Страница:
В хакерской среде с пренебрежением относятся к "наемникам". Один раз еще можно пойти на такое, но заниматься этим постоянно - значит лишиться хакерской чести. Мне хочется думать, что все читатели этой книги, в том числе и хакеры, будут использовать свои таланты для добрых дел: обеспечения общественной осведомленности, предотвращения трагедий, а также для изучения новых технологий и открытий в целях саморазвития.
Глава 2. Исследования перед взломом
- Возьмите, например, меня, - сказал Михаил Александрович, - тонкая игра. Человек-собака. Шизофренический бред, осложненный маниакально-депрессивным психозом, и притом, заметьте, Берлага, сумеречное состояние души. Вы думаете, мне это легко далось? Я работал над источниками. Вы читали книгу профессора Блейера?
- Н-нет, - ответил Берлага голосом вице-короля, с которою сорвали орден Полвязки и разжаловали в деншики.
- Вы не читали Блейера? Позвольте, по каким же материалам вы готовились?
И. Ильф, Е. Петров. Золотой теленок.
Любой серьезный взлом требует некоторых подготовительных исследований, которые должен произвести хакер перед тем, как усесться за компьютер. Грамотному "взломщику" необходимо владеть определенным объемом информации.
Чтобы заняться хакерством, вам, естественно, следует обладать кое-какими сведениями о компьютерах и телекоммуникациях (на уровне идей), но для реального взлома нужен, в первую очередь, телефонный номер, или какой-либо другой путь получения доступа к "вражескому" компьютеру. И в том, и в другом случае понадобится предварительное исследование. При первом обращении к компьютеру вам также придется исследовать возможные способы взлома и выбрать подходящий. И, наконец, вы будете производить исследования уже после того, как получите доступ к вожделенной системе, дабы извлечь как можно больше пользы из открывшихся перед вами возможностей. Последние рассматриваются в разделе под названием "Что делать, когда вы оказались внутри". А сейчас давайте обсудим, что же следует сделать, прежде чем начать военные действия.
ВЫБОР цели
Под "прицеливанием" я подразумеваю процесс, в ходе которого хакер решает, что именно из существующего программного обеспечения стоит попытаться "ломануть". Эта тема по многим причинам может показаться тривиальной, но, тем не менее, она заслуживает обсуждения.
Предположим, что вы новичок в этом деле. Допустим, вы получили - путем каких-то собственных исследований, или же по воле случая - некую информацию, которая, как вам кажется, может помочь проникнуть в определенную систему. Например, через нелегальные компьютерные каналы вы раздобыли телефонный номер большой правительственной базы данных со сведениями о шпионаже. Само собой, может показаться разумным просто набрать этот номер, чтобы убедиться, верны ли ваши сведения. С другой стороны, лучше сначала исследовать "дичь" и проверить, стоит ли она затраченного времени и денег за телефонный счет, а также оправдывает ли она связанный с взломом риск. Поишите данный номер в перекрестном телефонном каталоге данного региона. Такие каталоги можно найти во многих библиотеках. Это книги, как правило, выпушенные без лицензии телефонной компании, содержат список имен и адресов с номерами телефонов. В отличие от обычных телефонных книг, в перекрестных каталогах имя отыскивается по номеру, а не наоборот. Если вам не удастся найти такой каталог, позвоните оператору АТС и ангельским голосом осведомитесь, кому принадлежит данный номер. Естественно, что предпочтительнее самому просмотреть каталог, не выходя на контакт с сотрудниками телефонной компании (лишние свидетели). Если номер общедоступен, то это, скорее всего, вообще не компьютерная линия, и его можно оставить в покое. Вам может показаться бессмысленным тратить время на поиск номера, вместо того чтобы просто его набрать, но не забывайте: прежде чем трогать "дичь", следует накопить как можно больше информации о ней. Если номер действительно принадлежит сверхсекретной базе данных, будьте готовы к тому, что ваш звонок могут отследить; во всяком случае, он вызовет подозрение.
Новички обычно жаждут совершить свой первый большой взлом, и по горячности совершают опрометчивые поступки. Возможно, у вас еще не было опыта по изменению данных телефонной компании, или звонков с автомата, или каких-то иных способов замаскировать свой вызов. Новичок, набирающий секретный номер после предварительных исследований, вероятно, тоже глупо рискует, но он все же продвинулся на несколько ступеней выше по профессиональной хакерской лестнице, чем салага, который звонит вообще без всякой подготовки - это непростительная глупость.
Итак, когда цель избрана, вам не обязательно приступать немедля к вашему первому большому начинанию. Может оказаться более предпочтительным выждать, пока у вас не наберется достаточно опыта, чтобы выполнить все как надо. Если вам стало кое-что известно о "дичи", и больше это неведомо никому, лучше всего помалкивать, пока вы не произвели взлом. Если вы станете действовать, руководствуясь своими знаниями, и попытка провалится, шансы на повторную попытку будут близки к нулю, поскольку администраторы системы тоже не будут сидеть сложа руки. Запомните следующее: выше головы не прыгнешь. Прежде чем нырять с аквалангом за покоящимся на дне сокровищем, научитесь сначала держаться на воде, иначе утонете и это будет скучно и бездарно, как сказал один человек.
"Прицеливание" включает в себя также исследования другого рода. Что, если у вас в руках действительно оказался некий заманчивый секрет, позволяющий куда-то проникнуть? Вероятно, сперва следует подумать о наилучшем способе проникновения в эту систему. Например, если искомая система входит в Интернет, вам придется измыслить способ войти в сеть под чужим именем. Но имейте в виду, что на вашу "дичь" может положить глаз и другой охотник. Так что возможности вести подготовку годами у вас нет. Что же, хакерство - это такая штука, где побеждает наиболее энергичный.
Если вы числитесь в колледже, либо живете рядом с колледжем, и ваш компьютер зарегистрирован в Интернете, вам не составит труда войти в сеть под собственным именем, и уже оттуда пытаться соединиться с другими системами. Но это не только легко, а еще и чудовищно глупо! Только законченные идиоты совершают взлом, входя в сеть под собственным именем. Не успеете вы просмотреть те немногие директории, что открыты вашему минимальному уровню доступа, как вам уже придется искать способ маскировки для совершения дальнейших действий. Повторяю еще раз: вам придется искать способ входа под другим именем, и уже потом решаться на что-то большее.
Взлом компьютерных систем высшего порядка делится на две части: частный взлом и общественный. Имеется в виду, что сначала вы маскируетесь под какое-то частное лицо, а затем ищете способ замаскировать вашего липового пользователя под зарегистрированного пользователя взламываемой системы. Можно потратить уйму сил, денег и времени на попытки проникнуть в систему, которая в результате окажется бесполезной. Допустим, вы избрали мишенью компьютер на родном факультете, возымев желание превратить свою ступень F в ступень А. Вам может показаться, что вам достаточно прикинуться деканом или кем-либо еще из факультетского начальства, но во многих случаях это оказывается вовсе не так. Начальство факультета, как правило, не пользуется компьютерами, содержащими сведения о присвоенных ступенях, если только декан сам не ведет какой-либо курс. Значит, вам придется переключиться на профессора, или, скорее всего, на его ассистента. Именно они вводят в компьютер оценки. В результате вы начнете доискиваться, каковы могут быть пароли профессора и его ассистента. Затем встанет вопрос о компьютере. Какой компьютер вы будете пытаться "взломать"? Преподаватели, особенно те из них, что ведут математику или курсы компьютерных дисциплин, обычно сообщают студентам адрес своего компьютера, чтобы вы могли общаться с ними по электронной почте. Но это не поможет вам подняться на ступень выше. Для этих функций наверняка предназначен какой-нибудь закрытый административный компьютер - его-то вам и следует взламывать. Может показаться само собой разумеющимся, что наивысшим уровнем компьютерного доступа обладает ректор университета. Но так ли это на самом деле? Действуйте наверняка - займитесь профессорами.
Один из моих преподавателей английского языка неоднократно упоминал в аудитории персонажа одного сериала, и несколько раз упоминал о вещах, которые могли бы иметь отношение к данной передаче (использовал те же фразы, что употреблял в сериале персонаж). Естественно, попытки проникнуть в сеть за счет этого типа следовало бы начать, исходя из словечек персонажа, если учесть тот факт, что преподаватель английского вряд ли может осознавать всю ценность паролей с бессмысленным содержанием.
Но следует ли В ДЕЙСТВИТЕЛЬНОСТИ избирать своей мишенью ТАКОГО преподавателя? Если бы я завалил его предмет, и захотел порыться в его данных, чтобы повысить свою ступень, герой сериала вряд ли помог бы; насколько мне удавалось заметить, контроль над присуждением уровней, как правило, ведется ассистентами, а не профессорами! Потому-то для достижения избранной цели и необходима предварительная разведка.
Если вы знаете, чего хотели бы достигнуть, произведите вначале необходимые исследования, чтобы выяснить: те ли ЛЮДИ, которых вы избрали для достижения своей цели, сидят за клавиатурой нужного вам компьютера. Потенциальные мишени зачастую можно вычислить, читая свободно публикуемые открытые документы. Они рассчитаны на "этичное использование" системы и часто дают возможность заглянуть в "защищенные" от постороннего взгляда разделы. Например, мне удалось прочесть маленький отрывок из устаревшего доклада о мерах по безопасности. Данное положение, по-видимому, относилось к списку мер, которые следовало принять для улучшения зашиты компьютерной сети. Но к тому времени, как я прочел эту заметку, меры уже были приняты, а вот мысли о том, что зашита действительно необходима, давно успели улетучиться из головы автора доклада, и информация оказалась общедоступной. Вот что гласит это положение:
Сеть 19 должна быть полностью изолирована от персональных компьютеров и широкополосных сетей с помошью шлюзов. Входы на все терминальные серверы подлежат защите в обязательном порядке. Персональные компьютеры следует снабдить соответствующим программным обеспечением для ведения наблюдений за сетью с целью обнаружения неправильного и,или неэтичного ее использования.
Посмотрите, какое море информации можно извлечь из данного отрывка. Имея на руках эти рекомендации по усилению зашиты, нам не составит труда обнаружить то самое программное обеспечение, которое выполняет функции по защите. Тогда мы увидим, что могут делать эти программы и чего не могут; мы сможем отыскать в них ошибки или слабые места и использовать эти ошибки. На худой конец мы всегда в состоянии изобрести другие способы обойти эти программы - ведь на плечах у нас голова, а не котел, верно? Но наибольший интерес представляет (и имеет самое непосредственное отношение к нашему разговору о "прицеливании") упоминание о "Сети 19". Что это за "Сеть 19"? Наверняка нечто такое, что администрация хотела бы спрятать подальше от посторонних глаз. А раз так, то, похоже, перед нами достойная цель для взлома. Если такая заметка попадется на глаза хакеру, он, несомненно, изберет Сеть 19 своим объектом.
Это пример" случайно обнаруженной информации, которую можно с успехом использовать. Но помните - я прочитывал ВСЕ общедоступные документы ради ОДНОЙ-ЕДИНСТВЕННОЙ задачи - я хотел совершить взлом. То, что вышеупомянутая информация попала мне в руки, было чистой воды ВЕЗЕНИЕМ, но поиск-то я вел НАПРАВЛЕННЫЙ.
По сути дела, оперативные исследования такого рода - просматривание каждого дюйма имеющейся в вашем распоряжении системы, прежде чем заняться поиском менее доступных объектов - тоже является "прицеливанием". Если вашей целью является определенная секретная компьютерная система, просмотрите все схожие с ней доступные системы, перед тем, как заняться той, что вас интересует. Запас карман не тянет. Такой просмотр может привести к полезным намекам, типа упоминания о Сети 19; по крайней мере, вы ознакомитесь с различными сторонами системы - "дичи".
Вот что следует искать, "прощупывая" доступную систему, прежде чем заняться менее доступной: каким образом в ней осуществляется ввод и вывод; имеются ли в ней лазейки, и как система реагирует на них; каков формат ее команд (буквенный, управляющая последовательность), и какие типы команд пригодны к использованию; что это за компьютер и какое "железо" в нем находится. Конечно, существуют еще некоторые веши, которые вы будете искать, вроде информации о интерфейсе или о том, сколько времени занимает выполнение тех или иных команд. Эти сведения пригодятся позднее, ибо, когда дойдет до дела, то есть до взлома, вам не захочется тратить многие часы, пытаясь найти нужную команду или элементарно выйти из системы.
"Прицеливание" может показаться не только скучным, но и раздражающим занятием. В конце концов, ученый может анализировать радугу, используя специальные научные термины, объясняющие, что же она собой представляет, какой она формы, и почему цвета в ней располагаются именно так, а не иначе. Но вместе с тем, это сложное описание радуги не будет иметь ничего общего с самой радугой. Анализ не затрагивает красоту радуги. Технический жаргон не включает в себя поэтических эпитетов, которые мы привыкли ассоциировать с радугой. Вы можете привести те же доводы, объясняя, чем "прицеливание", подготовка и планирование попыток взлома отличаются от удовольствия, доставляемого самим взломом. Если вас наняли для взлома, вам придется выполнить работу, иначе вам не заплатят за нее. Но, с другой стороны, зачем нам мучиться, занимаясь такой ерундой, как скрупулезный сбор предварительной информации? Вы правы! Вы абсолютно правы! Совершенно необязательно принимать те предложения, о которых я говорю. Нет настоятельной необходимости как следует поразмыслить, что же вы собираетесь делать, прежде чем браться за дело. Это всего-навсего мое мнение, что следует иметь понятие о таких вещах. Что решившись на нарушение закона, надо по крайней мере знать, как это делается,
"Прицеливание" к определенным компьютерам, которые, как вы уверены, содержат нужную вам информацию, и к людям, обладающим определенными уровнями доступа и возможностями - все это похоже на научное описание радуги и не приносит ничего, кроме разочарования. Но в дальнейшем, если вы действительно хотите продвигаться вперед, если вы хотите совершать взломы ради развлечения и извлекать все больше удовольствия из каждой новой попытки, я бы все же посоветовал вам заняться этими скучными вещами. Они помогут избавиться от долгих бесплодных поисков и однообразных попыток совершить взлом с помощью грубой силы, а также избежать неприятностей.
Итак, разрабатывайте основной план действий. Удостоверьтесь, что выбранные вами цели годятся для данного случая. Тогда вы будете знать, что ваш взлом не обернется полным тупиков лабиринтом. Сам я придерживаюсь концепции "намерений", или "целей", но, если вы не частный сыщик и не ушлый журналист, то, возможно, захотите и будете рады проникнуть в любой оказавшийся под рукой компьютер с помощью любых подручных средств. Это тоже неплохо; многие хакеры настолько отдаются своему увлечению, что, даже если компьютерная система и не таит в себе ничего особенного, о чем они прекрасно знают, эти ребята все же взламывают ее, так как получают удовольствие от самого процесса взлома. Но ведь очевидно, что куда интереснее проникнуть в систему с какими-то секретами, нежели в такую, чье содержимое не представляет для вас никакой ценности. Стоит ли тратить многие месяцы, пытаясь пробраться в систему, содержащую статистические данные о частоте копуляций лабораторных крыс? (Впрочем, возможно, такие вещи представляют для вас интерес). Проявляйте осмотрительность при выборе целей. Проникновение в систему - только полдела; когда вы окажетесь внутри, вам будет гораздо интереснее.
Сбор Информации
Прежде чем приступить к своим исследованиям, вам следует выяснить, какого рода информацию вы стремитесь получить. Существует три темы, о которых должен иметь представление хакер: телекоммуникации вообще, системы вообще и конкретные системы в частности. Вам следует обладать определенным уровнем знаний о компьютерах, модемах, телефонных сетях и о человеческой натуре. Я весьма надеюсь, что эта книга ознакомит вас с подобной полезной информацией. Если нет - а я с готовностью признаю, что данная книга не является чем-то вроде Вселенской Библии - отправляйтесь на поиски специальных библиотек и ищите там то, что вас интересует. Возможно, вам и не требуется никаких особенных знаний. Но вам наверняка захочется ознакомиться с последними достижениями технологии, равно как и с теми организациями, чьи компьютеры вы собираетесь "взламывать". Даже если вы считаете, что знаете все, что только можно знать, совсем не помешает убедиться: в самом ли деле вы являетесь знатоком своего дела - особенно, если речь идет о таких стремительно меняющихся вещах, как аппаратное обеспечение, программное обеспечение и телекоммуникации.
Ступайте в близлежащую библиотеку. Найдите полки с книгами по компьютерам, полки с книгами по уголовному праву и полки с книгами по управлению бизнесом. Там вы обнаружите "легальные" книги о хакерстве и компьютерных преступлениях. Изредка следует просматривать также книги по телекоммуникациям. Если вы хотите получить понятие о различных ситуациях, в которые вы можете попасть, значит, вам понадобятся книги об информационных службах, интерактивных базах данных, компьютерных преступлениях, операционных системах, BBS и обо всем, что имеет отношение к действиям, производимым с компьютером и модемом. Поищите в каталоге карточки со словами "телекоммуникации", "зашита", "компьютеры", "хакерство", "телефонные системы", "модемы", и т. п. Не забудьте и о справочниках - там содержится много полезных материалов. Хакер-ству лучше всего обучаться в деле, но в технической литературе тоже можно найти немало хороших приемов и хитростей. Кстати, вы знаете, кто публикует больше всех в мире книг? Правительство Соединенных Штатов. Если ваша библиотека является государственной, прочтите все правительственные публикации на интересующую вас тему. Из них вы сможете почерпнуть немало полезной информации.
Я вовсе не хочу сказать, что вам следует прочесть каждую книгу в библиотеке, и уж конечно, не имею в виду, что все это надо прочесть до того, как вы начнете ваши первые хакерские опыты. Я просто довожу до вашего сведения следующее: зачастую люди не представляют себе, сколь богатую информацию можно почерпнуть из вполне доступных источников, не прибегая ни к каким взломам. К тому же, читая книги, вы узнаете о том, как выглядят компьютерные системы изнутри. Вы ознакомитесь с различными необходимыми командами, форматами имен и паролей, которые используются в различных системах. Вдобавок, зачастую в таких книгах спокойно можно найти списки доступных номеров - позвонив по ним, вы сможете проверить различные системы либо получить информацию по этим системам. Все эти сведения пригодятся вам и помогут двигаться вперед.
Придя в библиотеку, загляните в отдел периодики и возьмите там несколько компьютерных журналов и газет. Предпочтение следует отдать тем, которые вы обычно не читаете, или таким, о которых вы вообще не слышали. Полезно бывает посылать в журнал заказы на интересующую вас информацию, а также заполнять карточки Службы Чтения для получения доступных сведений на эти темы. Просто диву даешься, какие компании порой отвечают на такие послания, и еще более удивительно, сколько зацепок для хакера содержит выдаваемая информация. Лично я вхожу в число постоянных адресатов нескольких компаний по компьютерной защите. Я знаю все, что мне необходимо, обо всех их программных продуктах, о новейших достижениях, о том, кто пользуется этими программами. Вооруженный такими сведениями, я могу прокладывать свой путь в обход продукции данных компаний. Зная, как они ловят хакеров, я знаю, как избежать поимки. С другой стороны, иногда более практичным оказывается выклянчивание у библиотекарей подаренных библиотеке книг. Многие библиотеки принимают в дар книги - для распродажи или чтобы пополнить собственные запасы. Большую часть этих книг составляют старые технические руководства различных компаний - по компьютерам, программному обеспечению и работе операционных систем. Библиотекари, имеющие дело с подаренными материалами, увидев такие веши, обычно выбрасывают их за ненадобностью. Постарайтесь подружиться с библиотекарем, и он, скорее всего, предпочтет отдавать такие вот "ненужные" издания вам, нежели выкидывать. V меня набралось множество ценных пособий, справочников, руководств по операционным системам и магнитных дисков подобного рода. Я могу похвастаться даже замечательной и вполне злободневной подборкой закрытых изданий ATandT. Порой найденные вами книги содержат заметки, нацарапанные на полях или на обложке. Моя любимая пометка такого сорта - телефонный номер и групповой идентификационный код доступа. Код доступа с тех пор устарел, но телефонный номер еще существует, так же как и гостевой пароль, который иногда удается обнаружить в подо бных руководствах.
Некоторые нестандартные методы исследований
Эти методы не столь уж необычны, поскольку в дело идет все, что может принести пользу в вашем отважном предприятии. Раздобыв идею нового способа получения большего количества сведений об интерактивной системе или о работающих в ней людях, постарайтесь опробовать ее на практике. В принципе, любые сведения могут оказаться полезными. Все, что вы обнаружите, поможет вам проникнуть либо в тот компьютер, который интересует вас на данный момент, либо в другой - когда-нибудь в будущем. К тому же, согласитесь, всегда приятно обнаружить закрытые данные или тайные секреты системы. Поделитесь своими открытиями с другими хакерами, а те в долгу не останутся как пить дать отблагодарят вас, поведав что-нибудь этакое.
Существует пять нестандартных методов исследований: диалоговые руководства и модели программ; копание в мусоре; анализ найденных дискет; изучение фотографий; "вынюхивание". Помните - все эти методы исследований работают.
Диалоговые обучающие руководства и модели программ
Руководства и модели программ часто используются для обучения работе с компьютерной системой. Эти программы имитируют компьютерные экраны, какими видел бы их пользователь в процессе реальной работы в сети. Руководства и модели отличаются от реальной работы тем, что сообщают пользователю о стандартных методах общения с системой и иногда даже показывают ему необходимые в работе специальные детали. Если пользователь не прошел курс обучения, ему обычно выдается сборник упражнений для работы с облегченной версией настоящей системы, причем, как правило, выдается вместе с богатым набором всевозможных шпаргалок.
Руководства и модели дают новым пользователям практический опыт общения с программным обеспечением, с которым им придется иметь дело, знакомят с его функциями и задачами. Такие программы весьма часто используются в учебных целях вместо реальной системы, или же как дополнение к ней. На то имеется несколько причин. Что, если система еще внедряется, или проходит стадию обновления? А может быть, новичка слишком накладно обучать на "живой" системе - мало ли что. Модели решают подобные проблемы, так как их можно инсталлировать на любой компьютер.
Агентства по временному найму могут использовать программное обеспечение какой-либо компании для подготовки своих работников, особенно, если компания выделяет данному агентству много рабочих мест. Или же постоянные сотрудники могут захотеть подучить возможность взять обучающий диск в библиотеке компании, чтобы попрактиковаться дома. Наконец, хорошая обучающая программа или модель дает уверенность в том, что все сотрудники получат одинаково точные инструкции, не пропускающие важных деталей, о которых может забыть рассказать инструктор-человек.
Как добраться до этих программ? Программы-модели можно получить в общественных, специализированных и даже научных библиотеках. Можно также заказать такую у производителя. Напишите производителю программного обеспечения, что мол вы собираетесь круто раскошелиться на его продукцию. Льстите, лгите, грейте в производителе чувство собственной сверхполноценности, а потом, будто бы невзначай, вверните: а нет ли, случаем, у господ хороших какой-нибудь "демонстрашки"? Дескать, я готов брать все оптом, а партнеры колеблются. Впрочем, если вы лицом подходящий и скользкий как угорь, а вдобавок терпеть не можете писать писем, то не исключено, что вам удастся даже добыть такую программу у дружески настроенного сотрудника компьютерного отдела компании (займитесь социальной инженерией! представьтесь менеджером или супервизором компании).
Модели и руководства - незаменимая вещь в хакерском деле; их польза очевидна. Они помогут вам изучить систему, и, вероятно, раскроют используемые по умолчанию имена точки входа; не исключено, что в них окажется даже описание недостатков системы.
Иногда приходится подключать все свое воображение, чтобы найти другие способы использования руководства. Как-то я сидел в одном офисе, ожидая назначенной встречи. Секретарша на минутку вышла,я подошел к ее столу и позаимствовал дискету, вложенную между страницами книги. Дискета содержала программу под названием ARRSIM (ARRangement SIMulator - модель программы по планированию и организации). Это оказалась действующая копия их рабочей программы, только с бессмысленными именами в базе данных. Программа предназначалась для обучения сотрудников планированию и организации встреч между клиентами и потенциальными поставщиками. Придя домой, я загрузил "демонстрашку" ARRSIM и начал свою игру. Сначала я попытался поменять адрес, на что компьютер ответил мне - "Supervisor Approval Required" (необходимо подтверждение от супервизора), и на экране замигал курсор. Тут явно был нужен пароль. Я попытался воспользоваться тем, что использовался при загрузке (он был написан на наклейке дискеты), но пароль не сработал. Я просканировал дискету с помощью одной веселой утилиты, но не нашел никакого подходящего текста (скрытого пароля). Мне всегда казалось, что изменение адреса - это нечто такое, чем приходится заниматься на каждом шагу. Так почему же, когда я попытался изменить адрес, у меня запросили пароль? Эту программу явно составлял один из тех параноиков, которые не в состоянии доверить девочке-оператору самостоятельно изменить имя или адрес. Итак, я позвонил в компанию (да-да, той самой знакомой секретарше) и после традиционного обмена сплетнями об общих знакомых ("Так Шейла стала бабушкой! У них мальчик или девочка?" - я слышал, как она обсуждала это событие с коллегой в тот день, когда я был в офисе), мне удалось вставить вопрос: Джей, не знаешь ли ты, что надо набрать, когда на экране появляется "Supervisor App..." - О, это такая глупость! - она рассмеялась. - Просто кошмар. Набери "morris".
Глава 2. Исследования перед взломом
- Возьмите, например, меня, - сказал Михаил Александрович, - тонкая игра. Человек-собака. Шизофренический бред, осложненный маниакально-депрессивным психозом, и притом, заметьте, Берлага, сумеречное состояние души. Вы думаете, мне это легко далось? Я работал над источниками. Вы читали книгу профессора Блейера?
- Н-нет, - ответил Берлага голосом вице-короля, с которою сорвали орден Полвязки и разжаловали в деншики.
- Вы не читали Блейера? Позвольте, по каким же материалам вы готовились?
И. Ильф, Е. Петров. Золотой теленок.
Любой серьезный взлом требует некоторых подготовительных исследований, которые должен произвести хакер перед тем, как усесться за компьютер. Грамотному "взломщику" необходимо владеть определенным объемом информации.
Чтобы заняться хакерством, вам, естественно, следует обладать кое-какими сведениями о компьютерах и телекоммуникациях (на уровне идей), но для реального взлома нужен, в первую очередь, телефонный номер, или какой-либо другой путь получения доступа к "вражескому" компьютеру. И в том, и в другом случае понадобится предварительное исследование. При первом обращении к компьютеру вам также придется исследовать возможные способы взлома и выбрать подходящий. И, наконец, вы будете производить исследования уже после того, как получите доступ к вожделенной системе, дабы извлечь как можно больше пользы из открывшихся перед вами возможностей. Последние рассматриваются в разделе под названием "Что делать, когда вы оказались внутри". А сейчас давайте обсудим, что же следует сделать, прежде чем начать военные действия.
ВЫБОР цели
Под "прицеливанием" я подразумеваю процесс, в ходе которого хакер решает, что именно из существующего программного обеспечения стоит попытаться "ломануть". Эта тема по многим причинам может показаться тривиальной, но, тем не менее, она заслуживает обсуждения.
Предположим, что вы новичок в этом деле. Допустим, вы получили - путем каких-то собственных исследований, или же по воле случая - некую информацию, которая, как вам кажется, может помочь проникнуть в определенную систему. Например, через нелегальные компьютерные каналы вы раздобыли телефонный номер большой правительственной базы данных со сведениями о шпионаже. Само собой, может показаться разумным просто набрать этот номер, чтобы убедиться, верны ли ваши сведения. С другой стороны, лучше сначала исследовать "дичь" и проверить, стоит ли она затраченного времени и денег за телефонный счет, а также оправдывает ли она связанный с взломом риск. Поишите данный номер в перекрестном телефонном каталоге данного региона. Такие каталоги можно найти во многих библиотеках. Это книги, как правило, выпушенные без лицензии телефонной компании, содержат список имен и адресов с номерами телефонов. В отличие от обычных телефонных книг, в перекрестных каталогах имя отыскивается по номеру, а не наоборот. Если вам не удастся найти такой каталог, позвоните оператору АТС и ангельским голосом осведомитесь, кому принадлежит данный номер. Естественно, что предпочтительнее самому просмотреть каталог, не выходя на контакт с сотрудниками телефонной компании (лишние свидетели). Если номер общедоступен, то это, скорее всего, вообще не компьютерная линия, и его можно оставить в покое. Вам может показаться бессмысленным тратить время на поиск номера, вместо того чтобы просто его набрать, но не забывайте: прежде чем трогать "дичь", следует накопить как можно больше информации о ней. Если номер действительно принадлежит сверхсекретной базе данных, будьте готовы к тому, что ваш звонок могут отследить; во всяком случае, он вызовет подозрение.
Новички обычно жаждут совершить свой первый большой взлом, и по горячности совершают опрометчивые поступки. Возможно, у вас еще не было опыта по изменению данных телефонной компании, или звонков с автомата, или каких-то иных способов замаскировать свой вызов. Новичок, набирающий секретный номер после предварительных исследований, вероятно, тоже глупо рискует, но он все же продвинулся на несколько ступеней выше по профессиональной хакерской лестнице, чем салага, который звонит вообще без всякой подготовки - это непростительная глупость.
Итак, когда цель избрана, вам не обязательно приступать немедля к вашему первому большому начинанию. Может оказаться более предпочтительным выждать, пока у вас не наберется достаточно опыта, чтобы выполнить все как надо. Если вам стало кое-что известно о "дичи", и больше это неведомо никому, лучше всего помалкивать, пока вы не произвели взлом. Если вы станете действовать, руководствуясь своими знаниями, и попытка провалится, шансы на повторную попытку будут близки к нулю, поскольку администраторы системы тоже не будут сидеть сложа руки. Запомните следующее: выше головы не прыгнешь. Прежде чем нырять с аквалангом за покоящимся на дне сокровищем, научитесь сначала держаться на воде, иначе утонете и это будет скучно и бездарно, как сказал один человек.
"Прицеливание" включает в себя также исследования другого рода. Что, если у вас в руках действительно оказался некий заманчивый секрет, позволяющий куда-то проникнуть? Вероятно, сперва следует подумать о наилучшем способе проникновения в эту систему. Например, если искомая система входит в Интернет, вам придется измыслить способ войти в сеть под чужим именем. Но имейте в виду, что на вашу "дичь" может положить глаз и другой охотник. Так что возможности вести подготовку годами у вас нет. Что же, хакерство - это такая штука, где побеждает наиболее энергичный.
Если вы числитесь в колледже, либо живете рядом с колледжем, и ваш компьютер зарегистрирован в Интернете, вам не составит труда войти в сеть под собственным именем, и уже оттуда пытаться соединиться с другими системами. Но это не только легко, а еще и чудовищно глупо! Только законченные идиоты совершают взлом, входя в сеть под собственным именем. Не успеете вы просмотреть те немногие директории, что открыты вашему минимальному уровню доступа, как вам уже придется искать способ маскировки для совершения дальнейших действий. Повторяю еще раз: вам придется искать способ входа под другим именем, и уже потом решаться на что-то большее.
Взлом компьютерных систем высшего порядка делится на две части: частный взлом и общественный. Имеется в виду, что сначала вы маскируетесь под какое-то частное лицо, а затем ищете способ замаскировать вашего липового пользователя под зарегистрированного пользователя взламываемой системы. Можно потратить уйму сил, денег и времени на попытки проникнуть в систему, которая в результате окажется бесполезной. Допустим, вы избрали мишенью компьютер на родном факультете, возымев желание превратить свою ступень F в ступень А. Вам может показаться, что вам достаточно прикинуться деканом или кем-либо еще из факультетского начальства, но во многих случаях это оказывается вовсе не так. Начальство факультета, как правило, не пользуется компьютерами, содержащими сведения о присвоенных ступенях, если только декан сам не ведет какой-либо курс. Значит, вам придется переключиться на профессора, или, скорее всего, на его ассистента. Именно они вводят в компьютер оценки. В результате вы начнете доискиваться, каковы могут быть пароли профессора и его ассистента. Затем встанет вопрос о компьютере. Какой компьютер вы будете пытаться "взломать"? Преподаватели, особенно те из них, что ведут математику или курсы компьютерных дисциплин, обычно сообщают студентам адрес своего компьютера, чтобы вы могли общаться с ними по электронной почте. Но это не поможет вам подняться на ступень выше. Для этих функций наверняка предназначен какой-нибудь закрытый административный компьютер - его-то вам и следует взламывать. Может показаться само собой разумеющимся, что наивысшим уровнем компьютерного доступа обладает ректор университета. Но так ли это на самом деле? Действуйте наверняка - займитесь профессорами.
Один из моих преподавателей английского языка неоднократно упоминал в аудитории персонажа одного сериала, и несколько раз упоминал о вещах, которые могли бы иметь отношение к данной передаче (использовал те же фразы, что употреблял в сериале персонаж). Естественно, попытки проникнуть в сеть за счет этого типа следовало бы начать, исходя из словечек персонажа, если учесть тот факт, что преподаватель английского вряд ли может осознавать всю ценность паролей с бессмысленным содержанием.
Но следует ли В ДЕЙСТВИТЕЛЬНОСТИ избирать своей мишенью ТАКОГО преподавателя? Если бы я завалил его предмет, и захотел порыться в его данных, чтобы повысить свою ступень, герой сериала вряд ли помог бы; насколько мне удавалось заметить, контроль над присуждением уровней, как правило, ведется ассистентами, а не профессорами! Потому-то для достижения избранной цели и необходима предварительная разведка.
Если вы знаете, чего хотели бы достигнуть, произведите вначале необходимые исследования, чтобы выяснить: те ли ЛЮДИ, которых вы избрали для достижения своей цели, сидят за клавиатурой нужного вам компьютера. Потенциальные мишени зачастую можно вычислить, читая свободно публикуемые открытые документы. Они рассчитаны на "этичное использование" системы и часто дают возможность заглянуть в "защищенные" от постороннего взгляда разделы. Например, мне удалось прочесть маленький отрывок из устаревшего доклада о мерах по безопасности. Данное положение, по-видимому, относилось к списку мер, которые следовало принять для улучшения зашиты компьютерной сети. Но к тому времени, как я прочел эту заметку, меры уже были приняты, а вот мысли о том, что зашита действительно необходима, давно успели улетучиться из головы автора доклада, и информация оказалась общедоступной. Вот что гласит это положение:
Сеть 19 должна быть полностью изолирована от персональных компьютеров и широкополосных сетей с помошью шлюзов. Входы на все терминальные серверы подлежат защите в обязательном порядке. Персональные компьютеры следует снабдить соответствующим программным обеспечением для ведения наблюдений за сетью с целью обнаружения неправильного и,или неэтичного ее использования.
Посмотрите, какое море информации можно извлечь из данного отрывка. Имея на руках эти рекомендации по усилению зашиты, нам не составит труда обнаружить то самое программное обеспечение, которое выполняет функции по защите. Тогда мы увидим, что могут делать эти программы и чего не могут; мы сможем отыскать в них ошибки или слабые места и использовать эти ошибки. На худой конец мы всегда в состоянии изобрести другие способы обойти эти программы - ведь на плечах у нас голова, а не котел, верно? Но наибольший интерес представляет (и имеет самое непосредственное отношение к нашему разговору о "прицеливании") упоминание о "Сети 19". Что это за "Сеть 19"? Наверняка нечто такое, что администрация хотела бы спрятать подальше от посторонних глаз. А раз так, то, похоже, перед нами достойная цель для взлома. Если такая заметка попадется на глаза хакеру, он, несомненно, изберет Сеть 19 своим объектом.
Это пример" случайно обнаруженной информации, которую можно с успехом использовать. Но помните - я прочитывал ВСЕ общедоступные документы ради ОДНОЙ-ЕДИНСТВЕННОЙ задачи - я хотел совершить взлом. То, что вышеупомянутая информация попала мне в руки, было чистой воды ВЕЗЕНИЕМ, но поиск-то я вел НАПРАВЛЕННЫЙ.
По сути дела, оперативные исследования такого рода - просматривание каждого дюйма имеющейся в вашем распоряжении системы, прежде чем заняться поиском менее доступных объектов - тоже является "прицеливанием". Если вашей целью является определенная секретная компьютерная система, просмотрите все схожие с ней доступные системы, перед тем, как заняться той, что вас интересует. Запас карман не тянет. Такой просмотр может привести к полезным намекам, типа упоминания о Сети 19; по крайней мере, вы ознакомитесь с различными сторонами системы - "дичи".
Вот что следует искать, "прощупывая" доступную систему, прежде чем заняться менее доступной: каким образом в ней осуществляется ввод и вывод; имеются ли в ней лазейки, и как система реагирует на них; каков формат ее команд (буквенный, управляющая последовательность), и какие типы команд пригодны к использованию; что это за компьютер и какое "железо" в нем находится. Конечно, существуют еще некоторые веши, которые вы будете искать, вроде информации о интерфейсе или о том, сколько времени занимает выполнение тех или иных команд. Эти сведения пригодятся позднее, ибо, когда дойдет до дела, то есть до взлома, вам не захочется тратить многие часы, пытаясь найти нужную команду или элементарно выйти из системы.
"Прицеливание" может показаться не только скучным, но и раздражающим занятием. В конце концов, ученый может анализировать радугу, используя специальные научные термины, объясняющие, что же она собой представляет, какой она формы, и почему цвета в ней располагаются именно так, а не иначе. Но вместе с тем, это сложное описание радуги не будет иметь ничего общего с самой радугой. Анализ не затрагивает красоту радуги. Технический жаргон не включает в себя поэтических эпитетов, которые мы привыкли ассоциировать с радугой. Вы можете привести те же доводы, объясняя, чем "прицеливание", подготовка и планирование попыток взлома отличаются от удовольствия, доставляемого самим взломом. Если вас наняли для взлома, вам придется выполнить работу, иначе вам не заплатят за нее. Но, с другой стороны, зачем нам мучиться, занимаясь такой ерундой, как скрупулезный сбор предварительной информации? Вы правы! Вы абсолютно правы! Совершенно необязательно принимать те предложения, о которых я говорю. Нет настоятельной необходимости как следует поразмыслить, что же вы собираетесь делать, прежде чем браться за дело. Это всего-навсего мое мнение, что следует иметь понятие о таких вещах. Что решившись на нарушение закона, надо по крайней мере знать, как это делается,
"Прицеливание" к определенным компьютерам, которые, как вы уверены, содержат нужную вам информацию, и к людям, обладающим определенными уровнями доступа и возможностями - все это похоже на научное описание радуги и не приносит ничего, кроме разочарования. Но в дальнейшем, если вы действительно хотите продвигаться вперед, если вы хотите совершать взломы ради развлечения и извлекать все больше удовольствия из каждой новой попытки, я бы все же посоветовал вам заняться этими скучными вещами. Они помогут избавиться от долгих бесплодных поисков и однообразных попыток совершить взлом с помощью грубой силы, а также избежать неприятностей.
Итак, разрабатывайте основной план действий. Удостоверьтесь, что выбранные вами цели годятся для данного случая. Тогда вы будете знать, что ваш взлом не обернется полным тупиков лабиринтом. Сам я придерживаюсь концепции "намерений", или "целей", но, если вы не частный сыщик и не ушлый журналист, то, возможно, захотите и будете рады проникнуть в любой оказавшийся под рукой компьютер с помощью любых подручных средств. Это тоже неплохо; многие хакеры настолько отдаются своему увлечению, что, даже если компьютерная система и не таит в себе ничего особенного, о чем они прекрасно знают, эти ребята все же взламывают ее, так как получают удовольствие от самого процесса взлома. Но ведь очевидно, что куда интереснее проникнуть в систему с какими-то секретами, нежели в такую, чье содержимое не представляет для вас никакой ценности. Стоит ли тратить многие месяцы, пытаясь пробраться в систему, содержащую статистические данные о частоте копуляций лабораторных крыс? (Впрочем, возможно, такие вещи представляют для вас интерес). Проявляйте осмотрительность при выборе целей. Проникновение в систему - только полдела; когда вы окажетесь внутри, вам будет гораздо интереснее.
Сбор Информации
Прежде чем приступить к своим исследованиям, вам следует выяснить, какого рода информацию вы стремитесь получить. Существует три темы, о которых должен иметь представление хакер: телекоммуникации вообще, системы вообще и конкретные системы в частности. Вам следует обладать определенным уровнем знаний о компьютерах, модемах, телефонных сетях и о человеческой натуре. Я весьма надеюсь, что эта книга ознакомит вас с подобной полезной информацией. Если нет - а я с готовностью признаю, что данная книга не является чем-то вроде Вселенской Библии - отправляйтесь на поиски специальных библиотек и ищите там то, что вас интересует. Возможно, вам и не требуется никаких особенных знаний. Но вам наверняка захочется ознакомиться с последними достижениями технологии, равно как и с теми организациями, чьи компьютеры вы собираетесь "взламывать". Даже если вы считаете, что знаете все, что только можно знать, совсем не помешает убедиться: в самом ли деле вы являетесь знатоком своего дела - особенно, если речь идет о таких стремительно меняющихся вещах, как аппаратное обеспечение, программное обеспечение и телекоммуникации.
Ступайте в близлежащую библиотеку. Найдите полки с книгами по компьютерам, полки с книгами по уголовному праву и полки с книгами по управлению бизнесом. Там вы обнаружите "легальные" книги о хакерстве и компьютерных преступлениях. Изредка следует просматривать также книги по телекоммуникациям. Если вы хотите получить понятие о различных ситуациях, в которые вы можете попасть, значит, вам понадобятся книги об информационных службах, интерактивных базах данных, компьютерных преступлениях, операционных системах, BBS и обо всем, что имеет отношение к действиям, производимым с компьютером и модемом. Поищите в каталоге карточки со словами "телекоммуникации", "зашита", "компьютеры", "хакерство", "телефонные системы", "модемы", и т. п. Не забудьте и о справочниках - там содержится много полезных материалов. Хакер-ству лучше всего обучаться в деле, но в технической литературе тоже можно найти немало хороших приемов и хитростей. Кстати, вы знаете, кто публикует больше всех в мире книг? Правительство Соединенных Штатов. Если ваша библиотека является государственной, прочтите все правительственные публикации на интересующую вас тему. Из них вы сможете почерпнуть немало полезной информации.
Я вовсе не хочу сказать, что вам следует прочесть каждую книгу в библиотеке, и уж конечно, не имею в виду, что все это надо прочесть до того, как вы начнете ваши первые хакерские опыты. Я просто довожу до вашего сведения следующее: зачастую люди не представляют себе, сколь богатую информацию можно почерпнуть из вполне доступных источников, не прибегая ни к каким взломам. К тому же, читая книги, вы узнаете о том, как выглядят компьютерные системы изнутри. Вы ознакомитесь с различными необходимыми командами, форматами имен и паролей, которые используются в различных системах. Вдобавок, зачастую в таких книгах спокойно можно найти списки доступных номеров - позвонив по ним, вы сможете проверить различные системы либо получить информацию по этим системам. Все эти сведения пригодятся вам и помогут двигаться вперед.
Придя в библиотеку, загляните в отдел периодики и возьмите там несколько компьютерных журналов и газет. Предпочтение следует отдать тем, которые вы обычно не читаете, или таким, о которых вы вообще не слышали. Полезно бывает посылать в журнал заказы на интересующую вас информацию, а также заполнять карточки Службы Чтения для получения доступных сведений на эти темы. Просто диву даешься, какие компании порой отвечают на такие послания, и еще более удивительно, сколько зацепок для хакера содержит выдаваемая информация. Лично я вхожу в число постоянных адресатов нескольких компаний по компьютерной защите. Я знаю все, что мне необходимо, обо всех их программных продуктах, о новейших достижениях, о том, кто пользуется этими программами. Вооруженный такими сведениями, я могу прокладывать свой путь в обход продукции данных компаний. Зная, как они ловят хакеров, я знаю, как избежать поимки. С другой стороны, иногда более практичным оказывается выклянчивание у библиотекарей подаренных библиотеке книг. Многие библиотеки принимают в дар книги - для распродажи или чтобы пополнить собственные запасы. Большую часть этих книг составляют старые технические руководства различных компаний - по компьютерам, программному обеспечению и работе операционных систем. Библиотекари, имеющие дело с подаренными материалами, увидев такие веши, обычно выбрасывают их за ненадобностью. Постарайтесь подружиться с библиотекарем, и он, скорее всего, предпочтет отдавать такие вот "ненужные" издания вам, нежели выкидывать. V меня набралось множество ценных пособий, справочников, руководств по операционным системам и магнитных дисков подобного рода. Я могу похвастаться даже замечательной и вполне злободневной подборкой закрытых изданий ATandT. Порой найденные вами книги содержат заметки, нацарапанные на полях или на обложке. Моя любимая пометка такого сорта - телефонный номер и групповой идентификационный код доступа. Код доступа с тех пор устарел, но телефонный номер еще существует, так же как и гостевой пароль, который иногда удается обнаружить в подо бных руководствах.
Некоторые нестандартные методы исследований
Эти методы не столь уж необычны, поскольку в дело идет все, что может принести пользу в вашем отважном предприятии. Раздобыв идею нового способа получения большего количества сведений об интерактивной системе или о работающих в ней людях, постарайтесь опробовать ее на практике. В принципе, любые сведения могут оказаться полезными. Все, что вы обнаружите, поможет вам проникнуть либо в тот компьютер, который интересует вас на данный момент, либо в другой - когда-нибудь в будущем. К тому же, согласитесь, всегда приятно обнаружить закрытые данные или тайные секреты системы. Поделитесь своими открытиями с другими хакерами, а те в долгу не останутся как пить дать отблагодарят вас, поведав что-нибудь этакое.
Существует пять нестандартных методов исследований: диалоговые руководства и модели программ; копание в мусоре; анализ найденных дискет; изучение фотографий; "вынюхивание". Помните - все эти методы исследований работают.
Диалоговые обучающие руководства и модели программ
Руководства и модели программ часто используются для обучения работе с компьютерной системой. Эти программы имитируют компьютерные экраны, какими видел бы их пользователь в процессе реальной работы в сети. Руководства и модели отличаются от реальной работы тем, что сообщают пользователю о стандартных методах общения с системой и иногда даже показывают ему необходимые в работе специальные детали. Если пользователь не прошел курс обучения, ему обычно выдается сборник упражнений для работы с облегченной версией настоящей системы, причем, как правило, выдается вместе с богатым набором всевозможных шпаргалок.
Руководства и модели дают новым пользователям практический опыт общения с программным обеспечением, с которым им придется иметь дело, знакомят с его функциями и задачами. Такие программы весьма часто используются в учебных целях вместо реальной системы, или же как дополнение к ней. На то имеется несколько причин. Что, если система еще внедряется, или проходит стадию обновления? А может быть, новичка слишком накладно обучать на "живой" системе - мало ли что. Модели решают подобные проблемы, так как их можно инсталлировать на любой компьютер.
Агентства по временному найму могут использовать программное обеспечение какой-либо компании для подготовки своих работников, особенно, если компания выделяет данному агентству много рабочих мест. Или же постоянные сотрудники могут захотеть подучить возможность взять обучающий диск в библиотеке компании, чтобы попрактиковаться дома. Наконец, хорошая обучающая программа или модель дает уверенность в том, что все сотрудники получат одинаково точные инструкции, не пропускающие важных деталей, о которых может забыть рассказать инструктор-человек.
Как добраться до этих программ? Программы-модели можно получить в общественных, специализированных и даже научных библиотеках. Можно также заказать такую у производителя. Напишите производителю программного обеспечения, что мол вы собираетесь круто раскошелиться на его продукцию. Льстите, лгите, грейте в производителе чувство собственной сверхполноценности, а потом, будто бы невзначай, вверните: а нет ли, случаем, у господ хороших какой-нибудь "демонстрашки"? Дескать, я готов брать все оптом, а партнеры колеблются. Впрочем, если вы лицом подходящий и скользкий как угорь, а вдобавок терпеть не можете писать писем, то не исключено, что вам удастся даже добыть такую программу у дружески настроенного сотрудника компьютерного отдела компании (займитесь социальной инженерией! представьтесь менеджером или супервизором компании).
Модели и руководства - незаменимая вещь в хакерском деле; их польза очевидна. Они помогут вам изучить систему, и, вероятно, раскроют используемые по умолчанию имена точки входа; не исключено, что в них окажется даже описание недостатков системы.
Иногда приходится подключать все свое воображение, чтобы найти другие способы использования руководства. Как-то я сидел в одном офисе, ожидая назначенной встречи. Секретарша на минутку вышла,я подошел к ее столу и позаимствовал дискету, вложенную между страницами книги. Дискета содержала программу под названием ARRSIM (ARRangement SIMulator - модель программы по планированию и организации). Это оказалась действующая копия их рабочей программы, только с бессмысленными именами в базе данных. Программа предназначалась для обучения сотрудников планированию и организации встреч между клиентами и потенциальными поставщиками. Придя домой, я загрузил "демонстрашку" ARRSIM и начал свою игру. Сначала я попытался поменять адрес, на что компьютер ответил мне - "Supervisor Approval Required" (необходимо подтверждение от супервизора), и на экране замигал курсор. Тут явно был нужен пароль. Я попытался воспользоваться тем, что использовался при загрузке (он был написан на наклейке дискеты), но пароль не сработал. Я просканировал дискету с помощью одной веселой утилиты, но не нашел никакого подходящего текста (скрытого пароля). Мне всегда казалось, что изменение адреса - это нечто такое, чем приходится заниматься на каждом шагу. Так почему же, когда я попытался изменить адрес, у меня запросили пароль? Эту программу явно составлял один из тех параноиков, которые не в состоянии доверить девочке-оператору самостоятельно изменить имя или адрес. Итак, я позвонил в компанию (да-да, той самой знакомой секретарше) и после традиционного обмена сплетнями об общих знакомых ("Так Шейла стала бабушкой! У них мальчик или девочка?" - я слышал, как она обсуждала это событие с коллегой в тот день, когда я был в офисе), мне удалось вставить вопрос: Джей, не знаешь ли ты, что надо набрать, когда на экране появляется "Supervisor App..." - О, это такая глупость! - она рассмеялась. - Просто кошмар. Набери "morris".