Раздел: Документация

0 ... 125 126 127 128 129 130 131 ... 169

130. 92. 6. 97. 611 > server. login: R 1382726971:1382726971(0) win 4096 14:18:53. 056758 130. 92. 6. 97. 612 > server. login: R 1382726972:1382726972(0) win 4096 14:18:53. 116850 130. 92. 6. 97. 613 > server. login: R 1382726973:1382726973(0) win 4096 14:18:53. 177515

130. 92. 6. 97. 614 > server. login: R

1382726974:1382726974(0) win 4096 14:18:53. 238496 130. 92. 6. 97. 615 > server. login: R 1382726975:1382726975(0) win 4096 14:18:53. 297163 130. 92. 6. 97. 616 > server. login: R 1382726976:1382726976(0) win 4096 14:18:53. 365988 130. 92. 6. 97. 617 > server. login: R 1382726977:1382726977(0) win 4096 14:18:53. 437287

130. 92. 6. 97. 618 > server. login: R

1382726978:1382726978(0) win 4096 14:18:53. 496789

130. 92. 6. 97. 619 > server. login: R

1382726979:1382726979(0) win 4096 14:18:53. 556753

130. 92. 6. 97. 620 > server. login: R

1382726980:1382726980(0) win 4096 14:18:53. 616954 130. 92. 6. 97. 621 > server. login: R 1382726981:1382726981(0) win 4096 14:18:53. 676828

. 130. 92. 6. 97. 622 > server. login: R

1382726982:1382726982(0) win 4096 14:18:53. 736734

130. 92. 6. 97. 623 > server. login: R

1382726983:1382726983(0) win 4096 14:18:53. 796732

130. 92. 6. 97. 624 > server. login: R

1382726984:1382726984(0) win 4096 14:18:53. 867543

130. 92. 6. 97. 625 > server. login: R

1382726985:1382726985(0) win 4096 14:18:53. 917466 130. 92. 6. • 97. 626 > server. login: R

1382726986:1382726986(0) win 4096 14:18:53. 976769 130. 92. 6. 97. 627 > server. login: R

1382726987:1382726987(0) win 4096 14:18:54. 039039

130. 92. 6. 97. 628 > server. login: R 1382726988:1382726988(0) win 4096 14:18:54. 097093 130. 92. 6. 97. 629 > server. login: R

1382726989:1382726989(0) win 4096 server, login

начал поддержку соединений. После того, как был получен root-доступ к системе посредством атаки IP-адреса, в системе был откомпилирован и установлен загрузочный модуль ядра, называемый «tap-2. 01». Модуль был установлен на x-terminal:

x-terminal% modstat Id Type Loadaddr Size B-major C-major Sysnum Mod Name 1 Pdrv ff050000 1000 59.

386

---

tap/tap-2. 01 alpha x-terminal% is -1 /dev/tap wxrwx 1 root 37, 59 Dec 25 14:40 /dev/tap

Этот модуль оказался загрузочным модулем ядра STREAM, который был вставлен в существующий стэк STREAM и использовался для перехвата контроля над tty устройством. Он был использован для перехвата сессии соединения с target приблизительно в 14:51. Конечно, никакая атака не может быть завершенной без персонального участия:

ftp://ftp. sdsc. edu/pub/security/sounds/tweedle-dee. au ftp://ftp. sdsc. edu/pub/security/sounds/tweedle-dum. аи

Здесь находятся аудио-файлы в формате Sun, 8-bit u-law, 8 khz sample rate. Цутому Шимомура tsutomu@ucsd. edu +1 619 534 5050 Университет Калифорнии в Сан-Диего/Суперкомпьютерный центр Сан-Диего, США».

Второй раунд

Всполошившийся лаборант позвонил Шлмомуре, и тот помчался домой, чтобы провести ревизию имущества. Пока он разбирался что к чему, обидчик нанес ему новое оскорбление. Уже 27 декабря он прислал Шимомуре звуковое сообщение, где компьютерно-искаженный голос проговорил: «Будь ты проклят (Damn you). Моя техника — самая лучшая... Разве ты не знаешь, кто я... Я и мои друзья... Мы убьем тебя». И как будто бы второй голос на заднем плане поддакнул: «Точно, босс, твое кунг-фу осень клёво» (разящий в самое сердце намек на национальность и акцент Шнмомуры).

Разъяренный японец, как достойный потомок самураев, поклялся отомстить обидчику, который нанес ему столь гнусное личное оскорбление, и поставил под вопрос его репутацию как специалиста. Для этого он задался цельюполнуюинцидента

и понять, как можно изловить «мародера», используя оставленные им электронные следы.

Не вдаваясь в детали, техника нападения Мптппка на компьютер Шимомуры была такова. Вначале хакер проник в «дружественный» компьютер в Университете Лойолы в Чикаго. «Дружественный» -это слово здесь означает, что данный компьютер имел санкцию на доступ к файлам в компьютере Шимомуры в Калифорнии. Весь фокус состоял в том, чтобыисходный адрес системы, от-

куда поступали пакетыкомпьютер, чтос

успехом и проделал.

13-

387

---

Атака эта была проведена с необычайным искусством - ведь Митиику приходилось работать вслепую. Известно, что когда система получает пакет, она посылает на компьютер-отправитель сообщение, подтверждающее получение. Не будучи в состоянии видеть эти сообщения (ведь они поступали на компьютер, где он якобы находился), Миг ник смог, тем не менее, разгадать номера последовательностей и тем самым приписать соответствующие номера дальнейшим посылаемым пакетам. (Теоретическая возможность этого была предсказана Стивом Бел-ловпном из Bell Labs еще в 1989 году, однако атака Митника оказалась первым известным случаем применения этой техники на практике).

Скачав файлы Шимомуры (в частности, программы обеспечения компьютерной безопасности), Митник перекинул их на бездействующий эккаунт в «The Well» — калифорнийскому Интернет-провайдеру. И... затаился!

Разобравшись в том, что произошло, Шимомура принялся действовать, как настоящий воин - с открытым забралом. Он не стал утаивать случившегося инцидента, а напротив, публично рассказал об использованной кракером технике на конференции в городе Сонома, Калифорния, а также предал гласности технические детали нападения. Он всегда был сторонником открытого обсуждения изъянов в системах, хотя многие считали, что это лишь поощряет хакеров. Таким образом, первым оружием против одиночки-бунтаря стала Гласность. Сразу же после доклада Шимомуры среагировала специальная «группа быстрого реагирования» (Computer Emergency Response Team), финансируемая Министерством обороны США: по сети пошли сообщения, предупреждая системных администраторов, что подобная неприятность может случиться и с ними, и призывая их к бдительности. Шимомура же переключился на то, чтобы установить, кто именно взломал его систему.

27 января 1995 года системный оператор «The Well» обратил внимание на необычно большое количество данных на эккаунте, который обычно был почти пуст. Он связался с одним из владельцев экка-унта - Брюсом Кобаллом, программистом из «Computers, Freedom and Privacy Group».испытал шок, увидев у себя на компьюте-

ре файлы Шимомуры, и вскоре позвонил ему. (Позже техники из «The Well» обнаружили еще десяток эккаунтов, используемых хакером, -большей частью «спящих», где он хранил украденную им информацию). Затем, когда на эккаунте Кобалла обнаружили файлы с паролями и кодами многих компаний, включая более 20 тыс. номеров кредитных карточек, украденных из «NetCom Inc.» (еще один провайдер он-

388

0 ... 125 126 127 128 129 130 131 ... 169