Читаем Искусство вторжения полностью

Адриан вышел «на старт» и приступил к работе. Вначале он посетил Интернет-сайт и обнаружил, что тот находится на аутсорсинге, его поддерживают не сотрудники газеты, а некая сторонняя компания (ISP — Internet service provider). Это распространенная практика: суть ее в том, что даже проникнув на Интернет-сайт компании, хакер не получит доступа к его внутренней корпоративной сети. Для Адриана это означало лишь то, что придется поработать чуть старательнее, чтобы отыскать путь внутрь.

«У меня нет четкой стратегии», — говорит Адриан о своем подходе к взлому сайтов. «Когда я провожу разведку, то очень тщательно собираю информацию изо всех возможных источников». Другими словами, он не начинает атаку с немедленных попыток проникновения на Интернет-сайт компании, поскольку это может вызвать обратный удар, направленный на него. Вместо этого есть много полезных исследовательских инструментов, которые можно получить бесплатно в ARIN (American Registry for Internet Numbers — Американский регистр Интернет-номеров), организации, ответственной за управление нумерацией ресурсов Интернет в Северной Америке,

Набрав « N e w York Times» в окошечке « К т о » на сайте arin.net, он получил такой список информации:

NEW YORK TIMES COMPANY (NYT-4)

New York Times Digital (NYID)

New York Times Digital (AS21568) NYID 21568

NEW YORK TIMES COMPANY NEW-YORK84-79 (NET-12-160-79-0-1)

12.160.79.0 — 12.160.79.255

New York Times SBC068121080232040219 (NET-68-121 —80-232-1)

68.121.80.232 — 68.121.80.239

New York Times Digital PNAP-NYM-NYT-RM-01 (NET-64-94-185-0-1)

64.94.185.0 — 64.94.185.255

Группы из четырех номеров, разделенных точками, это IP-адреса, которые можно рассматривать как Интернет-аналог почтовых адресов с номером дома, названием улицы, города и т.п. Список, который показывает диапазон таких адресов (например, 12.160.79.0 — 12.160.79.255) называется «netblock».

Далее он провел поиск портов в диапазоне адресов, принадлежащих New York Times и сел передохнуть, пока программа сканировала адреса в поисках открытых портов, надеясь, что он отыщет несколько интересных систем, которые сможет атаковать. Ему это удалось. Проверяя целый ряд открытых портов, он обнаружил, что здесь также есть несколько систем, использующих неправильно сконфигурированные открытые прокси-серверы, позволяющие ему соединиться с компьютерами во внутренней сети компании.

Он заглянул на DNS газеты, надеясь найти IP-адрес, который не был бы передан на аутсорсинг и был бы внутренним адресом Times, но — без успеха. Затем он попытался извлечь все DNS-записи для домена nytimes.com. После завершения этой попытки он опять отправился на Интернет-сайт и в этот раз с большим успехом: он обнаружил место, которое предлагало визитерам список адресов электронной почты сотрудников Times, которые соглашались получать письма от читателей.

Буквально через минуту он получил письмо из газеты с запрошенным списком. Правда, это не был список адресов электронной почты репортеров, который он просил, но все равно это был полезный список. Заголовок на этом письме указывал, что оно пришло из внутренней сети компании, вдобавок был показан IP-адрес, который нигде в другом месте не публиковался. «Люди не понимают, что даже обычное электронное письмо может нести много полезной информации», — отмечает Адриан.

Внутренний IP-адрес дал ему возможность проникновения. Следующим шагом для Адриана стало проникновение через открытый прокси-сервер, который он уже обнаружил, и ручное сканирование IP-адресов в том же сегменте сети. Чтобы прояснить сказанное, давайте предположим, что есть адрес 68.121.90.23. Большинство атакующих начало бы сканирование с адреса 68.121.90.1 и продолжало бы, увеличивая последовательно последнее число на единицу до 68.121.90.254. Адриан же пытался поставить себя в положение ИТ-специалистов компании, создававших сеть: естественно предположить, что люди будут выбирать круглые номера, начиная с первого десятка— от .1 до .10, а затем, шагая десятками — .20, .30 и т.д.

Его попытки не увенчались успехом. Он обнаружил несколько внутренних Интернет-серверов, но ни на одном из них не было полезной информации. Случайно он заглянул на сервер, где хранился старый, больше не используемый внутренний Интернет-сайт Times, скорее всего заброшенный после ввода в работу нового сайта, а потом и забытый. Ему показалось это интересным, он внимательно просмотрел сайт и обнаружил link, то есть Интернет-адрес, который должен был идти к старому производственному сайту, а на самом деле вывел его к работающему производству.