Вредный "чаек"
АрхивДрузья мои, настал тот "благословенный" день, когда ваш компьютер может подвергнуться атаке "чайника" (в простонародье - ламера). Если вы не сильно выделяетесь на фоне среднестатистических пользователей Internet, атака эта может быть вполне успешной.
Результаты тут прогнозируются самые разнообразные: от утечки ценной (или "крамольной") информации до потери всех данных и паролей - словом, всего, что есть на винчестере. Причин - масса, одна из них - общераспространенное программное обеспечение, а точнее - дыры в нем.
Я нисколько не стремлюсь в сотый раз отругать процветающую Microsoft за брак и недоделки. Мне очень даже по душе высказывания Евгения Козловского о колоссальной роли вышеозначенной компании в "подсаживании" на компьютерные блага огромных масс людей. Однако то, что мы используем каждый день (сама операционка, браузер, мейлер), имеет в себе дыры, и хоть вещи эти (ну, допустим...) покупались за деньги, производитель, увы, не очень-то утруждает себя вылавливанием багов.
Мой коллега и друг, "гуру" от Unix, просто рыдал от избытка чувств, наблюдая, как я редактирую autoexec.bat компьютера, находящегося в Новом Свете. К моей чести следует заметить, что я всего лишь снабжал "экзек" текстом, призывающим хозяина машины прикрыть "дырку", и совсем не хулиганил с его почтой и прочими ценными вещами... А говорят, что Робин Гуд - выдумка.
Самое смешное, что я проделывал это с помощью стандартных функций Windows 95. Все до безобразия просто: выясняете IP-адрес несчастного, вводите его в окошко поиска компьютера ("Пуск" > "Найти" > "Компьютер") и наблюдаете все ресурсы удаленной машины так, как будто дело происходит в "родной" локалке.
"Профи" тут же отвернет нос от статьи: дескать, для того чтобы получить такой контроль над чужой машиной, она обязательно должна находиться в локальной сети, причем иметь открытые на совместный доступ ресурсы, не защищенные паролем... Кстати, подбор пароля, в случае когда "электоратом" маленькой локалки становится вся смышленая часть Сети, вещь не такая уж и безуспешная. Пользовательские имена определяются по соответствующим одноименным файлам *.pwl в каталогах Windows 95, если удалось туда достучаться. Куда-нибудь залезть - дело либо техники, либо упорства, тем более что есть такие возможности!
Вот вам и доступ к другим машинам. А там и до сервера под NT добраться недолго (неужели его администратор ни разу не регистрировался с других машин, оставив на одной из них вожделенную *.pwl), закинуть на него "личинку" Back Office, которым скоро детей пугать будут, и получить полный контроль над локальной сетью.
Профессионал только поморщит нос: он знает, что тут виновата инкапсуляция NetBios в TCP/IP, но "чайнику"-то что за дело до этих милых прелестей?
Ах админы маленьких сетей! Кто их не знает? Сдержанность, граничащая с замкнутостью, красноватые белки глаз, мечта уехать в США и - потоки специфических фраз в ответ на предложения сотрудников сделать "все как у людей". Зачем долго мучиться с системной организацией доступа к ресурсам локальной сети? "Открыл винты" - и все ОК.
Бесконтрольная инициатива с рабочих мест - вещь тоже достаточно серьезная. Разве за всеми уследит наш герой-сисадмин? Ведь "дыркмейкеру" достаточно пару раз щелкнуть мышкой в нужном месте - и брешь готова!
Явление это, кстати говоря, в провинции вообще носит массовый характер. Боссы, скопившие деньжат, решили вести дела по-новому, с компьютерами. Все это, конечно, достаточно позитивно на фоне бездорожья и дураков, но не все пока в состоянии понять, что нанятым компьютерщикам (а именно так их клеймят вне зависимости от роста и платформоисповедания) необходимо платить денежки, подчас слишком хорошие для провинции. Эпоха престижности наличия в офисе такой техники канула в Лету, появилась необходимость отдачи, но увы, недостаточно осознанная, по крайней мере, не осознанная настолько, чтобы раскошелиться на спеца, а при необходимости, делать это регулярно.
Получаем: безопасность мелких корпоративных сетей - проблема скорее социальная, нежели околокомпьютерная. Ну да ладно, вижу, вижу как растет гнев читателя на мое отступление в социальную сторону.
Итак, необходимый для злодеяний IP-адрес определяется довольно прозаичным способом. Наверняка кто-то из сотрудников нашей выдуманной workgroup пользуется такими благами Сети, как ICQ или каким-нибудь клиентом IRC. Программы эти либо beta relis'нутые, либо freeware, а значит, производитель снимает с себя львиную долю ответственности за безопасность.
Что с него взять? Свое дело он сделал, без видимого ущерба для других и с выгодой для себя. Помните, за сколько зеленых рублей купили Mirabilis дяди из AOL? А тем временем, где-то далеко, на ftp банановых республик, появились маленькие умные программки, способные определять IP по ICQ UIN. Хотя, если честно, то возможность обмануть "аську" и прознать закрытый адрес лежит там практически на поверхности...
С mIRC, популярной IRC-программой, и выдумывать ничего не надо, все нужное прямо там и добывается; ну, а для системного, так сказать, подхода результаты наблюдения можно рафинировать каким-нибудь NetScanTools. Кстати, в Сети есть программы, сканирующие целые сети на предмет наличия в них ресурсов совместного пользования. И ничего не нужно: "наливай да пей!"
Я не знаю, что конкретно я спровоцирую, раскрыв имя такой программы, - резкий прирост жалований продвинутых сисадминов либо массовую утечку чернил из картриджей "совместно предоставленных" принтеров. Но сделать это хочется: пусть люди сканируют свои сети и знают, где "дыры". Итак, набираю в грудь воздух и громко произношу: имя ей - Legion.
Ну что тут еще можно ценного рассказать? Вот, например, знаете ли вы, что известный IP-адрес компьютера может привести к его зависанию, спровоцированному извне? Есть семейство малюсеньких злобных программ, вроде winnuke, которые используют бреши в TCP/IP-драйвере Windows 95. Есть там ошибочка, которую "силы сетевого зла" просто не могли пропустить мимо, а использовать такую простенькую программу может даже самый откровенный "чайник" (впрочем, как и отыскивать "открытые" машины)!
И теперь несчастная Прасковья Потаповна, бухгалтер в третьем колене, постоянно виснет от рук удаленного от нее злоумышленника. Занятый каким-нибудь поручением руководства администратор вряд ли найдет время для необходимого апгрейда winsock, а именно это и требуется для защиты от атак. Процедура эта, в варианте, когда вы защищаетесь сразу от нескольких напастей, требует аж четыре перезагрузки и не оставляет надежд на скорейшее приложение.
Вот так и "умрет" однажды винчестер нашей Просковьи Потаповны, а там... сказать страшно: бухгалтерская база всего ведомства. И кто там будет разбираться со слабостью нашего бухгалтера "початиться" с родственником-эмигрантом посредством ICQ... И все напасти опять устремятся на нашего многострадального сисадмина!
Третье явление профессионала: он задумался. Его гложут сомнения: может быть, и не зря все это было написано?
Все. Время делать выводы:
- атаковать ваш компьютер может любой "чайник", разжившийся необходимым софтом, иначе я бы не расстарался на все, что выше, ведь я, по сути дела, тоже "чайник", продвинутый слегка, но все же - он самый;
- безопасность зачастую становится только вашей заботой, у красноокого админа не останется времени, не хватит желания либо знаний (удобство Windows, конечно, не приводит автоматически к слабоумию, но беспечности добавляет изрядно);
- в мире, где главенствующие позиции занимают корпоративные сети на базе Windows, необходимо более жестко подходить к вопросам безопасности;
- "оставлять следы" в Сети просто не стоит, кто знает, может быть, в любимой ОС отыщутся новые дырки;
- покажите вашу сеть специалисту по безопасности, хотя бы разок. Местные Кулибины тут могут не подойти, но игра, как видите, стоит свеч;
- вы поторопились упрекать голливудские хакерские сюжеты в неправдоподобности.
Вот такой получается "чаек". Вредный напиток, которым вас попотчует вероломный, возможно иноземный, "чайник". Еще бы, у него все есть для этого: дырки в чужом ПО, нехитрый набор отмычек и злой умысел.
P. S. Сегодня на мой компьютер, на котором установлен небольшой веб-серверок с кучкой всякой занятной мелочевки, кто-то заходил. Мне стало интересно. В серверном журнале я нашел IP-адрес посетителя и просканировал всю его сеть на злополучные совместные ресурсы. Их оказалось достаточно для того, чтобы напечатать на принтере какой-то маленькой московской фирмы длинное и гневное послание тамошнему сисадмину. А ведь я видел там семь "открытых" винчестеров...
