Искусство обмана
Вильям Саймон и др.: «Искусство обмана»
Download 0.94 Mb. Pdf ko'rish
|
Iskusstvo obmana sotsialnaya inzheneria
- Bu sahifa navigatsiya:
- LINGO хэш
|
46
Вильям Саймон и др.: «Искусство обмана» каждого пользователя. С хэшем, пароль, к примеру «justdoit» будет представлен в зашифрован- ном виде; в данном случае, хэш будет конвертирован Юниксом в 13 численно-буквенных симво- лов. LINGO хэш – строка беспорядочно записанных символов, которая получается из пароля путем од- ностороннего шифрования. Процесс теоретически необратим; т.е. считается, что невозможно из- влечь пароль из хэша. Когда Билли Боб из зала захочет перевести какие-либо файлы на другой компьютер, он обязан идентифицировать себя, предоставив логин и пароль. Система, которая проверяет его ав- торизацию, шифрует его пароль, а потом сравнивает его результат с хэшем, содержащимся в файле с паролем; если они совпадают, ему предоставляют доступ. Из-за того, что пароли в файле зашифрованы, файл сделан доступным для пользователей, так как, по теории, нет способа расшифровки пароля. И это смешно. Я скачал файл, сделал атаку по словарю(см. главу 12 для более подробного объяснения метода), и выяснил, что один из инженеров, парень по имени Стив Крэмер, в данный момент имел учетную запись на компью- тере с паролем «Janice». Я решил попробовать войти с этим паролем на один из серверов разра- ботчиков; он не подошел; если бы все сработало, это бы сэкономило много времени и уменьши- ло риск. Не помогло. Это значило, что мне придется обманом заставить парня сказать его имя пользователя и па- роль. Для этого мне пришлось дождаться выходных. Вы уже знаете остальное. В субботу я по- звонил Крэмеру и рассказал уловку о черве и сервере, которого надо восстановить, чтобы избе- жать его подозрений. А что насчет истории, которую я ему рассказал о том, что он заполнял свои бумаги при приеме? Я рассчитывал на то, что он не вспомнит, что этого никогда не было. Новый сотрудник обычно заполняет столько бумаг, что через несколько лет никто не вспомнит. И даже если он меня раскусит, у меня еще был длинный список других имен. С его именем пользователя и паролем я вошел на сервер, покопался некоторое время, а по- том обнаружил файлы со схемами STH-100. Я не был уверен, какие из них являются ключевыми, так что я перевел файлы на dead drop, бесплатный FTP сайт в Китае, где они будут храниться без чьих-либо подозрений. Пусть клиент разбирается в этом мусоре и ищет, что ему нужно. Download 0.94 Mb. Do'stlaringiz bilan baham: 
|