Секретарша на минутку вышла,я подошел к ее столу и позаимствовал дискету, вложенную между страницами книги.
Дискета содержала программу под названием ARRSIM (ARRangement SIMulator - модель программы по планированию и организации).
Это оказалась действующая копия их рабочей программы, только с бессмысленными именами в базе данных.
Программа предназначалась для обучения сотрудников планированию и организации встреч между клиентами и потенциальными поставщиками.
Придя домой, я загрузил "демонстрашку" ARRSIM и начал свою игру.
Сначала я попытался поменять адрес, на что компьютер ответил мне - "Supervisor Approval Required" (необходимо подтверждение от супервизора), и на экране замигал курсор.
Я попытался воспользоваться тем, что использовался при загрузке (он был написан на наклейке дискеты), но пароль не сработал.
Я просканировал дискету с помощью одной веселой утилиты, но не нашел никакого подходящего текста (скрытого пароля).
Мне всегда казалось, что изменение адреса - это нечто такое, чем приходится заниматься на каждом шагу.
Так почему же, когда я попытался изменить адрес, у меня запросили пароль?
Эту программу явно составлял один из тех параноиков, которые не в состоянии доверить девочке-оператору самостоятельно изменить имя или адрес.
Итак, я позвонил в компанию (да-да, той самой знакомой секретарше) и после традиционного обмена сплетнями об общих знакомых ("Так Шейла стала бабушкой!
У них мальчик или девочка?" - я слышал, как она обсуждала это событие с коллегой в тот день, когда я был в офисе), мне удалось вставить вопрос: Джей, не знаешь ли ты, что надо набрать, когда на экране появляется "Supervisor App.
Точнее, не сработал в качестве пароля для входа в руководство (да и ничто не сработало бы, вероятно).
Но это был именно тот пароль, который использовался для входа в НАСТОЯЩУЮ систему.
Очевидно, предполагалось, что загружаться с терминалов, расположенных в офисах, могут только супервизоры.
Копание в мусоре Это вовсе не грязная работа, и ее совсем необязательно выполнять, но серьезные исследователи ею не брезгуют.
Под "исследователями" я подразумеваю тех хакеров, которые проводят исследования компании или компьютера.
В большинстве мест существуют отдельные контейнеры для бумаг.
Некоторые из бумажек могут быть разорваны на клочки, но большинство остаются целыми.
Лучше устраивать охоту за мусором в те дни, когда прочно установилась солнечная погода, чтобы объект ваших поисков оказался в приличном состоянии.
Я обычно собираю найденную бумагу в пачки и складываю в специальные мешки.
Там можно найти закрытые телефонные каталоги, названия различных организаций и имена частных лиц, пособия для обучения, устаревшие файлы, письма, информацию о разработке проектов, а порой даже упоминание о компьютерной системе.
Львиная доля этого мусора НЕ бесполезна, и вдобавок почти все эти бумажки жутко интересно читать. Даже обычная свалка, как правило, оказывается на редкость опрятным местом (почему-то). Роясь в мусорных контейнерах различных компаний, ведомств и других учреждений, я обнаружил: микрофильм, счета, целые коробки с деловыми объявлениями, книги, дохлую кошку (очень крупную), обломки всякого электронного хлама и еще много-много.
Конечно, большая часть всего этого не поможет совершить взлом, но содержащаяся там информация может пригодиться.
Порой удается многое узнать о том, как функционирует организация, роясь в ее отходах.
Когда я в первый раз занялся этим делом, я вытащил одинединственный зеленый мешок с мусором из контейнера на задворках банка. Кстати, мешки с банковским мусором заклеены бумажкой, на которой написаны название банка, а также время и дата выброса мешка.
В мешках поменьше содержится мусор из всех частных отделений банка, в других - цитоплазма измятой бумаги и пробитых чеков, выметенных из-под стойки.
В тот первый раз один из банкиров оказался японцем - в дополнение к банковской всячине он выкинул японскую газету и обертку от японского леденца.
Присутствовали также женщина, сидевшая на диете, стремящаяся свести концы с концами мать-одиночка и заместитель директора банка.
В нем обнаружились: сломанный замок от подвала, коробка с оранжевыми "сигнальными ключами", несколько конвертов из-под ключей от подвала, листок бумаги с кодовой комбинацией от сейфа, нацарапанной на ней, словно улика из дешевенького детектива (12R-32L-14R, если вам интересно), и докладная "Отделу управления" от женщины из "Отдела автоматизации" вместе с дискетой. Из этого письма мне удалось узнать имя, адрес и номер комнаты отдела автоматизации банка.
Я отправил им по почте разработанное с помощью социальной инженерии послание (см. главу о социальной инженерии), и в результате получил копию запрошенной дискеты и в придачу - некоторое количество полезной (для меня) информации.
Если вас застукают за взломом мусорного контейнера, лучше всего сказать, что вы "просто ищете пустые банки, которые можно сдать".
Нынче множество контор занимается приемом чего угодно, и такой ответ никого не удивит.
Старая байка насчет "школы" или "социального проекта" тоже вполне сгодится: соврите, что вы проводите здесь исследования, готовя доклад об отходах государственных или частных предприятий.