РегистрацияЧто такое бесплатная информация?
Хочу рассказать о произошедшем на днях случае.
В преддверии появления 9-й версии очень уж захотелось мне сравнить полные версии программ и, соответственно, заиметь в инструментариях своей рабочей среды PGP disk версии 8, отсутствующий по причине того, что на машине установлена бесплатная версия программы. И полез я во всемирную паутину искать, как когда то удалось найти для программы The Bat, серийный номер на всяких предлагающих «бесплатную продукцию» сайтах. Машина у меня не очень быстрая, по этой причине я иногда отключаю KAV, что бы поиграть в свой любимый NHL2004. Как это обычно случается, вернуть его в рабочее состояние я забыл и вот с этого момента участь моего ПО мне пока еще неизвестна.
Первыми признаками вторжения в мой компьютер стал взорвавшийся (именно взорвавшийся) Zone Alarm, ранее напоминавший о себе только в отдельных и понятных мне случаях, он беспрерывно просил пустить в инет какие то программы, маскирующиеся своим названием под IE, слава богу хватило мудрости давать отрицательный ответ. Вторым признаком, после того как я отключился и свернул окошки, стал новый рабочий стол, красочно оформленный тонким полетом дизайнерской мысли в стиле «черный квадрат», с английскими надписями из крупных желтых букв и всяческими предупреждениями о том, что моя система на грани краха.
Запустив ревизию диска сканером KAV я невольно взялся за голову. За несколько минут работы в систему проникли вирусы самых разнообразных мастей, да так много как я никогда еще не видел ранее, правда, как оказалось, меньшая часть из них была скачана мной в составе всяких бесплатных примочек и программ уже давно и находились в некоторых архивах, но с этими визитными карточками «трудяг вирусописателей» я разобрался достаточно быстро. Главное в том, что делать далее – сегодня мне предстоит второй вечер борьбы за жизнь и здравие своей ОС, а после еще немало работы по смене всех моих паролей, ключей и спасению многой другой ценной информации. Вот так интересно бывает.
Зачем я это написал на форум, не знаю, просто захотелось в очередной раз сказать о том, в чем убедился еще один раз – не пользуйтесь услугами подобных «доброжделателей», «бесплатный сыр бывает только в мышеловке».
***
А вот еще пример, то ли по этой теме, то ли где-то рядом. Читаю на странице одного из Интернет-магазинов – «Написал программу теперь продаю, аналогов этому способу шифрования нет в мире! Вместе с программой отдаю и авторские права на нее. Стоимость 520 у.е.»
Пишу автору:
Добрый день.
Что за программу шифрования Вы продаете? На каких алгоритмах программа работает? Открыт ли код программы?
Ответ: Программа шифрования файлов.
Я продаю программу вместе с авторскими правами, следовательно и код.
С уважением.
Пишу:
Я понял, что это программа шифрования файлов. А ознакомится предварительно можно? Или сразу 500 у.е. нужно платить?
Ответ:
В данной программе не предусмотрен демо-режим, в связи с этим
ознакомление может происходить только практически (Вы присылаете файл,
а мы высылаем его Вам в зашифрованном виде).
Вы представляете какую-то организацию, или Вы частное лицо?
Пишу:
Видите ли, это не совсем корректный режим ознакомления, поскольку
я не являюсь профессиональным криптологом. Тем более программа стоит
500 баксов.
Ваша программа известна в мире криптографии?
Вы конечно можете зашифровать файл (как впрочем и я для Вас,
например программой rar, а после сменив расширение), а я расшифровать
его не смогу. Но это не значит, что профессиональный криптолог не
сможет сделать эту работу. Вы согласны???
Ответ:
Однозначно – НЕТ! Мы обращались ко многим программистам, хакерам,
юзерам, криптологам с просьбой дешифровать информацию, но увы, никто
так и не дал вразумительного ответа.
**
единтсвенное, о чём она говорит, так это что надо "предохраняться". Лезешь на сомнительные сайты – позаботься о своей безопасности – возьми недырявый браузер, включи антивирус...
а пользоваться или не пользоваться ломалками, это уже дело каждого, зависящее от финансового достатка и уважения к разработчикам софта
комментариев: 9796 документов: 488 редакций: 5664
Просто знайте, что есть другой виртуальный мир, где программы бесплатны и распространяются с исходниками, они почти все поставляются и мгновенно бесплатно обновляются вместе с ОС, где не надо ничего ломать или воровать, где вирусов практически не бывает, антивирусы не нужны вообще, а файрволлы работают как железные.
Сам факт создания и продажи такой программы не более чем шарлатанство, наверное не стоило специально обращать на это внимание и пытаться выводить авторов на чистую воду. Даже Шнайер потерял, кажется, интерес к этому делу (Рубрика DogHouse блекнет в его рассылке).
Пользуйтесь открытыми, свободными и бесплатными программами (а лучше и ОС), везде, где это возможно.
Рынок же платных криптографических средств должен неукротимо сужаться и становится все менее прибыльным. Как уже давно перестало быть прибыльным и иметь вообще какой-то смысл патентование криптографических алгоритмов. Все хотят использовать не просто открытый, но и свободный алгоритм, права на который никому эксклюзивно не принадлежат. Это критически важный критерий. В отношении ПО это тоже становится все актуальнее.
комментариев: 510 документов: 110 редакций: 75
Забыл написать еще об одном признаке, появившемся до запуска KAV. У меня появилось новое интернет-соединение! Вот ведь как добры наши хакеры! Вчера обнаружил еще несколько "приятных" моментов, но о них писать слишком долго.
С уважением.
комментариев: 510 документов: 110 редакций: 75
Я находился в инете в поисках серийного номера с отключенной антивирусной программой, вот в это время вирусы проникли в машину и сделали свою грязную работу. Поиск серийного номера пришлось прекратить.
комментариев: 58 документов: 6 редакций: 1
Firewall, все патчи, + последняя java от Sun, а не MS, + смена IE на альтернатывный.
Про смену платформы уже упоминалось.
В таких случаях взламывают именно Вас, а не компьютер, т.к. Вы его владелец не позаботились о должной безопасности.
Кстати, как я понял, firewall был включен => он или старый, или не настроен, или ломали броузер, который и надо сменить на альтернативный :)
комментариев: 510 документов: 110 редакций: 75
Не знаю, можно ли с Вами согласиться в данном утверждении.
+ работа из под ограниченной учетной записи и еще некоторые настройки повышения безопасности. Кстати, другие браузеры действительно лучше?
Возможно, но это слишком серьезная затея, связанная с определенными издержками, а по некоторым причинам это даже невозможно.
Вот здесь мне интересно, расскажите подробнее, если можно. Почему Вы сделали такое утверждение? По моему firewall отработал как положено. Ведь firewall это не ревизор внутрикомпьютерных процессов, а замок на утечку информации из машины, или ее поступление из сети, но так или иначе определенные порты все равно открыты, например для работы того же самого браузера или почтовой программы.
Я рассуждаю в данном случае так: вредоносная программа поступает в компьютер по одному из открытых портов, например если она расположена на web странице (firewall закрывает не используемые активными Интернет программами порты, поэтому в данном случае firewall лишь уменьшает вероятность их поступления), далее вредоносная программа активизируется и если это троян, то она предпринимает попытки передачи какой-либо информации «доброжелателю», и вот здесь firewall уже в полной мере вступает в свои законные права.
комментариев: 58 документов: 6 редакций: 1
2. На счет альтернативных браузеров я придерживаюсь мнения, что да – лучше.
3. Смотря что перевешивает – "некоторые причины" или выгода перехода. Я свой выбор сделал еще в 98, и перешел окончательно, как только смог.
4. Да, про firewall я был слишком категоричен. Извиняюсь. :)
Вторжение явно прошло через IE. В Moziila проще, тоянов меньше, а те что есть обычно спрашивают разрешения, если конечно Mozilla обновлять. Да, сейчас это уже Firefox, а Mozilla больше не будет. "Фаны" собираются выпустить ее как Seamonkey Suite.
комментариев: 510 документов: 110 редакций: 75
комментариев: 9796 документов: 488 редакций: 5664
Вопрос я до конца, признаюсь, вообще не понял, так что придется рассматривать все варианты:
1) На машине запущена программа-сервер (FTP, доступ к дискам или принтеру по SMB). Она открывает определенный порт. Слушает все пакеты, приходящие на этот порт. Если пакет соответствует протоколу работы сервера, то сервер высылает обратно пакет с ответом и (или) выполняет определенное действие согласно протоколу.
Атаки:
1а – Подбирая пакеты и посылая их серверу, кто-то пытается получить максимум информации о системе – это сканирование.
1б – Подбирая пакеты кто-то пытается затормозить, вызывать зависание или сбой сервера – это dos-атака.
1в – Подбирая пакеты кто-то (злобный хакер) заставляет сервер выполнить ошибочную команду (даже непредусмотренную протоколом), дающую доступ к системе – это взлом.
2) На машине запущена программа-клиент (браузер, почтовая программа, клиент-FTP). Она открывает определенный порт или диапазон портов. Когда пользователь через программу клиент посылает запрос серверу, то программа-клиент принимает только ответные пакеты. Они пронумерованы, содержат определенные поля. Посторонний не может послать пакеты на этот порт программе-клиенту, так как не учавствует в TCP-сессии.
Атаки:
2a – Взломщик находится в одном сегменте сети с жертвой, он прослушивает все проходящие пакеты, восстанавливает параметры TCP-сессии и присылает пакеты, которые не будут отброшены программой-клиентом (не помню как это называется, может быть по-разному в зависимости от способа реализации).
2б – Взломщик находится между клиентом и сервером и подменяет пакеты идущие от сервера к клиенту (атака человек посредине).
2в – Взломщик создает злоумышленный сервер, посылающий в ходе TCP сессии нужные ему пакеты на порт программы-клиента и заманивает пользователя на этот сервер. (Работало протих некоторых почтовых программ и FTP-клиентов, про браузеры не знаю – их проще через какой-нибудь java-script взломать)
Файрволл в чистом виде тут вообще бессилен, нужен файрволл с анализатором пакетов (а это создает дополнительную защиту и дополнительную уязвимость одновременно – см п.4).
3) На машине запущена программа, которая является и клиентом и сервером (файлообменные программы, некоторые мессенджеры).
Возможна комбинация атак типа один и два плюс некоторые дополнительные (не хочу даже про них вспоминать). Ситуация осложняется тем, что злоумышленнику легко стать полноценным участником TCP-сессии.
4) На машине запущена программа, анализирующая содержимое пакетов (снифферы, детекторы вторжения, программы защиты от сканирования, некоторые файрволлы и даже антивирусы).
Такие программы не открывают какой-то конкретный порт для прослушивания, а прослушивают множество проходящих через машину пакетов. Эти программы часто подвержены ошибкам типа переполнения буфера и сами бывают уязвимы к определенным типам пакетов. Какой порт открывать или закрывать для их собственной защиты, заранее вообще не ясно.
Это только очень краткий обзор. Вариантов отношений между "хакером"-файрволлом и "запущенной программой" на порядки больше.
И файрволыы бывают разные и программы и т.д.
Список можно продолжать до бесконечности, нюансов масса, до конца этой темы толком никто не знает. Можете перечитать сотни страниц спецификаций различных протоколов, исследовательских работ на эти темы, разобрать примеры работы эксплойтов и т.д. и т.п.
Только не задавайте пожалуйста больше таких слишком общих вопросов, изучите тему сами хотя бы на общем уровне, а то запарно каждый раз целые статьи придумывать :-)
Кратко ответишь – не поймут, отправишь книжки читать – обидеться могут, самому в ответ целые книжки строчить – бессмысленно.
Вообще, эта тема выходит куда-то далеко за рамки форума.
комментариев: 510 документов: 110 редакций: 75
комментариев: 9796 документов: 488 редакций: 5664
Да ладно, обычно так и бывает. Насчет знаний все относительно. Главное проявить интерес к вопросу, начать с чего-то.
Если я начну разговаривать на эту тему с человеком, который досконально разбирается в работе сетевых протоколов (а чтение документации в сотни скучнейших страниц на эту тему я признаюсь когда-то осилить не смог и привел здесь только свое поверхностное представление), то я тоже будут ставить его в тупик своими поверхностными представлениями и слишком общими вопросами.
Я просто знаю, что меня или отправят книжки читать или попытаются объяснить в общем виде как все устроено, пока терпения будет хватать, чтобы я дурацких вопросов не задавал. (Думаете я сам не попадаю в такие ситуации, когда не знаю эелементарных вещей и даже не знаю как правильно спросить-то?).
Насчет взлома вашей машины. Чаще всего WINDOWS-компьютеры (насколько я это себе представляю) взламывают через уязвимости браузера-почты (угадайте каких?) или через уязвимости сервисов, запущенных по умолчанию.
В Линукс системах (просто для примера) можно на клиентской машине отключить все сервисы. Останется один X-server, но его можно заставить не принимать никаких сетевых пакетов. После чего можно в принципе выходить в Интернет и вообще без файрволла (слишком смелое конечно утверждение, но для простоты вопроса, можно представить, что это так). ломать и сканировать будет практически нечего.
Если понадобится какой-то сервис, то его можно временно запускать и отключать перед выходом в сеть. Все это легко делается одной командой, без смены настроек системы, перезапуска и т.д.
Возможность взломать систему через открытый порт клиента мала и решается все-равно только путем обновления программ при обнаружении в них дыр (что в Линуксе опять же элементарно, так как все программы входят в дистрибутив).
В win-машинах сервисы отключить трудно (SMB, RPC) и т.д. Вроде бы при отключении некоторых системы будет плохо работать ?. Можно ставить обновления на эти сервисы, но раз они запущены по умолчанию и не отключаются, то win-машина может быть взломана по сети до того, как скачаются все необходимые обновления (!!!).
В unix-системах есть команда netstat с разными параметрами. В Win – сиcтемах она кажется тоже есть (как обычно урезанный вариант). С помощью нее можно определить, какие сервисы запущены, отключить ненужные, неотключаемые закрыть файрволлом и только после этого лезть в Инет (и молиться, что это поможет и что вы ничего не забыли сделать, как в случае с вашим невключенным антивирусом).
ну есть наверное еще масса правил сетевой безопасности, просто вопрос крутился вокруг файрволлов вот я про них и ответил.
Кроме того, я уже не очень все это помню, поскольку при уходе от WIn-OS на что-нибудь Unix-подобное большинство проблем сетевой безопасности решаются гораздо проще и радикальнее.
комментариев: 58 документов: 6 редакций: 1
Под Winodws можно воспользоваться nmap с другой машины – просканирует как положено, можно использовать периодически Nessus, можно установить Snort. Вся эта радость есть и под Windows.
Если машина не в домене, то отключение лишних сервисов часто не вызывает глобальных проблем, хотя обычно не решает проблем безопасности.
комментариев: 9796 документов: 488 редакций: 5664
Значит не зря старался. А пример уязвимости Вий просто шикарно продемонстрировал!
Тогда все не так плохо.
Я почему -то думал, что в Винде нельзя ВСЕ отключить, так чтобы netstat -pan --inet показывал пустоту и система нормально работала. Если так можно не в домене, то это тоже неплохо.
комментариев: 58 документов: 6 редакций: 1
$ nmap -P0 x.y.z.a
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-03-21 12:43 EET
Interesting ports on .....mydomain..... (x.y.z.a):
(The 1660 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
5900/tcp open vnc
Nmap finished: 1 IP address (1 host up) scanned in 88.838 seconds
Это открыты для своей подсети только. Но как всегда – любые исходящие пакеты будут приняты, при подмене адреса.
Кстати, firewall хорошо, но не он первым получает пакеты, то же и в Linux. :)