На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Как добывают пароли

Наш читатель, конечно же, уже слышал много способов, как утя­нуть пароли у глупых юзеров, используя различные хитрые, наворо­ченные программки. А вы знаете, как это делают настоящие хакеры? Нет?! А ведь они сами не пользуются никакими специальными программами (да, они их пишут, но не для себя). А знаете ли вы, как
они достают пароли пользователей? Опять Оказывается, глупые
юзеры сами готовы рассказать всем свои пароли! Для этого им нужен лишь маленький толчок (иногда пинок). Сейчас вы услышите удиви­тельную историю о том, как хакеры проводят этот самый пинок. Осто­рожнее! Не подставляйте под него собственный тыл!
Для начала хакеры выбирают свою жертву. Это может быть со­сед по лестнице, или друг по чату, или еще кто-нибудь. Выбрав жерт­ву, хакер старается узнать, как минимум, две вещи, а именно: название провайдера, через которого подключается его жертва, и его логин. Бла­го, обе эти вещи сильно ни кем не скрываются и поэтому диалог:
— А кто твой провайдер?
- Я подключаюсь через провайдера Super Internet Provider, - не вызовет никакого подозрения. Теперь, зная провайдера, хакер узнает логин юзера. Часто (читай почти всегда) логин пользователя такой же, как и адрес мыла, т. е. если электронный адрес пользователя выглядит так: LAMMER@super-provider. ru, то его логин, с вероятностью в 99%, будет - «LAMMER». Теперь, когда хакер знает провайдера и логин
юзера у этого провайдера, настает время узнать e-mail службы под­держки у этого провайдера. Чаще всего этот адрес выглядит как sup-port@super-provider. га или admin@super-provider. га. И еще, если есть возможность, следует посмотреть хотя бы одно письмо от этой самой службы поддержки, чтобы знать форму обращения к юзеру и всякие стандартные приветствия, типа: «Здравствуйте, дорогой наш пользо­ватель *LAMMER*!!!», и прощания («Пока, shitt!»). Они нам приго­дятся.
Шаг второй. Когда хакер знает весь необходимый минимум, при­ходит время для создания почтового адреса на каком-нибудь свободном сервере (многих привлекает ZMAIL (http://www. zmail.
ru), так как оттуда можно будет забирать почту бесплатно, не звоня
провайдеру, и что получить адрес с доменом @ru. ru, но
это мелочи). Но создает он адрес не от «фонаря». Он не называет свой ящик а скромненько так пишет support-super-
provider®..., или admin-super-provider®..., или что-нибудь в этом роде
(содержащее или название провайдера, или слова: admin или support).
Делай три... Итак, сделав все вышеописанное, хакер приступает к самой ответственной части: написанию письма глупому юзеру. В принципе, в письме он может написать любую чушь, типа:
« Уважаемый пользователь! К сожалению, на Вашем счету был
обнаружен факт двойного доступа к нашему серверу, т. е. в одно и то
же время, используя Ваш аккаунт, в систему вошли 2 (два) пользова-
теля. Вследствие чего возникла необходимость в смене Вашего теку­щего пароля доступа к нашей сети.
Вам необходимо ответить на это письмо, используя следующий формат:
log: ваш логин
ор: ваш старый пароль
IIр 1: ваш новый пароль
пр2: ваш новый пароль
em: ваш e-mail
Эти сведения должны находиться в начале Вашего сообщения. Обратите внимание на то, что новый пароль должен быть повторен дважды! Это необходимо для точной идентификации Вашего аккаунта.
Рекомендуется прислать свои сведения до 13. 06. 2002 г., т. к. по истечении этого срока возможно отключение Вашего аккаунта.
Желаем Вам успехов! С унижением, администрация сервера http://www. super-internet-provider. ru>
Поверили? Нет? Тогда так:
«Уважаемый пользователь!
Я вынужден сообщить вам новость. В нашей компа-
нии, Super Internet Provider, в пятницу 13 апреля имело место неза­конное хищение нескольких файлов с данными о наших пользовате­лях. После нелегального копирования данные были уничтожены. На момент мы не можем сказать, содержались ли в похищенных
файлах Ваши данные или нет. Таким образом, мы предлагаем Вам за­полнить к письму анкету и, нажав «Ответить» («Replay»), отправить письмо с приложенной анкетой обратно.
В качестве компенсации мы дарим вам дополнительные пять ча­сов доступа к Интернету. Спасибо за поддержку!
--begin анкета-­Имя_
Адрес_
Индекс_
Домашний телефон
Старый пароль_
Новый пароль_
-=end анкета=-»
Главное, чтобы после получения столь убедительного письма у юзера не возникло желание позвонить голосом в службу поддержки и все выяснить. У хакеров обычно богатое воображение и они и не такое придумывают.
Последний рывок и... После того, как текст письма готов, хакер начинает скрупулезно подделывать заголовок письма. В принципе все очень просто: в строке «от» он пишет:
From: «Super Provider Support» support@super-provider. ru.
Если юзер вздумает посмотреть, от кого пришло письмо, он уви­дит РЕАЛЬНЫЙ адрес службы поддержки. В строке «кому» он пишет:
То: ru.
И теперь самое интересное, в строке «ответить туда-то» находит­ся следующее:
Reply-To: «Super Provider Support» ru.
Видите «support-super-prQvider@ru. ru» — это адрес хакерского мыла (который он создал), и при программа отправит
именно по этому адресу.
В теме письма пишут что-то типа
Subject: Внимание.
И в целом заголовок письма выглядит следующим образом:
Reply-To: «Super Provider Support» From: «Super Provider Support» To: ru Subject: Внимание.
Date: Tue, 13 Jim 2000 13:13:13 +0000 MIME-Version: 1. 0
Content-Type: text/plain; charset= «koi8-r» Content-Transfer-Encoding: 8bit Дальше идет служебная информация.
...заканчиваем наше занятие! Теперь осталось запечатать письмо, привязать его к «почтовому
голубю» и... ждать.
Вот и все... да, еще что: пароли можно добывать не только у провайдера. Как говорится: «легко изменив текст письма», можно «попросить» пользователя выслать пароли от своего почтового ящика и т. д.
Для достижения наилучшего результата рассылают письма не одному адресату, а нескольким — кто-нибудь да клюнет.
«Но для чего? воскликнете вы. — Что я им плохого сделал, этим противным хакерам? Зачем им пыхтеть и стараться, писать несколько писем, чтобы выудить у меня, простого чайника Феди Тютькина, мой заветный пароль? Что они с ним будут делать?»
За ответом мы отсылаем вас к одной Южно-Сахалинском газете.
19 января 1997 г. в Южно-Сахалинском городском суде завершилось слушание дела по обвинению Гоярчука Сергея в совершении противоправных действий, квалифицировав­шихся по Статье 30 «Подготовка к преступлению и покушение на преступление», Статье 272 «Неправомерный доступ к ком­пьютерной информации» и Статье 273 «Создание, использо­вание и распространение вредоносных программ для ЭВМ» УК РФ.
Гоярчук С.А. является студентом 3 курса Южно-Сахалин­ского института Коммерции, предпринимательства и инфор­матики.
Гоярчук С.А. являлся техническим специалистом двух ор­ганизаций, заключивших договора на услуги электронной почты и сети «Интернет». В связи с этим он имел доступ к нескольким компьютерам как в помещениях организаций, так и у себя дома, т.к. одна из организаций «передала ему один из компьютеров для ремонта кнопки питания».
При заключении договоров и в дальнейшем Гоярчук С.А.
проявлял большой интерес к особенностям работы электрон­ной почты, возможностям доступа к ней через различные се­ти передачи данных и сценариям работы с почтой в каждом из случаев.
В мае г. Гоярчук первоначально вручную, а в по­следствии используя скрипт к терминальной программе «TELEX», пытался подобрать пароли к адресам пользователей
электронной почты.
Все попытки осуществлялись через номер общего пользо­вания сети Х.25 «Спринт» в г. Южно-Сахалинске. В результате, Гоярчуку удалось подобрать пароли к адресам некоторых або­нентов.
Подбор проводился либо в выходные и праздничные дни, либо в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТС и ГТС Южно-Сахалинска бы­ли проведены мероприятия по определению телефонного но­мера, с которого работал хакер. В ходе дальнейших опера­тивных проверок было выяснено, что это номер соседней квартиры, с хозяевами которой Гоярчук якобы договорился об использовании номера в ночное время.
Наблюдения за действиями Гоярчука продолжались до момента, пока он не разослал от имени некоторым поль­зователям электронной почты письма с просьбой сообщить все свои реквизиты, в том числе и учетные имена сети «Интер­нет» с паролями. В письме в очень доброжелательной форме излагалось о планируемых ТТС улучшениях сервиса, которые действительно готовились, и предлагалось сообщить свои данные для создания некой базы данных, которые почему-то
были необходимы в связи с увеличением пропускной способ­ности магистрального канала связи.
Письмо было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был зарегистрирован на серве­ре CHAT. RU. Найти владельцев этого сервера в Москве для то­го, чтобы определить IP адреса, с которых выполнялось со­единение по РОРЗ, не удалось не только нам, но и представи­телям ФСБ, которые вели следствие. Так что пользуйтесь ус­лугами бесплатных почтовых серверов!
6 июня было проведено задержание Гоярчука С.А. у
него на квартире, в ходе которого было изъято два компьюте­ра и около 40 дискет. В ходе исследования компьютеров на личном компьютере Гоярчука была найдена программа-скрипт SM CRACK, электронные письма, адресованные одно­му из Южно-Сахалинских банков и коммерческой фирме, файл, содержащий текст письма, разосланного абонентам от
имени ТТС.
В ходе следствия и в ходе судебного разбирательства Го-
ярчук С.А. давал очень путанные объяснения, суть которых сводилась к тому, что программу SM_CRACKoh сам не состав­лял, а получил ее входе одного из СНАТ-сеансов он неизвест­ного ему пользователя SERGE. Влекомый юношеским любо­пытством, он запустил программу, не результатов ее на экра­не не увидел, поэтому решил исследовать ее дальше и оста­вил работать на ночь.
любопытство было столь велико, что заставляло включать ее каждую ночь в течение двух недель, а по выход­ным любопытство просто распирало пытливого юношу, поскольку программа работала и днем. В результате чего впо­следствии внутригородской трафик Х.25 составил 1 750 ООО руб., которые электронной почте пришлось оплатить.
Факт наличия чужих электронных писем у себя на компью­тере Гоярчук также объяснял действием новой модификации
программы SM_CRACK, также полученной им от неведомого
абонента. Эта новая версия не только подбирала пароли, но и осуществляла копирование содержимого почтового ящика на компьютер взломщика.
Однако полученные письма были составлены в начале мая, а модификация появилась во второй его половине.
На этом действие мистических сил на Гоярчука не прекра­тилось. По его утверждениям, в конце мая он получил элек­тронное письмо без адреса отправителя и заголовка, в кото-
ром предлагалось выполнить ряд команд. Безропотно выпол­нив их, он обнаружил, что настройка почтовой программы странно изменилась, однако, не придав этому значения, он «что-то сделал» и с его компьютера сообщение разошлось другим пользователям.
В действительности с адреса SAKHMAIL@CHAT.RU 30 мая в адрес одной из фирм, где работал Гоярчук С.А., было отправ­лено электронное письмо, текст которого в точности совпа­дал с текстом, найденным у него на компьютере в отдельном файле.
Кроме этого, интервал времени между получением пись­ма от безымянного отправителя и событием «что-то сделал»
составил более суток, а само событие «что-то сделал» произошло в 1 час 35 минут ночи. Именно в это время было сформировано письмо от абонента SAKHMAIL@CHAT.RU и за­фиксирована активность идентификатора сети «Интернет»,
который 14 мая был зарегистрирован Гоярчуком С.А. как представителем организации потребителя услуг.
В ходе судебного разбирательства Гоярчук С.А. пытался обосновать свои действия тем, что не понимал сути происхо­дящих процессов и плохо разбирался в том, как работают компьютерные программы, которые он запускал. Однако по показаниям директора фирмы, в которой Гоярчук С.А. в тече­ние более чем года (I) бесплатно (II!) проходил практику, он
обучал продавцов и бухгалтеров фирмы работе с компьютер­ными программами.
Заслушав обвиняемого и свидетелей, государственное
обвинение указало на соответствие квалификации действий
Гоярчука С.А. предварительным следствием. И по совокуп­ности просило суд применить наказание в виде лишения сво­боды сроком на три года со штрафом в размере 200 мини­мальных окладов.
Однако, учитывая юный возраст подсудимого, положи­тельные характеристики с мест работы и отсутствие судимос­тей, просило считать срок заключения условным, установив
испытательный срок 2 года.
Защита, указав на техническую сложность дела, отсутст­вие судебной практики подобного характера, личность подсу­димого, а так же помощь (?), которую подсудимый оказал следствию в ходе расследования, просила не применять к подсудимому статьи 30 и 272 УК, и ограничить наказание штрафом в 200 минимальных окладов. Кроме этого, в качест­ве одного из аргументов защита приводила факт отсутствия
каких-либо предупреждений по поводу противоправности
действий подзащитного в договоре на оказание услуг.
В результате суд пришел к решению признать Гоярчука С.А. виновным и применить меру наказания, предлагаемую
обвинением.
Впрочем, подобрать секретный ключик к сердцу вашего компью­тера можно не прибегая к уловкам и ухищрениям, а с помощью простого и грубого, по-своему даже «честного» взлома.
Люди, считающие себя «честными взломщиками», даже приду­мали для себя весьма удобную философию. Мол, во все времена были люди, которые старались что-либо утаить от других. И были и другие: те, которые с этим были не согласны и поэтому всячески старались тайны первых узнать — такова уж человеческая сущность. И вот при­думали первые вход в Интернет с паролем, ибо денег плочено за него немерено, а вторые сразу начали этот пароль отыскивать всеми воз­можными и невозможными способами.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика