Секреты супер хакера - Денис Ферри
Шрифт:
Интервал:
Закладка:
Я вовсе не хочу сказать, что вам следует прочесть каждую книгу в библиотеке, и уж конечно, не имею в виду, что все это надо прочесть до того, как вы начнете ваши первые хакерские опыты. Я просто довожу до вашего сведения следующее: зачастую люди не представляют себе, сколь богатую информацию можно почерпнуть из вполне доступных источников, не прибегая ни к каким взломам. К тому же, читая книги, вы узнаете о том, как выглядят компьютерные системы изнутри. Вы ознакомитесь с различными необходимыми командами, форматами имен и паролей, которые используются в различных системах. Вдобавок, зачастую в таких книгах спокойно можно найти списки доступных номеров — позвонив по ним, вы сможете проверить различные системы либо получить информацию по этим системам. Все эти сведения пригодятся вам и помогут двигаться вперед.
Придя в библиотеку, загляните в отдел периодики и возьмите там несколько компьютерных журналов и газет. Предпочтение следует отдать тем, которые вы обычно не читаете, или таким, о которых вы вообще не слышали. Полезно бывает посылать в журнал заказы на интересующую вас информацию, а также заполнять карточки Службы Чтения для получения доступных сведений на эти темы. Просто диву даешься, какие компании порой отвечают на такие послания, и еще более удивительно, сколько зацепок для хакера содержит выдаваемая информация. Лично я вхожу в число постоянных адресатов нескольких компаний по компьютерной защите. Я знаю все, что мне необходимо, обо всех их программных продуктах, о новейших достижениях, о том, кто пользуется этими программами. Вооруженный такими сведениями, я могу прокладывать свой путь в обход продукции данных компаний. Зная, как они ловят хакеров, я знаю, как избежать поимки. С другой стороны, иногда более практичным оказывается выклянчивание у библиотекарей подаренных библиотеке книг. Многие библиотеки принимают в дар книги — для распродажи или чтобы пополнить собственные запасы. Большую часть этих книг составляют старые технические руководства различных компаний — по компьютерам, программному обеспечению и работе операционных систем. Библиотекари, имеющие дело с подаренными материалами, увидев такие веши, обычно выбрасывают их за ненадобностью. Постарайтесь подружиться с библиотекарем, и он, скорее всего, предпочтет отдавать такие вот «ненужные» издания вам, нежели выкидывать. V меня набралось множество ценных пособий, справочников, руководств по операционным системам и магнитных дисков подобного рода. Я могу похвастаться даже замечательной и вполне злободневной подборкой закрытых изданий ATandT. Порой найденные вами книги содержат заметки, нацарапанные на полях или на обложке. Моя любимая пометка такого сорта — телефонный номер и групповой идентификационный код доступа. Код доступа с тех пор устарел, но телефонный номер еще существует, так же как и гостевой пароль, который иногда удается обнаружить в подо бных руководствах.
Некоторые нестандартные методы исследований
Эти методы не столь уж необычны, поскольку в дело идет все, что может принести пользу в вашем отважном предприятии. Раздобыв идею нового способа получения большего количества сведений об интерактивной системе или о работающих в ней людях, постарайтесь опробовать ее на практике. В принципе, любые сведения могут оказаться полезными. Все, что вы обнаружите, поможет вам проникнуть либо в тот компьютер, который интересует вас на данный момент, либо в другой — когда-нибудь в будущем. К тому же, согласитесь, всегда приятно обнаружить закрытые данные или тайные секреты системы. Поделитесь своими открытиями с другими хакерами, а те в долгу не останутся как пить дать отблагодарят вас, поведав что-нибудь этакое.
Существует пять нестандартных методов исследований: диалоговые руководства и модели программ; копание в мусоре; анализ найденных дискет; изучение фотографий; «вынюхивание». Помните — все эти методы исследований работают.
Диалоговые обучающие руководства и модели программ
Руководства и модели программ часто используются для обучения работе с компьютерной системой. Эти программы имитируют компьютерные экраны, какими видел бы их пользователь в процессе реальной работы в сети. Руководства и модели отличаются от реальной работы тем, что сообщают пользователю о стандартных методах общения с системой и иногда даже показывают ему необходимые в работе специальные детали. Если пользователь не прошел курс обучения, ему обычно выдается сборник упражнений для работы с облегченной версией настоящей системы, причем, как правило, выдается вместе с богатым набором всевозможных шпаргалок.
Руководства и модели дают новым пользователям практический опыт общения с программным обеспечением, с которым им придется иметь дело, знакомят с его функциями и задачами. Такие программы весьма часто используются в учебных целях вместо реальной системы, или же как дополнение к ней. На то имеется несколько причин. Что, если система еще внедряется, или проходит стадию обновления? А может быть, новичка слишком накладно обучать на «живой» системе — мало ли что. Модели решают подобные проблемы, так как их можно инсталлировать на любой компьютер.
Агентства по временному найму могут использовать программное обеспечение какой-либо компании для подготовки своих работников, особенно, если компания выделяет данному агентству много рабочих мест. Или же постоянные сотрудники могут захотеть подучить возможность взять обучающий диск в библиотеке компании, чтобы попрактиковаться дома. Наконец, хорошая обучающая программа или модель дает уверенность в том, что все сотрудники получат одинаково точные инструкции, не пропускающие важных деталей, о которых может забыть рассказать инструктор-человек.
Как добраться до этих программ? Программы-модели можно получить в общественных, специализированных и даже научных библиотеках. Можно также заказать такую у производителя. Напишите производителю программного обеспечения, что мол вы собираетесь круто раскошелиться на его продукцию. Льстите, лгите, грейте в производителе чувство собственной сверхполноценности, а потом, будто бы невзначай, вверните: а нет ли, случаем, у господ хороших какой-нибудь «демонстрашки»? Дескать, я готов брать все оптом, а партнеры колеблются. Впрочем, если вы лицом подходящий и скользкий как угорь, а вдобавок терпеть не можете писать писем, то не исключено, что вам удастся даже добыть такую программу у дружески настроенного сотрудника компьютерного отдела компании (займитесь социальной инженерией! представьтесь менеджером или супервизором компании).
Модели и руководства — незаменимая вещь в хакерском деле; их польза очевидна. Они помогут вам изучить систему, и, вероятно, раскроют используемые по умолчанию имена точки входа; не исключено, что в них окажется даже описание недостатков системы.
Иногда приходится подключать все свое воображение, чтобы найти другие способы использования руководства. Как-то я сидел в одном офисе, ожидая назначенной встречи. Секретарша на минутку вышла, я подошел к ее столу и позаимствовал дискету, вложенную между страницами книги. Дискета содержала программу под названием ARRSIM (ARRangement SIMulator — модель программы по планированию и организации). Это оказалась действующая копия их рабочей программы, только с бессмысленными именами в базе данных. Программа предназначалась для обучения сотрудников планированию и организации встреч между клиентами и потенциальными поставщиками. Придя домой, я загрузил «демонстрашку» ARRSIM и начал свою игру. Сначала я попытался поменять адрес, на что компьютер ответил мне — «Supervisor Approval Required» (необходимо подтверждение от супервизора), и на экране замигал курсор. Тут явно был нужен пароль. Я попытался воспользоваться тем, что использовался при загрузке (он был написан на наклейке дискеты), но пароль не сработал. Я просканировал дискету с помощью одной веселой утилиты, но не нашел никакого подходящего текста (скрытого пароля). Мне всегда казалось, что изменение адреса — это нечто такое, чем приходится заниматься на каждом шагу. Так почему же, когда я попытался изменить адрес, у меня запросили пароль? Эту программу явно составлял один из тех параноиков, которые не в состоянии доверить девочке-оператору самостоятельно изменить имя или адрес. Итак, я позвонил в компанию (да-да, той самой знакомой секретарше) и после традиционного обмена сплетнями об общих знакомых («Так Шейла стала бабушкой! У них мальчик или девочка?» — я слышал, как она обсуждала это событие с коллегой в тот день, когда я был в офисе), мне удалось вставить вопрос: Джей, не знаешь ли ты, что надо набрать, когда на экране появляется «Supervisor App…» — О, это такая глупость! — она рассмеялась. — Просто кошмар. Набери «morris».
Не знаю, на кой им это понадобилось. Всем уже осточертел этот «morris». Я поблагодарил ее. А дальше было знаете что? Не угадали. «Morris» не сработал. Точнее, не сработал в качестве пароля для входа в руководство (да и ничто не сработало бы, вероятно). Но это был именно тот пароль, который использовался для входа в НАСТОЯЩУЮ систему. Очевидно, предполагалось, что загружаться с терминалов, расположенных в офисах, могут только супервизоры.