08.03.2004

«What if» или «Преступление без наказания», часть вторая

В сети сейчас лучше работать с коммутируемого соединения. Моя выделенка стоит за NAT, а требовать у провайдера реальный адрес – лишний раз светиться. Лучше конечно через GPRS, но старая трубка такого счастья не поддерживает. Переться в инет кафе со своим нотером опасно. Хотя в Точке машины грузятся с boottp. Можно положить готовый образ на сервак и... Отставить. Ничего себе секретность - ломать инет-кафе из которого идешь на взлом... По dialup надежней. Недавно один админ жаловался, что у них в конторе ставят второй СОРМ и теперь не работает даже протоколирование телефонов клиентов. Через них и пойдем.

Рассказ в двух частях с эпилогом.
(с) Lame@Pochta.Ru 2004 
Описанные в данном произведении события целиком и полностью выдуманы автором. Все совпадения с реальными личностями и событиями являются случайными, кроме тех случаев, когда они злонамеренны. Все торговые марки являются собственностью их хозяев, за исключением тех, которые автор придумал. Перепечатка в электронных изданиях возможна только при наличии ссылки на securitylab. Перепечатка в бумажных изданиях – с письменного разрешения автора. Охрану авторских прав осуществляет частное юридическое агентство «Мухи fuckru.net».

В сети сейчас лучше работать с коммутируемого соединения. Моя выделенка стоит за NAT, а требовать у провайдера реальный адрес – лишний раз светиться. Лучше конечно через GPRS, но старая трубка такого счастья не поддерживает. Переться в инет кафе со своим нотером опасно. Хотя в Точке машины грузятся с boottp. Можно положить готовый образ на сервак и... Отставить. Ничего себе секретность - ломать инет-кафе из которого идешь на взлом... По dialup надежней. Недавно один админ жаловался, что у них в конторе ставят второй СОРМ и теперь не работает даже протоколирование телефонов клиентов. Через них и пойдем.

В закутке магазина, где продавался пластик, было не людно. Собственно там находилось только одно существо - молодое дарование лет пятнадцати, пожирающее глазами журнал «][akep». Третий номер за этот год. Если Скрипт не врет, в нем есть интервью с одним из моих альтер-эго.

Подойдя к стойке, выжидаю вежливую паузу, после чего предварительно кашлянув, обращаюсь к молодому дарованию:

- Здравствуйте. Вы не подскажете, у вас есть в продаже карточки МегаКомм?

- Вам Нэт или телефон? - с трудом оторвавшись от журнала, осведомляется м.д.

- Интернет. Пять единиц.

- Полтораста.

- Спасибо, а как ей пользоваться?

Я не стебусь, я действительно ни разу в жизни не ходил в сеть через платный диалап.

Молодое дарование, протягавшее в этот момент мне карту замерло и окатило меня презрительным взглядом, в котором сочеталось: "пАнаехАли тут в нашу мАскву!", "ну ты дядя даешь!" и " ламерье!". Хамство, однако.

Взяв из его рук карточку, я перевернул её и на обратной стороне увидел довольно подробную инструкцию.

Молодое дарование очнулось и видимо, было настроено поглумится, поскольку первыми его словами было: "Смотря под какой ОСей вы сидите.". Ну что ж...

- А что, есть разница?

- Конечно. Вы, наверное, под виндами, там заходите в "Пуск" и там в "Сетевых соединениях" создаете новое.

- У меня Linux...

- Там почти так же, в меню заходите...

- В какое меню?

- Ну, в Иксах, там внизу слева.

- Что я лох, под Иксами сидеть? Мне консолей хватает. Разве тут netconf не поможет?

- Каких консолей?

- Простых. По альтам. Не возражаешь?

Срабатывает.

Беру из рук молодого дарования журнал. Он открыт на статье Скрипта. Быстро пробегаюсь по ней глазами:

- Ну Скрипт, ну журнец! Все переврал! Не говорил я такого! Что бы я ему еще раз интервью давал!

Молодое дарование молчит широко раскрыв глаза глазами. Возвращаю ему журнал.

- Ты бы лучше securitylab почитал. Там тоже пурги много, но в целом ресурс гораздо серьезней, чем Ксакеп.

М. Д. начинает часто кивать головой постоянно увеличивая амплитуду.

- Всегда есть кто-то, кто умнее тебя, - говорю я, - Всегда... Спасибо за пластик. Удачи.

Разворачиваюсь и выхожу из магазина.

В догонку летит: "удачи, Lame". Тоже мне гуру, ребенка обидел. Хотя нет. Скорее подкинул пареньку радости.

"Всегда есть кто-то...". А ведь это и к тебе относиться, чувак. И к тебе тоже. Да... Посмотрим.

Надеваю наушники, закуриваю. Куда ты идешь? Зачем тебе это? Devin Towsend грустит о дне рождения. И не говори, грустный праздник. Через месяц закончится мой четвертак. Половина жизни. Меньше? Больше?

Ко мне подбегает, абсолютна пьяная женщина в дорогой шубе. Останавливаюсь, снимаю наушники.

- Парень, пойми, мне вообще пi3дец!

- Что ж, бывает...

Like a child you're born again, little child you're bored again...

- Мне - темного. Если нет - Стеллочку или Хайнекен.

Мы втроем сидели в пивнушке в конце рабочего дня. Рабочего и для меня тоже. Последние три дня я писал как заведенный. Как не делал этого уже давно.

Червяк получался забавный. Он вламывался через почтового клиента, подготавливал машину к приему руткита и искал по жесткому диску почтовые адреса. Затем начинал бурно рассылать самого себя. Если машина имела реальный адрес Internet, она выпускала очередь из полусотни сообщений и замолкала. В случае если адрес машины начинался с 10, 192 или 172 она спамила без остановки, пока не заканчивались адреса. Сначала проверялась возможность отсылки по mx-записям, если это не работало, искался ближайший smtp сервер и включался механизм расползания по общим папкам.

На случай тотального файрволинга и mapi, если рассылка не работала, я припас сюрприз в виде маленькой подпрограммы. Подпрограмма просила пользовательский Internet Explorer «патчить» апачевские web сервера клиентом распределенной dos атаки на корневые сервера dns через дырку месячной давности.

Вроде досталось всем - Виндузятникам с их single sign on, Слэшдоттерам с их пеной у рта и IETF... Так, за компанию.

Осталось придумать, как подцепить к вирусу троян и решить проблему поиска зараженных машин...

Из раздумий меня вывел ощутимый шлепок по спине и зычный голос Дена:

- Леха, ты, почему сегодня тормозишь? Любимая за безделье пилит?

Оказывается все это время, я сидел, уставившись на кружку пива, струей воздуха гоняя по кругу плотную шапку гиннесовской пены. Ребята уже успели опростать по половине кружки.

Я ухмыльнулся и сделал большой глоток пива, после чего сказал:

- Моя благоверная пока на верху блаженства, что её муж сидит дома. Так что семейное счастье у меня полным ходом. В отличии от некоторых. Константин, когда на твоей свадьбе погуляем?

Константина недавно привел в нашу университетскую компанию Ден. Он учился в параллельной группе на два года младше и сейчас работал в ГБ, в "дружественном" всем сетевекам подразделении. О своей свадьбе говорил давно, но весьма расплывчато.

- Ты знаешь, на мою заплату особо не разгуляешься, а приводить жену в квартиру родителей как-то...

- Но невесту ты же водишь?

- Вожу, но на то она и невеста.

К нашему разговору подключился Ден:

- Да бросай ты свое ГБ к чертям, с твоими мозгами, да с опытом работы "там", тебя любой банк с руками оторвет. У них и так службы безопасности полностью из ГБ или военных.

Костино лицо приняло выражение, похожее гримасу на старой девы, которой сделали неприличное предложение, и он резко сказал:

- Не уйду. И ты об этом прекрасно знаешь.

Вот она проблема второго поколения. Хорошо, что мой отец увидев мой интерес к "Юному технику" продал пианино, и вместо музыкальной школы я в детстве ходил в радиоклуб. Говорят третье поколение наоборот, стремится выбиться из колеи. Допив в молчании пиво, мы попросила официанта повторить. Я немного погонял пену и спросил:

- Костя, объясни мне, что в ГБ уже перевелись служебные квартиры? Если ты собираешь пахать всю жизнь на двуглавого, то почему бы не въехать в его апартаменты?

Костя, немного повременив, ответил:

- Это вполне реальный вариант, но пока я летеха, максимум, на что я могу рассчитывать, это общежитие-малосемейка. Но если ты туда въезжаешь, то сразу становишься обеспеченным жильем.

- И торчишь там всю оставшуюся жизнь? Понятно. Я думал ты уже старлей.

Константин с какой-то тоской посмотрел на меня:

- Старлея скоро дадут, но смысла в нем мало. Специализация у меня хоть и шумная, но не перспективная.

Я усмехаюсь:

- Что, не выходит виртуальных бандюков ловить, все больше школьники попадаются?

- Они самые. Вот бы, какого крупного злодея поймать...

Странные они люди – собираются ловить тех, кто знает и умеет в несколько десятков раз больше чем они. При этом, не прилагая особых усилий. Напугали весь народ обязательными сертификациями и особо не чешутся – живут с коммерческих контор, приходящих на поклон. Ещё неизвестно, настолько ли их ГОСТ хорош, не смотря на 256 битный ключ. Скорее всего, мы этого никогда не узнаем...

Поднимаясь на бесконечном эскалаторе, замечаю предвыборный плакат:

"..Защищать суверенитет, независимость, безопасность и целостность...". Что за идиоты его писали? Как можно "защищать безопасность?". Целостность - это только один из аспектов безопасности…

Да, молодой человек, пора тебе менять род деятельности. Иначе скоро из колеи выбраться уже не сможешь. Интересно, есть разница между безопасностью информации и безопасностью государства? Вряд ли - все в мире - лишь байты, только байты, чувак.

Пока загружается машина – сварить кофе. Две кружки пива практически вышли из организма за время дороги домой, но легкий дурман остался.

После загрузки вставляю в разъем USB e-Token и ввожу pin и пароль к pkсs#12. Ребята из Aladdin’a упорно доказывают, что EFS не работает с smartcard. Не верите, не надо. Пока загружается боевая виртуалка запускаю на базовой «Бродилку». В свое время эта программа очень помогла мне подзаработать денег на Spedia. Был такой проект, когда людям платили за серфинг. Пускай в логах светится моя нормальная серферская активность.

Так что я там думал про ГОСТ? Зашифровать с его помощью активную часть Трояна? Хотя нет, лучше дроппер. Когда приходит пакет с ключом, вирус пытается расшифровать дроппер, потом передать на него управление. Если дроппер расшифровался удачно – он делает GET по 80му на тот сервер, с которого пришел запрос и запускает загруженную программу. В журналах сервера остается, с какой машины пришло соединение – решается проблема обнаружения зараженных машин. В принципе и загружаемую часть можно шифровать…

Чтобы не грузить чрезмерно машину, на наличие ключа будут проверяться только пакеты ICMP и запросы-ответы DNS с TTL меньше 60. Блокировать их все равно не станут. Так и сделаем.

Порыскав в Internet я нашел несколько реализаций ГОСТ и после нескольких тестов определил тот, результаты работы которого не отличались от зашифрованных Крипто-Про данных. Ну и чудно. Криптографические библиотеки Крипто-Про ФСБ сертифицированы, значит, ГОСТ в них самый, что ни наесть настоящий. У меня точно такой. Интересно – расшифруют или нет?

С антивирусами я решил не связываться – просто записывать в hosts сотню записей с именами серверов, где обычно выкладываются обновления. Персональные межсетевые экраны мой реверс выпустят, поскольку опять такие его делал Internet Explorer, но вот стартовый пакет… Ладно, пускай персональные файрволы остаются надежным средством защиты. Хотя, если пользователь работает как администратор, подправить правила не очень сложно. А таких - большинство. Интересно, чем народ пользуется? Судя по опросам SecurityLab - Outpost Firewall Pro и ZoneAlarm PRO. На всякий случай ещё ICF надо включить. Где там они свои правила хранят?...

После того, как вирус принял окончательные очертания, я отправил его и сканер (без модуля размножения естественно) Snoopy. Условия были просты. После тестирования, если он удовлетворен результатами, я делаю «вброс». Если его удовлетворяют масштабы эпидемии, он переводит 2/3 суммы, после чего я сообщаю ему ключ, на котором зашифрован «боевой» вариант дроппера, затем мы заканчиваем расчет. Snoppy со всем согласился. Что же, вперед.

«Вброс» я делал через GPRS, для чего купил старую трубку в переходе метро.

Хорошая привычка – ходить пешком. Мои многокилометровые прогулки мало кого удивляли, и не было ничего необычного в том, что их маршруты пролегали по безлюдным местам, где на многие километры одна базовая станция. В том месте где я был сейчас базовая выходила ещё и на довольно людный жилой район. Оставаясь в её пределах, я мирно прогуливаюсь по парку представляя собой довольно типичный персонаж – молодой человек в наушниках с пивом и девайсом в руках. Только на экране моего девайса светилась не новая книжка Лукьяненко, а клиент сервера терминалов, через который я раздавал команды о «вбросе». Тридцать пять серверов по сети, на каждом свежая спаммерская база… Время до «вброса» – двадцать часов. Конец середина рабочего дня в Европе, утро понедельника в Америке. Антивирусы обычно обновляют по утрам, реже два раза в день. Да и пока отреагируют вирусоборцы… Что людей ждет по приходу на работу в понедельник…Тяжелый день - понедельник.

Боевую виртуалку - в down. Со стандартной - в сеть. Образ - удалить. Chipher /w. Что тут у меня самое большое? Киношки. Ctrl + C. Ctrl + V + V + V. Ну, хватит, пускай копируются.

Молоточком по свистку: раз, два, три. Остатки в унитаз. Симку - туда же.

Копии киношек - в Trash. Chipher /w. Дерагментация.

Может вообще ноутбук продать?

Коньяк. Глоток. Еще. Эк, меня трясет. В душ!

От звонка телефона со мной чуть не случается истерика. Отхлебнув еще коньяка, поднимаю трубку:

- Да.

- Добрый вечер, Алексей Михайлович.

- Добрый вечер, мой неизвестный друг! С кем имею честь?

- Виктор Петрович Малышев. Я коллега Константина Тимина.

ГБ. Неужели так быстро работают? Наши? Не поверю! НЕ МОЖЕТ БЫТЬ!

- Служу отечеству! Чем могу?..

- У нас есть несколько вопросов. Я думаю, Вы могли бы помочь.

- Вы ордером или нет? Если без то, может быть, перенесем встречу? Я несколько подшофе.

- Ну, зачем Вы сразу - ордер. Мы как раз с коллегой совещались, какой коньяк с собой захватить. Если Вы не против, конечно.

- Почему бы нет? В данный момент я пью "Йори". Выдержка - на Ваш выбор.

- Хорошо. До встречи, Алексей Михайлович.

- До встречи, - сказал я уже в молчащую трубку.

ГБэшники действительно пришли проконсультироваться. Их было двое – Толстый и Тонкий. За коньяком мы обсудили последний вирус, расколоть который сейчас пытаются аналитики ведущих производителей антивирусов. Мне по секрету сообщили, что вирус однозначно был написан русскими. Я посоветовал им поискать корни среди спаммеров или кардеров и даже предложил помочь внедрится в их компанию. Не зря же я встроил в программы, которые продал Snoopy последний Папаевский подарочек. Единственным моим условием, была работа с Константином. Он меня меньше раздражает, сказал я. ГБшники согласились. Вот и ладно.

- До свиданья, Алексей Михайлович. Приятно было познакомиться. Надеемся на дальнейшее сотрудничество.

- Постойте. Давайте я вам сказочку расскажу.

Толстый развернулся в дверях, а Тонкий удивленно приподнял веки.

- Однажды в голову военным пришла мысль, что Красная Армия просто загибается без вашего покорного слуги. Просто не может дальше жить без лейтенанта запаса. Попили они из меня крови немало, но после того, как у них появился принтер и база данных призывников, военные решили, что Красная Армия обойдется без меня.

- Мы знаем об этой ситуации.

- Постойте! Почему вы думаете, я нашел им принтер и написал софтину?

- И почему же?

- Что бы отстали!

- Забавно. Но мы не военные.

- Не вижу разницы. Разве только предпочитаете коньяк водке. Не показатель... Всего хорошего.

- До свидания.

Эпилог

Через несколько лет я съездил в командировку к буржуям и кроме стандартного набора сувениров привез пластиковую карточку. Обыкновенная Visa, выданная на мое имя компанией, которой я оказывал «консультационные услуги» оттягивала мне карман пиджака. Приехав домой, я забросил её на шкаф и почти забыл.

Я сидел за нотером и довольно ухмыляясь, читал хвастливый отчет ГБ о поимке "крупной банды преступников, неоднократно совершавших мошенничество с пластиковыми картами". Растут ребята. Интересно, что за кардеры. Не те ли, что взломали Амазон?

В кабинет зашли жена с дочерью.

- Привет, что случилось?

Жена сурово взглянула на дочь: "Рассказывай!".

- Понимаешь, папа - уставившись в пол скороговоркой начала дочь, - я очень хотела купить себе книжку про Мерри Нилсен, а ты ругался и говорил что она хуже Поттера и Телепузиков. А я так хотела и вдруг нашла карточку на шифоньере. Я заказала книжку, а вчера мне пришло письмо, что покупку надо подтвердить. Я пошла по ссылке и ввела все данные, что просили.

Дочь подняла глаза, полные слез.

- Потом я решила заказать сразу все книжки Мерри, пошла в магазин, а мне ответили, что на счете больше нет денег. Я бы тебе сказала, как только книжки пришли, честно пап. Я только хотела почитать новую книжку...

Интересно, как я выглядел со стороны? Гогоча во все горло, сползая со стула, всхлипывая и подвывая. Судя по глазам жены и дочери - не очень.

или введите имя

CAPTCHA