Искусство обмана

Для следующей попытки, Иван пошел на поисковую систему Google, и ввел «wordlist dictionaries,» и нашел тысячи сайтов с большими списками слов и словарями на английском и на некоторых иностранных языках. Он скачал целый электронный английский словарь. Он улучшил его, скачав несколько словарей, найденных в Google. Иван выбрал сайт www.outpost9.com/files/WordLists.html .

На этом сайте он скачал (и все это – бесплатно ) подборку файлов, включая фамилии, вторые имена, имена и слова членов конгресса, имена актеров, и слова и имена из Библии.

Еще один из многих сайтов, предлагающих списки слов предоставляется через Оксфордский университет, на ftp://ftp.ox.ac.uk/pub/wordlists .

Другие сайты предоставляют списки с именами героев мультфильмов, слов, использованных у Шекспира, в Одиссее, у Толкина, в сериале Star Trek, а также в науке и религии и так далее (одна онлайновая компания продает список, состоящий из 4,4 миллионов слов и имен всего за $20). Атакующая программа также может быть настроена на проверку анаграмм слов из словаря – еще один любимый метод, который, по мнению пользователей компьютера, увеличивает их безопасность.

Быстрее, чем ты думаешь

Когда Иван решил, какой список слов использовать, и начал атаку, программное обеспечение заработало на автопилоте. Он смог обратить свое внимание на другие вещи. А вот и удивительная часть: вы думаете, что такая атака позволит хакеру поспать, и программа все равно сделала бы мало, когда он проснется. На самом деле, в зависимости от атакуемой операционной системы, конфигурации систем безопасности и сетевого соединения, каждое слово в Английском словаре может быть перепробовано менее, чем за 30 минут!

Пока работала эта атака, Иван запустил похожую атаку на другом компьютере, нацеленную на другой сервер, используемый группой разработчиков, ATM6. Через 20 минут, атакующая программа сделала то, что многие неподозревающие пользователи считают невозможным: она взломала пароль, показывая, что один из пользователей выбрал пароль «Frodo», один из хоббитов из книги Властелин Колец .

С паролем в руке, Иван смог подключиться к серверу ATM6, используя пользовательский аккаунт.

Для нашего атакующего была хорошая и плохая новости. Хорошая новость – у взломанного аккаунта были администраторские права, которые были нужны для следующего этапа. А плохая новость – то, что исходный код игры нигде не был обнаружен. Он должен быть, все‑таки, на другом компьютере, ATM5, который, как он уже узнал, смог устоять перед атакой по словарю. Но Иван еще не сдался; он еще должен был попробовать несколько штучек.