Доклад: BBS и FTN сети

.Записываемые байты
bytes db 23h,"pU"
cseg ends
end start

После того, как файл откомпилирован, его нужно упаковывать, чтобы
системный оператор ничего не заподозрил. Этот файл будет содержать
большое количество непонятных символов, и при быстром просмотре
распознать скрытую в нем программу практически невозможно.

tasm.exe vzlom.asm
tlink.exe vzlom.obj /t
pklite vzlom.com

После этого файл отправляется на BBS и комментируется как демонст-
рационная программа или как утилита для DOS. Дальше взломщику
остается только ждать, пока системный оператор запустит файл. Через
некоторое время можно звонить и наслаждаться. Данный метод не сра-
ботает, если настоящая опция File Titles в Maximus заменена на ей по-
добную.

Получение пароля BBS без взлома

Рассмотренные выше способы взлома BBS предполагают наличие
у пользователя базовых знаний о системе. Теперь немного о том, как
можно достать пароль еще проще. Практически на каждой BBS суще-
ствуют неопытные пользователи, имеющие высокий уровень доступа
(информация об уровне доступа пользователей BBS доступна почти
всегда). Если же такого пункта нет, то "хорошего" пользователя всегда
можно вычислить, например, по времени, которое он проводит на стан-
ции, или по объему скопированной и присланной им информации.
Итак, определив человека, паролем которого неплохо завладеть, пишем
ему письмо о том, что по техническим причинам (причину придумыва-
ем любую, главное правдоподобную) ему следует изменить свой рабо-
чий пароль (предлагаем новый, например "НАСК_01"). После того, как
пользователь поменяет свой пароль (на это ему нужно отвести дня два-
три, поскольку в один день он может не позвонить, в другой - только
поменяет пароль, в общем, время ему понадобиться), можно беспрепят-
ственно входить под его именем и пользоваться системой. Главное, что-
бы письмо было написано от имени системного оператора или какого-
либо администратора данной системы. Если система не позволяет
менять имя адресата в поле FROM, стоит зайти в нее под другим име-
нем (к примеру, Mr. CoSysOp) и написать подобное письмо. Наверное,
не надо предупреждать, что все данные, указанные при регистрации под
заведомо ложным именем, не должны быть настоящими.

Можно предложить еще один способ проникновения - метод "забыва-
ния пароля". Вся хитрость в том, что при входе в систему указывается
имя какого-либо пользователя этой BBS, пароль которого, естественно,
не известен. После неудачных попыток ввода пароля (не надо пытаться
его подобрать, лучше сделать вид, что пароль забыт, вводя различные
слова, типа Sprite, Cola и так далее) нужно составить письмо системно-
му оператору с просьбой поменять "забытый" пароль на другой. Указы-
ваем новый пароль, затем сочиняем душещипательную историю о ка-
ком-нибудь хакере, якобы подобравшем наш пароль на другой BBS или
вообще в Интернет, из-за чего приходится использовать на всех систе-
мах разные пароли. Если системный оператор не очень опытный, выс-
лушав такую ужасную историю он обязательно войдет в положение не-
счастного и выполнит его просьбу - поменяет текущий пароль на
предложенный. Дальше - полная свобода действий. Работоспособность
данного метода зависит от того, насколько опытен оператор, а также
убедительна ли выдуманная история. Прочитав ее, системный оператор
не должен и предположить, что его обманывают.

Взлом FTN-сетей

Что можно сказать о широко используемой технологии FTN? Множе-
ство лазеек для взлома. Чего стоит почтовый файл РКТ, содержащий
в себе незашифрованный пароль, узнать который никаких проблем не
составляет! А файлы с паролями в уважаемом всеми T-Mail, хранящие-
ся в нешифрованном виде и доступные любому грамотному человеку,
впрочем, как и все конфигурационные файлы наиболее распространен-
ных программ для работы с FTN? На основе подобных промахов в раз-
работке уже давно написаны программы, позволяющие сломать ту или
иную BBS, вызвать режим DoorWay и сотворить с удаленным сервером
все, что угодно. Однако это еще не предел возможностей программиста.
Подумаешь, сломать BBS! Власть над одной из BBS - ничто в сравне-
нии с тем, что хакер может держать в своей руке почту от сотен почто-
вых узлов, отправлять почту от чужого имени, действовать от лица дру-
гого члена или пользователя FTN. Фантастика? Нет - реальность.

Почитатели Эдгара По наверняка знают выражение "Червь-Победи-
тель". Собственно, любой грамотно написанный "червь" станет победи-
телем, если выйдет на свободу. Особенно с применением свежих идей.
Применяя технологию СМ (саморазмножающиеся механизмы), называ-
емую в народе "компьютерные вирусы", можно добиться немалого.

Включив в свой СМ некоторую особенность, вместо привычной дест-
рукции можно получить парольный доступ ко многим почтовым узлам
со всеми вытекающими отсюда последствиями. Как известно, при ус-
тановке соединения между двумя FTN-мейлерами они сравнивают
свои адреса и пароли. То есть сначала хост получает основной адрес
звонящего мейлера и пароль на сессию. Если в конфигурации хоста
указаны адрес и пароль звонящего и они совпадают с предъявленным
паролем, хост показывает звонящему свой пароль и при совпадении
таковых происходит парольная сессия. В подавляющем большинстве
случаев электронная почта передается только в парольные сессии,
иначе любой мейлер мог бы предъявить хосту подставной адрес и заб-
рать почту, предназначенную для других. В данном случае для того,
чтобы перехватывать чужую электронную почту или действовать от
лица какого-либо системного оператора, необходимо узнать пароли на
сессию звонящей системы и хоста, ожидающего звонка. Кто-то ирони-
чески улыбнется: "Как же их можно узнать, если нет возможности
"прикинуться хостом", чтобы звонящая система показала свои пароли,
если она звонит совсем по другому номеру телефона?!". Разумеется.
Но это не нужно. Кто-то скажет: "В таком случае получить эти паро-
ли и от хоста нельзя, поскольку он не будет предъявлять свой пароль
и не включит парольную сессию, пока не увидит, что предложенный
пароль совпадает с его паролем!" Конечно. Но это тоже не нужно.
Что же предпринять? Дело в том, что и хост, и звонящая система мо-
гут преподнести свои пароли "на блюдечке". Для этого не нужно за-
хватывать в заложники семью системного оператора или предлагать
миллионы долларов хозяину системы - достаточно разместить на ком-
пьютере системного оператора незаметную программу, которая эти па-
роли найдет и отправит на какой-либо из указанных FTN-адресов.
Вот и все. Больше ничего не нужно.

Теперь несколько возможностей реализации этого плана. В странах
бывшего СССР наиболее часто используется DOS-совместимый мей-
лер Андрея Елкина T-Mail, поэтому принципы взлома рассмотрены на
примере системы, работающей именно на его основе. Некоторые
пользуются программой Антона Дейнова "SantaFox-Mail", принципы
ее взлома похожи, кроме того, взломать эту систему гораздо легче бла-
годаря встроенной функции DoorWay. Но об этом ниже. Итак, что же
программа должна сделать с системой, чтобы заветные пароли нако-
нец-то были получены? Собственно, алгоритм весьма прост, и описать
его можно примерно так:

1. Определение расположения программы T-Mail на жестком диске
системы.

2. Определение расположения конфигурационных файлов системы.

3. Извлечение списка паролей и адресов из конфигурации системы.

4. Шифрование списка паролей и адресов с эмуляцией PGP-кодирования.

5. Отправление зашифрованного списка паролей и адресов через ап-
линка по роутингу на систему взломщика.

Теперь рассмотрим возможные способы реализации. Теоретически это
не сложно.

Как правило, системные операторы держат свой T-Mail на жестком дис-
ке. Первая задача - определить, куда же оператор спрятал свое "сокро-
вище". Тут-то и намечается разделение. Можно написать "троянца",
подсадить его в какую-либо конкретную систему и ждать, когда эта
система пришлет свои пароли по почте. Но можно написать и "вирус",
расходящийся на несколько почтовых узлов, после чего все зараженные
узлы сообщат пароли на сессии со всеми своими парольными линками.
Можно искать T-Mail по всему жесткому диску с помощью рекурсивно-
го обхода всех логических дисков и вложенных каталогов. Понятно, что
этот метод не так уж деликатен, поскольку системный оператор может
заметить, что некая программа на протяжении нескольких минут поче-
му-то занимает винчестер. От такой глупости откажемся. Другое дело,
если этим будет заниматься вирус. Почему? Да потому, что большин-
ство вирусов отслеживают вызовы функции 4Bh DOS-прерывания 21h
для заражения программ. В таком случае, что мешает этому вирусу ана-
лизировать запущенные программы на предмет "а не T-Mail ли это ча-
сом?" и находить "сокровища" именно таким образом? Ничего. Анализ
правильнее будет вести не только по имени запускаемого файла, пото-
му что системный оператор мог переименовать программу, а в данном
случае необходима максимальная надежность. Поэтому лучше всего от-
лавливать T-Mail по постоянной сигнатуре ЕХЕ-файла.

Узнав, где находится программа T-Mail, можно определить, где находят-
ся ее конфигурационные файлы. Если при запуске T-Mail ключ "-С" не
задан (кстати, перехват командной строки - это еще один довод
в пользу того, что поиск программы корректнее выполнять при помощи
вируса), основным файлом конфигурации является "T-MAIL.CTL", на-
ходящийся в том же каталоге, что и T-Mail. При запуске программы
ключ "-С" задает путь и имя основного конфигурационного файла, ко-
торый понадобится для взлома. Так что необходимо предусмотреть оба
варианта запуска. После определения места расположения основного

конфигурационного файла нужно получить путь еще к двум файлам -
файлу паролей и файлу подстановок (пароли могут находиться в обоих
файлах). Важное замечание: если пароль для какого-либо адреса указан
в файле подстановок, его дублер из файла паролей игнорируется.

Путь к файлу паролей указан в переменной Security, к файлу подстано-
вок - в переменной SubstList. Переменная конфигурационного файла -
это строка, начинающаяся со специальных слов. Например, строка:

Security C:\NETWORK\T-MAIL\PASSWORDS.LST

называется переменной Security и содержит путь и имя файла паролей,
в то время как строка

SubstList C:\NETWORK\T-MAIL\SUBST.LST

называется, соответственно, переменной SubstList и содержит путь
и имя файла подстановок. Разумеется, было бы нежелательно отправ-
лять эти два файла вложением (attach), поскольку оно может поте-
ряться. Надежнее передать эти текстовые файлы по электронной почте
в виде обычного письма. Тут возникает проблема: если системный
оператор станции, через которую будет проходить это послание (ведь
всем известно о его праве читать транзитную почту), обнаружит паро-
ли, он немедленно предупредит об этом того оператора, у кого эти па-
роли были украдены. Последний договорится со всеми линками о но-
вых паролях, и все старания окажутся напрасными. То есть в целях
конспирации придется зашифровать письмо, чтобы при его просмотре
казалось, что оно содержит прикрепленный файл. Разумеется, это
не обязательно должен быть настоящий PGP, достаточно лишь внеш-
него сходства и невозможности быстро расшифровать засекреченное
послание. Это неплохая гимнастика для ума, поскольку хакер должен
уметь не только расшифровывать, но и маскироваться, не только ло-
мать, но и строить.

Теперь нужно выбрать адрес, на который придет это письмо. Желатель-
но отправить его по e-mail в Internet через FTN-Internet гейт. Дело
в том, что в таком случае пострадавшему системному оператору будет
очень сложно найти отправителя. Очевидно, в этом письме поле
"From:" и обратный адрес должны быть подставными. Это собьет сис-
темного оператора с толку, и он не станет удалять или задерживать
письмо, особенно если в него добавлены "лишние" клуджи "(c)Via:".
О том, как создать нетмейл письмо, можно прочитать в FTS.

Почему же SantaFox-Mail сломать гораздо проще? Дело в том, что
в основном конфигурационном файле SF-Mail имеется переменная, ука-
зывающая пароль на режим DoorWay. От "червя" требуется только за-
дать какой-либо заранее известный пароль на пользование DoorWay,
после чего нужно соединиться терминальной программой с этой систе-
мой и набирать это слово. Попав в DoorWay, файлы паролей и подста-
новок можно украсть "голыми руками". Конечно, если системный опе-
ратор заметит, что кто-то брал у него эти файлы, он примет
соответствующие меры. Кроме того, после изменения паролей могут
появиться сбои в работе системы - пользователи будут пытаться войти
в DoorWay со старыми паролями, но они не будут работать. Ясно, что
оператор об этом узнает очень скоро.

Как было показано в предыдущей части, "червь" может не только воро-
вать пароли, но и задавать свои. В T-Mail нет режима DoorWay, зато
есть так называемый "главный пароль системы", заданный в перемен-
ной T-Password основного конфигурационного файла. Изменив этот
пароль, можно послать на удаленную систему письмо с соответствую-
щими указаниями к действиям и добиться нужного результата.