Настоящие хакеры не знают границ и проникают в закрытые сети различных могущественных организаций. Как они это делают? Продемонстрируем технику взлома на примере серверов милитаристского Пентагона, который вовсе не такой защищенный, как кажется. Здесь не шутят Информационная война – это действительно война, а не игра в салочки. Если хакера поймают, бритоголовые дяди будут долго и нудно надругаться над ним во все дырки в далекой американской тюрьме. Не секрет, что наша страна предпочитает не ссориться с Америкой и выдает информационных преступников по первому требованию. А даже если не выдает, сажает сама, так что, как ни крути, все равно геморрой. Первая задача хакера - обеспечение собственной безопасности. В статье "Безопасный взлом через GPRS", опубликованной в одном из последних номеров "Хакера", описываются основные идеи, позволяющие взять верное направление. Тем не менее, угроза раскрытия все равно есть, поэтому до приобретения боевого опыта лучше практиковаться на виртуальных сетях, которые можно протянуть в любом эмуляторе, например в VM Ware. Также недопустимо оставлять на взломанном сервере инициалы, любую компрометирующую информацию и т.п. И уж тем более недопустимо делиться подобными фактами с друзьями или оставлять записи в рабочем журнале или дневнике. Даже у стен есть уши. Впрочем, все это лирика. Перейдем к делу. Почему стратегические сети уязвимы? Протянуть защищенную сеть очень легко. Обычная витая пара или коксиал, отрезанный от интернета, - и хакеры сосут лапу. Но это в теории. На практике такая схема непрактична и нежизнеспособна. Пентагон не сосредоточен в одном-единственном здании, а представляет собой разветвленную организацию, сотрудники которой работают в различных странах и не могут мотаться за каждым документом к черту на рога. То же самое относится к коммерческим фирмам и корпорациям. Например, к концерну BMW или FORD. Развертывание собственной проводной сети было бы идеальным решением с точки зрения безопасности, однако это не по силам даже такому могущественному государству, как США, поэтому приходится использовать уже существующие каналы связи, к которым относятся, в первую очередь, X.25-сети, спутниковая связь и, конечно же, интернет. X.25-сети - весьма популярные и надежные каналы передачи данных, владельцами которых, как правило, выступают крупные телефонные компании (например AT&T), опутавшие своими проводами весь мир. В основном они используются для связи между отдельными сегментами закрытой сети, расположенными в различных городах и странах. В Сети можно найти множество FAQ'ов по устройству и взлому X.25-сетей. Практически все нашумевшие взломы так или иначе связаны с X.25-сетями. Именно так был хакнут CityBank и множество других компаний. При наличии прямого выхода в Сеть достаточно иметь обыкновенную терминальную программу, однако в этом случае хакера смогут легко вычислить, поэтому приходится искать шлюзы из интернета в X.25. Чаще всего таким "шлюзом" становится слабо защищенная жертва, подключенная к X.25. Впрочем, при желании можно воспользоваться и более традиционными методами взлома. Никакая организация не обходится без представительства в интернете. Для полноценной работы требуется, как минимум, web-сайт, электронная почта, реже ftp-сервер и прочие второстепенные сервисы (по вкусу). Опять-таки, с точки зрения безопасности, компьютеры, "смотрящие" в интернет, должны быть физически отключены от "закрытой" сети, а весь обмен данными должен осуществляться только через съемные носители типа CD-R, причем перенос информации с интернет-компьютеров во внутреннею сеть допустим только после тщательной проверки на наличие вредоносных программ, которые, как известно, могут внедряться не только в исполняемые файлы, но и в документы. Однако соображения удобства берут верх над разумом и даже военные организации обычно ограниваются тем, что огораживают закрытую сеть брандмауэрами и парольными системами защиты. Физический доступ к ней из интернета все-таки остается, а интернет, как известно, представляет собой совокупность узлов, объединенных маршрутизаторами. Маршрутизатор - это обыкновенный или специализированный компьютер, который может быть взломан, как и все остальное. Во-первых, многие маршрутизаторы поддерживают возможность удаленного управления через telnet и имеют вполне предсказуемые пароли словарного типа. Во-вторых, в них время от времени обнаруживаются ошибки переполнения буфера, приводящие к возможности захвата управления. Взяв маршрутизатор под свой контроль, хакер может легко перехватывать трафик и даже модифицировать его! В частности, недавно в CISCO IOS уже обнаружилось две критические уязвимости (см. статью "Завоевание интернета" в этом номере), а сколько их там есть еще, никто не знает. Доступ ко многим секретным сетям открывается в результате контролирования трафика, причем это удается даже тем, кто не имеет представительств в интернете, но использует интернет-каналы для своих нужд. В частности, трансатлантический оптоволоконный кабель обслуживает уйму закрытых учреждений и потому представляет собой весьма лакомый кусок. У некоторых сотрудников (особенно внештатных) могут быть установлены модемы, принимающие входящие звонки, или уязвимое клиентское обеспечение. Не стоит забывать и о беспроводном оборудовании. Bluetooth, инфракрасные порты, Wi-Fi – все это может использоваться для проникновения. Основные способы атаки Начнем с самого простого - с сотовых телефонов и ноутбуков. Подобраться к зданию атакуемой организации на расстояние прямой видимости (с небоскребов оно будет видно за несколько километров, а то и дальше). При этом быть вооруженным снайперской антенной (см. статью "Охота за голубым зубом", опубликованную в одном из последних номеров "Хакера"). В итоге поучаем вот такие возможности: а) обнаружить уязвимые устройства; б) посмотреть содержимое записной книжки сотового телефона; в) осуществить звонок с сотового телефона жертвы или передать SMS от ее имени на любой номер; г) посмотреть содержимое файлов ноутбука и заслать на него собственный shell-код. Разумеется, не всегда удается осуществить задуманное в полном объеме. Однако количество успешных взломов этого типа стремительно растет, а окружающие нас устройства становятся все дырявее и опаснее. Достоверно известно, что американские генералы активно используют ноутбуки от Compaq с Windows XP, в которой беспроводной стек реализован с грубыми ошибками, допускающими засылку shell-кода, - со всеми вытекающими отсюда последствиями. Так же достоверно известно, что ряд американских крейсеров управляются Windows NT, дыры которой хорошо известны. Таким образом, взлом военных объектов - это не миф, а суровая реальность. По опыту общения с отечественными военными могу сказать, что им категорически запрещено хранить какую бы то ни было мало-мальски значимую информацию на ноутбуке, но… они ее хранят, потому что так удобно. Что же говорить про американцев и всяких прочих банкиров. Они вообще с карманными компьютерами не расстаются. Знакомые автора не раз и не два вытаскивали через дырявый Голубой Зуб секретные файлы, просто направляя антенну в окна офисов или проезжающих мимо автомашин. Основной недостаток такой атаки - необходимость прямого физического контакта с жертвой. Скажем, атаковать Пентагон из Урюписка уже не получится. А лететь в Америку чревато далеко идущими последствиями. В случае провала операции оттуда можно и не вернуться. Или вернуться уже седым стариком с широко разработанной задницей, что, очевидно, не входит в наши хакерские планы. Спутниковая связь - другое дело. Вопреки расхожему мнению, спутник вещает не таким уж и узконаправленным пучком, покрывающим огромные территории. Кое-что можно ловить даже на ширпотребовскую тарелку, однако для серьезной работы потребуется специальное оборудование на несколько тысяч долларов или… куча свободного времени, чтобы сконструировать его самостоятельно. Перехватом чужих передач сегодня увлечены многие. Конечно, в большинстве своем данные зашифрованы, так как наверху сидят не дураки, однако военный комплекс чрезвычайно инертен по своей природе и во многих местах использует морально устаревшие алгоритмы шифрования, которые вскрываются на современных процессорах за срок от нескольких дней до года, а ряд оперативных данных передается "открытым тестом" без (!) какой-либо шифровки. Не так давно мы с товарищем (его имя называть не буду: все равно ты его не знаешь) откопали очень интересный канал, передающий… прогноз погоды. Между прочим, очень точный и хороший прогноз, намного более полный, чем можно найти в интернете. В коммерческих же корпорациях процент незашифрованной информации очень велик, и он ловится на обычную спутниковую тарелку - нужно только перевести ее в "неразборчивый" режим. В основном попадаются рекламные ролики и другая медиаинформация, но иногда в хакерском клюве удается унести документы, касающиеся структуры внутренней сети или установленного на ней оборудования. Все это существенно облегчает дальнейший взлом… Еще стоит упомянуть коротковолновый диапазон, используемый как любителями, так и профессионалами. Простой КВ-трасивер стоимостью в пару сотен долларов (особенно если это подержанный отечественный девайс военного образца) позволит перехватывать многие секретные передачи. Обычно "говорят" морзянкой, но также используют и человеческий голос, а в последнее время много информации передают в "компьютерном" варианте. Конечно, радиоперехват не имеет никакого отношения к локальным сетям, но от этого его популярность не уменьшается. В эфире можно услышать много такого, что не найдешь ни на одном из серверов Пентагона. Эфир - это настоящий Клондайк, тем более что он неподвластен традиционным средствам контроля и в нем можно найти множество друзей, в том числе хакеров. Например, проинструктировать своих союзников, как взломать уже упомянутые ноутбуки американских генералов Впрочем, все это слишком экзотичные способы атаки, большинство читателей вряд ли воспримет их всерьез, мало кто будет пользоваться ими на практике за неимением весьма дорогостоящего оборудования. Проникновение через интернет Глотнув холодного пива (колы/кваса) и поплевав на лапки для храбрости, подсмыкнем трусы и наберем в браузере заветную строку wwwpentagon.gov. Конечно, это только публичный сайт, но, во-первых, он связан с закрытой сетью, а во-вторых, даже сам по себе он представляет собой весьма нехилую мишень для атаки. Можно ли взломать его? Мы сейчас попробуем и тогда все узнаем! Для быстрого анализа обстановки лучше всего воспользоваться одним из многочисленных сканеров безопасности. Я предпочитаю отечественный XSpider - постоянно обновляемый, мощный, удобный в работе и… бесплатный. Ну, практически бесплатный. Демонстрационная версия находит все известные ей уязвимости, но сообщает минимум информации о дыре. К тому же имеются следующие ограничения: отсутствуют потенциально опасные проверки на DoS-уязвимости, проверки содержимого web-серверов на предмет SQL-инъекций, инъекций кода, получения файлов, не содержат детали, отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы, отсутствуют проверки, связанные с использованием различных словарей, и т.д. и т.п. Тем не менее, для большинства задач этого вполне достаточно. Главное - определить направление, в котором следует рыть, выявляя все явно уязвимые сервисы, а остальное можно сделать и самостоятельно. Свежая версия лежит на сайте wwwptsecurity.ru. В zip-архиве она займет чуть больше 4 Мб (wwwptsecurity.ru/download/xs7demo.zip). Полноценную версию можно либо заказать на сайте, либо найти в любом парнокопытном. К слову говоря, в военных организациях работают далеко не самые лучше специалисты, поскольку по условиям труда это, скорее, похоже на тюремное заключение, а не на убежище души. Именно поэтому вероятность успешного взлома весьма высока. Короче говоря, запускаем сканер, в меню "Правка" выбираем "Добавить хост" (или просто наживаем Ins), вводим имя атакуемого сервера (в данном случае wwwpentagon.gov) или его IP-адрес (в данном случае 84.53.143.29). Ждем, что нам скажет XSider. Придется ждать довольно долго. Даже на шустрых DSL-каналах полный цикл сканирования занимает более трех часов, в течение которых нам придется пить кофе и откровенно скучать, тупо созерцая строку статуса, комментирующую происходящее… Первым делом XSpider определяет открытые порты. Их целых шесть: 22/TCP (SSH), 80/TPC (HTTP), 443/TCP (SSL), 500/TCP (SSH), 9000/TCP (HTTP) и 9001/TCP (HTTP SSL). Ради эксперимента можно подключиться к серверу по 9001-му порту, набрав в строке браузера wwwpentagon.gov:9001. И это сработает! Правда, мы попадем на ту же самую страницу сайта, что и вначале, поэтому от такого взлома немного пользы. Но лиха беда начало! XSpider определил тип SSL-сервера, в качестве которого используется SSH-1.99-Server-VI, основанный на OpenSSH Server, - его исходные тексты свободно лежат в Сети. Если повезет, то, основательно изучив их, найдешь одну или несколько ошибок переполнения буфера, впрочем, быстрый успех маловероятен. Можно угробить кучу времени - и все впустую. Лучше подождать, пока их не найдут другие, а затем быстро атаковать сервер, пока его не успели залатать. Но мы же не хотим провести всю оставшуюся жизнь в ожидании? ОК, тогда идем дальше! SSL-сервер поддерживает устаревшие версии протоколов 1.33 и 1.5, которые недостаточно безопасны и могут быть взломаны за разумное время. Однако для этого нам, во-первых, необходимо тем или иным образом перехватить трафик, а во-вторых, дождаться, пока на сервер не постучится клиент, использующий протокол устаревших версий. Довольно малоперспективное занятие… Ладно, оставим SSL в стороне и возьмемся за web, который, как всегда, выглядит довольно многообещающим скопищем багов. Сайт Пентагона вращается под: Sun-ONE-Web-Server/6.1, а SunOS, по сути, является клоном UNIX'а. В ней намного меньше дыр, чем в LINUX'е, но намного больше, чем, например, в BSD. К слову сказать, использование рабочих станций от компании Sun - вполне типичное явление для любой крупной организации, и вполне реально получить доступ к ним (достаточно напоить пивом любого банковского администратора). Сканирование web-сервера занимает львиную долю общего времени взлома, зато обнаруживает уйму любопытных подробностей. XSpider обнаруживает шесть ошибок SQL-инъекций. Что такое SQL-инъекция? Это весьма коварная дыра, позволяющая формировать свои собственные запросы к базе и просматривать секретные данные. К сожалению, в демонстрационной версии отсутствует подробная техническая информация, и нам остается лишь гадать, как должен выглядеть хакерский запрос. Для удобства XSpider дает ссылку на коммерческую версию, а ниже - несколько ссылок со статьями по теме SQL-инжектига. Очень удобно! Щелкаешь и читаешь! Кстати говоря, если поднять прошлогодний "Хакер", то в одном из номеров можно найти статью "База данных под прицелом", где все расписано. Еще пентагоновский сервер подвержен межсайтовому скриптингу или, как его называют профессионалы, XSS (Cross site scripting). Проще говоря, это возможность вставить HTML-код в уязвимую страницу. Вряд ли получится добраться до секретных данных с его помощью, зато можно перехватывать пользовательские сессии или навязывать всем посетителям сайта подложные данные, то есть производить дефейс. Учитывая, что сайт Пентагона - это информационно-политическое лицо Америки, к которому обращаются новостные агентства всего мира, целостность его содержимого очень важна. Хорошо продуманная деза может иметь далеко идущие последствия. Как всегда, XSpider приводит ссылки на статьи по теме кросс-скриптинга, которые будут полезны для анализа, но для определения формы уязвимого запроса потребуется приобрести коммерческую версию. Но мы же не террористы и не вандалы, правда? Вот и не будем пакостить! Тем более откуда у нищих студентов деньги? Остальные дыры не так интересны. Из них можно упомянуть разве что успешно определенную версию и тип SSH-сервера, в качестве которого используется AkamaiGHost. Дополнительную информацию и исходные тексты можно найти в интернете, только вряд ли поиск переполняющихся буферов быстренько увенчается успехом. Судя по всему, сеть Пентагона не защищена брандмауэром. Пинг и трассировка проходят легко. Следующий листинг приводится в качестве подтверждения. Трассировка маршрута к серверу Пентагона Трассировка маршрута к 84.53.143.29 с максимальным числом прыжков 30 1 1650 ms 22 ms 22 ms 83.239.33.45 2 27 ms 31 ms 79 ms 192.168.15.220 3 34 ms 57 ms 27 ms 83.239.0.17 4 28 ms 27 ms 27 ms 195.161.158.25 5 149 ms 104 ms 144 ms lnd-bgw0-ge0-3-0-0.rt-comm.ru [217.106.6.45] 6 111 ms 202 ms 111 ms 195.66.224.202 7 108 ms 107 ms 108 ms 84.53.143.254 8 159 ms 128 ms 155 ms 84.53.143.29 Трассировка завершена. По современным меркам корпоративная сеть без брандмауэра (или с демократически настроенным брандмауэром) - это вопиющий факт и исключение из правил. Впрочем, брандмауэр еще не помеха. Достаточно открыть "Хакер" со статьей "Преодоление firewall'ов снаружи и изнутри" и сломать защитную стену в пух и прах. То же самое относится к сканировании IP-адресов. Пентагон от этого никак не защищен. Можно просканировать подсеть целиком. Впрочем, она довольно однообразна, и ничего интересного в ней нет. В частности, узлы 84.53.143.27 и 84.53.143.28 держат открытыми следующие порты: 22/TCP (SSH), 80/TCP (HTTP), 123/UDP (NTP), 500/TCP (SSH) и 1935/TCP (TINCAN). Правда, при попытке подключиться к 80-му порту нас ждет глубокий облом. Вот и ломись после этого туда, куда не просят. Как говорится, незваный гость хуже татарина. Просто посмотрели… Кончено. Было бы наивно ждать от этой статьи полной демонстрации взлома военных серверов или закрытых сетей. Во-первых, к моменту публикации информация неизбежно устарела бы (админы же не только пьют кофе). Во-вторых, кто захочет подписывать приговор самому себе, расписавшись в совершении преступления? Фактически, мы ничего не сделали - только запустили готовую программу, явно не относящуюся к числу вредоносных. Никакого злого умысла у нас тоже не было. Просто хотелось посмотреть… Хищение пароля Как похитить пароль из закрытой сети? Это самое простое! Достаточно иметь e-mail человека, окопавшегося по ту сторону баррикады. Очень многие из нас имеют дурную привычку назначать одинаковые пароли на все ресурсы, хотя "в приличных домах" по соображениям секретности это ни в коем случае не рекомендуется! Но… запоминать множество различных паролей тоже нереально. Один мой товарищ стянул из закрытой сети интересный архив с жизненно важной информацией. Естественно, запароленный, причем запароленный не абы чем, а RAR'ом последней версии. Парольные переборщики отдыхают. Словарный поиск тоже не дал ничего интересного. После мытарств и терзаний решили обратиться за помощью к самой жертве. Грозить ей паяльником не стали, но пару интересных ресурсов подсунули. Весь фокус в том, что эти ресурсы требовали аутентификации, то есть, проще говоря, ввода пароля. Очень часто жертва вводит свой любимый универсальный пароль. В крайнем случае, становятся известны привычки жертвы: выбирает ли она в качестве паролей словарные слова, и если выбирает, то по какому принципу. В данном случае паролями оказались женские имена с четырьмя цифрами на конце, представляющими, судя по всему, знакомых девушек с датами их рождения. Был составлен специальный переборщик, и меньше чем за день секретный архив удалось открыть. Атака на администратора Один из популярных способов проникновения в хорошо защищенную сеть выглядит приблизительно так: звоним администратору и сообщаем, что из абсолютно достоверных источников нам стало известно о готовящейся атаке, после чего раскрываем несколько туманных "деталей" в обтекаемых словах, вешаем трубку. Существует вполне твердая вероятность того, что администратор, пытаясь повысить безопасность своей системы, только добавит дыр (чем сильнее волнуется администратор, тем выше эта вероятность). Для того чтобы отвлечь внимание, можно прибегнуть к имитации атаки, выполняя различные бессмысленные, но целенаправленные действия. Известен случай, когда в ответ на мусор, направленный в 80-й порт, администратор одного интернет-магазина просто отключил web-сервисы, чтобы "спокойно" проанализировать ситуацию, поскольку считал так: лучше на время остаться без web'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой web-серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Ошибка переполнения в WIDCOMM Создатели Голубого Зуба предлагают готовое программное обеспечение для его поддержки, распространяемое под торговой маркой WIDCOMM (Wireless Internet and Data/Voice Communications - беспроводной интернет и коммуникации для передачи голоса и данных), что избавляет производителей оборудования от необходимости реализовывать весь стек протоколов самостоятельно. Программисты старой школы (к ним принадлежит и Юрий Харон) хорошо знают истинную цену решений "из пробирки". Обжегшись на чужих ошибках пару раз, они не доверяют никакому коду, кроме своего собственного. И не зря! В августе 2004 года в WIDCOMM'е было обнаружено тривиальное переполнение буфера, позволяющее захватывать управление устройством простой посылкой специально подготовленного пакета. Никакой PIN для этого подбирать не нужно!. Уязвимость затрагивает BTStackServer версии 1.3.2.7, 1.4.1.03 и 1.4.2.10, используемые в Windows 98, Windows XP, Windows CE и других системах. Кроме этого, WIDCOMM используется многими компаниями: Logitech, Samsung, Sony, Texas Instruments, Compaq, Dell… Полный перечень включает в себя более трех десятков наименований. Все Bluetooth-устройства, производимые этими компаниями, находятся под угрозой и в любой момент могут быть атакованы. Для популярного наладонника HP IPAQ 5450 даже написан специальный эксплойт! В некоторых случаях проблема решается установкой всех заплаток или сменой прошивки, некоторые же устройства остаются открытыми до сих пор. Подробности можно найти здесь: wwwpentest.co.uk/documents/ptl-2004-03.html.