Злой мальчик
Прибегает к нам (в интернет-провайдер) злобный человек и начинает разоряться, что кто-то ворует его интернет-трафик. И, несмотря на то, что тариф у
него всё равно безлимит - его это сильно парит. Дескать, трафик воруется гигантскими порциями в то время, когда компьютер выключен в принципе.
Начинаем разбираться - выясняется (как и всегда в таких случаях), что в доме в это время теоретически может находиться чадо в возрасте школоты. Папа,
однако, стоит на своём и утверждает, что чадо зайти в систему не может, т.к. не знает пароля. И более того, папа даже как-то забирал на работу
сетевой кабель от системника (бугага, сетевой кабель он забирал, у любого лоха в доме таких кабелей - жопой ешь). И даже "обескабленный" системник
продолжал неведомым образом потреблять трафик.
Защита от воровства трафика в нашей сети одна из самых передовых: всё делается через тэги, присваиваемые клиентским пакетам ещё на свитчах в подъезде. Это
раньше прыщавый задрот из соседней квартиры мог проснифить пакеты соседа, дождаться выключения его машины, подменить MAC-адрес у своей сетевухи и
настроить IP, после чего радоваться, потребляя трафик. У нас такое невозможно в принципе: трафик потребляет только то устройство, которое подключено
конкретно на клиентский порт. Манипуляции кого-то в соседнем порту бессмысленны: даже со 100% совпадающими MAC и IP система никуда не выпустит. Не
прокатывает и аналогия с телефонами ("ко мне на кабель подключились"). Поскольку в Ethernet это невозможно: разве что перерубить где-нибудь
кабель - но тогда у клиента интернет пропадёт навсегда, да и стоять с ноутбуком в подъезде долго не придётся.
Итого, мы совершенно уверены, что трафик потребляется клиентской машиной, а клиент уверен, что нихуя подобного - кто-то опускает его на бабки.
Поскольку провайдер "местечковый", сравнительно небольшой (однако и солидный) - отношение к клиентам у нас на уровне, всегда стараемся
помочь в случае чего. Разбираюсь по таким спорным вопросам всегда я - меня и отправили на разборки.
Когда я пришёл на место преступления, там было только чадо - тот самый злой мальчик, которого (по уверениям) пытали вплоть до выдёргивания ногтей,
но он не сознавался ни в чём. Мальчик оказался совсем не таким, каким я его себе представлял - это был 13-летний детина, с ног до головы обвешанный какими-то
гаджетами и блютус-гарнитурой в ухе. Типичный малолетний хакер - ни дать, ни взять. Для меня не оставалось сомнений, что он виноват во всех смертных
грехах, но я сразу понял, что этот будет держаться до конца. Что ж, не таких на чистую воду выводили.
Леопардовым скоком приблизившись к компьютеру я диагностировал, что он тёплый - только что выключен. Это сильно обрадовало: у меня в голове
крутилась масса вариантов пизженья трафика, и один из вариантов отпал. Он состоял в том, что лазить в инет ведь можно и не со стационарного
компьютера, запароленного добрым папой - а с какой-нибудь PSP, ноутбука или ещё какой компьютерной дребедени. Раз всё делается со стационара - доказать
это проще простого. На этом этапе я предложил злому мальчику сознаться, но он только улыбался и повторял, что не знает никаких паролей и ничего не
делал. Ладно, собака, попрыгаешь ты у меня.
Следующим вариантом было: злой мальчик мог и не знать пароля на вход в систему папы, но спокойно заходить под скрытым администратором с пустым паролем,
как это обычно делаю я под выпученные глаза владельцев компьютеров. В XP, например, было так: при установке создаётся скрытый администратор (чаще всего с
пустым паролем), и ещё один администратор-пользователь, под которым юзверь и работает. Своего пользователя юзверь запароливает двадцатизначными
паролями, не зная, что есть ещё один скрытый админ с пустым паролем. Вариант, однако, не проканал: при инспекции машины выяснилось, что там есть два
пользователя, один из которых - истинный запароленный админ (папин аккаунт), второй - какой-то "Слава", тоже запароленный в говно. Звоню папе,
интересуюсь, почему два пользователя. Папа поясняет, что пользователь "Слава" был создан как-то давно, но пароль к нему был утерян и никто его теперь
не знает. Как только я это услышал - в моей голове, как у заправского Шерлока Холмса, сразу нарисовалась логичная картина: злому мальчику ведь всё
равно дают полазить в инете в установленное папиком время. Под папским аккаунтом. Мальчик просто зашёл в учётные записи пользователей, поменял
пользователю "Слава" пароль (а хуле, админ может всё). И с тех пор у него однозначно есть доступ на машину под пользователем "Слава". Поведав злому
мальчику сию историю я увидел, что на его лице не дрогнул ни один мускул. "Да и хер с тобой" - подумал я.
Оставался финальный аккорд: зайти в систему и посмотреть аудит входов/выходов, который имеется в журналах винды. Родители злого мальчика ещё не
пришли, паролей от обоих пользователей у меня не было и я решил развлечься: посмотреть файловую систему, загрузившись с LiveCD. Заодно, в голове
появилась мысль обезопаситься от возможного варианта, что злой мальчик удаляет журналы винды при выходе (или просто настроил, чтобы аудит не вёлся).
LiveCD показал много интересного: сразу же обнаружились файлы во временных папках IE, датированные несколькими минутами раньше моего прихода.
Конечно же, там были всякие одноклассники, вконтакты и подзалупники - кто бы сомневался. Странно, но порнухи не оказалось - мальчик выдался
недостаточно злой. Удача явно стояла ко мне передом, поскольку в системе обнаружился ещё и Logitech Desktop Messenger - лично мне программка
неизвестная, зато ведущая логи, в которых явно обозначается, когда компьютер включался и выключался. Выбрав из вороха распечаток "убежавшего"
трафика наугад три дня я убедился, что время включения/выключения системы абсолютно совпадает со временем накачки трафика.
Тут подошёл папа. Выслушав мои доводы он нахмурился, но было видно, что ему того мало! Пошли какие-то разговоры про "его не могло быть дома,
потому что он в школе" и "я забирал на работу кабель". Мне всё это порядком надоело и я сообщил, что не утверждаю, будто компьютер включал
злой мальчик - возможно, это были Барабашка или домовёнок Кузя - почему бы и нет. Важно то, что перед моими глазами логи, и они говорят совершенно
очевидное. Загрузились таки в саму систему - вуаля: в журнале аудита записи, совпадающие с логом Logitech на 100%. Только ещё и указано, что входил
конкретно пользователь "Слава", а не "Барабашка" или "Кузя".
Злой мальчик, надо сказать, всё это время только улыбался. И в конце концов он так и не признался, да и по самому папе было видно, что ему
легче поверить в Кузю с Барабашкой, нежели в то, что его отпрыск преспокойно и нагло всех обманывает. Когда я выходил из квартиры, у меня было
стойкое впечатление, что обманул всех я.
Родители! Не думайте, что ваши дети тупее вас - в большинстве случаев это неправда. Если хотите обезопасить свой компьютер от вторжений чада -
вызывайте специалиста, который в силу возраста всё же хитрее школьника.
©2010, Анатолий Савенков
опубликовано: 16.02.2010
комментариев: 20
список статей в категории
Комментарии
↑ к началу комментариев ↑↑ к началу страницы
Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный
код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев
для защиты от троллей, школоло-хакеров и спам-ботов.
На текущий момент осталось комментариев:
10.
Добавить комментарий
Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных.
Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.
поиск Яндекса по сайту
+0
+6
