Читаем Секреты супер хакера полностью

Два вышеописанных метода являются слегка измененной разновидностью того, что называется «подглядыванием через плечо». «Подглядывание через плечо» означает, что хакер просто подглядывает через плечо легального пользователя, пока тот загружается в компьютерную систему. Он смотрит на то, что пользователь набирает на клавиатуре, чтобы подглядеть пароль. Помните, что большинство загрузочных процедур не высвечивает пароль на экране, так что для получения какой-либо полезной информации вы должны смотреть именно на клавиатуру.

«Подглядывание через плечо» в чистом виде можно осуществить только при определенных обстоятельствах, например, если вы на законных основаниях помогаете пользователю при решении его проблемы, и для этого стоите за его спиной, в то время как пользователь показывает вам, что произошло. В большинстве случаев вы не сможете долго простоять за чьим-то плечом, не вызвав подозрений; значит, придется прибегнуть к дополнительным ухищрениям.

Можно воспользоваться зеркалом, расположенным в соответствующем месте верхнем углу комнаты между стеной и потолком. Зеркальце должно быть достаточно небольшим, чтобы его можно было приклеить клейкой лентой, но и не настолько маленьким, чтобы нельзя было рассмотреть отражение на расстоянии.

Воры телефонных карточек иногда используют бинокль, чтобы разглядеть кодовые номера других людей, тем самым получив возможность бесплатно звонить на дальние расстояния. Вы можете поступить также для прочтения паролей, вводимых с клавиатуры. Может возникнуть необходимость придать клавиатуре определенное положение, чтобы вам лучше было видно, что вводит пользователь. Если у клавиатуры есть подставки, поставьте ее на них, прежде чем занять свой пост.

Вы можете вести свои наблюдения и снаружи, через окно. Но убедитесь сперва, что изнутри вас не видно. Если здание освещается снаружи, вас нетрудно будет заметить, даже когда стемнеет. ао того, как заняться взломом, проделайте кое-какую детективную работу: зайдите в компьютерный зал и посмотрите, можно ли оттуда разглядеть того, кто находится снаружи. Возможно, вам удастся частично, закрыть шторы или жалюзи, чтобы дополнительно загородиться от наблюдения. И, наконец, поразмыслите вот над чем. Может быть, мои советы вам и не пригодятся. В течение последних двух недель я ежедневно посещал компьютерные классы одного учебного заведения, и каждый раз обнаруживал хотя бы один терминал, включив который, я оказывался в чьем-то бюджете. Видимо, владельцы бюджетов не знали, что простое выключение терминала не означает выхода из бюджета. Иногда таких терминалов было даже несколько. Ну чем не рай для хакера!

Если у вас есть бюджет — или если вы, зайдя в компьютерную лабораторию, обнаружили, что кто-то загрузился и ушел — вы можете написать простую программу на БЕЙСИКе для имитации входных процедур, и оставить ее работать.

Не забудьте ввести в программу соответствующие временные задержки, так как обычно на регистрацию команд уходит несколько секунд, а также заставить программу печатать звездочки (точки, тире и т. п.) вместо пользовательского пароля.

Иногда еще до загрузки можно использовать такие команды, как получение информации о том, кто еще в данный момент находится в системе. Возможно, вам удастся запрограммировать ложные ответы на запросы пользователей, а возможно, и нет. Впрочем, программу необязательно делать слишком «навороченной», так как большинство пользователей, вероятно, просто сядут за компьютер и загрузятся. Можно посидеть в компьютерном классе и понаблюдать, какие команды используются наиболее часто, чтобы на их основе запрограммировать имитации.

После того как пользователь введет имя и пароль, программа должна сохранять информацию и выходить из вашего бюджета. Если вы написали программу в чужом бюджете (вроде тех, уже загруженных, о которых я упоминал), то программе придется как-то переносить данные в ваш бюджет. (Методы тайного переноса данных обсуждаются в главе «Что делать, когда вы оказались внутри».) Ведь, выйдя из бюджета, вы не сможете загрузиться снова. С другой стороны, ОС может позволить вам сохранить файл в вашей собственной директории, если вы дадите ей правильные коды доступа, или если вы сможете временно сделать свой бюджет менее защищенным, чтобы другие пользователи могли записывать данные в вашу директорию.

Важно помнить о хакерской безопасности — никогда не знаешь, следит пользователь за твоими действиями или нет. Значит, прежде, чем помешать в свою директорию файл со столь изменчивой информацией, как чужие пароли, будет разумным ее закодировать. Я использую простую кодировку: сохраняю каждый символ в виде 13 + ASCII-код, а каждое второе число является случайным. Значит, комбинацию имя, пароль, скажем, SMITHERS,RANGERS моя программа сохранит в виде: 96 90 86 97 85 82 95 96, 95 78 91 84 82 95 96, со случайными числами между каждой цифрой.

Развитие этих идей вы найдете в следующей главе.