История одного админа

Я остался один в кабинете с сервером, компьютерами, коммутаторами и ощущением что я – Бог ИТ.

Уже точно и не скажу, но кажется, после того как институтские друзья узнали про мою работу и статус, мне напомнили про замечательного персонажа одного мультика, которого звали Covex. Мне настолько понравился этот ник, что с некоторых пор, учетная запись Covex’а красовалась на каждом рабочем ПК и имела неограниченные права.

В то время я стал активно изучать Unix. Первой моей ОС, стала FreeBSD. Я установил ее на рабочий компьютер и, учитывая, что мои коллеги даже Windows владели не очень хорошо, то для них я стал ИТ-гуру.

Естественно, один в кабинете я не мог долго оставаться. Так как институт я еще не закончил, то и на работу полноценно меня не могли устроить. Кроме того, подразделение железной дороги было большое, а я – единственный админ, поэтому через некоторое время ко мне в кабинет начали прибывать новые сотрудники. Первым был Серега. Высокий парень с всегда присутствующим легким румянцем на щеках и прической а-ля Дольф Лундгрен. Серега был любителем русского рока и здорового образа жизни. Ну во всяком случае, с ним мы встретились именно на этой ноте. Мне он показался довольно адекватным человеком. И мы быстро подружились.

Следующим, кого ко мне подселили, если можно так сказать в контексте именно этого человека, был Илья. Илью прислали в качестве начальника. Забавно, конечно, как строились наши взаимоотношения. Например, мне, вообще никто не сказал, что это мой начальник. Поэтому я вел себя с ним крайне привольно. Уж всяко не так, как подобает ответственному сотруднику. Уже через неделю я дал ему прозвище Шаман, которое еще и приклеилось к нему моментально. Сейчас я, конечно, понимаю, что каким-то непонятным для меня самого образом, меня просто терпели на этой работе. Я был крайне неудобен. Я часто уходил в институт посреди дня. Я никого не слушался. Никто мне не был указом. Это бесило. Но проблема была в одном – я был хорошим специалистом, и знал о ШЧ-7 – всё. Если что-то не работало, звали Сергея, если Сергей не мог починить, то приходилось ждать меня. В результате, чтобы не раздражать Шамана, меня перевели в другой отдел, если я не ошибаюсь, в бухгалтерию. Но рабочее место оставалось там же, в серверной.

Часть II

Глава 10

Я вышел из института, теперь можно и на работу. Да! Наконец-то мучения в юридическом институте закончились и можно заняться тем, что мне действительно нравится. Я поторопился в сторону Московского вокзала. Работа! Работа! Как раз сегодня я хотел попробовать провести один эксперимент. В журнале «Хакер» мне попалась статья, в которой предлагался интересный способ обхода пароля Windows на удаленном компьютере. Кроме того, использование этой «дыры» позволяло запустить на взломанном ПК, любой файл. Воодушевленный я бежал к своему рабочему компу.

К счастью, все мои коллеги были на выезде. Так как отдел, в котором я делил рабочее помещение, занимался устранением различных сбоев на подведомственной территории, то часто все были на выезде по различным станциям. Реже всех ездил Сергей, так как он все-таки был системным администратором.

Не успев даже толком раздеться, я уселся за компьютер и стал тестировать описанный в журнале способ. Как часто бывает, автор статьи использовал самую простую сетевую инфраструктуру, не особо оглядываясь на частные параметры устройства локальной сети. И вроде бы это выглядело логично, ведь невозможно предусмотреть все возможные конфигурации. Статья указывала направление действия, а не конкретное решение. Через час, а может быть и больше, путем невероятных и неповторимых манипуляций мне наконец удалось добраться до сети Управления железных дорог. Поняв, что я нахожусь в удаленной сети, я практически пустился в пляс. Но я урезонил себя, так как понимал, что по большому счету никакого особенного прорыва не произошло – я всего лишь в сетке соседнего здания. Да, это «Управление», да, я прорвался через брэндмауэр[11 - Брандмауэр – это защитный экран между глобальным интернетом и локальной компьютерной сетью организации. Он выполняет функцию проверки и фильтрации данных, поступающих из интернета. В зависимости от настроек брандмауэр может пропустить их или заблокировать (например, если обнаружит «червей», вирусы и хакерскую атаку).], но самое интересное и скучное впереди. Я запустил программку для проверки открытых портов в сети и откинулся на спинку стула. Учитывая возможное количество компьютеров в Управлении это могло быть надолго.

Оглянувшись по сторонам, я удивленно заметил, что на улице уже темно. Видать мои коллеги задержались на удаленных объектах и после, сразу же разъехались по домам. Так что, впереди была долгая ночь в надежде, что хоть какой-то порт будет открыт, и я смогу продвинуться в своих исследованиях дальше. Да, я воспринимал этот процесс исключительно как исследование. И хотя, учась в юридическом институте, я как никто другой должен был помнить о статье 272 Уголовного кодекса РФ, на тот момент мое отношение к данной проблеме было исключительно шуточно-самурайским (если самурай не может решить проблему за 5 вдохов, то он еще не созрел, и это не его проблема).

На экране продолжали бежать отчеты сканирования портов, вяло уставившись в экран я пил, третью чашку кофе. Скукота! Наверное, надо собираться домой. Я уже слышал, как за дверью серверной переговаривались диспетчеры, которые заступали на ночную смену, а значит было около 22:00. Ладно, решил я, еще пол часа и поеду. Повернувшись к монитору, я еще раз грустно взглянул на бегущие строки. И тут мое внимание привлекли цифры 4899. Какое там домой? Вечер только начинается!

4899 это был порт, который использовался программой Remote Administrator[12 - Radmin (Remote Administrator) – условно бесплатная программа удалённого администрирования ПК для платформы Windows, которая позволяет полноценно работать на нескольких удалённых компьютерах с помощью графического интерфейса. Кроме этого, программа позволяет передавать файлы и использовать режим голосового или текстового общения с пользователем удаленного компьютера.] при помощи которой, все админы железной дороги удаленно подключались к компьютерам пользователей. В основном мы использовали ее для того, чтобы помочь разобраться с той или иной проблемой на ПК, но некоторые использовали эту программу и в других целях. При удаленном подключении к компьютеру пользователя, единственное, что выдавало удаленное управление – это маленькая латинская «R» возле часиков на панели задач, которая становилось красной, и зачастую этого даже не замечали. Особенно, если подключаться без предупреждения. Я помню, мы с коллегами один раз подключились к компьютеру начальника нашего отделения и всем отделом болели, сможет ли он разложить пасьянс «Косынка».

Недолго думая, я «постучался» к компьютеру. Отлично! Программа была запущена и просила ввести пароль для подключения. Пароли, ставились при установке программы, чтобы потом спокойно получать доступ к удаленному управлению, и я, естественно, его не знал. Значит будем взламывать! Я решил использовать для этого свой любимый Kali[13 - Kali Linux – операционная система, возникшая как результат слияния WHAX и Auditor Security Collection. Проект создали Мати Ахарони (Mati Aharoni) и Макс Мозер (Max Moser). Предназначен прежде всего для проведения тестов на безопасность.] и John the Ripper[14 - John the Ripper – это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си.]. Процесс пошел и мне оставалось только ждать. Опять ждать! Если системный администратор достаточно квалифицированный, то пароль будет достойным и взломать его так просто не получится, а значит брутфорс[15 - Брутфорс – метод угадывания пароля предполагающий перебор всех комбинаций символов до тех пор, пока не будет найдена правильная.] займет очень много времени. Работа на железной дороге начинается в 8 утра, поэтому времени у меня было немного. Пока «потрошитель» работал, я решил поискать информацию о сисадмине, главного управления, и полез в только появившуюся социальную сеть «ВКонтакте». Также как и «Одноклассники» она стремительно набирала обороты, поэтому я надеялся найти какую-то информацию на страницах одной из них.

«ВКонтакте» не подвел. Потратив минут двадцать, я уже знал, что одного из сисадминов зовут Федор, ему 35 лет и у него замечательная семья: жена Татьяна и двое детей, мальчик и девочка. Эта информация могла пригодиться.

«Потрошитель» пикнул. Я с надеждой уставился на экран. Было слишком просто: “AtlzNfyz12”. Я откинулся на спинку стула, и вздохнул: «Как-то совсем не походит на админский пароль. Всю ночь просидел зря. Что за подстава?» Устало воззрившись на экран монитора и уже мысленно прикидывая, как я могу здесь переночевать, я заметил интересную особенность. Глаз зацепился за двойную «z». И уж больно раскиданы были буквы в английской раскладке. А что, если предположить смену на другой язык. Смотри-ка, получаются имена «ФедяТаня12». Тупейший пароль! Похоже урок по информатике, на котором рассказывали о сложности паролей, наш Федя прогулял. Пару нажатий клавиш, и я на удаленном ПК. Посмотрим, что тут есть интересного.

Глава 11

Даже сложно сказать, оказалось ли везением то, что компьютер, который оказался включенным, был чьим-то из руководителей. Понять это было просто, весь рабочий стол был завален папками в стиле «Годовая премия», «Руководство персоналом» и прочее, а в названии ПК, в свойствах компьютера красовалось гордое «BOSS». Тогда, я решил, что мне повезло. Не особо понимая, что с этим делать, и зачем оно мне вообще надо, я изначально зацепился за то, что попасть туда – круто.

Учитывая, что дело было уже под утро, я предполагал, что в офисе никого нет, но в тоже время надо было торопиться. На часах уже было 6:50. Руководитель мог прийти раньше, и просто спалить, что кто-то ползает по его компу. Поэтому я решил, что сейчас быстренько найду какое-то доказательство того, что я вообще здесь был (потом похвастаюсь перед Серегой), и попробую оставить какой-то примитивный бэкдор[16 - Бэкдор – от англ.back door – «черный ход» – дефект который встраивается в алгоритм и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом.] (вдруг захочется вернуться).

Для начала я занялся бэкдором. Решил ничего не придумывать, и просто открыл доступ к личной папке Boss’a предоставив доступ для всех пользователей. Потом я открыл подключение к удаленному рабочему столу по протоколу rdp[17 - Remote Desktop Protocol – протокол удаленного рабочего стола используемый для удаленного управления компьютером.]. Ну и решил напоследок заглянуть на роутер[18 - Роутер – он же маршрутизатор. Специальное устройство, которое обеспечивает работу локальной вычислительной сети. Благодаря ему компьютеры выходят в интернет и видят друг друга.]. День везения не закончился, админ похоже был совсем не замороченным парнем: пароль на роутер был таким же как и на RAdmin. Я сразу же перешел во вкладку безопасности и настроил файервол[19 - Firewall – межсетевой экран. Программный элемент, который при правильной настройке защищает компьютеры и локальные сети от вторжений.] на разрешение подключений. Если я захочу вернуться, то теперь мне и RAdmin не будет нужен. Смогу подключаться напрямую из любого места.

Теперь нужно было утащить что-то интересное к себе. В идеале, конечно же, фотографии или видео, которые уж точно доказали всем, что я тут был. Я начал прыгать по папкам в поисках «компромата». Я не стал ничего особенного придумывать и просто сделал поиск по фотографиям, лежащим на диске. Фотографий было немного, и я решил ими и воспользоваться. Скачаю, думаю, их себе на диск и потом покажу коллегам: «Вот, мол, мальчишки, учитесь». Перейдя в нужное местоположение, я несколько смутился, папка была скрытой. Мои фильтры поиска ее находили, но если бы я просто перемещался по папкам, то без соответствующей настройки компьютера, я бы ее не увидел в «Проводнике». Прежде чем запустить копирование, я конечно на секунду задумался, но про поговорку: «любопытство убило кошку» я забыл. Наоборот, фантазия нарисовала мне самые интересные сюжеты из всех просмотренных мной триллеров. Так что, копирование было запущено, и я очередной раз откинулся на спинку стула, на этот раз в победном ожидании последнего аккорда.

Полоска ползла довольно медленно. Фотографии по всей видимости было хорошего качества, поэтому «весили» довольно много. На 80% завершения копирования по экрану удаленного компьютера неожиданно забегала мышка…Я подскочил. Несколько раз было щелкнуто на кнопке «остановить», а потом соединение внезапно оборвалось. Похоже, начальник пришел на работу пораньше и застал меня на месте преступления. Плохо дело!

Я вспотел моментально. Интересно, обвинение ограничится именно неправомерным доступом к компьютерной информации, или там будет что-то еще?

Ладно, а что на фотках? Я открыл первую фотографию. Похоже не ограничится… Фотографии изображали, мягко говоря, не самую публичную сторону жизни изображенного на них человека. Щелкая их одну за другой, я все больше убеждался, что шутка получилась «так себе». На изображениях, в отличном качестве представали двое мужчин, одному из которых передавали черный дипломат. Он этот дипломат брал, открывал и на фотографиях явно отражались зеленые купюры. Мне даже кажется, что я увидел на них изображение Бенджамина Франклина. Я настолько залип в своих думах, бесцельно перещелкивая фотографии по кругу, что даже не заметил, что начался рабочий день. Отвлек меня звук поворачивающего ключа в замочной скважине кабинета. Я быстро закрыл фотки и повернулся поприветствовать входящего в кабинет. Это был Сергей.

– Привет Макс, – кивнул он, – ты всю ночь здесь сидел что ли?

– Что? Как ты узнал? – удивился я

– Да у тебя вид жуткий. Глаза красные.

– Да, да, что-то завозился, готовился к последнему экзамену – соврал я, – сейчас домой поеду. Посплю чутка и в институт.

Естественно, хвастаться своими успехами, мне совершенно перехотелось. Я воткнул флешку, и перенес все сворованные фотографии на нее. Потом, схватил рюкзак и поспешил сбежать до того, как придут остальные коллеги. Объясняться лишний раз по поводу ночевки на рабочем месте, мне совершенно не хотелось.

Выбежав из здания, я рванул домой. Мне нужно было крепко подумать.

Глава 12

Нормально поспать я не смог. Провалялся в кровати до 12 часов, и решил, что смысла нет. Сколько я не пытался успокоить себя, что ничего такого не случилось, и что это может сойти за обычную шалость – не получалось. Что-то подсказывало, что мне – жопа.

Так, Максимус, давай рассуждать логически, что мы имеем:

Первое, у какого-то начальника, на рабочем компьютере лежат его фотки и очевидно, что на них ему дают взятку;

Второе, кто-то видел, что кто-то эти фотки скачал;

Третье, навряд ли этот кто-то оставит инцидент без внимания.

Это плохие пункты.

Что у нас есть хорошего?

Первое: никто не знает, кто это сделал. Пока не знает!

Второе: пожалуй, у меня чуть больше времени из-за того, что я там не оформлен в ИТ-отделе.

На этом, хорошие пункты, собственно, и заканчиваются. Понимая, что вопрос того, как быстро меня найдут, зависит от профессионализма системного администратора Управления, я рассудил, что мне нужно попробовать действовать на опережение. Учитывая пароли и общие настройки, профессионал из него так себе, так что шансы у меня были хорошие. Для этого нужно было оперативно понять, какие следы я мог оставить и попытаться разобраться, что приведет ко мне. Кроме того, меня очень сильно во всей этой истории смущало то, что этот человек хранил ТАКИЕ фотографии на рабочем компьютере. Да он их скрыл, но ведь это все равно очень опасно и, наконец, просто глупо.

С такой кучей вопросов, сна мне не видать, я уселся за компьютер. У меня было оставлено две «дырки» в компьютере «босса» и одна на роутере, нужно было проверить работает хоть одна из них или нет. Но сначала я решил позвонить Сергею.

– Привет, – начал я

– Ты уже соскучится успел? – удивился Серега, – только недавно ушел вроде.

– Да что-то не отдыхается особо. Как там обстановка?

– Да вроде все спокойно. Так, пара заявок на зависший комп. Чего хотел?

– Да ничего особенного. Хотел убедиться, что все в порядке. Мне комп нужен, никто за ним не сидит? (компьютеров на отдел не хватало, поэтому часто сидели за компами друг друга).

– Не, все уже разъехались по объектам, можешь цепляться – успокоил меня Сергей, – да я и сам ухожу, минут через 30.

– Ок, давай. Завтра увидимся, – я повесил трубку.

Запустив OpenVPN[20 - OpenVPN – технология виртуальной частной сети. Позволяет устанавливать соединения между компьютерами находящимися в различных локальных сетях. Например из дома можно подключиться к локальной сети на работе и получить доступ к рабочим серверам и папкам.] я подключился к рабочей сетке, а затем вышел на свой компьютер. Я рассудил, что так я добавлю еще один пункт, который усложнит отслеживание моего расположения. Теперь надо было решать, что делать дальше. С одной стороны, я опасался, что сисадмин Управления уже мог получить распоряжение на установку дополнительных фильтров для отслеживания сетевой активности, а значит, даже если меня не засекли тогда, то засекут сейчас. С другой стороны, я должен был попытаться «замести следы» своего ночного пребывания, чтобы меня было сложнее найти.