Прибегает к нам (в интернет-провайдер) злобный человек и начинает разоряться, что кто-то ворует его интернет-трафик. И, несмотря на то, что тариф у него всё равно безлимит - его это сильно парит. Дескать, трафик воруется гигантскими порциями в то время, когда компьютер выключен в принципе. Начинаем разбираться - выясняется (как и всегда в таких случаях), что в доме в это время теоретически может находиться чадо в возрасте школоты. Папа, однако, стоит на своём и утверждает, что чадо зайти в систему не может, т.к. не знает пароля. И более того, папа даже как-то забирал на работу сетевой кабель от системника (бугага, сетевой кабель он забирал, у любого лоха в доме таких кабелей - жопой ешь). И даже "обескабленный" системник продолжал неведомым образом потреблять трафик.
Защита от воровства трафика в нашей сети одна из самых передовых: всё делается через тэги, присваиваемые клиентским пакетам ещё на свитчах в подъезде. Это раньше прыщавый задрот из соседней квартиры мог проснифить пакеты соседа, дождаться выключения его машины, подменить MAC-адрес у своей сетевухи и настроить IP, после чего радоваться, потребляя трафик. У нас такое невозможно в принципе: трафик потребляет только то устройство, которое подключено конкретно на клиентский порт. Манипуляции кого-то в соседнем порту бессмысленны: даже со 100% совпадающими MAC и IP система никуда не выпустит. Не прокатывает и аналогия с телефонами ("ко мне на кабель подключились"). Поскольку в Ethernet это невозможно: разве что перерубить где-нибудь кабель - но тогда у клиента интернет пропадёт навсегда, да и стоять с ноутбуком в подъезде долго не придётся.
Итого, мы совершенно уверены, что трафик потребляется клиентской машиной, а клиент уверен, что нихрена подобного - кто-то опускает его на бабки. Поскольку провайдер "местечковый", сравнительно небольшой (однако и солидный) - отношение к клиентам у нас на уровне, всегда стараемся помочь в случае чего. Разбираюсь по таким спорным вопросам всегда я - меня и отправили на разборки.
Когда я пришёл на место преступления, там было только чадо - тот самый злой мальчик, которого (по уверениям) пытали вплоть до выдёргивания ногтей, но он не сознавался ни в чём. Мальчик оказался совсем не таким, каким я его себе представлял - это был 13-летний детина, с ног до головы обвешанный какими-то гаджетами и блютус-гарнитурой в ухе. Типичный малолетний хакер - ни дать, ни взять. Для меня не оставалось сомнений, что он виноват во всех смертных грехах, но я сразу понял, что этот будет держаться до конца. Что ж, не таких на чистую воду выводили.
Леопардовым скоком приблизившись к компьютеру я диагностировал, что он тёплый - только что выключен. Это сильно обрадовало: у меня в голове крутилась масса вариантов воровства трафика, и один из вариантов отпал. Он состоял в том, что лазить в инет ведь можно и не со стационарного компьютера, запароленного добрым папой - а с какой-нибудь PSP, ноутбука или ещё какой компьютерной приблуды. Раз всё делается со стационара - доказать это проще простого. На этом этапе я предложил злому мальчику сознаться, но он только улыбался и повторял, что не знает никаких паролей и ничего не делал. Ладно, собака, попрыгаешь ты у меня.
Следующим вариантом было: злой мальчик мог и не знать пароля на вход в систему папы, но спокойно заходить под скрытым администратором с пустым паролем, как это обычно делаю я под выпученные глаза владельцев компьютеров. В XP, например, было так: при установке создаётся скрытый администратор (чаще всего с пустым паролем), и ещё один администратор-пользователь, под которым юзверь и работает. Своего пользователя юзверь запароливает двадцатизначными паролями, не зная, что есть ещё один скрытый админ с пустым паролем. Вариант, однако, не проканал: при инспекции машины выяснилось, что там есть два пользователя, один из которых - истинный запароленный админ (папин экаунт), второй - какой-то "Слава", тоже запароленный. Звоню папе, интересуюсь, почему два пользователя. Папа поясняет, что пользователь "Слава" был создан как-то давно, но пароль к нему был утерян и никто его теперь не знает. Как только я это услышал - в моей голове, как у заправского Шерлока Холмса, сразу нарисовалась логичная картина: злому мальчику ведь всё равно дают полазить в инете в установленное папиком время. Под папским экаунтом. Мальчик просто зашёл в учётные записи пользователей, поменял пользователю "Слава" пароль (админ может всё). И с тех пор у него однозначно есть доступ на машину под пользователем "Слава". Поведав злому мальчику сию историю я увидел, что на его лице не дрогнул ни один мускул. "Да и хрен с тобой" - подумал я.
Оставался финальный аккорд: зайти в систему и посмотреть аудит входов/выходов, который имеется в журналах винды. Родители злого мальчика ещё не пришли, паролей от обоих пользователей у меня не было и я решил развлечься: посмотреть файловую систему, загрузившись с LiveCD. Заодно, в голове появилась мысль обезопаситься от возможного варианта, что злой мальчик удаляет журналы винды при выходе (или просто настроил, чтобы аудит не вёлся). LiveCD показал много интересного: сразу же обнаружились файлы во временных папках IE, датированные несколькими минутами раньше моего прихода. Конечно же, там были всякие одноклассники и вконтакты - кто бы сомневался. Странно, но порнухи не оказалось - мальчик выдался недостаточно злой. Удача явно стояла ко мне передом, поскольку в системе обнаружился ещё и Logitech Desktop Messenger - лично мне программка неизвестная, зато ведущая логи, в которых явно обозначается, когда компьютер включался и выключался. Выбрав из вороха распечаток "убежавшего" трафика наугад три дня я убедился, что время включения/выключения системы абсолютно совпадает со временем накачки трафика.
Тут подошёл папа. Выслушав мои доводы он нахмурился, но было видно, что ему того мало! Пошли какие-то разговоры про "его не могло быть дома, потому что он в школе" и "я забирал на работу кабель". Мне всё это порядком начало надоедать и я сообщил, что не утверждаю, будто компьютер включал злой мальчик - возможно, это были Барабашка или домовёнок Кузя - почему бы и нет. Важно то, что перед моими глазами логи, и они говорят совершенно очевидное. Загрузились таки в саму систему - вуаля: в журнале аудита записи, совпадающие с логом Logitech на 100%. Только ещё и указано, что входил конкретно пользователь "Слава", а не "Барабашка" или "Кузя".
Злой мальчик, надо сказать, всё это время только улыбался. И в конце концов он так и не признался, да и по самому папе было видно, что ему легче поверить в Кузю с Барабашкой, нежели в то, что его отпрыск преспокойно и нагло всех обманывает. Когда я выходил из квартиры, у меня было стойкое впечатление, что обманул всех я.
Родители! Не думайте, что ваши дети тупее вас - в большинстве случаев это неправда. Если хотите обезопасить свой компьютер от вторжений чада - вызывайте специалиста, который в силу возраста всё же хитрее школьника.