С:/Documents and Settings/quest>netstat —a Active connections Proto Local Adress Foreign Address State TCP lockpicker:1411 64.12.26.50:5190 ESTABLISHED TCP lockpicker:2842 catlow.cyberverse.com:22 ESTABLISHED TCP lockpicker:2982 www.kevinmitnik.com:http ESTABLISHED

В столбце «Local Adress» перечислены имена местных машин («lockpicker» — так тогда назывался мой компьютер) и номер порта той машины. В столбце «Foreign Adress» показано имя хоста (узла) или IP-адрес удаленного компьютера, с которым реализовано соединение.

Например, первая линия распечатки показывает, что мой компьютер установил соединение с 64.12.26.50 через порт 5190. который обычно используется для передачи мгновенных сообщений (AOL Instant Messenger). Столбец «State» показывает состояние соединения — «Established», если соединение в данный момент активно, «Listening» — если компьютер ожидает соединения.

В следующей строке, начиная с «catlow.cyberverse.com» показано имя хоста компьютерной системы, с которой соединен я. В последней строке « www.kevinmitnik.com:http» означает, что я активно соединен со своим личным Интернет-сайтом.

Владелец компьютера не должен запускать приложения на общеизвестных портах, но он может сконфигурировать компьютер так, чтобы использовать нестандартные порты. Например. H T T P (Интернет-сервер) работает на порте 80, но владелец может изменить номер порта, чтобы Интернет-сервер работал где угодно. Изучая ТСР-соединения сотрудников. Адриан обнаружил, что сотрудники @home соединяются с Интернет-сервером через нестандартные порты.

Из этой информации Адриан смог получить IP-адреса для компьютеров компании, что было аналогично проникновению в секретную корпоративную информацию @home. Среди других «драгоценностей» он обнаружил базу данных имен, адресов электронной почты, номеров кабельных модемов, текущих IP-адресов, даже операционных систем, работающих на компьютерах, для каждого из примерно трех миллионов абонентов широкополосной связи.

Это была «экзотическая атака» по словам Адриана, поскольку она включала в себя перехват соединения от внешнего компьютера, соединяющегося с сетью.

Адриан считает это достаточно простым процессом. Вся основная тяжесть, которая заняла месяц проб и ошибок, состояла в составлении подробной карты сети: надо было выяснить все ее составные части и то, как они связаны друг с другом.

Ведущий сетевой инженер excite@home был человеком, которому Адриан поставлял информацию в прошлом, и ему можно было доверять. Отступив от своего обычного правила использовать посредника для передачи информации в компанию, куда он проник, он позвонил инженеру прямо и объяснил, что он обнаружил определенные слабости в сети компании. Инженер согласился на встречу с ним. несмотря на позднее время. Они встретились в полночь.

«Я показал ему часть из документации, которую я набрал. Он позвонил их эксперту по безопасности, и мы встретились с ним в офисе excite@home около 4.30 утра». Инженер и эксперт внимательно просмотрели материалы Адриана и задали ему несколько вопросов о том, как он проникал в сеть. Около шести утра они закончили, и Адриан сказал, что хотел бы посмотреть на их реальный прокси-сервер, один из тех, что он использовал для получения доступа.

«Мы посмотрели на э т о т сервер и они сказали мне: „А как вы бы обезопасили эту машину?“

Адриан уже знал, что сервер не используется для каких-то важных дел, это был просто «случайный сервер».

«Я вытащил мой перочинный ножик, один из самых простых, с лезвием для открывания бутылок. Я подошел к серверу, перерезал его кабель и сказал: „Теперь компьютер безопасен“.

«Они ответили: „Нам это подходит“. Инженер написал на бумаге „не соединять“ и прикрепил ее к серверу».

Адриан обнаружил доступ в сеть крупной компании при помощи одного компьютера, который уже давно перестал выполнять важные функции, но никто даже не заметил этого и не позаботился о том, чтобы удалить его из сети. «В любой компании», — говорит Адриан, — «есть множество подобных компьютеров, стоящих повсюду, соединенных с внешним миром и неиспользуемых». Каждый из них — потенциальная возможность для проникновения.

<< | >>
Источник: Кевин Митник, Вильям Саймон. Искусство вторжения. 2005

Еще по теме С:/Documents and Settings/quest>netstat —a Active connections Proto Local Adress Foreign Address State TCP lockpicker:1411 64.12.26.50:5190 ESTABLISHED TCP lockpicker:2842 catlow.cyberverse.com:22 ESTABLISHED TCP lockpicker:2982 www.kevinmitnik.com:http ESTABLISHED:

  1. Снейдер Йон. Эффективное программирование TCP/IP, 2009
  2. http://www.mtrader.com Воспользуйтесь преимуществом Рыночного Импульса, Быка или Медведя
  3. Часть II/9. Домены с www и без www - история появления, использование 301 редиректа для их склеивания
  4. Таким образом, чтобы во время кризиса не потерять свои накопления, не рекомендуется размещать в одном банке сумму, больше чем 700 тыс. рублей (или эквивалент в валюте) и перед размещением средств в банк важно проверить, входит ли он в систему страхования вкладов. Это можно сделать, обратившись на сайт Агентства по страхованию вкладов: http://www.asv.org.ru/guide/bank/.
  5. Empire State Manufacturing Survey
  6. принципы управления бизнесом через систему . Подпишитесь на этот курс прямо сейчас по этой ссылке: http://ultrasales.ru/videocourse.html
  7. ТО: BANK XYZ DEAR SIRS,HEREWITH WE INFORM YOU THAT ALL AMOUNTS OF CURRENCIES BOUGHT IN FOREIGN EXCHANGE DEALS WITH YOUR BANK SHOULD BE PAID TO OUR FOLLOWING NOSTRO ACCOUNTS:USD TO BANK OF NEW YORK, NEW YORK ACC __ DEM TO DEUTSCHE BANK, FRANKFURT/MAIN ACC__ CHF TO CREDIT SUISSE, ZURICH ACC ___
  8. ТО: 236 62832 - THE BANK OF NEW YORK, NEW YORK FROM: BANK FOREX, MOSCOWPLEASE VALUE 08/09/94 DEBIT OUR ACC ____ IN USD 5,000,000.00 AND PAY TO BANK AUSTRIA, NEW YORK FAVOR BANK AUSTRIA, LONDON DUE TO FOREIGN EXCHANGE DEAL FX19941737.В системе SWIFT или телексом в формате SWIFT
  9. Новости и Исследования
  10. Брокеры& Котировки
  11. Extranet