Оглядитесь ВОКРУГ

Что можно обнаружить, взломав систему или сеть? Да что угодно!

Там могут быть файлы для чтения, программы, которые можно запустить, пути соединения одного компьютера с другими, или одной сети с другими сетями.

Поищите резервные файлы или файлы с автоматическим сохранением через определенный промежуток времени. Некоторые текстовые редакторы оставляют подобные файлы, которые может прочесть каждый, кто на них наткнется, и, если системный администратор недавно редактировал с помощью такого редактора файл, содержащий ценную информацию, например, файл с паролями, значит, вам повезло. Электронная почта тоже не всегда уничтожается автоматически, а скапливается в файлах на диске (возможно, спрятанных). Уничтоженные недавно файлы порой могут не уничтожаться немедленно, а становиться спрятанными, или переноситься в специальную директорию.

Вы можете обнаружить журналы регистрации. При загрузке неопытные пользователи часто набирают пароли в окне приглашения к вводу имени, и в журналах встречаются сообщения о подобных ошибках. Например, если Джордж Вашингтон пытается войти в свой бюджет в UNIX, используя свой пароль «cherrytree», но набирает его слишком поспешно, происходит следующее:

WashingtonUs1ername: cherrytree2Password:

Джордж соображает, что поторопился. Он напечатал свое имя еще до того, как появилось входное приглашение, и его пароль, отнюдь не в виде звездочек, появился в строке пользовательского имени. Он несколько раз нажимает3, чтобы очистить экран, но ошибка-то уже сделана. Где-то в административных директориях появился регистрационный файл следующего содержания:

Unsuccessful login of user cherrytree @ Tue, Mar 24,1992, 14:16:03

Теперь вам остается только перебрать различных пользователей системы, пока вы не найдете того, кому принадлежит этот пароль.

Журналы системных операторов иногда содержат также записи отосланных и полученных файлов, ошибки, явившиеся результатом ввода несанкционированных команд, новых бюджетов или очередных пользователей, получивших статус привилегированного пользователя.

Если говорить о безопасности, первое, что вы должны сделать, загрузившись в чей-либо бюджет, — сразу же постараться узнать, кому он принадлежит (если вы еще не знаете этого). При загрузке вам, скорее всего, будет выдано сообщение о том, когда произошло последнее обращение к бюджету, и, возможно, данные о том, откуда пользователь устанавливал связь.

Если легальный пользователь, бюджет которого вы взломали, только что загружался сам, у вас могут возникнуть проблемы. Заметьте, в какое время дня пользователь входил в бюджет, и сами постарайтесь входить в это же время. Постарайтесь войти в бюджет одновременно с двух разных компьютеров — не появится ли на втором компьютере сообщение об ошибке. Можете ли вы распознать присутствие в бюджете вашего «конкурента»? Вам необходимо узнать обо воем этом, поскольку вам необходимо иметь возможность использовать бюджет, не вызывая подозрений со стороны его владельца.

Например, произошло так, что вы загрузились в бюджет, а в тоже время легальный пользователь, пытаясь сделать то же самое, получает сообщение:

«Пользователь такой-то уже установил связь через вход 11 б». Вы не сможете узнать, что это произошло, но вы можете подготовиться к такому случаю. Пошлите настоящему пользователю сообщение якобы от системного менеджера, и оставьте не прочтенным. Когда настоящий владелец бюджета войдет в систему, его будет ждать нечто вроде:

Message #01

From 1513 SuperUser

То Al-l.USERS@calli.poo.mil

В подразделе группы С системы локальной сети произошла техническая неполадка, что привело к проблемам с работой нескольких из наших схем соединительных портов. Если во время загрузки вы получите сообщение о том, что вы уже вошли в систему, просим вас повторить свой вызов через несколько минут.

Мы приносим свои извинения по поводу возникших проблем и постараемся устранить неисправность как можно скорее, но наладка займет некоторое время. Нам пришлось выбирать между временными неудобствами и полным выключением системы. Мы надеемся, вы согласитесь, что лучше иметь систему с временными недостатками, чем не иметь системы вообще.

Мы ожидаем, что проблема будет решена к 3 марта. Спасибо за сотрудничество.

Пользователи часто хранят в своей директории личные ретроспективные журналы регистрации. Это могут быть ретроспективные отчеты о вводе команд, чтении новостей из определенных групп, передаче или уничтожении файлов. Из них вы сможете узнать, когда и как пользователь работает в системе, а также уровень его пользовательской компетентности.

Если взломанный вами бюджет используется нечасто, можете особенно не опасаться его настоящего владельца — разве что системный менеджер заподозрит неладное, заметив внезапно повысившуюся активность загрузки в бюджет, который никогда не отличался «посещаемостью».

Но, с другой стороны, если обладатель бюджета работает в нем, как говорится, днем и ночью, вам следует опасаться его больше, чем системного оператора, который вряд ли распознает ваши сеансы входа среди множества других.

какие команды следует искать и использовать

Большинство ОС снабжены обширной помощью онлайн. В UNIX, чтобы посмотреть страницу помощи для определенной команды, следует набрать «man» (имя команды). Набрав «apropos» (слово), вы сможете просмотреть список команд, связанных с тем словом, которое вы зададите. Так, «apropos password» перечислит вам все команды, программы и переменные, которые имеют хоть какое-то отношение к паролям. А с помощью «man» (имя команды) вы сможете узнать, что означает каждая из этих команд.

В машинах TOPS можно набрать «help» или «help commandname» для получения информации онлайн.

Команды процесса сообщают о том, что происходит в системе и кто в ней работает. В UNIX команда «ps

f» позволяет узнать, как работают на компьютере другие пользователи. Используя эти команды, вы поймете, какие из опций вам доступны. Вы также сможете выяснить, какие пользователи обладают доступом к другим компьютерам, если они соединялись с этими компьютерами с того же компьютера, за которым сидите вы. Если вам очень повезет, вы можете обнаружить в списке процессов шифровальный ключ, который может находиться там непродолжительное время перед тем, как шифровальная программа уберег его оттуда. Если некто набрал что-то вроде «crypt key [filename», то вся команда, в том числе и ключ, появится в листинге. К сожалению, шифровальная программа стирает ключ из листинга, когда ключ задействуегся, но на непродолжительный период ключ становится общедоступен, и его может увидеть кто угодно. Такие случаи вам поможет обнаружить программа-«даемон» (см. глоссарий).

Соединяться с другими компьютерами позволяет программа «Telnet». Я уже упоминал, что взломанный вами бюджет, скорее всего, является бюджетом низкого уровня доступа. У хакеров есть причина заниматься сначала бюджетами обычных пользователей: им необходимо безопасное место, откуда можно совершать НАСТОЯЩИЕ взломы. Находясь в бюджете с низким уровнем, вы сможете делать все то, что никогда не стали бы делать, находясь в своем собственном бюджете, например, соединиться с помошыо «Telnet» с компьютерами Пентагона и начать атаку методом перебора. В UNIX имеется также команда «cu» (Call Up), которая дает возможность пользователю вызвать определенный телефонный номер.

Вызов одного компьютера с другого позволяет хакеру избежать выслеживания. Это также хорошее практическое решение проблемы связи с определенным компьютером, так как некоторые компьютеры можно вызвать только из других сетей.