Архивы: по дате | по разделам | по авторам

Из грязи - в штази

Архив
автор : Александр Захарченко   25.09.2001

Бурное развитие Интернета обеспечило троянским коням как разновидности любопытного софта обширную экологическую нишу, и в настоящее время троянцы, наряду с вирусами, превратились в фактор глобального подрыва ИT-экономики.

«Троянские программы могут также использоваться в целях разведки».
Н. Н. Безруков. Компьютерная вирусология, 1991


Бурное развитие Интернета обеспечило троянским коням как разновидности любопытного софта обширную экологическую нишу, и в настоящее время троянцы, наряду с вирусами, превратились в фактор глобального подрыва ИT-экономики. Классические разработки, как-то Back Orifice (BO) и NetBus, завоевали такой авторитет, что, по слухам, отдельные западные производители антивирусов решились было исключить диагностику последнего, присвоив ему статус мирной лошадки - легального инструмента удаленного доступа. Как тут не порадоваться за наших разработчиков: тот же AVP опознает в качестве троянцев очень многие, с виду такие безобидные, средства внешнего управления.

Какое там удаленное управление! Исходные тексты BO, любезно предоставляемые «адептами дохлой коровы» (cDc), привнесли высокое хакерское искусство в широкие и от того интеллектуально недоразвитые массы. Редкий вирус теперь не содержит элементы троянского кода: слямзить пароли, разослать файлы из какой-нибудь канцелярии, превратить безобидного пользователя в спамера или разрекламировать наркоту - вот популярные достижения последних месяцев.

Ну, куда рак с клешней, туда и конь с копытом. Что, скажите, должна делать цитадель демократии и свободы, если:

  • в Сети безнаказанно обретаются педофилы (с них почему-то всегда начинают перечислять пороки новой цивилизации);

  • террористы раздают указания своим сообщникам электронной почтой и в онлайне;

  • промышленные шпионы воруют секреты прямо на рабочем месте из-под носа работодателя;

  • в Сети процветает торговля нелицензионным программным обеспечением, музыкой, видео и т. п.;

  • компьютерные технологии используются для отмывания денег, продажи наркотиков, шпионажа, информационных войн (наш любимый черный PR), мошенничества, торговых войн, махинаций с акциями и даже для подделки личности (sic!);

  • подозреваемые могут в любой момент уничтожить «цифровые улики», да еще имеют наглость применять криптографию и не хотят добровольно сдавать ключи в депозитарий ФБР;

  • все это происходит на фоне упорного нежелания населения «виртуальной деревни» перегружать своим посещением сайты земных представителей небесной канцелярии. Ломится несознательный народишко совсем в другие места. В мае 2000 г. бюллетень антивирусного центра Symantec сообщил, что 62% посещений порносайтов происходят в рабочее время. В этом году порнобизнесом от безденежья начали заниматься крупнейшие провайдеры и веб-порталы. Последнее убежище экономического роста?

Вышеприведенный, более чем неполный список составлен в основном по материалам якобы секретной в Америке презентации и еженедельника «US News & World Report» от 28.08.2000. Вот тебе и высокие технологии. Выход один - использовать троянский код, но не простой, а, как полагается государству, «революционный». И пока в «посттоталитарных странах» с переменным успехом идет борьба за внедрение различных версий СОРМ, светоч прав человека уже три года втихаря ведет свою войну с ушастыми Windows-юзерами при помощи весьма грязного средства (D.I.R.T. - Data Interception by Remote Transmission). Так утверждает его производитель - корпорация Codex Data Systems Inc. из Нью-Йорка, позиционирующая себя в качестве ведущего разработчика средств «удаленного наблюдения» для военных, правительственных и правоохранительных организаций.

На русском информации о Codex и DIRT оказалось до странного мало. Поиск в «Яндексе» и Google выдал многочисленные повторяющиеся ссылки на несколько материалов Киви Бёрда, один перевод весьма древней по ИТ-меркам статьи из PC World, да пару строк из обзоров новостей. В сравнении с информацией о любом другом трояне - это просто вакуум. Удивительно, у любого бюрократа стоит персоналка, некоторые перед телекамерой даже пальцем в клаву тычут, разгоняя Microsoft’овские облака, но никто, как говорится, ни ухом, ни рылом шевелить не желает. Подумали хотя бы о том, что дядя Сэм в погоне за террористами может заодно проверить, насколько честно они приторговывают служебным положением. Тем более, что борьба с коррупцией за пределами США всеми возможными средствами - это теперь официальная позиция Вашингтона. Опять же, вспомните историю Иванова и Горшкова - пока сидят-с.

Патентованные компьютерные санитары тоже не спешат разбираться, поскольку не видели чудище своими глазами. Дело в том, что во всех антивирусных системах функции распознавания новых вредоносных кодов остались за человеком. Вот, чтобы не осрамиться, они и ждут сигнальный экземпляр. Без того в Сети достаточно любителей рассылать письма-предупреждения о несуществующей опасности (чтоб им Enter заклинило). Плюс-минус один троян никакой роли не играет при 150-200 новых добавлениях в неделю.

Заявки же для грязно-мусорного перехватчика сделаны неслабые: запись всех скан-кодов клавиатуры, неограниченный доступ к файлам, увод паролей, внесение информации на пораженный компьютер, вся почта, доступ к криминальным графическим файлам, обход систем шифрования, съем экрана, а также звука и видео при наличии подключенных к ПК микрофона и телекамеры. А на закуску - трепещите - уникальная технология AntiSec для уничтожения брандмауэров и последующей имитации их работы. Списочек прилагается там же, на cryptome.org/dirty-secrets2.htm. Прямо абсолютное оружие! «Мощно задвинули, внушает», - говорит Хрюн Моржов в таких случаях, поэтому присмотримся внимательнее к производителю. Заходим на сайт Codex и видим куцый список продуктов с названиями-акронимами, сопровождаемыми сверхкороткими аннотациями. Хотя, за исключением DIRT, все они «продаются без ограничений», но для получения любой дополнительной информации нужно заполнить анкету в онлайне или отправить почтой. В главную страницу, для чего-то, вмонтирован дебильнейший Java-скрипт, сообщающий в строке состояния окна, что кто-то там может удаленно исследовать ваш диск и скопировать файлы. Для остроты ощущений выскакивают фразы «А сейчас удаляю…» и «Форматирование диска завершено…». Ну что ж, с юмором в «голубом отряде» всё в ажуре, а больше ничего и нет.

Хоть и не хотелось, а пришлось-таки лезть в англоязычный поисковик. Как все замечательно в кино: не успел набрать слово и пару раз матюгнуться, и тут же получай полную информацию - что, где и когда - вот тебе сатана, вот его свора, а вот и рецепты победы. А тут, обратите внимание, возникла маленькая заморочка. Чего искать-то? DIRT - конечно, название оригинальное, но не для поискового движка - он тут же заваливает настоящим мусором. В переведенной статейке «о плохих парнях» было упоминание о «конфликте» между cDc и Codex. Это тоже не помогло - слишком живо в последние годы обсуждались проблемы крупного рогатого скота, да и Codex - крайне популярное слово.

O.k., буду искать по науке. Набираю полностью Codex Data Systems. Ну-у, тут ссылок уже поменьше. И на самом верху красуется Codex Data Systems LLC, т. е. ООО по-нашему, из Аризоны (Flagstaff). Производит оно ПО для бизнеса, образования и науки. Примеры успешных реализаций приведены из школ штата Нью-Йорк и Бостонского университета. М-да, вроде близнец, но какой-то разнояйцевый.

А вот каким-то ветром занесло в страницу результатов Codex Security Solutions Inc. из North York, Онтарио, Канада. (Ох, не случайный был ветерок.) Гляди-ка, ПО и оборудование для (домашних) систем безопасности. Клиенты перечислены солидные, и тот же B.A.I.T. для слежки за несанкционированным доступом к электронным документам присутствует. Ба, средство защиты PC от краж - PC PhoneHome - тоже тут.

Еще какой-то сайт Codex (потом выяснилось, что в 1998 г. он также рекламировал DIRT), связанный с оборудованием для систем безопасности.

Так вот, потерялся бы «король шпионажа», если бы не британский The Register. Судите сами. Взяли Англию в Echelon - красней теперь перед континентальной Европой, теперь требуют совместно бороться с коррупцией и организованной преступностью, а такой мелочью, как DIRT, делиться не хотят. Приходится воевать с местными педофилами дедовскими, вернее бабовскими, способами. Сидит, понимаешь, в чате старушка в чине полицейского сержанта, выдает себя за малолетку и завлекает всевозможных «извращенцев» от слесарей до профессоров, за что их потом сажают в тюрягу. Получают, понимаешь, удовольствие по анекдоту: «Лопатку-то, верни». Да ведь бабулькины возможности не резиновые и в выходные дни маньяки (за исключением ста тридцати восьми уже сидящих - ай да бабка!) могут расслабиться, а коварный союзник зажучил такое могучее средство профилактики.

Короче, взялись туманные альбионцы за мистера Джонса так основательно, что самую цитируемую статью я почему-то сразу не смог найти. Ссылок на нее сколько угодно, а текст не закачивается. Даже Google не хочет отдавать свой сохраненный вариант! Но стоит закрыть окно раздора, как остальные резво показывают запрошенный материал. Информация же с любых других сайтов приходит без проблем.

Обеспокоенная часть западного интернет-сообщества активно обсуждает DIRT, увязывая использование этого троянца на государственном уровне с нарушением прав личности. Ну нарушения-то власть и Codex переживут, а вот разглашение содержания «конфиденциальной презентации» уже якобы чревато для болтунов уголовным преследованием «с помощью Secret Service».

Но вот среди кучи ссылок объявилась и упорно не загружающаяся статья The Register. Держитесь крепче - руководитель корпорации Codex сейчас сам отбывает условное наказание… за незаконное владение «шпионскими штучками». Поначалу обвинения были более серьезные, но потом как-то договорились. «Честнягу» Джонса приговорили в 1999 г. (по другим данным - в 1997) к 300-м часам общественных работ и пяти годам условно. Главным аргументом в пользу мягкости наказания стал его «mental defect», по-русски - придурковатость. «Грозу компьютерного преступного мира» обязали также пройти «mental-health program», т. е. курс психотерапии (учтите, это, наверняка, не лечение в Кащенко, поскольку психотерапевт в Америке - не врач). В общем, по данным журналистского расследования, «суперхакером» оказался обычный жулик со сдвигом по фазе, узурпировавший титул «короля шпионов».

Ну, а сам DIRT, - продолжает британский проныра, - представляет из себя банальный троян (хотя, как некоторые выражаются, «накачанный стероидами»). Не обнаруживается он, поскольку его живьем никто из борцов с вирусами не видел, но по слухам, сей зверь («секретный, фигуры не имеет») обитает в двух файлах desktop.exe и desktop.dll каталога Windows и ссылки на них естественным образом находятся в реестре. Вывод приблизительно такой: «DIRT - это инструмент удаленного администрирования, который в значительной степени аналогичен бесплатным троянцам SubSeven и B2OK и продается, - дискредитированным бывшим полицейским, а в настоящее время уголовником и умственно отсталым, - за тысячи долларов (по другим слухам, от нескольких тысяч до 200 тыс. долларов) ужасным правительствам в тех странах, где обычны злоупотребления такого рода и где жертвы не могут оспорить их в суде». Успокоил, называется. Ты на чье правительство намекаешь?

Но окончательно меня добила заметка еще 1999 г., в которой обсуждалась история мошеннических проделок Фрэнка Джонса. Правительственные учреждения получали шиш (не готово, мол, еще), а вот всякие малоквалифицированные шпионы-любители, попавшиеся на приманку «поставщика двора» его величества оплота свободы и демократии, служили дойной коровой. Купили без лицензии - теперь платите за молчание. Покупали, как оказывалось, туфту, а платили зелененькими наличными.

Похоже, история повторяется и пришла очередь платить соседям из Канады. В подборке материалов «The Dirt On Big Brother», где рассказывается о работе Джонса на территории Канады, упомянут его бывший агент по продажам и назван автор DIRT - Eric Schneider, покинувший Codex по этическим соображениям после того, как его антипедофильную программу продали иностранцам (в тексте упоминаются Перу и ЮАР). По утверждению автора программы, возможности DIRT не сильно отличаются от возможностей классических троянцев. Указывается также, что Джонс подал 20-миллионный иск на «клеветников, унизивших его и DIRT на пространствах Web».

И еще. Тяжелая артиллерия Forbes в 2000 г. вдребезги разнесла по всем пунктам передовицу «The Wall Street Journal» о шпионской технологии Tempest (удаленный съем информации с монитора по его излучению), прихватив заодно примазавшихся к ней Codex и ее преподобного руководителя. «Человек с дурной репутацией», «болтающий о несуществующей продукции», «он только создает трудности для настоящих производителей», «у него нет никакого опыта в Tempest» и вообще это не шпионская технология, а акроним для обозначения правительственных стандартов защиты от удаленного съема. После таких рекомендаций «остается одно из двух: или немедленно, вернувшись домой, застрелиться, или же… поехать в городские бани выкупаться, а после бань зайти в винный погребок…». «Матерый разведчик Джонс», как и майор-аудитор из похождений Швейка, явно предпочел второе.

В общем, так: если кто-то в этом деле разберется поглубже, прошу покорно изложить свои выводы. Судебные материалы на «супервзломщика» также доступны в Сети. Лично у меня что-то этот шарик… пардон, кубик Рубика, не складывается. Предлагаю на выбор, помимо жульничества, еще несколько версий вспышки интереса к DIRT:

  • с помощью шума вокруг Codex и DIRT прикрывается реально используемый троянский код или какие-то скрываемые от публики особенности операционных систем Windows, поскольку к ним уже близко подобрались длинноносые исследователи;

  • спецслужбы пытаются напугать преступный мир, освоивший Сеть с феноменальной скоростью. Неуверенность должна заставить криминальные элементы активизироваться в реальном мире, где их прищучить гораздо легче;

  • происходит компрометация разработок Microsoft на весьма солидном уровне.

В пользу этих вариантов говорит странная живучесть заурядного мошенника и мягкость судебных властей. Либо:

  • ведется хитрая атака на попытки государственного вмешательства в частную жизнь через Интернет. Глобальная сеть и частная жизнь совмещаются подозрительно туго. Если сейчас суд примет решение о запрете использования DIRT, то прецедентное право Америки позволит блокировать и другие, несомненно осуществляемые разработки. В рассылке Inroad от 13-08-2001 сообщается о происходящем в штате Нью-Йорк суде над неким гангстером, в ходе которого судья под давлением адвокатов потребовал от ФБР раскрыть подробности получения компьютерных доказательств. А ведь не для укрепления позиции обвинения стараются адвокаты!

Очевидно, что заинтересованные субъекты будут и впредь использовать средства удаленного доступа для получения информации по своим потребностям. Антивирусникам и консультантам по безопасности любая шумиха впрок. Получается, что при любом раскладе пострадавшей оказывается… Microsoft (не будем размениваться на пользователей - их забота платить, платить и платить). Имея все возможности одним плевком распылить афериста, крупнейшая программистская корпорация мира почему-то молчит. Нет, вы вдумайтесь, редчайший случай, бездоказательно дискредитируется вся ее продукция: Win9x, Office, присутствуют даже грязные намеки на NT! А в ответ - ни гу-гу, или где-то что-то шептали?

Стратегия умолчания в предположении существования DIRT в заявленном объеме подводит к весьма неприятным выводам. Для Win9x все вышеперечисленные функции этого троянца никакой сенсации не содержат. Даже вызвавший панику AntiSec. В примере для статьи «Кто хозяйничает в моем компьютере?» содержится он весь. Нужно только знать название исполняемых модулей межсетевого экрана - и удавить их сможет любая программа. А если настройки брандмауэра помещаются в реестр без шифрования, то экран можно тихонечко отключить и будет полная видимость ажура.

Но Microsoft сегодня галопом торопится распрощаться с Win9x. Так тем более покушение на честь NT без ответа оставлять нельзя! Пока что общественность клеймит позором правительство, но когда оное добьется своего (будьте уверены, добьется!), начнется поиск виноватых. Ежели допустить (подчеркиваю, допустить) вероятность полномасштабной работы такого троянца без привилегий администратора или возможность их несанкционированного получения, то все сертификаты безопасности этой ОС можно повесить рядом со сливным бачком. Для лиц пиратской национальности проблем, конечно, не возникает, но были же наивные народности, заплатившие денежку. Лицензирование страхует производителей от причинения неумышленного ущерба, а ссылочка Codex на правительство как раз и обеспечивает железное доказательство преднамеренности. Тут уж богатенькие Буратино из Редмонда и Вашингтона общественным порицанием не отделаются. «На все есть закон, господин ефрейтор».

[i41340]

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.