Наши друзья
|
Как добывают пароли
Наш читатель, конечно же, уже слышал много способов, как утянуть пароли у глупых юзеров, используя различные хитрые, навороченные программки. А вы знаете, как это делают настоящие хакеры? Нет?! А ведь они сами не пользуются никакими специальными программами (да, они их пишут, но не для себя). А знаете ли вы, как
они достают пароли пользователей? Опять Оказывается, глупые
юзеры сами готовы рассказать всем свои пароли! Для этого им нужен лишь маленький толчок (иногда пинок). Сейчас вы услышите удивительную историю о том, как хакеры проводят этот самый пинок. Осторожнее! Не подставляйте под него собственный тыл!
Для начала хакеры выбирают свою жертву. Это может быть сосед по лестнице, или друг по чату, или еще кто-нибудь. Выбрав жертву, хакер старается узнать, как минимум, две вещи, а именно: название провайдера, через которого подключается его жертва, и его логин. Благо, обе эти вещи сильно ни кем не скрываются и поэтому диалог:
— А кто твой провайдер?
- Я подключаюсь через провайдера Super Internet Provider, - не вызовет никакого подозрения. Теперь, зная провайдера, хакер узнает логин юзера. Часто (читай почти всегда) логин пользователя такой же, как и адрес мыла, т. е. если электронный адрес пользователя выглядит так: LAMMER@super-provider. ru, то его логин, с вероятностью в 99%, будет - «LAMMER». Теперь, когда хакер знает провайдера и логин
юзера у этого провайдера, настает время узнать e-mail службы поддержки у этого провайдера. Чаще всего этот адрес выглядит как sup-port@super-provider. га или admin@super-provider. га. И еще, если есть возможность, следует посмотреть хотя бы одно письмо от этой самой службы поддержки, чтобы знать форму обращения к юзеру и всякие стандартные приветствия, типа: «Здравствуйте, дорогой наш пользователь *LAMMER*!!!», и прощания («Пока, shitt!»). Они нам пригодятся.
Шаг второй. Когда хакер знает весь необходимый минимум, приходит время для создания почтового адреса на каком-нибудь свободном сервере (многих привлекает ZMAIL (http://www. zmail.
ru), так как оттуда можно будет забирать почту бесплатно, не звоня
провайдеру, и что получить адрес с доменом @ru. ru, но
это мелочи). Но создает он адрес не от «фонаря». Он не называет свой ящик а скромненько так пишет support-super-
provider®..., или admin-super-provider®..., или что-нибудь в этом роде
(содержащее или название провайдера, или слова: admin или support).
Делай три... Итак, сделав все вышеописанное, хакер приступает к самой ответственной части: написанию письма глупому юзеру. В принципе, в письме он может написать любую чушь, типа:
« Уважаемый пользователь! К сожалению, на Вашем счету был
обнаружен факт двойного доступа к нашему серверу, т. е. в одно и то
же время, используя Ваш аккаунт, в систему вошли 2 (два) пользова-
теля. Вследствие чего возникла необходимость в смене Вашего текущего пароля доступа к нашей сети.
Вам необходимо ответить на это письмо, используя следующий формат:
log: ваш логин
ор: ваш старый пароль
IIр 1: ваш новый пароль
пр2: ваш новый пароль
em: ваш e-mail
Эти сведения должны находиться в начале Вашего сообщения. Обратите внимание на то, что новый пароль должен быть повторен дважды! Это необходимо для точной идентификации Вашего аккаунта.
Рекомендуется прислать свои сведения до 13. 06. 2002 г., т. к. по истечении этого срока возможно отключение Вашего аккаунта.
Желаем Вам успехов! С унижением, администрация сервера http://www. super-internet-provider. ru>
Поверили? Нет? Тогда так:
«Уважаемый пользователь!
Я вынужден сообщить вам новость. В нашей компа-
нии, Super Internet Provider, в пятницу 13 апреля имело место незаконное хищение нескольких файлов с данными о наших пользователях. После нелегального копирования данные были уничтожены. На момент мы не можем сказать, содержались ли в похищенных
файлах Ваши данные или нет. Таким образом, мы предлагаем Вам заполнить к письму анкету и, нажав «Ответить» («Replay»), отправить письмо с приложенной анкетой обратно.
В качестве компенсации мы дарим вам дополнительные пять часов доступа к Интернету. Спасибо за поддержку!
--begin анкета-Имя_
Адрес_
Индекс_
Домашний телефон
Старый пароль_
Новый пароль_
-=end анкета=-»
Главное, чтобы после получения столь убедительного письма у юзера не возникло желание позвонить голосом в службу поддержки и все выяснить. У хакеров обычно богатое воображение и они и не такое придумывают.
Последний рывок и... После того, как текст письма готов, хакер начинает скрупулезно подделывать заголовок письма. В принципе все очень просто: в строке «от» он пишет:
From: «Super Provider Support» support@super-provider. ru.
Если юзер вздумает посмотреть, от кого пришло письмо, он увидит РЕАЛЬНЫЙ адрес службы поддержки. В строке «кому» он пишет:
То: ru.
И теперь самое интересное, в строке «ответить туда-то» находится следующее:
Reply-To: «Super Provider Support» ru.
Видите «support-super-prQvider@ru. ru» — это адрес хакерского мыла (который он создал), и при программа отправит
именно по этому адресу.
В теме письма пишут что-то типа
Subject: Внимание.
И в целом заголовок письма выглядит следующим образом:
Reply-To: «Super Provider Support» From: «Super Provider Support» To: ru Subject: Внимание.
Date: Tue, 13 Jim 2000 13:13:13 +0000 MIME-Version: 1. 0
Content-Type: text/plain; charset= «koi8-r» Content-Transfer-Encoding: 8bit Дальше идет служебная информация.
...заканчиваем наше занятие! Теперь осталось запечатать письмо, привязать его к «почтовому
голубю» и... ждать.
Вот и все... да, еще что: пароли можно добывать не только у провайдера. Как говорится: «легко изменив текст письма», можно «попросить» пользователя выслать пароли от своего почтового ящика и т. д.
Для достижения наилучшего результата рассылают письма не одному адресату, а нескольким — кто-нибудь да клюнет.
«Но для чего? воскликнете вы. — Что я им плохого сделал, этим противным хакерам? Зачем им пыхтеть и стараться, писать несколько писем, чтобы выудить у меня, простого чайника Феди Тютькина, мой заветный пароль? Что они с ним будут делать?»
За ответом мы отсылаем вас к одной Южно-Сахалинском газете.
19 января 1997 г. в Южно-Сахалинском городском суде завершилось слушание дела по обвинению Гоярчука Сергея в совершении противоправных действий, квалифицировавшихся по Статье 30 «Подготовка к преступлению и покушение на преступление», Статье 272 «Неправомерный доступ к компьютерной информации» и Статье 273 «Создание, использование и распространение вредоносных программ для ЭВМ» УК РФ.
Гоярчук С.А. является студентом 3 курса Южно-Сахалинского института Коммерции, предпринимательства и информатики.
Гоярчук С.А. являлся техническим специалистом двух организаций, заключивших договора на услуги электронной почты и сети «Интернет». В связи с этим он имел доступ к нескольким компьютерам как в помещениях организаций, так и у себя дома, т.к. одна из организаций «передала ему один из компьютеров для ремонта кнопки питания».
При заключении договоров и в дальнейшем Гоярчук С.А.
проявлял большой интерес к особенностям работы электронной почты, возможностям доступа к ней через различные сети передачи данных и сценариям работы с почтой в каждом из случаев.
В мае г. Гоярчук первоначально вручную, а в последствии используя скрипт к терминальной программе «TELEX», пытался подобрать пароли к адресам пользователей
электронной почты.
Все попытки осуществлялись через номер общего пользования сети Х.25 «Спринт» в г. Южно-Сахалинске. В результате, Гоярчуку удалось подобрать пароли к адресам некоторых абонентов.
Подбор проводился либо в выходные и праздничные дни, либо в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТС и ГТС Южно-Сахалинска были проведены мероприятия по определению телефонного номера, с которого работал хакер. В ходе дальнейших оперативных проверок было выяснено, что это номер соседней квартиры, с хозяевами которой Гоярчук якобы договорился об использовании номера в ночное время.
Наблюдения за действиями Гоярчука продолжались до момента, пока он не разослал от имени некоторым пользователям электронной почты письма с просьбой сообщить все свои реквизиты, в том числе и учетные имена сети «Интернет» с паролями. В письме в очень доброжелательной форме излагалось о планируемых ТТС улучшениях сервиса, которые действительно готовились, и предлагалось сообщить свои данные для создания некой базы данных, которые почему-то
были необходимы в связи с увеличением пропускной способности магистрального канала связи.
Письмо было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был зарегистрирован на сервере CHAT. RU. Найти владельцев этого сервера в Москве для того, чтобы определить IP адреса, с которых выполнялось соединение по РОРЗ, не удалось не только нам, но и представителям ФСБ, которые вели следствие. Так что пользуйтесь услугами бесплатных почтовых серверов!
6 июня было проведено задержание Гоярчука С.А. у
него на квартире, в ходе которого было изъято два компьютера и около 40 дискет. В ходе исследования компьютеров на личном компьютере Гоярчука была найдена программа-скрипт SM CRACK, электронные письма, адресованные одному из Южно-Сахалинских банков и коммерческой фирме, файл, содержащий текст письма, разосланного абонентам от
имени ТТС.
В ходе следствия и в ходе судебного разбирательства Го-
ярчук С.А. давал очень путанные объяснения, суть которых сводилась к тому, что программу SM_CRACKoh сам не составлял, а получил ее входе одного из СНАТ-сеансов он неизвестного ему пользователя SERGE. Влекомый юношеским любопытством, он запустил программу, не результатов ее на экране не увидел, поэтому решил исследовать ее дальше и оставил работать на ночь.
любопытство было столь велико, что заставляло включать ее каждую ночь в течение двух недель, а по выходным любопытство просто распирало пытливого юношу, поскольку программа работала и днем. В результате чего впоследствии внутригородской трафик Х.25 составил 1 750 ООО руб., которые электронной почте пришлось оплатить.
Факт наличия чужих электронных писем у себя на компьютере Гоярчук также объяснял действием новой модификации
программы SM_CRACK, также полученной им от неведомого
абонента. Эта новая версия не только подбирала пароли, но и осуществляла копирование содержимого почтового ящика на компьютер взломщика.
Однако полученные письма были составлены в начале мая, а модификация появилась во второй его половине.
На этом действие мистических сил на Гоярчука не прекратилось. По его утверждениям, в конце мая он получил электронное письмо без адреса отправителя и заголовка, в кото-
ром предлагалось выполнить ряд команд. Безропотно выполнив их, он обнаружил, что настройка почтовой программы странно изменилась, однако, не придав этому значения, он «что-то сделал» и с его компьютера сообщение разошлось другим пользователям.
В действительности с адреса SAKHMAIL@CHAT.RU 30 мая в адрес одной из фирм, где работал Гоярчук С.А., было отправлено электронное письмо, текст которого в точности совпадал с текстом, найденным у него на компьютере в отдельном файле.
Кроме этого, интервал времени между получением письма от безымянного отправителя и событием «что-то сделал»
составил более суток, а само событие «что-то сделал» произошло в 1 час 35 минут ночи. Именно в это время было сформировано письмо от абонента SAKHMAIL@CHAT.RU и зафиксирована активность идентификатора сети «Интернет»,
который 14 мая был зарегистрирован Гоярчуком С.А. как представителем организации потребителя услуг.
В ходе судебного разбирательства Гоярчук С.А. пытался обосновать свои действия тем, что не понимал сути происходящих процессов и плохо разбирался в том, как работают компьютерные программы, которые он запускал. Однако по показаниям директора фирмы, в которой Гоярчук С.А. в течение более чем года (I) бесплатно (II!) проходил практику, он
обучал продавцов и бухгалтеров фирмы работе с компьютерными программами.
Заслушав обвиняемого и свидетелей, государственное
обвинение указало на соответствие квалификации действий
Гоярчука С.А. предварительным следствием. И по совокупности просило суд применить наказание в виде лишения свободы сроком на три года со штрафом в размере 200 минимальных окладов.
Однако, учитывая юный возраст подсудимого, положительные характеристики с мест работы и отсутствие судимостей, просило считать срок заключения условным, установив
испытательный срок 2 года.
Защита, указав на техническую сложность дела, отсутствие судебной практики подобного характера, личность подсудимого, а так же помощь (?), которую подсудимый оказал следствию в ходе расследования, просила не применять к подсудимому статьи 30 и 272 УК, и ограничить наказание штрафом в 200 минимальных окладов. Кроме этого, в качестве одного из аргументов защита приводила факт отсутствия
каких-либо предупреждений по поводу противоправности
действий подзащитного в договоре на оказание услуг.
В результате суд пришел к решению признать Гоярчука С.А. виновным и применить меру наказания, предлагаемую
обвинением.
Впрочем, подобрать секретный ключик к сердцу вашего компьютера можно не прибегая к уловкам и ухищрениям, а с помощью простого и грубого, по-своему даже «честного» взлома.
Люди, считающие себя «честными взломщиками», даже придумали для себя весьма удобную философию. Мол, во все времена были люди, которые старались что-либо утаить от других. И были и другие: те, которые с этим были не согласны и поэтому всячески старались тайны первых узнать — такова уж человеческая сущность. И вот придумали первые вход в Интернет с паролем, ибо денег плочено за него немерено, а вторые сразу начали этот пароль отыскивать всеми возможными и невозможными способами. |