Hack FAQ

SideX (hack-faq@real.xakep.ru)

Xakep, номер #056, стр. 056-046-1

Задавая вопросы, конкретизируй их. Давай больше данных о системе, описывай абсолютно все, что ты знаешь о ней. Это мне поможет ответить на твои вопросы и указать твои ошибки. И не стоит задавать вопросов вроде "Как сломать www-сервер?" или вообще просить у меня "халявного" Internet'а. Я все равно не дам, я жадный :).

Q: У меня дерзкий план - хочу взломать сетку на работе. Только я ничего не понимаю, какие у кого IP, и что у них за имена компов!

A: Наиболее вероятно, что остальные работники твоей конторы сидят в той же подсети, что и ты. Так что узнаем свой IP из закладки "Подключение по локальной сети" -> "Общие" -> "Протокол Интернета (TCP/IP)” -> "Свойства". Ты увидишь свой IP, а остальные компы будут висеть на соседних адресах. Если гадкий админ закрыл доступ к конфигуратору TCP/IP, то выполни "ipconfig" в командной строке "Выполнить" -> "cmd". Ipconfig покажет тебе твой IP. Для получения "имени компьютера" (NetBios имя) набивай "nbtstat -a 127.0.0.1", где вместо 127.0.0.1 указываешь искомый IP. Если необходимо узнать много имен, то потребуется подмога. Специально для пацанов закодили прогу Essential Nettools. Ей можно ворошить целые подсети в поисках шаров. Снимается она с www.tamos.com.

Q: Что такое эти LKM? Можно ли чего с их помощью хакнуть?

A: LKM - Loadable Keel Modules (загружаемые модули ядра), которые можно найти в Linux, BSD-семействе и Solaris'e. Возьмем для примера Linux, где модули прячутся в /lib/modules. Модули, разбросанные в файлах и директориях, ответственны за работу отдельных частей системы: SCSI, USB, PCMCIA, CDROM и т.д. За развернутой инфой по конкретным модулям дуй на mirrors.keel.org/LDP/.

Как работает модуль. Есть процесс в системе, его необходимо подменить своим, содержащим Конька-горбунка из Трои. Чаще всего модуль дописывается таким образом, чтобы он сохранял свою функциональность, но и работал как rootkit. Примитивный софт после подмены модуля просто открывает rootshell на одном из портов, куда подсоединяется хакер. Для борьбы с LKM-подставами и rootkits вообще, можно заюзать прогу kstat.

Q: Сел за комп в универе, забрался на веб-почту, и вдруг мне выскочил чужой ящик при логине. Почитал почту, было занятно, но никогда больше так не получалось :(. Как вернуть счастье?

A: Во-первых, следует понять, как ты попал в чужой ящик. Очевидно, почтовик оставил привязку чужого аккаунта к твоему IP и/или cookies'ам на твоей машине на некоторое время. Именно в это время ты и попал за комп, оказавшись в чужой почте. Пользователь не поставил галочку в "Чужой компьютер", и сервис не прервал сеанса после закрытия браузера. Обычно сеанс длится не более 1-3 часов, т.е. при дальнейшем бездействии пользователя система попросит залогиниться вторично. Также, что вполне понятно, система не потерла cookies после ухода ушастого, а IP, как это водится в типичной локалке, остался без изменения.

Во-вторых, можно понять, как злоумышленник проникает в чужую почту. Если ты можешь попасть за тот же комп, что и нужный юзер системы - половина проблемы решена, твой IP будет тот же. Если IP'шники индивидуальны, то, возможно, придется присвоить себе нужный адрес (чаще получается при игре с MAC-подменами). Сейчас в отдельных небезопасных почтовиках можно поправить cookies вручную, дабы подменить родные - юзерские. Часто работают фокусы с обработкой перехваченных дампов трафика, содержащих полученные cookies. Отдельные службы также сверяют подлинность юзера, изучая System language, Browser's interface language, User language, StyleSheets-поддержку и прочие данные, которыми делится браузер при посещении сайтов. Подобные данные в отдельных случаях зашиваются в получаемые cookies. Суперуниверсального решения этого вопроса просто не существует. Каждая система до определенной степени уникальна, так что требуется локальное расследование. Поработать с системой, поглядеть, что же приходит от нее к тебе, и что уходит от тебя. Ну и напоследок почитай материалы вроде bugtraq.ru/library/www/mailru.html.