Архивы: по дате | по разделам | по авторам

АЙ СИК Ю? АЙ ХАК Ю!

Архив
автор : Алексей Павленко   26.11.2001

В который раз возвращаемся мы к вопросу безопасности, но теперь администраторы могут спать спокойно, в отличие от простых пользователей - сегодня хакеры лезут именно на их компьютеры.

- Нет, господин дайвер, теперь уж простите меня. Вы спокойно покинете нашу территорию, но лишь после того, как будет установлен ваш настоящий адрес.
Сергей Лукьяненко. «Лабиринт отражений»


В который раз возвращаемся мы к вопросу безопасности, но теперь администраторы могут спать спокойно 1, в отличие от простых пользователей - сегодня хакеры лезут именно на их компьютеры.

Для начала - несколько аксиом:

  • Если человек не подключен к Сети - он защищен от взлома.

  • Если человек пользуется устаревшим или, наоборот, свежайшим программным обеспечением, вероятность взлома его компьютера велика.

  • Если человек пренебрегает патчами, он уже почти мертв (см. вторую часть аксиомы 2).

  • Если человек пользуется программами для работы с Сетью, то существует потенциальная опасность получить удар именно от них и из-за них.

Думаю, большинство читателей знакомо с этими правилами и может добавить к ним и свои, я же подробнее остановлюсь на четвертой аксиоме.

Итак, какими программами чаще всего пользуются при работе в Интернете? Несомненно, на первом месте стоят браузеры (MSIE, Opera, Netscape, Lynx). В них всегда находили и будут находить ошибки: к примеру, заходит пользователь на какой-то сайт, а у него с жесткого диска качаются файлы. Или вирусы откуда-то появляются… Откуда? Да из него самого, из браузера.

Не менее часто используются почтовые программы (Outlook Express, The Bat), и в их контексте говорить про вирусы даже и неприлично - достаточно только почту забрать, и очередной червь тут как тут 2.

Однако для решения проблем безопасности в этих категориях существуют патчи, написаны тома руководств и инструкций, так что продвинутый пользователь вполне может себя обезопасить.

Что еще у нас остается? Программы-качалки (FlashGet, ReGet, Net Ants). Но я пока ни разу не сталкивался с ситуациями, когда по их вине случалось что-то дурное, да и не слышал о подобных - правда, я не сильно интересовался именно этой областью, но потенциально они как «потребители» Интернет-соединения вполне могут представлять угрозу.

Но есть один класс программ, про защиту от взлома которых известно мало, а вероятность оного и потенциальная опасность его последствий ой как велики. Думаю, вы уже догадались - это сетевые средства общения. К ним относятся ICQ, Yahoo! Messenger, Odigo и другие. Несомненно, это очень удобные средства для общения, предоставляющие гораздо больше возможностей, нежели при работе с электронной почтой. Впрочем, о достоинствах перечисленных программ вы, скорее всего, знаете и без меня. Но вот в курсе ли вы, насколько опасными могут быть эти с виду невинные утилиты?

Начав в свое время с Yahoo! Pager, сейчас я пользуюсь ICQ. Интересно заметить, что время ее соединения с Интернетом обычно гораздо больше, чем у того же браузера, потому как «аська» автоматически отслеживает подключение и висит на нем все время соединения. Естественно, шанс атаки из-за этого растет.

А терять есть что. Самое безобидное, что может случиться, - злоумышленник узнает ваш пароль и выдаст себя за вас. Пусть он и не знает ничего о ваших собеседниках 3 до тех пор, пока они не пришлют сообщений, однако он вполне может похитить всю базу, заполучив тем самым архив сообщений. Способов похищения базы несколько: шпионский, когда люди в масках влезают в офис и переписывают нужные файлы из компьютера на дискету (его обычно показывают в кино), или более простой - хакерский. В этом случае достаточно узнать IP-адрес жертвы, просканировать компьютер на предмет обнаружения слабых мест и скачать нужную информацию.

Чтобы не быть голословным, приведу пример. Для тестирования технологии взлома я зарегистрировал новый адрес ICQ, задал в поиске: «девушки 18-23 лет, говорящие на русском» и добавил в лист контактов всех, кто не требовал авторизации, после чего начал выборочно сканировать их. Результат не заставил себя ждать: буквально через пять минут я получил следующую картинку (рис. 1). Вот так, у кого-то висит троян - старый добрый Netbus. Дальнейшее проникновение на машину жертвы - дело техники.

Внимательный читатель спросит: как же я получил IP-адрес жертвы? Все очень просто: ICQ мне его сама сказала. В ICQ99, помнится, было специальное окошечко, отображающее IP пользователя - если он, конечно, это разрешил. Из ICQ2000 его убрали, ведь таких умников, как я, много, однако в Сети можно найти программы, оное окошко возвращающие. ICQ ведь должна знать адрес того, с кем я общаюсь, правильно? Вот и оставалось только уговорить его показать (рис. 2).

А если известен IP, пользователь с вероятностью 90% уже почти взломан. Не верите? Тогда послушайте одну сказочку.

Жили-были… Нет, начать лучше не так. Дело было вечером, делать было нечего, и решил один маньяк рассказать всему миру, как ломать SQL-серверы. Скоро сказка сказывается, да нескоро дело делается, но вот, наконец, статья была готова и даже напечатана в «Компьютерре» (там маньяков любят). А в конце статьи автор возьми да и предложи всем желающим проверить безопасность их серверов: присылайте мне, мол, IP, посмотрим, что там у вас и как… Отдельные смелые личности откликнулись, и что самое интересное - все у них оказалось запатчено и закрыто, в общем, неломаемо. Не понравилось это автору, стал он сразу сеть класса C сканировать по тем адресам, и вот тут-то много чего вкусного выискалось - например, открытые диски C: и D:. Запустил автор FAR испытанный, ввел команду net use верную да списал базы ICQ ценные. Пароли взломались мгновенно, за что отдельное спасибо Elcomsoft (рис. 3), и получилась концовка вполне сказочная - «и я там был, мед-пиво пил».

Из своего опыта скажу: если удалось переписать базу ICQ с чужого компьютера, то по листу контактов пользователя можно определить IP-адреса его товарищей и залезть еще и на их компьютеры и так далее - получается цепная реакция. А база ICQ представляет собою просто файл вида номер_аськи.dat, лежащий в каталоге самой программы. Хранятся же в нем архив всех сообщений, информация о пользователях, все настройки и многое другое.

Вот что дает простое знание IP-адреса! Способ защиты один - не давать знание. Для этого достаточно воспользоваться прокси-сервером - главное, чтобы он был анонимным. Иногда хватает прокси-сервера провайдера, если же вы не уверены в его анонимности, идите на www.void.ru, где это можно проверить. Кстати, там же вы найдете и небольшой список анонимных прокси-серверов, которыми можете воспользоваться.

Для того чтобы использовать прокси, необходимо указать его параметры в настройках ICQ (рис. 4). И, раз уж мы начали заниматься тюнингом, давайте сразу настроим «асю» так, чтобы она была максимально защищена от взлома. Прежде всего, нужно задать наивысший режим безопасности (рис. 5). Теперь для того, чтобы поменять настройки или просто начать пользоваться программой, надо будет ввести пароль.

Включать авторизацию удаленного пользователя или нет - личное дело каждого, но я все же рекомендую включить. Хотя есть программы, которые патчат ICQ в обход авторизации, причем доходит даже до того, что, когда пользователь поломанной «аськи» добавляет вас, всячески «защищенного» авторизацией, в свой лист, ваша ICQ может просто вылететь.

Но запомните, что никакая защита вам не поможет, если у вас пароль типа «vasya» 4 или «pupsik», ибо есть программы, подбирающие его в онлайне. И, если пароль представляет собою словарное слово, делается это довольно быстро. А если у хакера вдобавок мегабитный канал на Интернет, ему поможет простой перебор (рис. 6).

Еще одна раздражающая неприятность использования ICQ - спам. Я уже заметил, что сразу после регистрирации адреса ICQ обязательно приходит сообщение с приглашением посетить порносайт. К сожалению, автоматизировать процесс спама на «аську» довольно просто - ведь если отправить e-mail на номер_icq@pager.icq.com, данное письмо как раз и преобразуется в сообщение. Хочешь кого-то достать - пишешь скрипт на Perl, вешаешь на автомат и раз в минуту радуешь человека бранью или рекламой. Более того, есть уже готовые программы для этой цели! Напасти можно избежать, слегка изменив настройки (рис. 7)

Ну а теперь предположим, что ваш пароль для ICQ все-таки взломали. Что делать? Попробуйте зайти на страницу www.icq.com/password, введите адреса «аськи» и электронной почты, использованной при регистрации, и новый пароль будет отправлен вам письмом (рис. 8). Правда, здесь существует небольшая дыра: адрес электронной почты может быть любым из тех, которые когда-либо были зарегистрированы для вашей ICQ - а если хакер успел добавить свой почтовый адрес, он тоже сможет получать ваши пароли. Но с этим, к сожалению, доступными средствами бороться не удастся…

[i42238]


1 (обратно к тексту) - Если не спится, перечитайте «Компьютерру» ##406, 417.
2 (обратно к тексту) - Кому интересно, ищите Microsoft Security Bulletin (MS01-020).
3 (обратно к тексту) - Если, конечно, вы не пользуетесь ICQ 2001, которая хранит лист контактов на сервере.
4 (обратно к тексту) - Честное слово, про длину и содержимое пароля мне уже надоело писать.
© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.