Выбрать главу

Рациональному хакеру легче избежать этой опасности, чем злонамеренному разрушителю системы. Дело в том, что, если Юнец Джо напишет программу, которая тайно переформатирует жесткий диск, в то время как лампочки жесткого диска будут непрерывно зажигаться, на экране должно происходить нечто, способное отвлечь внимание пользователя. Юнцу Джо следует с умом соорудить некий не интерактивный "тайм-киллер", который будет развлекать пользователя на протяжении всего времени, которое понадобится для форматирования диска или для уничтожения файлов. Это может быть порнографическая картинка (возможно, дополненная цифровыми звуковыми эффектами: "О! О, детка! М-м-м..."), или цифровая музыкальная партитура; программа может также посылать графическое изображение на принтер. Между тем ваши быстродействующие "троянские кони" ("спринтеры") будут в срочном порядке делать свое дело.

Никогда не допускайте вашу программу на жесткий диск (или любое периферийное устройство), если системный оператор не сможет увидеть причины для этого. В то время как "троянский конь" будет заниматься своим делом, на экране должно быть сообщение, дезинформирующее оператора о работе программы. Например, если "лошадка" спрятана в игре, она должна посылать на экран сообщение вроде: "Сохранение вашего последнего счета...", тогда как на самом деле программа будет копаться в пользовательских файлах доступа (или делать что-то еще, на ваше усмотрение). Не забудьте о том, что попутно программа действительно обязана сохранить новое количество очков пользователя, а общее время ее работы должно быть весьма кратким. Как только "троянский конь" закончит работу, программе следует стереть с экрана сообщение; это позволит убедиться в том, что работа программы с жестким диском не вызвала подозрений. Если будет возможность, сотрите сообщение с экрана посреди работы "троянского коня", чтобы создать иллюзию очень малого времени обращения к жесткому диску.

Другой способ незаметно добраться до диска состоит в том, чтобы в начале работы программы выдать на экран нечто типа:

AutoCheck Virus Detection Program v1.3 (c)opyright 1992 Paul Bradley Ascs.

Scanning file FILENAME.1 for viruses..... Scanning file FILENAME.2 for viruses...

А тем временем "троянский конь" будет "проверять" жесткий диск компьютера на пароли!

В качестве FILENAME.1, FILENAME.2 и т. д. можно вставить имена программ и файлов данных, которые были загружены вместе с приложением. Замечательным штрихом будет не мгновенное, а постепенное появление на экране скобок (...) после каждого обращения к жесткому диску, дабы создать впечатление, что программа действительно проверяет файлы на вирусы.

"Прикрыть" деятельность "троянского коня" (в соответствующих обстоятельствах) можно также с помощью сообщений типа: открытие файла данных, чтение данных, сохранение выбора перед выходом,

Загрузка текста

Сообщения всегда должны соответствовать тому, что в действительности происходит в видимой части программы.

"Троянские кони", выполняющие функции BBS (такие, как изменение паролей), должны, если возможно, делать это путем прямого доступа к диску, не используя программу BBS. Это позволит вам обойти любые защитные протоколы и распечатки подозрительных действий.

До и после

Системные операторы, администраторы систем и даже обычные пользователи стали теперь осторожнее относиться к пересылке файлов. Они, как минимум, опасаются вирусов, и изучают программы перед тем, как их использовать, более тщательно, чем когда бы то ни было раньше.

Это означает, что они будут проверять ваши подгруженные программы на вирусы с помощью сканера. Такая проверка практически неизбежна, но бояться нечего, так как существующие программы проверки на вирусы не смогут обнаружить вашего "троянского коня" ни в одном из законных файлов. Вам следует опасаться только того, что системный оператор или менеджер станет собственноручно изучать ваши подгруженные программы в поисках нецензурных слов или ошибок.

Как и в предыдущем случае, сознательным разрушителям и системным вандалам придется труднее, чем вам. У них есть текст, который им придется прятать внутри своих программ. Например, всем известен вирус, или логическая бомба, которая вопит "GOTCHA!!" ("Попался!"), когда записывается поверх таблицы размещения файлов. Существующие программы ищут в файлах именно подобные веши. Даже если у оператора не имеется соответствующей программы, но он достаточно наблюдателен, разрушительское "GOTCHA!!" будет замечено еще до того, как программа начнет работать.

Ваших "троянских коней" не придется прятать слишком тщательно. Весь текст в ваших программах будет состоять из текста, который так или иначе будет выведен на экран: текст, либо являющийся частью прикладной программы, либо текст, который исходит из программы, а на самом деле прикрывает деятельность "троянского коня". К тому же в вашей программе не будут торчать, подобно ослиным ушам, команды типа "format с:". Таким образом, ваша работа легче, чем у кракера, хотя далеко не является пустяком.

В вашей программе могут быть команды чтения, записи или изменения хранящихся в BBS личных файлов. Системный оператор не должен обнаружить ни таких команд, ни, тем более, имен файлов. Использовать для кодирования команд и имен шифр "на одну букву выше" нежелательно, так как существуют программы, которые сканируют файл и выводят на экран содержащийся в нем удобочитаемый текст. Если вы просто замените все буквы следующими по порядку (т.е. PASS превратится в QBTT, и т. п.), в программе все равно останется текст в закодированном виде, и оператор может догадаться, что он означает. Лучше, если вы закодируете текст, используя цифры, символы или иностранные алфавиты.

Программа, в которую вы вставите "троянскую лошадку", может являться не откомпилированным исходником или пакетным файлом. В этом случае, чтобы спрятать "троянских коней", вам понадобится некоторая ловкость рук. НИКОГДА не загружайте пакетный файл просто так, в его первоначальном виде. Представьте себе состояние системного оператора, получившего от пользователя следующее:

cd BBS\USERS

open USERINFO.TXT

read USERINFO.TXT: User#44

set systemlevel 3 == systemlevel 99

close

exit

Это не настоящая программа. Я привел ее в качестве примера наглой попытки повышения уровня доступа, которая неминуемо привлечет внимание системного оператора.

Один из способов избежать этой проблемы - заставить ведущую прикладную программу создавать пакетные файлы и другие программы, которые для этого требуются. Пакетные команды запускаются как закодированная абракадабра в прикладной программе. Требуется подпрограмма, которая открывала бы текстовый файл, расшифровывала команды, наполняла ими файл, а затем делала свое дело. Создание и использование файла могут происходить в различные промежутки времени, чтобы не удлинять время нелегального доступа к диску.

В легко читаемых источниках "троянская лошадка" также не должна стоять в самом начале или в конце листинга. Засуньте ее поглубже в программу. Добавьте комментарии, способные отвлечь внимательного читателя. И помните, если ваша прикрывающая программа будет особенно умно сделанной, системному оператору может захотеться проанализировать ее, чтобы понять, как это вы добились столь выдающихся результатов! Это означает, что прикрывающая программа может оказаться объектом пристального внимания, и вашего "троянского коня" могут случайно обнаружить.

После использования "троянского коня" программа должна его уничтожить, т. е. последние несколько действий "троянского коня" должны стираться из программы.

Стереть прикладную программу, а вместе с ней и "троянского коня", может и сам системный оператор. Это может оказаться сложным - заставить системного оператора стереть все загруженные вами файлы, не вызывая никаких подозрений. Способ заключается в следующем: прикладная программа должна являться чем-то уже имеющимся у оператора, или чем-то похожим на его версию, но похуже.

Вы можете даже просто послать системному оператору письмо по электронной почте, в котором сообщите, что обнаружили в программе потенциально опасную ошибку, а "в случае, если вы решите уничтожить ее, я вышлю вам исправленную версию". Так можно поступать только в случае, если прикладная программа, которую вы послали, откомпилирована, иначе системный оператор сможет и сам устранить ошибку (уж он-то устранит!)