Читаем Kingpin полностью

Он прочитал рекомендации CERT с изумлением. BIND шел предустановленным в Linux и запускался на серверах в корпоративных, ISP, некоммерческих, образовательных и военных сетях. Он был везде. Был со столь дефективной строкой кода. Единственное, что сдерживало ожесточенные атаки то, что никто не написал эксплоит (программа эксплуатирующая уязвимость) для этой дыры. Но это был вопрос времени.

Конечно, 18 мая эксплоит появился на Rootshell.com – сайте с новостями о компьютерной безопасности, созданном энтузиастами. Макс снял трубку и позвонил Крису Бисону, своему контакту в ФБР. Ситуация серьезная, пояснил он. Любой, кто не установил патч на BIND мог быть взломан любым скрипт-кидди способным скачать эксплоит и ввести команду.

Если окунутся в историю, то окажется, что правительственные компьютеры были особенно уязвимы. Всего лишь месяцем ранее, менее серьезный баг в Sun Solaris привел к взлому компьютеров на десятках военных базах США, который заместитель министра обороны назвал «самой организованной и систематической атакой на сегодняшний день» на системы противоракетной обороны. Эти атаки подняли полномасштабную тревогу кибервойны: Пентагон дал им кодовое название «Восход Солнца» и считал главным подозреваемым Саддама Хусейна, пока следователи не вышли на молодого израильского хакера, который просто игрался.

На следующий день Макс снова позвонил Бисону, когда хакерская группа ADM выпустила готовую к использованию версию BIND-эксплоита, который сканировал интернет в поиске непропатченных серверов, вторгался в них, устанавливал себя и использовал зараженный компьютер для последующих сканов и взломов. Определенно, теперь кто-то мог завладеть всем интернетом. Вопрос только «Кто?». Он повесил трубку и задумался. Кто-то собирался это сделать…

В восторженных, мальчишеских тонах Макс поделился своими планами со своей невестой. Макс мог бы стать автором своей собственной атаки на BIND. Его версия могла бы закрыть уязвимость везде, где ее удастся найти, как плодовые мушки заполняют всё своими личинками. Он бы ограничил свою атаку целями наиболее нуждающимся в обновлении безопасности: армия США и правительство.

«Не попадись», сказала Кими. Она научилась не спорить с Максом в состоянии, когда он заложник идеи.

Макс боролся с двойственной природой своей личности: женатый профессионал столкнувшийся с мировой угрозой и импульсивный ребенок любящий пошалить. Ребенок выиграл. Он сел за клавиатуру стал неистово программировать.

Его код работал в три коротких этапа. Начиналось с того, что программа бросала виртуальный крючок, через дыру в BIND, выполняла команду, которая заставляла машину обратиться к интернету и импортировать 230 байтов скрипта. В свою очередь, этот скрипт подключался к уже зараженным хостам, откуда скачивался большой вредоносный пакет, называемый «руткит».

Руткит – это набор стандартных системных программ измененных для того, чтобы служить хакеру: измененная программа входа в системы работает так же как и оригинальная, но теперь она включает в себя, бэкдор, через которую взломщик снова может зайти на машину. Программа «passwd» все также позволяет пользователям менять пароли, но теперь она еще записывает и хранит эти пароли там, откуда их можно потом достать. Новый «list» отображает содержимое директории как обычно, за исключением сокрытия файлов, которые являются частью руткита.

После того, как руткит был установлен, код Макса мог бы сделать то, что правительство сделать не в состоянии: он бы мог обновить на взломанном компьютере BIND и закрыть дыру в безопасности, через которую он сам и вошел. Компьютер теперь был бы в безопасности, но Макс как доброжелательный вторженец, все еще мог бы повторно зайти в систему если только он этого захочет. Макс исправлял проблему и пользовался ей. Он был и black hat и white hat одновременно.

Сама атака займет буквально пару минут. В первое мгновение компьютер контролируется системными администраторами. В следующее мгновение закидывается крючок, скачивается скрипт, руткит и теперь компьютер принадлежит Максу.

Макс все еще программировал, когда из ФБР ему позвонили, чтобы спросить об отчете по поводу дыры в BIND. Но федералы профукали свой шанс. Сейчас только код Макса говорил с ним. Ему потребовалось немного времени, чтобы взломать пару машин колледжа, для использования в качестве плацдарма, и, затем, 21 мая он зашел в интернет через краденный аккаунт Verio и… запустил код.

Прекрасные результаты были получены сразу же. «Якорь» Макса сообщал об успехе на его компьютер через Verio dial-up, так что он мог наблюдать за распространением атаки. Взломанные машины отчитывались ему всплывающим окном Xterm на его компьютере. База ВВС Брукса теперь собственность Max Vision… Mc-Chord, Tinker, Offutt, Scott, Maxwell, Kirtland, Keesler, Robins… Его код проник на серверы ВВС, компьютеры армии, машину в кабинете секретаря. Каждая машина теперь имела бэкдор, который мог использовать Макс тогда, когда он захочет.