Сьюлетт Дрейфус - Компьютерное подполье. Истории о хакинге, безумии и одержимости Страница 84

Имея обычные привилегии, Anthrax не мог заставить программу загрузочного модуля запустить своего «трояна». Но он мог схитрить, чтобы сделать это. Секрет заключался только в одной клавише: /.

Компьютеры Unix в чем-то похожи на дипломатический протокол: небольшие вариации могут полностью изменить смысл. Хакеры тоже понимали значение мелких изменений.

Фраза /bin/program читалась в системе Unix совершенно отлично от фразы bin program.

Один простой символ – / – создавал огромную разницу. Компьютер Unix читал символ / как дорожный указатель. Первая фраза говорит компьютеру: «Следуй по дороге в дом пользователя по имени /bin/, и когда ты окажешься внутри, вызови файл под названием program и запусти его». Но пробелы говорили компьютеру нечто совершенно другое. Anthrax знал, что в этом случае компьютер должен был выполнить исходную программу. Вторая фраза говорила машине: «Найди программу под названием bin и запусти ее».

Anthrax подготовился к атаке на программу загрузочного модуля, установив свою собственную программу под названием bin во временной директории System X. Если ему удастся заставить System X запустить его программу с корневыми привилегиями, он получит высокий уровень доступа в систему. Когда все было готово, Anthrax заставил систему прочитать символ / как пробел. Затем он запустил программу загрузочного модуля и стал наблюдать. System X начала охоту за программой bin, быстро нашла ее и запустила «трояна» Anthrax’a.

Хакер наслаждался моментом, но останавливаться было рано. Несколькими быстрыми нажатиями клавиш он добавил строку к файлу пароля, создавая для себя базовую учетную запись. Он уничтожил соединение с портом 2001, двинулся кружным путем по другому маршруту, используя шлюз 0014, и зарегистрировался в System X с помощью вновь созданной учетной записи. Он испытал ни с чем не сравнимое чувство, войдя в систему через парадный вход.

Оказавшись внутри, Anthrax быстро осмотрелся. Система поразила его. В ней было только три пользователя-человека. Это было необычайно странно. Большинство систем имеют сотни пользователей. Даже маленькой системой может пользоваться 30–40 человек. А эта система была далеко не маленькой. Anthrax сделал вывод, что System X не была обычной машиной для отправки и получения электронной почты. Это была операционная машина. Она что-то делала.

Anthrax стал думать о том, как стереть свои отпечатки и обезопасить свою позицию. Хотя он едва ли обозначил свое присутствие, кто-нибудь мог обнаружить его появление, просто посмотрев на регистрационный список учетных записей в файле пароля. Anthrax дал своей контрабандной учетной записи незаметное имя, но он вполне допускал, что эти трое пользователей знали свою систему очень хорошо. Раз их было всего трое, возможно, с этой системой нужно было возиться, как с ребенком. После всех предпринятых усилий Anthrax нуждался в бдительной няньке, как в дырке в голове. Он поспешил укрыться в тени.

Он убрал себя из файлов WTMP и UTMP, где содержалась информация о том, кто был онлайн и кто до сих пор находится в системе. Anthrax не стал невидимкой, но админу пришлось бы внимательно изучить сетевые соединения системы и список процессов, чтобы обнаружить его. Следующая остановка – программа входа.

Anthrax не мог использовать слишком долго свою новую учетную запись для парадного входа – риск, что его обнаружат, был очень велик. Если он будет постоянно проникать в компьютер таким способом, админ в конце концов найдет его и уничтожит его учетную запись. Дополнительная учетная запись пользователя в системе, где их было всего трое, стала бы верным провалом. Потеря же доступа в System X, когда все стало таким интересным, вовсе не входила в планы Anthrax’a.

Anthrax откинулся на спинку стула и расправил плечи. Его хакерская комната представляла собой бывшую гардеробную, хотя ее прежний статус угадывался с трудом. Она выглядела, как чулан, – и в чулане царил страшный кавардак. Вся комнатка была по колено завалена исписанными бумагами, большинство из которых было покрыто с обеих сторон списками номеров. Время от времени Anthrax собирал бумаги и запихивал их в огромные мешки для мусора. В комнате всегда имелась пара-тройка таких мешков. Anthrax всегда имел смутное представление о том, куда он засунул те или иные записи. Когда он что-то искал, он вываливал содержимое мешка прямо на пол, рылся в этой куче и возвращался к компьютеру. Когда бумажный вал достигал критической массы, он снова запихивал все в мусорный мешок.

Компьютер Amiga 500 и старый телевизор Panasonic вместо монитора стояли на маленьком столе рядом со швейной машинкой матери. Ящики стола были битком набиты журналами вроде Compute и Australian Communication вперемешку со справочниками по компьютерам Commodor, Amiga и системам Unix. Оставшееся место занимала старая стереосистема Anthrax’a и коротковолновое радио. Если Anthrax не слушал свою любимую передачу – программу для хакеров с какого-то подпольного радио в Эквадоре, – он настраивался на Московское радио или Всемирную службу ВВС.

Anthrax думал, что делать с System X. Эта система поразила его воображение, и он намеревался постоянно посещать ее.

Пора было заняться патчем[p163] для логина. Она заменяла обычную программу регистрации в системе и обладала специальной функцией – мастер-пароль. Такой пароль был подобен дипломатическому паспорту. Он позволил бы ему сделать все что угодно и попасть куда угодно. С мастер-паролем он мог зарегистрироваться как любой пользователь. Более того, если войти в систему через мастер-пароль, то ни один регистрационный файл не отражал твоего появления и ты не оставлял следов. Но вся прелесть патча заключалась в том, что во всем остальном она работала как обычная программа. Обычные компьютерные пользователи – все трое – могли, как обычно, регистрироваться своими паролями и даже не подозревать о том, что Anthrax бывает в их системах.

Он думал о том, как установить патч. Установить такую штуковину в System X – не то же самое, что заштопать пару джинсов. Он не мог просто прилепить полоску ткани и наспех пришить ее ниткой любого цвета. Это было похоже на починку кашемирового пальто. Ткань должна была идеально подходить по цвету и фактуре. Патч требовал высококачественных невидимых швов и точного соответствия размерам.

В каждом файле компьютерной системы существуют три разные даты: дата создания, дата изменения и дата последнего доступа. Проблема заключалась в том, что патч для логина должен был иметь ту же дату создания и изменения, что и оригинальная программа логина, чтобы не вызвать подозрений. Добыть эти данные было нетрудно, гораздо сложнее было перенести их в патч. Дата последнего доступа не имела значения, поскольку она менялась всякий раз при запуске программы – при подключения пользователя в System X.

Если бы Anthrax удалил ориганальную программу логина и поставил бы на ее место патч, на нем стоял бы штамп с новой датой создания. Он знал, что нет никакого способа изменить дату создания, кроме изменения времени всей системы, – а это могло вызвать проблемы в других областях System X.

Первое, что делает хороший админ при появлении подозрений насчет взлома, – старается обнаружить все файлы, созданные или измененные за последние несколько дней. Малейшее неверное движение, и хороший админ обнаружит патч Anthrax’a через пять минут.

Anthrax записал даты создания и изменения на клочок бумаги. Они скоро ему понадобятся. Он также сделал пометку о размере файла логина.

Вместо того, чтобы разорвать старую программу и ввести на ее место совершенно новую, Anthrax решил наложить патч, скопировав его на место старой программы. Он загрузил свой патч логина вместе с находящимся в нем мастер-паролем в программу, но пока не установил ее. Он назвал свой патч troj (сокращение от «троян»). Он напечатал:

cat<troj>/bin/login

Команда cat сказала компьютеру: «Сходи за данными файла troj и помести их в файл /bin/login». Он сверился с записанными на бумаге оригинальными данными создания и изменения файла и сравнил их с датами патча. Дата создания и размер совпадали с оригиналом. Дата изменения все еще отличалась, но Anthrax прошел только две трети пути.

Anthrax начал пришивать последний уголок патча при помощи малоизвестной функции команды /usr/5bin/date. Затем он изменил дату изменения на оригинальную дату файла логина.

Он сделал несколько шагов назад, чтобы полюбоваться на свою работу с расстояния. Новенький патч идеально соответствовал оригиналу. Нужный размер. Та же дата создания. Та же дата изменения. Установив патч, он стер привилегированную учетную запись пользователя, которую создал при проходе через порт 2001. Когда уходишь, убирай за собой мусор.

Теперь пора позабавиться. Оглядеться. Anthrax занялся e-mail, чтобы лучше понять, куда это он попал. Там было множество отчетов от подчиненных троих пользователей о покупке оборудования, докладов об успехах в каком-то проекте, о модернизациях. Что это за проект?