Атака Pass-the-hash

Поделись знанием:
Перейти к: навигация, поиск

Атака Pass-the-hash — один из видов атаки повторного воспроизведения. Она позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.

Этот метод может быть использован против любого сервера/сервиса, использующего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы.





Описание

В системах, использующих протокол аутентификации NTLM, пароли никогда не передаются по каналу связи в открытом виде. Вместо этого они передаются соответствующей системе (такой, как контроллер домена) в виде хешей на этапе ответа в схеме аутентификации Вызов-ответ[1].

Приложения Windows запрашивают у пользователя пароль в открытом виде, а затем вызывают API (например, LsaLogonUser[2]), которые преобразуют пароль в LM хеш и NTLM хеш[3] и передают их в процессе аутентификации.[Примечание 1][4] Анализ протоколов показал, что для успешной аутентификации не обязательно знать пароль в открытом виде, вместо этого может использоваться только его хеш.

После получения каким-либо образом пары {имя пользователя — хеш пароля пользователя}, криптоаналитик получает возможность использовать эту пару для выполнения атаки по сторонним каналам и аутентификации на удаленном сервере под видом пользователя.[5] При использовании данной атаки отпадает необходимость полного перебора значений хеш-функции для нахождения пароля в открытом виде.[6] В основе атаки лежит слабость в реализации протокола сетевой аутентификации. Она заключается в том, что хеши паролей передаются без использования соли, а потому остаются неизменными от сессии к сессии (до тех пор, пока не изменяется пароль пользователя).[7] Другими словами, для атакующего хеши паролей эквивалентны самим паролям.

История

Атака pass the hash изначально была опубликована Полом Эштоном в 1997[8]. В основе этой атаки лежала возможность пройти аутентификацию на Samba SMB клиенте с использованием хеша пароля пользователя. При этом клиент не требовал пароля в открытом виде (Следующие версии Samba и некоторые сторонние реализации SMB и NTLM протоколов также поддерживали эту функциональность).

Поскольку этот способ атаки основывался на сторонней реализации Samba SMB клиента, он был подвержен некоторым серьезным ограничениям с точки зрения перспективности использования. Так как SMB протокол продолжал развиваться с течением времени, сторонние разработчики были вынуждены поддерживать изменения и дополнения, вносимые в протокол в новых версиях Windows/SMB (исторически это осуществлялось с помощью метода обратной разработки). Это означает, что даже после успешной NTLM аутентификации с использованием атаки pass the hash, некоторые Samba SMB клиенты могли не поддерживать необходимый криптоаналитику функционал.

Также из-за применения в атаке сторонней реализации Samba SMB клиента, было невозможно использовать встроенные приложения Windows такие как Net.exe или Active Directory Users and Computers, поскольку для аутентификации они запрашивали у атакующего/пользователя пароль в открытом виде, а не принимали хеш.

В 2007 Хернан Очоа опубликовал программу «Pass-the-Hash Toolkit»[9]. С её помощью можно было во время работы системы изменить имя пользователя, доменное имя и хеш пароля, занесенные в кеш сервером проверки подлинности локальной системы безопасности после аутентификации пользователя[10][11]. Благодаря этому становилось возможным выполнить атаку pass the hash с использованием стандартных средств Windows, и, таким образом, обойти встроенные в систему средства проверки аутентификации.

Приложение также предоставляло новую технику атаки, позволявшую извлечь хеши паролей, сохраненные в кеш-памяти процесса lsass.exe. Данная техника вскоре стала широко использоваться для проведения испытаний на проникновение и атак. Этот метод сбора хешей паролей превосходит использовавшиеся ранее (например, извлечение хешей из локальной базы данных SAM с использованием pwdump или аналогичных программ), поскольку позволяет извлечь из оперативной памяти имя пользователя/доменное имя/хеш пароля пользователей домена (и администраторов домена), авторизованных в системе. Этот метод, например, позволяет получить хеши паролей авторизованных пользователей домена, которые не хранятся на жестком диске.[12] Благодаря этому становится возможным скомпрометировать весь домен Windows NT после компрометации одного участника этого домена. Более того, атака может быть выполнена сразу, без необходимости проводить ресурсозатратную подготовку методом полного перебора.

Впоследствии программа была заменена приложением «Windows Credential Editor», расширявшим исходную функциональность и добавлявшим поддержку новых операционных систем.[13][14] Некоторые антивирусы воспринимают данное приложение как вредоносную программу.[15][16]

Сбор хешей

Прежде чем атака pass the hash может быть осуществлена, необходимо получить хеши паролей, соответствующие целевым аккаунтам. С этой целью атакующий может следующие методы сбора хешей:

  • Кешированные хеши паролей пользователей, прошедших аутентификацию в системе, могут быть прочитаны из базы данных SAM любым пользователем с правами администратора или с помощью различных утилит (например, pwdump).[17] Администратор может запретить кеширование хешей паролей, так что данный метод работает не всегда.
  • Считывание хешей из локальной базы данных SAM.[18] Поскольку эта база данных содержит сведения только о локальных пользователях, при использовании домена криптоаналитик не сможет пройти аутентификацию в других сервисах этого домена. Однако если локальный пароль администратора используется в других системах домена, атакующий получает возможность использовать хеши локального аккаунта для удаленного доступа к таким системам.
  • Анализ трафика между сервером и клиентом при аутентификации Вызов-ответ[19]. Поскольку полученные хеши зашифрованы, необходимо выполнить полный перебор для получения хешей паролей.
  • Извлечение хешей, сохраненных системой[20] в памяти процесса lsass.exe. Хеши, полученные таким методом, могут принадлежать пользователям/администраторам домена (например, вошедших в систему через RDP). Таким образом, этот метод может быть использован для компрометации всего домена.

Меры противодействия

Любая система, использующая NTLM/LM протокол аутентификации[21] в сочетании с любым протоколом связи (SMB, FTP, RPC, HTTP и другие)[22], подвержена атаке pass the hash. От данной атаки трудно защититься, поскольку существую многочисленные эксплойты для Windows, позволяющие атакующему получить права администратора и осуществить сбор хешей. Более того, компрометация всего домена Windows может быть осуществлена с использованием одного участника этого домена.[12] Многочисленные программы для проведения испытаний на проникновение могут быть использованы для автоматического поиска уязвимостей в системе.

Для защиты от атаки pass the hash применяется метод комплексной защиты[23][24]: использование межсетевого экрана, системы предотвращения вторжений, IPsec, антивирусных программ, полное шифрование диска, аутентификация с использованием стандарта IEEE 802.1X, уменьшение числа пользователей с правами администратора[25], своевременная установка исправлений безопасности[26]. Запрет системе Windows на кеширование хешей паролей может помешать атакующему извлечь эти значения из памяти. На практике это означает возможность проведения атаки только после входа жертвы в систему.[27] В сценарии атаки на хеши паролей администраторов домена может использоваться возможность прохождения ими аутентификации в скомпрометированной системе. Разрешение администраторам домена проходить аутентификацию только в доверенных серверах проверки подлинности локальной системы безопасности сужает вектор атаки.[28] Принцип минимальных привилегий предполагает предоставление пользователю минимально необходимых прав доступа для выполнения любых операций.[29] Запрет на использование в системе протокола аутентификации NTLM/LM может повысить защищенность системы[30], хотя протокол Kerberos также подвержен данной атаке.[31][32] Запрет на использование отладчика может помешать атакующему извлечь хеши из памяти процессов.[33]

Режим ограниченного администрирования, добавленный в Windows в 2014 году в обновлении для системы безопасности, разработан для снижения эффективности данного метода атаки.[34]

Напишите отзыв о статье "Атака Pass-the-hash"

Примечания

  1. Hummel: Why Crack When You Can Pass the Hash?, 2009.
  2. Microsoft: LsaLogonUser, 2011.
  3. Todorov: Mechanics of User Identification and Authentication: Fundamentals of Identity Management, 2007, pp. 233: «The LsaLogonUser() function on the clienr computer calculates the LM hash and the NTLM hash».
  4. Microsoft: How Interactive Logon Works, 2009.
  5. Stirnimann: Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes, 2010, p. 24: «Passing the hash is an attack based on having a valid set of credentials (a username and its password hash) and authenticating to a remote system as that user.».
  6. Stirnimann: Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes, 2010, p. 24: «The attacker does not need to recover the plaintext password.».
  7. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, p. 26: «Some researchers claim that the pass-the-hash attack is possible because of a weakness in the design of Windows unsalted password hashing mechanism.».
  8. Stirnimann: Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes, 2010, p. 9: «First published (theory & exploit code) in 1997 by Paul Ashton».
  9. Ochoa: Pass-The-Hash Toolkit for Windows, 2008, p. 11: «Published in 2007, is Free and Open Source (written in C, by me)».
  10. Core Security Technologies: Pass-The-Hash Toolkit, 2007: «These tools allow you to list the current logon sessions with its corresponding NTLM credentials (e.g.: users remotely logged in thru Remote Desktop/Terminal Services), and also change in runtime the current username, domain name, and NTLM hashes».
  11. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, pp. 12-13: «These tools allow the attacker to list the current login sessions credentials, and give him the ability to change them in runtime».
  12. 1 2 Core Security Technologies: Pass-The-Hash Toolkit, 2007, WHOSTHERE.EXE/WHOSTHERE-ALT.EXE.
  13. Ochoa: WCE Internals, 2011, pp. 3-6.
  14. Ochoa: Windows Credentials Editor (WCE) F.A.Q., 2011: «The Pass-The-Hash (PSH) Toolkit does not work anymore. It does not support newer updates for Windows XP and 2003; and it does NOT support Windows 7 and 2008 at all.».
  15. Symantec: SecurityRisk.WinCredEd, 2011.
  16. Microsoft: HackTool:Win32/Wincred.A, 2011.
  17. Hummel: Why Crack When You Can Pass the Hash?, 2009, 3.3. Dump the hash locally, pp. 8-9: «In addition to the local system accounts, the tools attempt to retrieve hashes from active login sessions and cached domain login.».
  18. Hummel: Why Crack When You Can Pass the Hash?, 2009, 3.3. Dump the hash locally, pp. 8: «With physical access the system can be booted to an alternate OS where key files can be copied to removable media. Windows password hashes are stored in the SAM file.».
  19. Hummel: Why Crack When You Can Pass the Hash?, 2009, 3.2. Sniff the LM hash off the network, pp. 8: «This makes it is entirely possible to capture packets off the wire containing the hash.».
  20. Hummel: Why Crack When You Can Pass the Hash?, 2009, 3.5. Dump and analyze the contents of memory, pp. 10: «Another technique to obtain hashes involves dumping and analyzing the contents of system memory.».
  21. Hummel: Why Crack When You Can Pass the Hash?, 2009, 5.1. What systems are at risk?, p. 20: «Any system that is using LM or NTLM (v1 and v2) authentication is at risk».
  22. Hummel: Why Crack When You Can Pass the Hash?, 2009, 5.2. What services are at risk?, p. 20: «In this instance a service is referred to as the offering which is obtained as a result of successful authentication rather than the protocol (SMB, HTTP, .etc) that invokes the authentication process.».
  23. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, 3.5. Part 2 – Defense - Pass-the-hash Mitigation, p. 26: «Understanding this fact, and the risks that comes from it, will help organizations building an effective defense-in-depth strategy that will assist them in mitigating pass-the-hash attacks (and other attacks).».
  24. Kraus, Barber, Borkin, Alpern: Seven Deadliest Microsoft Attacks, 2010, Defense-in-Depth Approach, p. 17.
  25. Grimes: Stop pass-the-hash attacks before they begin, 2011.
  26. Kraus, Barber, Borkin, Alpern: Seven Deadliest Microsoft Attacks, 2010, p. 14: «But overall, It should be pretty clear that missing patches and password reuse can be a very deadly combination when faced with these types of threats.».
  27. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, 3.5.4. Limit Cached Credentials, p. 30.
  28. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, 3.5.1. Sensitive Systems Isolation, p. 26.
  29. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, 3.5.2. Enforce Least User Access (LUA), p. 27.
  30. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, 3.5.3. Avoid LM and NTLM challenge-response, p. 28.
  31. securityfocus: Microsoft Windows Kerberos 'Pass The Ticket' Replay Security Bypass Vulnerability, 2010.
  32. Malgherini, Focardi: Attacking and fixing the Microsoft Windows Kerberos login service, 2010, 3.3 Pass-the-ticket Attack, pp. 8-10.
  33. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, 3.5.5. Disable "Debug Programs" User Right, p. 30.
  34. Microsoft: Советы по безопасности (Microsoft) (2871997), 2014.

Литература

Книги
  • Kraus R., Barber B., Borkin M., Alpern N. [books.google.com/books?id=DeedAlmTAnsC&pg=PA14 Seven Deadliest Microsoft Attacks]. — Syngress, 2010. — ISBN 1-59749-551-4.
  • Todorov D. [books.google.ru/books?id=eIPA4v0u05EC&pg=PA233&lpg=PA233 Mechanics of User Identification and Authentication: Fundamentals of Identity Management]. — CRC Press, 2007. — ISBN 9781420052190.
Статьи
  • Hummel C. [www.sans.org/reading_room/whitepapers/testing/crack-pass-hash_33219 Why Crack When You Can Pass the Hash?] // SANS Institute. — 2009.
  • Stirnimann D. [www.hacking-lab.com/misc/downloads/event_2010/daniel_stirnimann_pass_the_hash_attack.pdf Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes] // Compass Security AG. — 2010.
  • Ochoa H. [www.coresecurity.com/system/files/Ochoa_2008-Pass-The-Hash.pdf Pass-The-Hash Toolkit for Windows] // Core Security Technologies. — 2008.
  • Ochoa H. [www.slideshare.net/rootedcon/hernan-ochoa-wce-internals-rootedcon-2011 WCE Internals] // RootedCON. — 2011.
  • Ochoa H. [www.ampliasecurity.com/research/wcefaq.html Windows Credentials Editor (WCE) F.A.Q.] // Amplia Security. — 2011.
  • Ewaida B. [www.sans.org/reading_room/whitepapers/testing/pass-the-hash-attacks-tools-mitigation_33283 Pass-the-hash attacks: Tools and Mitigation] // SANS Institute. — 2010.
  • Grimes R. [www.infoworld.com/d/security/stop-pass-the-hash-attacks-they-begin-167997?page=0,0 Stop pass-the-hash attacks before they begin] // Infoworld. — 2011.
  • Malgherini T., Focardi R. [secgroup.dais.unive.it/wp-content/uploads/2010/08/m0t-krb5-08-2010.pdf Attacking and fixing the Microsoft Windows Kerberos login service]. — Universit`a Ca’ Foscari, 2010.
Сайты
  • [msdn.microsoft.com/en-us/library/aa378292(VS.85).aspx LsaLogonUser] // Microsoft. — 2011.
  • [technet.microsoft.com/en-us/library/cc780332(WS.10).aspx How Interactive Logon Works] // Microsoft. — 2009.
  • [www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit Pass-The-Hash Toolkit] // Core Security Technologies. — 2007.
  • [www.symantec.com/security_response/writeup.jsp?docid=2011-032115-3507-99 SecurityRisk.WinCredEd] // Symantec. — 2011.
  • [www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=HackTool%3aWin32%2fWincred.A HackTool:Win32/Wincred.A] // Microsoft. — 2011.
  • [www.securityfocus.com/bid/42435 Microsoft Windows Kerberos 'Pass The Ticket' Replay Security Bypass Vulnerability] // securityfocus.com. — 2010.
  • [technet.microsoft.com/library/security/2871997 Советы по безопасности (Microsoft) (2871997)] // Microsoft. — 2014.


Ошибка в сносках?: Для существующих тегов <ref> группы «Примечание» не найдено соответствующего тега <references group="Примечание"/> или пропущен закрывающий тег </ref>

Отрывок, характеризующий Атака Pass-the-hash

– И пойдем, ишь ты! И пойдем… ишь ты! – повторяли друг за другом целовальник и высокий малый, и оба вместе двинулись вперед по улице. Окровавленный кузнец шел рядом с ними. Фабричные и посторонний народ с говором и криком шли за ними.
У угла Маросейки, против большого с запертыми ставнями дома, на котором была вывеска сапожного мастера, стояли с унылыми лицами человек двадцать сапожников, худых, истомленных людей в халатах и оборванных чуйках.
– Он народ разочти как следует! – говорил худой мастеровой с жидкой бородйой и нахмуренными бровями. – А что ж, он нашу кровь сосал – да и квит. Он нас водил, водил – всю неделю. А теперь довел до последнего конца, а сам уехал.
Увидав народ и окровавленного человека, говоривший мастеровой замолчал, и все сапожники с поспешным любопытством присоединились к двигавшейся толпе.
– Куда идет народ то?
– Известно куда, к начальству идет.
– Что ж, али взаправду наша не взяла сила?
– А ты думал как! Гляди ко, что народ говорит.
Слышались вопросы и ответы. Целовальник, воспользовавшись увеличением толпы, отстал от народа и вернулся к своему кабаку.
Высокий малый, не замечая исчезновения своего врага целовальника, размахивая оголенной рукой, не переставал говорить, обращая тем на себя общее внимание. На него то преимущественно жался народ, предполагая от него получить разрешение занимавших всех вопросов.
– Он покажи порядок, закон покажи, на то начальство поставлено! Так ли я говорю, православные? – говорил высокий малый, чуть заметно улыбаясь.
– Он думает, и начальства нет? Разве без начальства можно? А то грабить то мало ли их.
– Что пустое говорить! – отзывалось в толпе. – Как же, так и бросят Москву то! Тебе на смех сказали, а ты и поверил. Мало ли войсков наших идет. Так его и пустили! На то начальство. Вон послушай, что народ то бает, – говорили, указывая на высокого малого.
У стены Китай города другая небольшая кучка людей окружала человека в фризовой шинели, держащего в руках бумагу.
– Указ, указ читают! Указ читают! – послышалось в толпе, и народ хлынул к чтецу.
Человек в фризовой шинели читал афишку от 31 го августа. Когда толпа окружила его, он как бы смутился, но на требование высокого малого, протеснившегося до него, он с легким дрожанием в голосе начал читать афишку сначала.
«Я завтра рано еду к светлейшему князю, – читал он (светлеющему! – торжественно, улыбаясь ртом и хмуря брови, повторил высокий малый), – чтобы с ним переговорить, действовать и помогать войскам истреблять злодеев; станем и мы из них дух… – продолжал чтец и остановился („Видал?“ – победоносно прокричал малый. – Он тебе всю дистанцию развяжет…»)… – искоренять и этих гостей к черту отправлять; я приеду назад к обеду, и примемся за дело, сделаем, доделаем и злодеев отделаем».
Последние слова были прочтены чтецом в совершенном молчании. Высокий малый грустно опустил голову. Очевидно было, что никто не понял этих последних слов. В особенности слова: «я приеду завтра к обеду», видимо, даже огорчили и чтеца и слушателей. Понимание народа было настроено на высокий лад, а это было слишком просто и ненужно понятно; это было то самое, что каждый из них мог бы сказать и что поэтому не мог говорить указ, исходящий от высшей власти.
Все стояли в унылом молчании. Высокий малый водил губами и пошатывался.
– У него спросить бы!.. Это сам и есть?.. Как же, успросил!.. А то что ж… Он укажет… – вдруг послышалось в задних рядах толпы, и общее внимание обратилось на выезжавшие на площадь дрожки полицеймейстера, сопутствуемого двумя конными драгунами.
Полицеймейстер, ездивший в это утро по приказанию графа сжигать барки и, по случаю этого поручения, выручивший большую сумму денег, находившуюся у него в эту минуту в кармане, увидав двинувшуюся к нему толпу людей, приказал кучеру остановиться.
– Что за народ? – крикнул он на людей, разрозненно и робко приближавшихся к дрожкам. – Что за народ? Я вас спрашиваю? – повторил полицеймейстер, не получавший ответа.
– Они, ваше благородие, – сказал приказный во фризовой шинели, – они, ваше высокородие, по объявлению сиятельнейшего графа, не щадя живота, желали послужить, а не то чтобы бунт какой, как сказано от сиятельнейшего графа…
– Граф не уехал, он здесь, и об вас распоряжение будет, – сказал полицеймейстер. – Пошел! – сказал он кучеру. Толпа остановилась, скучиваясь около тех, которые слышали то, что сказало начальство, и глядя на отъезжающие дрожки.
Полицеймейстер в это время испуганно оглянулся, что то сказал кучеру, и лошади его поехали быстрее.
– Обман, ребята! Веди к самому! – крикнул голос высокого малого. – Не пущай, ребята! Пущай отчет подаст! Держи! – закричали голоса, и народ бегом бросился за дрожками.
Толпа за полицеймейстером с шумным говором направилась на Лубянку.
– Что ж, господа да купцы повыехали, а мы за то и пропадаем? Что ж, мы собаки, что ль! – слышалось чаще в толпе.


Вечером 1 го сентября, после своего свидания с Кутузовым, граф Растопчин, огорченный и оскорбленный тем, что его не пригласили на военный совет, что Кутузов не обращал никакого внимания на его предложение принять участие в защите столицы, и удивленный новым открывшимся ему в лагере взглядом, при котором вопрос о спокойствии столицы и о патриотическом ее настроении оказывался не только второстепенным, но совершенно ненужным и ничтожным, – огорченный, оскорбленный и удивленный всем этим, граф Растопчин вернулся в Москву. Поужинав, граф, не раздеваясь, прилег на канапе и в первом часу был разбужен курьером, который привез ему письмо от Кутузова. В письме говорилось, что так как войска отступают на Рязанскую дорогу за Москву, то не угодно ли графу выслать полицейских чиновников, для проведения войск через город. Известие это не было новостью для Растопчина. Не только со вчерашнего свиданья с Кутузовым на Поклонной горе, но и с самого Бородинского сражения, когда все приезжавшие в Москву генералы в один голос говорили, что нельзя дать еще сражения, и когда с разрешения графа каждую ночь уже вывозили казенное имущество и жители до половины повыехали, – граф Растопчин знал, что Москва будет оставлена; но тем не менее известие это, сообщенное в форме простой записки с приказанием от Кутузова и полученное ночью, во время первого сна, удивило и раздражило графа.
Впоследствии, объясняя свою деятельность за это время, граф Растопчин в своих записках несколько раз писал, что у него тогда было две важные цели: De maintenir la tranquillite a Moscou et d'en faire partir les habitants. [Сохранить спокойствие в Москве и выпроводить из нее жителей.] Если допустить эту двоякую цель, всякое действие Растопчина оказывается безукоризненным. Для чего не вывезена московская святыня, оружие, патроны, порох, запасы хлеба, для чего тысячи жителей обмануты тем, что Москву не сдадут, и разорены? – Для того, чтобы соблюсти спокойствие в столице, отвечает объяснение графа Растопчина. Для чего вывозились кипы ненужных бумаг из присутственных мест и шар Леппиха и другие предметы? – Для того, чтобы оставить город пустым, отвечает объяснение графа Растопчина. Стоит только допустить, что что нибудь угрожало народному спокойствию, и всякое действие становится оправданным.
Все ужасы террора основывались только на заботе о народном спокойствии.
На чем же основывался страх графа Растопчина о народном спокойствии в Москве в 1812 году? Какая причина была предполагать в городе склонность к возмущению? Жители уезжали, войска, отступая, наполняли Москву. Почему должен был вследствие этого бунтовать народ?
Не только в Москве, но во всей России при вступлении неприятеля не произошло ничего похожего на возмущение. 1 го, 2 го сентября более десяти тысяч людей оставалось в Москве, и, кроме толпы, собравшейся на дворе главнокомандующего и привлеченной им самим, – ничего не было. Очевидно, что еще менее надо было ожидать волнения в народе, ежели бы после Бородинского сражения, когда оставление Москвы стало очевидно, или, по крайней мере, вероятно, – ежели бы тогда вместо того, чтобы волновать народ раздачей оружия и афишами, Растопчин принял меры к вывозу всей святыни, пороху, зарядов и денег и прямо объявил бы народу, что город оставляется.
Растопчин, пылкий, сангвинический человек, всегда вращавшийся в высших кругах администрации, хотя в с патриотическим чувством, не имел ни малейшего понятия о том народе, которым он думал управлять. С самого начала вступления неприятеля в Смоленск Растопчин в воображении своем составил для себя роль руководителя народного чувства – сердца России. Ему не только казалось (как это кажется каждому администратору), что он управлял внешними действиями жителей Москвы, но ему казалось, что он руководил их настроением посредством своих воззваний и афиш, писанных тем ёрническим языком, который в своей среде презирает народ и которого он не понимает, когда слышит его сверху. Красивая роль руководителя народного чувства так понравилась Растопчину, он так сжился с нею, что необходимость выйти из этой роли, необходимость оставления Москвы без всякого героического эффекта застала его врасплох, и он вдруг потерял из под ног почву, на которой стоял, в решительно не знал, что ему делать. Он хотя и знал, но не верил всею душою до последней минуты в оставление Москвы и ничего не делал с этой целью. Жители выезжали против его желания. Ежели вывозили присутственные места, то только по требованию чиновников, с которыми неохотно соглашался граф. Сам же он был занят только тою ролью, которую он для себя сделал. Как это часто бывает с людьми, одаренными пылким воображением, он знал уже давно, что Москву оставят, но знал только по рассуждению, но всей душой не верил в это, не перенесся воображением в это новое положение.
Вся деятельность его, старательная и энергическая (насколько она была полезна и отражалась на народ – это другой вопрос), вся деятельность его была направлена только на то, чтобы возбудить в жителях то чувство, которое он сам испытывал, – патриотическую ненависть к французам и уверенность в себе.
Но когда событие принимало свои настоящие, исторические размеры, когда оказалось недостаточным только словами выражать свою ненависть к французам, когда нельзя было даже сражением выразить эту ненависть, когда уверенность в себе оказалась бесполезною по отношению к одному вопросу Москвы, когда все население, как один человек, бросая свои имущества, потекло вон из Москвы, показывая этим отрицательным действием всю силу своего народного чувства, – тогда роль, выбранная Растопчиным, оказалась вдруг бессмысленной. Он почувствовал себя вдруг одиноким, слабым и смешным, без почвы под ногами.
Получив, пробужденный от сна, холодную и повелительную записку от Кутузова, Растопчин почувствовал себя тем более раздраженным, чем более он чувствовал себя виновным. В Москве оставалось все то, что именно было поручено ему, все то казенное, что ему должно было вывезти. Вывезти все не было возможности.
«Кто же виноват в этом, кто допустил до этого? – думал он. – Разумеется, не я. У меня все было готово, я держал Москву вот как! И вот до чего они довели дело! Мерзавцы, изменники!» – думал он, не определяя хорошенько того, кто были эти мерзавцы и изменники, но чувствуя необходимость ненавидеть этих кого то изменников, которые были виноваты в том фальшивом и смешном положении, в котором он находился.
Всю эту ночь граф Растопчин отдавал приказания, за которыми со всех сторон Москвы приезжали к нему. Приближенные никогда не видали графа столь мрачным и раздраженным.
«Ваше сиятельство, из вотчинного департамента пришли, от директора за приказаниями… Из консистории, из сената, из университета, из воспитательного дома, викарный прислал… спрашивает… О пожарной команде как прикажете? Из острога смотритель… из желтого дома смотритель…» – всю ночь, не переставая, докладывали графу.
На все эта вопросы граф давал короткие и сердитые ответы, показывавшие, что приказания его теперь не нужны, что все старательно подготовленное им дело теперь испорчено кем то и что этот кто то будет нести всю ответственность за все то, что произойдет теперь.
– Ну, скажи ты этому болвану, – отвечал он на запрос от вотчинного департамента, – чтоб он оставался караулить свои бумаги. Ну что ты спрашиваешь вздор о пожарной команде? Есть лошади – пускай едут во Владимир. Не французам оставлять.
– Ваше сиятельство, приехал надзиратель из сумасшедшего дома, как прикажете?
– Как прикажу? Пускай едут все, вот и всё… А сумасшедших выпустить в городе. Когда у нас сумасшедшие армиями командуют, так этим и бог велел.
На вопрос о колодниках, которые сидели в яме, граф сердито крикнул на смотрителя:
– Что ж, тебе два батальона конвоя дать, которого нет? Пустить их, и всё!
– Ваше сиятельство, есть политические: Мешков, Верещагин.
– Верещагин! Он еще не повешен? – крикнул Растопчин. – Привести его ко мне.


К девяти часам утра, когда войска уже двинулись через Москву, никто больше не приходил спрашивать распоряжений графа. Все, кто мог ехать, ехали сами собой; те, кто оставались, решали сами с собой, что им надо было делать.
Граф велел подавать лошадей, чтобы ехать в Сокольники, и, нахмуренный, желтый и молчаливый, сложив руки, сидел в своем кабинете.
Каждому администратору в спокойное, не бурное время кажется, что только его усилиями движется всо ему подведомственное народонаселение, и в этом сознании своей необходимости каждый администратор чувствует главную награду за свои труды и усилия. Понятно, что до тех пор, пока историческое море спокойно, правителю администратору, с своей утлой лодочкой упирающемуся шестом в корабль народа и самому двигающемуся, должно казаться, что его усилиями двигается корабль, в который он упирается. Но стоит подняться буре, взволноваться морю и двинуться самому кораблю, и тогда уж заблуждение невозможно. Корабль идет своим громадным, независимым ходом, шест не достает до двинувшегося корабля, и правитель вдруг из положения властителя, источника силы, переходит в ничтожного, бесполезного и слабого человека.
Растопчин чувствовал это, и это то раздражало его. Полицеймейстер, которого остановила толпа, вместе с адъютантом, который пришел доложить, что лошади готовы, вошли к графу. Оба были бледны, и полицеймейстер, передав об исполнении своего поручения, сообщил, что на дворе графа стояла огромная толпа народа, желавшая его видеть.


Источник — «http://wiki-org.ru/wiki/index.php?title=Атака_Pass-the-hash&oldid=80944374»