если системный оператор заметит, что кто-то брал у него эти файлы, он примет соответствующие меры. Кроме того, после изменения паролей могут появиться сбои в работе системы – пользователи будут пытаться войти в DoorWay со старыми паролями, но они не будут работать. Ясно, что оператор об этом узнает очень скоро.

Как было показано в предыдущей части, «червь» может не только воровать пароли, но и задавать свои. В T-Mail нет режима DoorWay, зато есть так называемый «главный пароль системы», заданный в переменной T-Password основного конфигурационного файла. Изменив этот пароль, можно послать на удаленную систему письмо с соответствующими указаниями к действиям и добиться нужного результата.

Об указаниях подробно написано в документации по программе T-Mail, но нужно помнить, что системный оператор будет оповещен обо всех несоответствиях и сбоях в работе системы.

Безопасность вашей BBS

Если у вас дома стоит собственная BBS или вы только собираетесь ее открыть, сначала нужно позаботиться о ее безопасности.

Во-первых, прежде чем создать свою BBS, надо выбрать программу для нее. Чем больше возможностей предоставляет программа, тем больше всевозможных лазеек, которыми может воспользоваться хакер. В Maximus эти лазейки уже описаны – лучше всего не пользоваться этой программой. Если Maximus все-таки используется, лучше не устанавливать больше никаких дополнительных утилит, поскольку именно они могут послужить предпосылкой проникновения хакера на BBS. DOS-SHELL лучше сразу убрать с BBS. Никогда никому нельзя раскрывать свои пароли, копировать информацию о пользователях также не стоит. Берегитесь троянских программ, копируемых пользователями. Их можно проверять либо отладчиками, либо дизассемблером, другого способа нет, разве что не запускать их совсем.

Особое внимание нужно уделить директориям. Никогда не устанавливайте программный продукт в директорию, предлагаемую программой по умолчанию. Это, несомненно, может облегчить работу любой троянской программе. Также не стоит запускать маленькие файлы, попавшие на станцию извне. Обычно такие программы и являются «бомбами определенного действия».

Вообще лучшая защита – это нападение. Дело в том, что хакерами многие называют себя совершенно безосновательно. Хакер по заказу фирмы-производителя ломает их системы, таким образом находя лазейки, которые могут быть использованы подобными взломщиками. То есть хакер ищет «дыры», а компания их закрывает. Таким образом, существуют системы, которые взломать практически невозможно.

Глава 8
Хакерские штучки, или Как они это делают

В этой главе раскрыты некоторые «хитрости»: регистрация под вымышленным именем, обход различных «подводных камней» (АОН, авторизирующиеся программы, клавиатурные шпионы, ПЭМИН). Особое внимание уделено вопросам работы с электронной почтой – выяснению реального отправителя сообщения, отправлению анонимных сообщений, выбору второго почтового адреса.

Проверка на отсутствие АОН

Прежде чем получать адрес и звонить на BBS, нужно убедиться (например, путем звонка с сотового телефона, с телефона-двойника типа Panasonic, с таксофона или с телефона, который гарантированно не определяется системой АОН), что на данном узле отсутствует система АОН. Если в списке BBS (или в рекламе) указан тип модема Russian Courier, Zyxell или IDC, с вероятностью 99 % на этих станциях используются АОН. АОН выдает себя характерным щелчком и звуковым сигналом, как правило, после первого гудка (он снимает трубку, а далее идут гудки, выдаваемые самим АОН, как правило, отличающиеся от первого гудка по тональности). Если АОН есть, но все же нужно остаться анонимным (например, хотите провести акцию информационной войны, сбросить новый вирус и тому подобное), можно воспользоваться АнтиАОНом. Эти функции присутствуют практически во всех телефонных аппаратах с АОН (например, в РУСЬ или в Phone Master). Также можно купить приставку-АнтиАОН, которая еще не раз пригодиться (в Москве, например, они продаются на радиорынке в Митино). Функцию АнтиАОН лучше включать почти сразу после набора номера и удерживать ее некоторое время. Если АОН не может определить номер, то после снятия трубки АОН-ом слышится характерные тональные сигналы (порядка 9 штук).

Советы по регистрации

Никогда не стоит регистрироваться под настоящим именем, ведь неизвестно, к кому может попасть эта информация и для чего она будет использована. Можно взять любую телефонную базу, например, КОТИК или ее Online версию (http://www.xland.ru:8088/tel_win/owa/tel.form), и ввести любую выдуманную фамилию. Тривиальные фамилии, вроде Иванов, Петров, Смирнов, Андреев, Алексеев и так далее, корректнее не использовать, лучше что-то не совсем обычное (ну первое, что приходить в голову: Левашов, Дубинин, Авдотин, Садовский). Далее записываем инициалы, адрес и телефон любого человека из выведенного списка. При регистрации на BBS обычно требуется сообщить такие сведения:

– имя и фамилию (иногда полное ФИО – полученные инициалы нетрудно преобразовать во что либо, например Н.А. в Николая Алексеевича; более того, инициалы могут и не совпадать, ведь потенциально квартира может быть зарегистрирована, скажем, на родителей или жену) – вводятся полученные из базы;

– домашний адрес – полученный из базы;

– телефон – тоже полученный из базы;

– день рождения – придумываем;

– хобби – придумываем;

– и т. д.

Системные операторы BBS, как правило, очень ленивы, и максимум, на что их хватит, так это проверить данные по той же самой базе.

Обязательно нужно все это куда-нибудь записать, можно в файл (и хранить его в надежном месте, например, на диске, созданном программой BestCrypt). Рекомендуется использовать абсолютно разные данные при работе с разными BBS! В FTN-сетях следует регистрироваться, применяя подобные методы.

Рассмотрим еще один аспект privacy. Это «нехорошие» функции многих программ: вести логические протоколы работы и так далее.

Что «помнит» компьютер

Некоторые программы обладают на редкость большим количеством всевозможных «черных ходов», «люков», «багов» и так далее. Вот лишь некоторые примеры:

– Microsoft Outlook Express 4.0 – все письма, которые когда-либо были отправлены, получены или удалены, он все равно хранит в своей базе. Поэтому рекомендуется периодически удалять (лучше невосстановимыми методами, например, с помощью программы Kremlin 2.1) эти файлы. Они расположены в следующих директориях:

WindowsAplicationMicrosoftOutlook ExpressMail – почта, здесь необходимо удалить все файлы с расширениями IDX и MBX.

WindowsAplicationMicrosoftOutlook ExpressNews – новости, здесь необходимо удалить все файлы с расширениями NCH.

Удалить из базы все удаленные сообщения можно также с помощью опции «Сжать папки».

– Microsoft Internet Explorer 4.0:

WindowsCookies – хранит файлы Cookies (их лучше периодически удалять с помощью программы Kremlin 2.1).

WindowsTemporary Internet Files – хранит все адреса, которые посещались в Интернет (их лучше периодически удалять с помощью программы Kremlin 2.1).

– Microsoft Windows 95:

WindowsHistory – хранит все файлы истории (их лучше периодически удалять с помощью программы Kremlin 2.1).

Windowsname.pwl – в этих файлах Windows хранит имена, телефоны и пароли для соединения с Интернет, все они легко (с помощью специальных программ) расшифровываются.

WindowsProfilesname – (вместо name будет указано имя пользователя) хранит профили и все установки конкретных пользователей (это, кстати, справедливо и для Windows NT)

WindowsAplicationMicrosoftOutlook ExpressMail – почта

WindowsAplicationMicrosoftOutlook ExpressNews – новости

WindowsAplicationMicrosoftAddress Book – адресная книга

WindowsCookies – файлы Cookies

WindowsFavorites – файлы закладок Интернет

WindowsHistory – файлы истории Windows

Windowsuser.dat – параметры пользователя

Windowsuser.da0 – резерв

Большинство FTP-клиентов сохраняют в специальной директории все места в Интернет, которые посещались пользователем (а иногда сохраняют и нешифрованные имена и пароли). В целях безопасности целесообразно периодически (скажем, раз в неделю) стирать содержимое кэша. Например, в Bullet Proof FTP (одной из лучших программ, получить которую можно на сервере http://www.bpftp.com), он располагается в директории Cache. Лучше производить невосстановимое удаление, например, с помощью программы Kremlin 2.1.

К вопросу о CMOS SETUP

Вот еще один наглядный пример лазеек для спецслужб. Почти любой компьютер имеет возможность установить пароль на вход. Но мало кто знает, что специально для спецслужб (разработчиками BIOS) были созданы универсальные пароли, открывающие вход в любой компьютер. Вот примеры:

– AWARD BIOS: AWARD_SW, lkwpeter, Wodj, aPAf, j262, Sxyz, ZJAAADC

– AMI BIOS: AMI, SER, Ctrl+Alt+Del+Ins (держать при загрузке, иногда просто INS)

Естественно, что вводить пароль нужно в соответствии с регистром букв.