По мере того, как занимался день, они увидели, как на некоторых узлах заработали определенные сервисы.
«Мы никуда не проникали, мы просто сидели и активно сканировали все, когда появлялось соединение с удаленным пользователем. И когда произошло очередное соединение, мы провели очередное сканирование и нашли открытый порт, используемый для PC Anywhere».
Приложение PC Anywhere позволяет получить удаленный контроль над компьютером. Однако, это можно сделать только в том случае, когда другой компьютер тоже выполняет какую-то программу.
«Видя этот порт во время сканирования, мы испытали очередной прилив энтузиазма: «О, на этой машине работает PC Anywhere. Это, наверное, один из компьютеров пользователей, давайте попробуем с ним разобраться.
Мы как будто кричали в пространство: «У кого установлен PC Anywhere?». Кто-то кричал нам в ответ: «Это мы». Поэтому я прокричал IP-адрес, так, чтобы он мог соединиться с системой как можно быстрее».
Луис называет попытку соединения с системой PC Anywhere «очень важным моментом». Он присоединился к другому парню, — пользователю, при помощи окна, появившегося на экране. «Вначале там был просто темный фон, — рассказывает Луис, — а затем происходила одна из двух вещей — либо быстро появлялся серый пароль, или же фон становился голубым, и на сцену выходила система Windows desktop».
«Именно ответа в варианте desktop мы ждали, затаив дыхание. Мгновения казались вечностью, пока мы ожидали, что черный экран исчезнет. Я думал про себя: „Соединяйся, соединяйся, время кончается“. И еще: „я хочу получить пароль“.
Как раз в последнюю секунду, когда я подумал: «ну, сейчас появится пароль» — появился Windows desktop! Ура! Мы, наконец, получили вожделенный desktop. Все, кто был в комнате, могли подойти и посмотреть. Моей первой реакцией было: «У нас опять появился шанс, нельзя его упустить!»
Итак, им опять повезло, они «поймали» клиента, который соединился с устройством 3Com.
«В этот момент мы подумали, как говорится: „либо пан, либо пропал“ —мы знали, что эти люди соединяются лишь на короткое время и понимали, что у нас может просто не быть другой возможности».
Первое, что надо делать при появлении сессии PC Anywhere, это нажимать две клавиши на экране. Луис называет их так: «Кнопка очистки экрана» и «Кнопка для фиксации клавиш консоли». Он объясняет:
«Когда вы используете PC Anywhere, по умолчанию оба пользователя —на компьютере и тот, кто использует PC Anywhere — имеют доступ к мышке и могут двигать ей по экрану, чтобы запускать приложения или открывать файлы и т.п. Но при помощи PC Anywhere вы можете заблокировать клавиатуру для другого пользователя».
Они сделали это и получили контроль над сессией, убедившись, что пользователь не может видеть, что они делают, поскольку они обнулили его экран. Луис понимал, что довольно скоро у пользователя возникнут какие-то подозрения или он решит, что у него определенные проблемы и отключит компьютер, поэтому времени у них было совсем мало.
«Мы пытались использовать этот шанс и получить доступ внутрь системы. Надо было быстро решить, что мы хотим предпринять, и какую ценную информацию можно извлечь из этого компьютера.
Я заметил, что на компьютере была установлена ОС Microsoft Windows 98 и нам надо найти кого-то, кто посоветует, какую информацию можно извлечь из такого компьютера.
К счастью один из ребят, находившихся рядом с нами, не был полностью погружен в свои занятия и знал, как извлечь информацию из такой системы».
Он предложил посмотреть на файл со списком паролей (PWL). (Это файл, используемый в системах Windows 95, 98 и ME, содержит важную информацию, такую, например, как пароли для dial-up и сетевые пароли. Например, если вы используете вход в сеть dial-up под Windows, все детали авторизации, включая номер телефона dial-up, имя пользователя и логин содержатся именно в этом файле).
Перед тем, как загрузить к себе этот файл, они должны были отключить все антивирусные программы, чтобы те не обнаружили средств, которые они использовали. Затем они попытались использовать возможности передачи файлов в PC Anywhere, чтобы передать PWL-файл из компьютера, которым пользовался курьер в данный момент, на свой компьютер. Это не сработало. «Мы не понимали почему, но у нас не было времени сидеть и обсуждать это. Мы должны были извлечь PWL-информацию из того компьютера немедленно, пока курьер еще не прервал соединения».
Что еще они могли сделать? Одна из возможностей: загрузить туда программу для взлома паролей, взломать PWL-файл на компьютере курьера и извлечь информацию в текстовый файл, который потом переслать себе. У них уже было имя пользователя и пароль, которыми пользовался курьер. Но они вовремя осознали проблему: клавиатура на компьютере курьера была на иностранном языке — вот что было причиной их неудачи с авторизацией. « М ы продолжали получать сигнал „Имя неправильное“, потому что клавиши клавиатуры там означали другие буквы». А время бежало…
«Мы чувствовали, что время уходит. Парень, сидящий в грузовике, мог перевозить кучу денег, или, к примеру, заключенных. Он вполне мог задать себе вопрос: „Что за чертовщина здесь происходит?“ В таком случае, он отключился бы еще до того, как мы получили то, что нам было нужно».
Да, время сейчас играло не в их пользу, и никто из их коллег в той же комнате не мог помочь разрешить проблему с иностранной клавиатурой. Может быть, в более спокойной обстановке они смогли бы ввести имя пользователя и пароль, используя коды ASCII вместо настоящих букв и цифр. Но в данный момент никто не мог посоветовать им, как это сделать.
Что же делать сегодня человеку, если ему очень быстро нужно пол у ч и т ь ответ на вопрос? Именно это и сделали Луис и Брок: « М ы быстро вошли в Интернет и стали искать способы ввода букв без использования клавиатуры».
Достаточно быстро они нашли ответ: надо нажать ключ «Num Lock», затем нажать и держать ключ < A L T > , а потом набирать численные значения ASCII-символов на цифровой части клавиатуры. Остальное — просто.
«Нам часто приходится переводить буквы и символы в ASCII-коды и наоборот. Надо просто встать и посмотреть в одну из полезных таблиц, которые развешаны у нас по всем стенам».
Вместо полуголых девиц у этих ребят на стенах висели таблицы перевода символов из одной систему в другую. «ASCII-красотки», — говорит Луис.
С помощью приятелей, которые подсказывали, какую последовательность цифр надо набирать, они успешно ввели в компьютер имя пользователя и пароль. После этого они смогли передать программу для взлома PWL и запустить ее, чтобы извлечь информацию из P W L —файла в текстовый файл, который затем переслать из ноутбука водителя на FTP-сервер, находящийся под их контролем.
Когда Луис просмотрел этот файл, он нашел там необходимые для авторизации данные, которые искал, включая номер телефона для dial-up соединения и те имя и пароль, которые водитель использовал для соединения с VPN-сетью компании. Луис подумал, что это вся информация, которая ему нужна.
Проверяя, не оставил ли он следов своего пребывания в ноутбуке водителя, Луис просмотрел все «иконки» на рабочем столе компьютера и обратил внимание на одну, которая выглядела как приложение, с помощью которого курьеры-охранники могли получать информацию из компании. Теперь они знали, что водители соединялись через компанию с сервером приложений, чтобы получить необходимую им информацию.
ДОСТУП В СИСТЕМУ КОМПАНИИ
«Мы подозревали, — вспоминает Луис, — что этот пользователь вполне мог заметить странную активность в своем компьютере, поэтому мы оттуда ушли. Если бы об этом инциденте был сделан специальный доклад, то VPN-сервис был бы просто отключен. и наше знание параметров, необходимых для входа в него, обесценилось».
Через несколько секунд они заметили, что соединение с PC Anywhere прервалось — водитель отсоединился. Луис и его помощники извлекли нужную им информацию из PWL-файла как раз вовремя.
Теперь у Луиса и Брока был номер телефона, принадлежащий dial-up устройству, одному из тех, что они рисовали вчера вечером в баре. Это был опять иностранный номер. Используя ту же систему Windows, что использовал и охранник, они набрали этот номер, ввели имя пользователя и пароль и «обнаружили, что мы успешно установили VPN-соединение».
Из того, как был сконфигурирован VPN, они получили IP-адрес в D M Z компании, так что оказались за первым межсетевым экраном, но перед ними еще был второй межсетевой экран, защищающий внутреннюю сеть, что они поняли еще раньше.
IP-адрес, п р и п и с а н н ы й V P N , находился в пределах D M Z , поэтому некоторые компьютеры внутренней сети ему вполне доверяли, Луис думал, что проникнуть во внутреннюю сеть будет намного легче, поскольку они уже проникли за первый межсетевой экран. «В этот момент, — говорит он, — мы думали, что пробраться через внутренний межсетевой экран во внутреннюю сеть будет легко». Но когда он попробовал сделать это, то обнаружил, что не может добраться до исполняемого сервиса на компьютере, где был установлен сервер приложений. «Это был очень странный TCP-порт, который был доступен и через фильтры, и мы думали, что он используется для приложений, которыми пользуются водители. Но мы не знали, как он работает».
