А знаешь ли ты, друг
мой, о том, как хакеры "вытаскивают" твои драгоценные аккаунты прямо у
тебя из-под носа? Существует достаточно много случаев, когда пользователь
с удивлением для себя обнаруживает, что за его счет бродит по просторам
Интернет кто-то еще и, естественно, тратит направо и налево его потом и
кровью заработанные деньги. Обнаружив столь неприятное происшествие, он в
ярости (или в недоумении - кто как) звонит в техподдержку своего
провайдера и объясняет причину своего недовольства. Провайдер приносит
свои соболезнования, но, к сожалению, ничем помочь не может, однако,
предлагает сменить пользователю пароль и советует не допускать до
компьютера тех людей, которые не достойны доверия. А самое главное, что
тем людям, которые платят свои деньги за часы, проведенные в Интернет,
провайдер не собирается возмещать ни денег, ни времени. Разочаровавшись и
обвиняя во всех мнимых грехах техническую поддержку, ты размышляешь о том,
как же этому гадскому хакеру удалось украсть твой аккаунт, и с обидой в
душе на этот жестокий мир подумываешь о смене провайдера. Итак, каким же
образом хакер смог "вытащить" твой аккаунт?
На сегодняшний день мне известны
несколько методов, которые используют хакеры. Обычно многие юзеры,
устанавливая windows 95/98/NT под сети, предоставляют доступ к своим
дискам и директориям другим пользователям сети, тем самым открывая лазейку
в свой компьютер. Для того чтобы в сети найти компьютер с такой лазейкой,
хакеру необходимо просканировать диапазон IP-адресов одной сетки. Что для
этого нужно? Для Windows 95/98/NT - программа "Legion" ( http://207.98.195.250/software/legion.zip ). После запуска
этой программы нужно указать IP-адреса, которые будут использоваться для
сканирования. Сначала хакер выбирает предполагаемого провайдера, услугами
которого впоследствии он будет пользоваться. Например, это будет
выдуманный нами провайдер www.lamerishe.ru. Запустив свой mIRC, он
отправляется на всем знакомый IRC и в окошке "status" пишет: /whois
*.lamerishe.ru
Ответ не заставит себя ждать:
#RUSSIAN Andrey H
andrey@dialup-28059.lamerishe.ru :0 hello.
*.junk.com
End of /WHO list.
-
Дальше следует команда: /dns
Andrey
И mIRC выдает ему IP-шник
жертвы:
*** Looking up
dialup-28059.lamerishe.ru
*** Resolved
dialup-28059.lamerishe.ru to 121.31.21.10
-
Вот он уже и знает один из ip-адресов
(121.31.21.10) нашего выдуманного провайдера. Теперь нужно указать
диапазон IP-адресов этого провайдера. Хакер запускает Legion и заполняет
поля "Enter Start IP" (введите начальный IP) и "Enter End IP" (введите
конечный IP).
Enter Start IP: 121.31.21.1
Enter End IP: 121.31.21.254
Остается только выбрать скорость
соединения и нажать на кнопку "Scan". Если после сканирования, в правом
окне сканера, появится что-то вроде "\\121.31.21.87\C", то в левом окне
можно открыть этот IP и щелкнуть два раза на ответвлении "C". Появится
сообщение "MAPPED ON DRIVE E:". Все это означает, что на данном IP есть
машина, c незашаренным (то есть открытым для всех) диском С. И этот диск
можно установить как еще один диск на своем компе. То есть у хакера на
компе появится еще один диск (в данном случае - Е), по которому он будет
лазить, как по своему собственному, хотя он и находится на удаленной
машине. Конечно, главной целью для хакера является файл с расширением
.pwl, в котором находится зашифрованный аккаунт. Этот файл лежит в
каталоге Windows. И поэтому хакер заходит в «Пуск -> Программы ->
Сеанс MS-DOS». Пишет там «e:» и нажимает Enter. Теперь он на жестком диске
у чайника. Но каталог Windows может называться по-другому. Поэтому он
пишет: E:\>dir win* и получает такой вот ответ:
Том в устройстве Е не имеет
метки
Серийный номер тома: 2247-15D0
Содержимое каталога Е:\
WIN95 <КАТАЛОГ> 11-30-98 6:48p
WIN95
0 файл(а,ов) 0 байт
1 каталог(а,ов) 287,997,952 байт
свободно
Дальше следуют команды:
E:\>cd win95
E:\WIN95>dir *.pwl
Том в устройстве Е не имеет
метки
Серийный номер тома: 2247-15D0
Содержимое каталога Е:\WIN95
ANDREY PWL 730 02-05-99 10:31p
ANDREY.PWL
1 файл(а,ов) 730 байт
0 каталог(а,ов) 287,997,952 байт
свободно
E:\WIN95>copy andrey.pwl
c:\hacking\pwlhack
Теперь, после копирования файла с
расширением .pwl, хакеру нужно отсоединиться от этого компьютера. Он
открывает иконку "Мой компьютер", выбирает иконку E:\121.31.21.87\C нажав
правую кнопку мыши. Там жмет "Отсоединить". Что теперь? А теперь он берет
программу pwlhack ( http://newdata2.box.sk/neworder/crackpwd/pwlhck32.rar ) и
с помощью нее расшифровывает добытый файл andrey.pwl.
C:\HACKING\PWLHACK>pwlhack.exe
/list andrey.pwl andrey
(C) 17-Apr-1998y by Hard Wisdom
"PWL's Hacker" v3.0 (1996,97,98)
Enter the password:
File 'ANDREY.PWL' has size 730 bytes,
version [NEW_Win95_OSR/2]
for user 'ANDREY' with password ''
contains:
-[Type]-[The resource location
string]--------------[Password]-
Dial X *Rna\Соединение с
lamerishe\L5tRe fsa3Xfa12
---------------------------------------------------------------
Indexed Entryes: 1; Number of
resources: 1.
Настает кульминационный момент! Итак,
теперь с помощью аккаунта, добытого у "чайника", хакер может лазить по
просторам всемирной паутины Интернет. А вот и сам аккаунт:
Имя пользователя: L5tRe
Пароль: fsa3Xfa12
Если у данного провайдера можно
посмотреть статистику прямо из Интернета, то, обычно, хакеры посещают сайт
провайдера (в нашем примере www.lamerishe.ru) и смотрят, сколько осталось
денег на счету у пользователя и в какое время он обычно находится в
Интернете. Кстати, телефоны модемных пулов также можно узнать на сайте у
провайдера. :)
Существует еще несколько иных
способов, таких как использование троянов Netbus1.0, Netbus Pro 2.0,
BackOrifice и т.д. Самый простой из всех способов заключается в том, что,
зная IP-адрес с открытыми сетевыми ресурсами, можно соединиться с
компьютером, нажав на Пуск, выбрав "Поиск компьютера" и указав
IP-адрес.
«Все. Систему я понял. Теперь
объясни-ка мне, как устранить лазейку и защитить себя от непрошеных
гостей?» - скажешь ты. Хорошо. Для защиты от описанной выше дырки тебе
будет необходимо отключить привязку (службу доступа к файлам и принтерам)
от контроллера удаленного доступа (лезь в «Панель управления» ->
«Сеть»), а в Windows NT нужно запретить службу Server в Remote Access WAN
Wrapper. Но от НетБаса, БэкОрифиса и подобных троянов это тебя не спасет.
А вот чтобы не подхватить трояна, во-первых, никогда не подпускай никого к
своему компьютеры со всякими дискетками, а, во-вторых, никогда не запускай
у себя на компе никаких прог, в которых ты хоть на грамм сомневаешься.
Последним хакерским способом по рассылке троянов был массовый спаминг с
хоста microsoft.com, где в каждом письме лежал якобы патч к 4-му IE. Ну, а
что этот «патч» делал, я думаю, ты уже догадался. :)
ОГЛВЛЕНИЕ
| |