Текст книги "Дыра"

Автор книги: Индра Незатейкина

сообщить о нарушении

Текущая страница: 1 (всего у книги 1 страниц)

Индра Незатейкина
Дыра

Все не только не так просто,

но и просто не так.

Л. Леонов.

– Конечно, – сказал я. – Арбат – это четыре?

– Арбат – это Г.

– Ничего общего, – сказал я. – Извините, Нина.

Кир Булычев. «Можно попросить Нину?»

Nc – l… ну, пусть будет 1111. Эксплойт к бою. Какой у нас там айпишник?.. Так. Ну, ну?! Томительные секунды напряженного ожидания… Сработало? Что – правда, сработало?! Быть не может! Хотя – после непропатченной винды и девственно чистого 5-ого IISа – почему не может быть? Разве я не этого ждал?.. Именно этого, причем почти что всю свою сознательную жизнь. Эксплойт сработал – вот он мне, реверс-шелл на 1111-ом порту их веб-сервера! Я радостно вскинул руки и издал восторженный вопль – хорошо, что в серверной я сижу один, и никому не придется объяснять, чему я так радуюсь.

Программисты знают это чувство сумасшедшего счастья – первые пять минут после того, как программа неожиданно «прошла», и работает, как задумано! Системным администраторам тоже знакомо ощущение душевного подъема, когда после долгих часов, а то и суток мучений, чтения документации, поиска описания ошибок по сайтам производителей, выискивания в форумах iXBT упоминания подобных ситуаций, удается-таки настроить систему и заставить ее работать, как нужно. У хакеров – то же самое, только связанное с получением долгожданного рута на заветной системе.

Ура, свершилось! Я наскоро пошарился по дискам сервера. На первый взгляд ничего интересного, на первом разделе система – «двухтонник» без видимых следов сервис-паков или хотя бы каких-нибудь критичных хотфиксов и криво настроенный файрволл – «Outpost» какой-то древней версии, на втором, очевидно, резервные копии первого раздела, маленькая подборка диструбутивов программ первой необходимости. Корневая папка веб-сервера тоже перенаправлена на второй раздел. От обхода каталогов, что ли, так защищаются, чудики? Я презрительно усмехнулся, вспомнил, где у меня лежит заранее подготовленная на всякий случай страничка для дефейса. Можно было бы, конечно, скромно обойтись традиционным plain-text’ом в стиле «Defaced by…», но хотелось же выпендриться и вставить красивую, в «фотошопе» нарисованную, картинку. Я залил страничку в корень IIS’а, набрал в браузере их адрес и с удовлетворением увидел результат своей работы. Вот здорово! Хоть делай скриншот и отправляй на void.ru. Но это было бы уж совсем нагло, поэтому скриншот я на всякий случай сделал, а отправлять его, конечно, никуда не стал. Сайт, надо думать, довольно популярный в узких кругах, дефейс скоро обнаружат, и какая-нибудь добрая душа кинет ссылочку на void.ru и без меня.

На сайт этой фирмы я случайно наткнулся. Просто вспомнил, что были у меня года два назад такие враги, набрал наобум какое-то сочетание букв, похожее на написание на английском названия их фирмы, и попал по адресу. Есть в нашем городе такая контора «Роскомп», у них шесть или около того магазинов, раскиданных по окрестностям. Торгуют «железом», собирают, настраивают, «скорая компьютерная помощь» и все такое. В общем, все, как обычно, только город у нас некрупный, и они тут монополисты, что всегда плохо, потому что цены на свои железки они завышают, а покупать больше явно негде. А у меня с ними были личные счеты – два с половиной года назад, когда я еще учился на четвертом курсе, и активно искал работу, хотя бы на лето, и меня никуда, понятное дело, из-за отсутствие опыта, образования, неудобного графика и прочего и прочего, не брали, я пытался устроиться к ним сборщиком компьютеров. Они задали мне пяток специфических вопросов, на половину из которых я не ответил, и, естественно, на работу не взяли. Конечно, тогда у меня никакой квалификации не было, но компьютер я собрал бы без проблем. А чипсеты для PIV я и сейчас не перечислю. Только теперь мне это и не надо – я работаю админом в довольно престижной компании, парк машин большой и разношерстный, с железками тоже иметь дело приходится часто. И теперь я ничуть не жалею, что тогда к ним не попал. Но это теперь, через 2,5 года. А тогда я очень расстроился, и до сих пор какой-то неприятный осадок сохранился, иначе с чего бы я решил просканировать их сервер “Xspider’ом”? И, обнаружив, целый букет уязвимостей, не написал об этом их админу, а дефейснул им сайт?

Конечно, это неправильно. Я ясно понимаю, что это вандализм. Но у меня еще маловато опыта, никакой я не хакер, а просто скрипт-кидди, который регулярно читает баг-треки и уведомления о новых дырах, ищет на securitylab и security.nnov.ru свежие эксплойты, желательно скомпиленные, и проверяет их на всем, что под руку подвернется, а больше ничего делать и не умеет. Но должно же и мне когда-то повезти!

Меня так и распирало от радости из-за неожиданной удачи, и страшно хотелось кому-нибудь похвастаться. Не долго думая, я кинул письмо Андрею, моему товарищу, естественно, тоже админу. Только от таких, как я, Андрея отличают честно заработанная кличка Гуру, стаж работы около 10-и лет и умение безошибочно предвидеть поведение систем, в духе Королева: «сломается здесь». К Андрею я всегда хожу за помощью, когда уже ничего больше не помогает – хорошо, когда есть такой товарищ. Правда, вытрясти из него что-либо довольно затруднительно, но при определенной настырности все же можно. Андрей имел к «Роскомпу» непосредственное отношение – лет пять назад, когда эта контора только создавалась, он работал у них, проектировал локалку и ставил сервера.

Ответ от Гуру не заставил себя долго ждать: «Поздравляю, respect.» Из этого можно было с уверенностью заключить, что на мой дефейс он даже не взглянул, кто такие «Роскомп», давно и прочно забыл, и в данный момент ему интереснее читать какой-нибудь очередной флуд о настройке ip-телефонии на форуме iXBT. Это меня несколько расстроило. Однако через несколько минут я получил еще одно письмо от Андрея: «Слушай, чем ерундой заниматься, скажи лучше, ты вчерашний доклад Стивена Хоукинга еще не читал? Очень рекомендую». Я перебрал в памяти титанов современности – Деннис Ритчи, Бьерн Страуструп, Линус Торвальдс, Ричард Столлмен… Никакого Хоукинга среди них не было, хотя имя было какое-то смутно знакомое. Я помялся и спросил, о чем был доклад. «О черных дырах, естественно! В двух словах не расскажешь, читать надо. Если коротко – Кип Торн со своим знаменитым афоризмом отдыхает, а информация все же сохраняется», – ответил мне Гуру. Черные дыры, естественно. М-да. Интересы у Андрея разносторонние до дикости. Вот теперь я случайно узнал, что в область его интересов входят еще и черные дыры.

Пока я соображал, стоит ли мне искать в «гугле» эту самую статью и насколько радикально она должна повлиять на мое мировоззрение, Андрей кинул еще письмо: «Кстати, сейчас смотрел – на «Роскомпе» нет твоего дефейса, сервак уже поднялся, оперативно ребята работают. Может, и пропатчить уже успели?; А в чем дыра-то была?». Я удивился. Быть не может! Ткнул в браузере кнопочку «Обновить». Дефейс был на месте. Посмотрел с другой машины – то же самое. Я написал Андрею, что он адрес как-то не так набирает, что все на месте, дыра у них двухлетней давности и дал соответствующую ссылку на securitylab.ru. Через минуту я получил оскорбительный ответ: «Как не то набираю? Ты мне сам _ссылку_ кинул! Ты кэш в браузере очисти – поможет;)» Мы еще минут десять повыясняли отношения – уже по аське – и пришли к заключению, что я из своей сети вижу одно, а Андрей из своей – совсем другое. Это было довольно странно, мы долго пинговали несчастный «Роскомп», искали его в DNS’е и посимвольно сличали результаты. Все было правильно и поэтому непонятно.

– Кинь-ка мне в почту отчет «спайдера», – попросил Андрей. – Сейчас со своим сопоставлю…

Гуру долго молчал, видимо, поглощенный увлекательной игрой «найди 10 отличий между картинками». Потом выдал заключение:

– Ну, дела! Ftp, www – это понятно, но эхо-то они зачем открыли? И datetime? И chargen? И нетбиос в инет торчит – да уж, решето… Сервис-пака даже первого не установлено. «Или я дурак, или лыжи не едут». Это определенно две разных системы, – он прислал мне свой результат сканирования. Общего между системами и вправду было мало. Та, которую видел я, была насквозь дырявой и почти не настроенной после установки по умолчанию, другая, распечатку которой сделал Андрей, была пропатчена до состояния видимого отсутствия тривиальных уязвимостей и довольно грамотно сконфигурирована.

– Спасибо хоть, что и то и то «двухтонник», – сказал я. – Не понимаю, как можно спокойно спать, когда винда в интернет выставлена. Но это, конечно, их дела…

– Стоп, я все понял! – воскликнул вдруг Гуру. – Все ясно, как божий день, как я сразу не допер! Просто у них стоит файрволл, который запросы на веб-сервер из нашей сети редиректит на одну машину, а из вашей – на совсем другую!

– А так можно? – усомнился я.

– Pf умеет, – сказал Андрей, и для тупых типа меня, пояснил: – Стандартный файрволл в OpenBSD.

Гуру сдвинут на OpenBSD, она у него везде, кажется, даже на его рабочей станции.

– Но вот уж за что вашей подсетке такая честь, что вам непатченная винда на растерзание оставлена, это уж я не знаю, – продолжал Андрей.

Мне вдруг стало сильно не по себе.

– Ты хочешь сказать – это «honeypot»? – выдавил я.

– Чести много! Кому ты нужен! – фыркнул Андрей. – Недохакер несчастный!

– А что тогда?

– А я откуда знаю? Ты их админу напиши.

– Поздно – я же им уже сайт дефейснул…

– Ну, тогда жди, когда они к тебе сами придут, вместе с отрядом ОМОНа, и все популярно разъяснят, – Андрей продолжал потешаться. Он радовался, что все стало просто и понятно.

Я промолчал, сжал зубы и снова уставился в результаты сканирования.

– Он, кстати, и время неправильное отдает, – сказал я. – 16 декабря 2000-ого года. Сейчас же не 2000-ый год, или я что-то путаю?

– С утра был 2004-ый, – согласился Андрей. – Ну и что удивительного? Ненастроенная системка, все брошено по умолчанию, и зачем-то в инет высунута. Ладно, ты жди ОМОН, а я пошел делами заниматься – мне еще squid патчить и компилить от таких, как ты…

«Юморист», – мрачно подумал я. – «Очень смешно…»

Едва я, погруженный в мрачные раздумья, успел взяться за какую-то накопившуюся рутину типа анализа логов, как в аське снова появился Андрей.

– Слушай, забыл попросить, – сказал он. – Так, интересно просто. Кинь страничку своего дефейса посмотреть, а?

– Смотри, не жалко, – я послал ему картинку. – Оцени мой талант компьютерного дизайнера, раз уж хакер из меня никудышный…

Андрей получил картинку и надолго замолчал. Мне даже показалось, что его куда-то срочно вызвали, поэтому я не стал дожидаться его комментариев и снова занялся логами.

– Слушай-ка, – неожиданно возник Гуру. – Ты откуда эту картинку взял?

– Блин, из бесплатной фотогалереи скачал! Говорю же – сам нарисовал, что не так?

– Честно – сам?

– Тебе psd-файл прислать, со слоями? – ехидно поинтересовался я.

– Ладно, верю, – неохотно согласился Гуру. – «Defaced by Ne@r». Ne@r – это, значит, ты?

– Значит, я! – я начал злиться. – Ты мой почтовый ящик не знаешь – [email protected]?

– Там собаки нет…

– Еще бы там собака была! Ты как себе это представляешь? – меня раздражало, что Андрей что-то знает и не хочет объяснить по-человечески.

– Слушай… У тебя винда там… сервер терминалов есть где-нибудь в сетке или radmin какой-нибудь?

– Все у меня есть, – сердито ответил я. – Radmin на всех критичных машинах, терминалку, если нужна, могу поднять – проблема-то.

– Пусти меня radmin’ом на одну машинку, а? – попросил Андрей. – Хочу от вас на этот сайт посмотреть.

– Иди, не жалко, – я открыл доступ андреевой подсети на одну из своих рабочих станций с radmin’ом. – Только не долго.

Минут через десять, сунувшись в консоль MDaemon'а – моего почтового сервера, я обнаружил, что конвертик в трее синий, почта не ходит, и вообще наблюдаются какие-то проблемы с каналом в интернет. Пинганув ya.ru, я убедился, что связь с внешним миром отсутствует. Tracert затыкался на нашем маршрутизаторе. Тут же позвонил пользователь из отдела продаж и объявил, что «интернет не работает».

– Черт! – сказал я и полез в стойку – смотреть на «циску». Маршрутизатор, похоже, действительно, висел – светодиоды на интерфейсах светились, но не мигали. Попытка зайти с консоли результата не дала. Пришлось жать кнопку «ресет» и еще минут десять отвечать на звонки рассерженных пользователей.

Потом, когда я, наконец, добрался до своей машины и нажал в браузере кнопку «обновить», я убедился, что мой дефейс исчез, и сайт «Роскомпа» выглядит, как обычно.

– Та-ак, – пробормотал я и попытался вызвать Андрея.

Как ни странно, Андрей ответил.

– Сам вижу, – сказал он.

– Я маршрутизатор перезагрузил, – пояснил я. – Может это быть связано?

– Еще как может, – загадочно подтвердил Гуру.

– Да хватит туману напускать! – не выдержал я. – Объясни – ты что-то понял?

– Не поверишь, – безнадежно ответил Гуру. – Я и сам не верю.

– Да что такое-то?

– Я этот твой дефейс уже видел. Четыре года назад, когда в «Роскомпе» работал.

– Что?..

– 16 декабря 2000 года, как сейчас помню. Впервые мой сервер дефейснули, и, главное, я так и не понял, где была дыра… И по логам было не выяснить. Все баг-треки перерыл – не было на тот момент ничего такого известно, и экплойтов не было… Я тогда этого Ne@r’а нашел бы – придушил собственными руками…

Я молчал с минуту, осмысливая его слова. Вспомнился институтский курс сетевых технологий – всякие там страшные байки про петли маршрутизации и расщепленные горизонты. Я знал, что не может этого быть, но Гуру не стал бы меня так глупо разыгрывать. Не его это методы.

– Андрей, ты про черные дыры начитался, – неуверенно сказал я. – Это там время в разных местах течет по-разному… Ну не бывает же так!

Я уже знал, что сопротивляться глупо. Гуру не ошибается.

– Я же говорил, что не поверишь, – ответил Андрей. – Что – черные дыры, модель можно любую придумать, те же широко известные петли в маршрутах подойдут… Ну что, поздравляю, пиши на «секьюритилаб» – новую дыру нашел. Во времени…

– Знаешь, что хуже всего? – я еще не осознавал до конца ужас ситуации, но чувствовал, что все явно сложнее, чем я могу упихать в свою примитивную картину мира. – Там, 4 года назад, еще нет никаких сервис-паков, и эксплойт этот еще не написан, и сами уязвимости пока не найдены. И те ребята перед нами абсолютно беззащитны…

© Copyright: Индра Незатейкина, 2010