Кевин Митник - Искусство вторжения

Наконец они нашли нечто интересное, немного странное и поставившее их в тупик.

Порт 4065 был открыт. Странно было, что порт с таким большим номером используется. Луис о б ъ я с н я е т : « М ы подумали, что, может быть, они сконфигурировали telnet на этот порт. Поэтому мы послали telnet-сигнал на этот порт и стали ждать отклика». (Telnet — это протокол для удаленного управления компьютером в любом месте Интернета). Используя telnet, Луис присоединялся к удаленному порту, который воспринимал команды от его компьютера и отвечал на них так, что ответы попадали на экран компьютера Луиса.

Когда они попытались соединиться, то в ответ получили запрос имени пользователя и логина. Итак, они оказались правы в том, что порт использовался для telnet-соединений, но появившееся диалоговое окно для авторизации пользователя очень отличалось от того, что обычно появляется на оборудовании компании Cisco. «Через некоторое время мы поняли, что это был маршрутизатор компании 3Com. Это несколько смутило нас, поскольку не так часто попадается устройство, которое выглядит, как совсем другое устройство, да еще при этом предлагает услугу в порте с очень большим номером». То, что telnet работает через порт 4065 при помощи устройства компании 3Com, выглядело какой-то бессмыслицей.

«Мы видели, что на устройстве открыты два порта, но они идентифицировали себя, как совершенно разные устройства, изготовленные различными производителями оборудования».

Брок отыскал этот TCP-порт с большим номером и присоединился к нему при помощи telnet. «После того, как он получил запрос на имя пользователя, он ввел „admin“ и начал пробовать такие простейшие пароли, как „password“, „admin“, „blank“. Ему повезло буквально через несколько попыток: имя пользователя и пароль на устройстве 3Com были одинаковыми — „admin“. „В это мгновение он заорал, что все-таки проник“, — вспоминает Луис, что означало, что они получили через telnet доступ к устройству 3Com. Особенно приятным было то, что это оказалась директория администратора.

«То, что мы отгадали пароль, был наш первый крупный успех в этой работе. Далее все шло по обычной схеме. Мы работали на разных машинах. Вначале мы проводили сканирование сети независимо и обменивались результатами. Но после того, как мы обнаружили возможность доступа через конкретный порт, я перешел на его машину и мы начали работать вместе на одном и том же компьютере.

Это было прекрасно. Мы вошли в устройство 3Com и получили полный доступ к нему, а может — и широкую улицу к другим достижениям. Прежде всего мы хотели понять, что это за устройство и почему доступ к нему реализован через порт с таким большим номером на маршрутизаторе Cisco».

При помощи командной строки они смогли запросить информацию об устройстве. « М ы подумали, что, может быть, кто-то включил кабель управляющей консоли от устройства 3Com в устройство Cisco, и именно этим вызван неадекватный доступ». Это походило на правду, поскольку таким способом сотрудники могли подключиться через telnet к устройству 3Com через маршрутизатор. «Может быть, у них был дефицит мониторов или клавиатур в их компьютерном центре, — гадал Луис, — и они использовали нестандартный кабель в качестве временной меры». А потом администратор просто забыл об этом, как говорит Луис, «совершенно не думая о последствиях своих действий».

ИЗУЧЕНИЕ КОНФИГУРАЦИИ УСТРОЙСТВА 3Com

Наши герои поняли, что устройство 3Com расположено за межсетевым экраном и что ошибка администратора предоставила им неожиданный кружной путь, позволяющий атакующим соединиться с портом с большим номером в обход межсетевого экрана.

Теперь, имея доступ к панели управления 3Com, они стали искать записи о конфигурации, включая и то, какие устройства с какими IP-адресами соединены, и какие протоколы используются для реализации локальной сети. Они обнаружили, что устройство находится в том же диапазоне адресов, что и почтовый сервер, и вне внутреннего межсетевого э к р а н а , в DMZ. « М ы сделали вывод, что устройство находится под защитой межсетевого экрана и защищено от подключений из Интернета неизвестным нам набором фильтров».

Они попытались определить конфигурацию самого устройства, чтобы понять, как устанавливаются входящие соединения, но через имеющийся интерфейс они не смогли получить нужной информации. Они продолжали размышлять, почему, когда пользователь соединялся с портом 4065 в маршрутизаторе Cisco из любого места Интернета, соединение происходило с устройством 3Com, которое было включено в маршрутизатор Cisco.

«В этот момент мы были почти уверены, что получим доступ ко входам в с е т ь и проберемся в ее сердцевину. Мы находились в прекрасном настроении, но, как говорится, были порядком утомлены, поскольку интенсивно работали в течение двух дней.

Мы отправились в пивную, чтобы обсудить, как сделать следующие дни не менее удачными, поскольку мы собирались начать просматривать конкретные системы и проникать вглубь сети».

Продолжая думать все о том же устройстве 3Com, они установили режим записи активности управляющей консоли. Если что-то случится ночью, то они увидят все сделанное следующим утром…

ТРЕТИЙ ДЕНЬ

Когда Брок просматривал эти записи на следующий день, то обнаружил, что там появлялись различные IP-адреса. Луис поясняет: «после более пристального изучения устройства 3Com мы поняли, что это была разновидность VPN, которую удаленные пользователи использовали для соединения с сетью компании из любого м е с т а Интернета. В этот момент мы были уверены, что попадем в сеть тем же путем, как это делают авторизованные пользователи».

Они попытались установить свой личный VPN-интерфейс на устройстве 3Com, напечатав другой интерфейс в диалоговом окне 3Com с другим IP-адресом, одним из тех, что межсетевой экран наверняка бы не отфильтровал.

Это не сработало. Они обнаружили, что устройство не может быть сконфигурировано без нарушения существующей системы услуг. Они не могли создать новую VPN-систему, поскольку архитектура устройства была такова, что их возможные действия в нем были весьма ограничены.

«Наши надежды на быстрый доступ внутрь сети быстро таяли. Мы расстроились и притихли. Но это была лишь одна из наших первых попыток, и просто обязан был существовать еще один путь. У нас был сильный стимул, ведь доступ к одному из устройств — это хороший плацдарм для атаки. Просто надо было работать интенсивнее».

Они находились в DMZ сети компании, но когда попытались соединиться оттуда со своим компьютером, им это не удалось. Они хотели выяснить, какие системы присутствуют в сети (так называемый ping), но сделать это из устройства 3Com за межсетевым экраном, чтобы расширить свой список возможных мишеней для атаки. Если бы там были какие-нибудь адреса устройств в оперативной памяти, это означало бы, что какое-то устройство блокирует доступ к протоколам самого высокого уровня. «После нескольких попыток», — говорит Луис, «мы обнаружили входы в оперативную ARP-памятъ, указывающую на то, что некоторые компьютеры сообщают свои адреса». (ARP — Adress Resolution Protocol — это метод для обнаружения адресов узлов. Каждый узел держит в буфере набор адресов, которые через него прошли, чтобы ускорить передачу пакетов данных).