Сначала он извлек «мешанину» паролей, и, расшифровав их, восстановил. Поскольку сервер был одновременно резервным контроллером домена, почтовым сервером и вторичным DNS-сервером, Эрик получил доступ ко всем записям обо всех DNS-pecypcax, (включая, среди прочего, имена узлов и соответствующие IP-адреса), открыв панель управления DNS. которая содержала подробный список имен узлов и доменов, используемых в компании.
«Теперь у меня был список всех их узлов, и я собирал пароли к ним тут и там, перескакивая из системы в систему».
Подобные «скачки» были возможны благодаря его предыдущим успехам в расшифровке паролей на backup Интернет-сервере после использования пароля Microsoft SQL, который он нашел.
Он до сих пор не знал, на каком сервере разрабатываются приложения, хранятся коды программ и лицензируемые коды управления. В поисках подсказки он тщательно просматривал все письма и записи о работе в Интернете, чтобы найти там хоть какой-то намек. Однажды он нашел список других IP-адресов из распечатки, которая выглядела интересно, тогда он решил атаковать этот компьютер. Его «Священным Граалем» на этом этапе была рабочая станция разработчиков, поскольку любой разработчик всегда хотел бы иметь доступ ко всему набору файлов кодов.
После этого он решил затихнуть на несколько недель. Собрав коллекцию паролей, он не находил ничего интересного в течение нескольких месяцев, «только незначительные порции информации. которые, как я думал, будут мне полезны».
КОМПЬЮТЕР ГЛАВЫ КОМПАНИИ
Почти восемь месяцев он «перескакивал с одного сервера на другой», не находя ни кодов программы, ни генератора ключей. Пока, наконец, не произошел некий прорыв. Он начал более пристально изучать backup Интернет-сервер, на который он проник первым, и обнаружил, что там хранятся копии всех писем, в частности список IP-адресов и адресов электронной почты всех сотрудников. Просмотрев этот список, он смог восстановить IP-адрес главы компании (CEO — Chief Executing Officer). Наконец-то он определил действительно достойную мишень.
«Наконец-то я нашел компьютер С Е О и это было уже интересно. Несколько дней я сканировал его порты, и он не отвечал, но я был уверен, что он там. В заголовках электронной почты я видел, что он использует один IP-адрес, но его там никогда не было.
Я начал сканировать его компьютер, проверяясь каждые два ч а с а — не прощупывает ли он меня, на тот случай, если бы у него были программы для обнаружения вторжения. Я прощупывал его несколько раз в день, но ограничил число портов пятью за каждые двадцать четыре часа. Через несколько дней я нашел порт, открытый, когда он работал за компьютером. Я наконец нашел открытый порт на его машине — 1433, работающий под MS SQL-сервером. Оказалось, что это его ноутбук, который он просматривал по два часа каждое утро. Итак, он приходил к себе в офис, проверял почту и затем уходил, выключив ноутбук».
ПРОНИКНОВЕНИЕ В КОМПЬЮТЕР СЕО
К тому времени Эрик собрал двадцать или тридцать паролей, принадлежащих компании. «У них были хорошие, сильные пароли, но они были построены по одному принципу. Однажды я понял его и раскрыл все пароли».
В этот момент Эрик осознал, что он занимается этим делом почти целый год. Только теперь его усилия увенчались успехом.
Эрик понял, что он распознал стратегию компании в области паролей, поэтому он опять вернулся к компьютеру СЕО, решив узнать его пароль. Что позволило ему надеяться на то, что он найдет пароль, который СЕО использует для MS SQL-сервера?
«Вы знаете, на самом деле я не могу этого объяснить. Это, похоже, моя способность — угадывать пароль, который выбирают люди, Я знаю даже то, какой пароль они будут использовать в будущем. У меня есть такое чувство, что я могу это знать. Это похоже на то, что я становлюсь ими и говорю, какой пароль я выбрал бы на их месте».
Он не знал, как это назвать — удачей или мастерством — поэтому закрылся формулировкой: «Я хорошо угадываю». Независимо от объяснения, он обычно узнавал правильный пароль, даже когда это было «не слово из словаря, а нечто более сложное».
Аналогичным образом он получил и пароль, который дал ему доступ к SQL-серверу в качестве администратора базы данных. СЕО был «Owned».
Он обнаружил, что компьютер хорошо защищен межсетевым экраном и лишь один порт у него открыт. Но Эрик обнаружил и немало такого, над чем он мог посмеяться. «Его система была крайне бестолковая. Я ничего не мог там найти, Я имею в виду, что там повсюду были файлы». Не зная иностранного языка, на котором там все было написано, Эрик использовал некоторые онлайновые словари и бесплатный сервис онлайнового перевода под названием «Bablefish», чтобы понять хотя бы ключевые слова. Ему помогал и его приятель, говоривший на этом языке. Из сообщений в «чатах» он смог отыскать дополнительные пароли и IP-адреса.
Поскольку файлы на ноутбуке были совершенно не организованы, и среди них невозможно было найти что-то ценное, Эрик применил другой подход, используя «dir/s/od <drive letter>», чтобы перечислить и отсортировать все файлы по датам, чтобы потом можно было обнаружить файл, недавно появившийся на диске, и проверить его в спокойной обстановке offline. В процессе такого анализа он обнаружил типичное имя для таблицы Excel, в этом файле содержались пароли для различных серверов и приложений, Из этого файла он определил имя пользователя и пароль для их первичного DNS-сервера.
Чтобы упростить свою следующую работу, укрепить почву под ногами и более легко загружать и выгружать файлы, он решил установить в ноутбуке СЕО свои хакерские программы. Он мог связываться с ноутбуком только через соединения Microsoft SQL-сервера, но мог использовать ту же процедуру, что и раньше для посылки команд в операционную систему, как если бы он находился прямо в среде Windows. Эрик написал небольшую программу, чтобы перекачать туда свои хакерские программы при помощи FTP. Когда ничего не произошло в течение трех попыток, он использовал программу со строкой прямо на ноутбуке под названием «pslist», чтобы выявить работающие там процессы.
КОЛОССАЛЬНАЯ ОШИБКА!
Поскольку ноутбук СЕО работал с его персональным межсетевым экраном (Tiny Personal Firewall), каждая попытка использовать FTP-протокол приводила к появлению предупредительного окошка на экране ноутбука СЕО, в котором высказывалось предложение отключиться от Интернета. К счастью СЕО уже загрузил к себе весь набор строчных команд с сайта http://www.sysinternals.com для управления процессами. Эрик использовал команду «pskill» для того, чтобы убить межсетевой экран, так что упомянутое окошко исчезло еще до того, как СЕО успел его заметить.
Затем Эрик счел разумным затихнуть на несколько недель, на тот случай, если кто-то заметил его активность. Вернувшись, он стал использовать другую тактику для попыток размещения своих программ на ноутбуке СЕО. Он написал программу для того, чтобы восстановить некоторые из своих хакерских программ, используя «Internet explorer object», что позволяет обмануть персональный межсетевой экран, поскольку тот думает, что Internet Explorer запрашивает разрешение на соединение с Интернетом. Большинство пользователей позволяют Internet Explorer свободно проходить через персональный межсетевой экран (готов спорить, что и вы тоже), и Эрик рассчитывал на то, что его программы смогут воспользоваться этим преимуществом. Правильная мысль. Она сработала. В результате он смог использовать эти программы для начала поиска нужной информации на ноутбуке.
CEO ЗАМЕТИЛ ПРОНИКНОВЕНИЕ
Все перечисленные методы, говорит Эрик, работают и сегодня.
Однажды, войдя в компьютер СЕО. Эрик опять убил межсетевой экран, чтобы передавать файлы на другой компьютер, откуда он смог бы перегрузить их к себе. В процессе этой работы он понял, что СЕО находится за компьютером и, должно быть, заметил что-то странное. «Вероятно, он увидел, что отсутствует значок работающего межсетевого экрана. Он понял, что я в его компьютере». Эрик немедленно отключился. Через несколько минут СЕО перезагрузил свой ноутбук и межсетевой экран опять заработал.
«Я не знаю, заметил ли он меня. Поэтому я подождал несколько недель, а потом возобновил свои попытки. Я уже изучил ритм его работы, и знал, когда могу попасть в систему».
ПОЛУЧЕН ДОСТУП К ПРИЛОЖЕНИЮ
Пересмотрев свою стратегию во время вынужденного перерыва, Эрик вернулся в ноутбук СЕО и начал изучать систему более тщательно. Прежде всего он запустил общедоступную строчную команду LsaDump2, чтобы просмотреть важную информацию, хранимую в специальном разделе памяти под названием L S A (Local Security Authority) Secrets. LSA Secrets содержали пароли для служебного пользования, зашифрованные пароли последних десяти пользователей, пароли пользователя для FTP и Интернета, имена пользователей и пароли для входа в сеть через dial-up.