Речь пойдет о трех основных видах сетевых агрессий, возможных при работе с ICQ, электронной почтой и, собственно, при подключении к Internet.
Торговля UIN как вид бизнеса
В последние годы Internet-пейджер ICQ не перестает удивлять пользователей своими великолепными коммуникационными возможно¬стями. Однако радость от общения может быть омрачена некоторыми проблемами безопасности, большинство из которых удастся избежать, соблюдая элементарные правила при инсталляции программы на свой компьютер.
Как известно, уникальные идентификационные номера (UIN, Unique Identification Number) ICQ распределяются по простому хроноло¬гическому принципу: кто позже подключился, у того и номер больше. Число владельцев популярного сетевого пейджера, ныне сопровождае¬мого компанией America Online, ежедневно увеличивается, поэтому бы¬тует мнение, что номер ICQ свидетельствует об опыте работы пользова¬теля в Сети и его компетентности в вопросах Internet-технологий. Например, шестизначный номер говорит о том, что владелец сего сокро¬вища — профессионал со стажем, несомненно заслуживающий доверия у всех остальных. Ну, а если номер восьмизначный и трудно запоминае¬мый, то наверняка его обладатель подключился к Internet совершенно недавно, а значит, является неофитом в сетевом сообществе.
Высказывания более чем спорные, что, впрочем, не мешает появ¬лению таких сайтов, как wwwuinforsale.com, — его авторы на заглавной странице в безапелляционном тоне утверждают примерно то же самое и, кроме того, добавляют: «...Прописная истина: отношение к новичкам со¬вершенно другое, чем к опытным пользователям Internet. Все вышеска¬занное касается не только отдельных клиентов, но и фирм в целом, поэтому нужно непременно заботиться о репутации своих компаний в Сети».
Честно говоря, еще не приходилось слышать о фирме, солидность которой ставилась бы под сомнение из-за номера ICQ, однако оставим подобные заявления на совести авторов, научившихся зарабатывать деньги путем продажи коротких и легко запоминаемых UIN. В контексте данной темы нас более всего интересует security-аспект приобретения та¬кого номера.
Итак, какие же действия предпринимают агрессоры для того, что¬бы узнать заветную комбинацию цифр? На самом деле все очень просто. Каждому владельцу Internet-пейджера известно о такой возможности приложения, как добавление новых клиентов. При этом поиск по базе данных ICQ может осуществляться по имени, адресу электронной почты или UIN пользователя. Эти сведения являются обязательными при реги¬страции на сервере Mirabilis и поэтому всегда доступны каждому поклон¬нику «тети Аси».
Основным параметром здесь, конечно же, является e-mail, так как для присвоения чужого номера в регистрационную форму нужно ввести UIN и пароль пользователя. Но если с UIN ситуация понятна, то пароль можно получить лишь через страницу wwwicq.com/ password, что весьма затруднительно, разве что пользователь был доста¬точно неосторожным и позволил установить в своей системе «троянско¬го коня» или key logger (программу, созданную неким «доброжелателем», которая контролирует работу клавиатуры и записывает данные обо всей введенной информации в отдельный файл).
Если при регистрации ICQ указан адрес электронной почты, при¬своенный вам надежным и проверенном в деле провайдером, то считайте свой случай более-менее безопасным. Если же в регистрационной форме числится адрес какой-то бесплатной службы, тут сетевые «джентльмены удачи» начинают довольно интересную «игру». От вашего имени множе¬ству клиентов рассылаются сообщения рекламного, а порой и откровен¬но порнографического содержания. После нескольких тысяч таких пи¬сем некоторые пользователи (а иногда и сам агрессор), естественно, возмутятся подобным нарушением сетевого этикета, о чем не замедлят сообщить компании, предоставляющей услуги бесплатной почты.
В результате ваш адрес, скорее всего, удалят без каких-либо преду-преждений (кстати, довольно недвусмысленные высказывания касатель¬но рассылки рекламной информации содержатся в Service Agreement практически каждого бесплатного сервера). Без какого-либо промедле¬ния точно такой же адрес e-mail будет зарегистрирован на имя вашего «доброжелателя», который с помощью службы Forgotten Password на сай¬те ICQ добудет «забытый пароль» на все тот же значащийся в системе ад¬рес электронной почты, однако уже принадлежащий другому человеку.
Существуют ли какие-то меры противодействия подобным ата¬кам? Как уже было сказано выше, указание адреса, выданного провайде¬ром, существенно уменьшает возможность закрытия почтового ящика по не зависящим от вас причинам. Будет также не лишним установить обязательную авторизацию для всех, кто желает добавить ваше имя или ник в свой Contact List. Кроме того, не ведите пространных бесед с не¬знакомыми людьми, особенно когда они предлагают вам выслать инте¬ресные файлы или нужные приложения.
Тяжелая артиллерия
Атаки по e-mail на сегодняшний день особенно неприятны для пользователей бесплатных почтовых услуг (из-за ограничения объема почтового ящика), а также для тех, кто подключается к Internet по ком¬мутируемой телефонной линии (как известно, время — деньги).
Почтовая бомбардировка, или mailbombing, является одним из са¬мых примитивных видов компьютерных агрессий и практически не при¬меняется высококлассными взломщиками. При такой атаке на элек¬тронный адрес пользователя отсылается большое количество сообщений. Ее главная цель, как правило, — засорение ящика или вы¬нужденное «зависание» сервера провайдера, пытающегося справиться со всем этим «хламом», поступающим в адрес жертвы.
Практически любой пользователь, мало-мальски знакомый с ос¬новами работы в Internet, может стать автором такой агрессии. Для при¬мера рассмотрим одну из самых распространенных программ подобного типа — The Unabomber. Как видно из ее интерфейса, все, что требуется знать потенциальному террористу, — это адрес сервера, позволяющего анонимную отправку сообщений электронной почты, и адрес жертвы. После ввода какого-либо текста в поля Subject и Message и нажатия кноп¬ки Begin Mailing программа начнет отсылку почтовых сообщений. Коли¬чество отправленных писем указывается в поле Number и может зада¬ваться фактически любым 12-разрядным числом.
Как же уберечься от почтовых атак? Прежде всего, напомним, что применять такую программу будут «горе-специалисты по хакингу», уро¬вень знаний которых оставляет желать лучшего. Поэтому противодей¬ствием номер один должно стать элементарное правило: четко осозна¬вать, кому и зачем вы сообщаете свой электронный адрес.
В качестве преграды для мэйлбомбинга может выступать и Web-сайт провайдера, иногда настраиваемый таким образом, чтобы он автоматически определял почтовые атаки. В большинстве случаев они распознаются сервером посредством сравнения исходных IP-адресов входящих сообщений. Если количество сообщений из одного источника превышает некие разумные пределы, то все они автоматически поступа¬ют в Recycle Bin на сервере. Конечно же, ничто не мешает злоумышлен¬нику фальсифицировать собственный IP-адрес, однако те, кто в силах совершить подобное, наверняка не станут прибегать к такому примитив¬ному способу атаки.
Приложение BombSquad поможет расчистить почтовый ящик по¬сле совершения нападения. Вместо загрузки всех сообщений программа доставит лишь определенное количество писем. Проведя их сортировку, вы сможете отделить нужную почту от mail-бомб сетевого террориста. Для тех, кто предпочитает читать заголовки электронных писем на серве¬ре перед загрузкой почты на жесткий диск, существует возможность уда¬ления всех лишних сообщений без доставки на свой компьютер. Однако при большом количестве почты такой способ вряд ли удобен. Хочется также напомнить, что, согласно украинскому и российскому законода-тельствам, почтовые атаки могут быть расценены как уголовные пре¬ступления. В Соединенных Штатах подобные действия, повлекшие за собой срыв работы сервера провайдера, считаются федеральными пре¬ступлениями и передаются на рассмотрение в ФБР.
И вновь продолжается бой!
Естественно, все рассмотренные выше виды Internet-агрессий мо¬гут доставить пользователям определенные проблемы, однако ни кражу UIN, ни почтовую бомбардировку нельзя расценивать как серьезное по¬кушение на вашу компьютерную систему. Атаки профессиональных взломщиков имеют более изощренный характер, при этом учитывается психология жертвы, активно используется информация о спецификации протоколов TCP/IP, на которых построена Internet. Далее мы расскажем о том, как подобным действиям можно противостоять.
Согласно Бюллетеню лаборатории информационных технологий NIST, наиболее популярными атаками на пользовательские машины считаются:
? установка вируса на компьютер жертвы с помощью передачи файла по ICQ;
? применение BackOrifice и NetBus — продуктов различных хакерских групп, позволяющих получать неограниченный доступ к удаленной системе, если на ней установлен «троянец»;
? переполнение рабочего телекоммуникационного канала пользователя путем отсылки ему огромного количества TCP-пакетов с пометкой «срочно» с помощью WinNUKE.
Теперь более подробно остановимся на каждой из них.
Программы BackOrifice и NetBus, будучи установленными на ком¬пьютер, открывают удаленный доступ к файлам для тех, кто заранее по¬заботился о «прописке» этих «творений» в вашей системе. Обе они по¬добны мелкому воришке, который проник в чужой дом и спрятался под кроватью, чтобы потом, когда наступит ночь, открыть двери более серь¬езным и маститым бандитам. BackOrifice, например, заносится в ди¬ректорию Windows, откуда легче всего получить доступ к важным си¬стемным файлам. BackOrifice и NetBus сегодня обнаруживают и обезвреживают практически все антивирусные пакеты.
Существуют также и другие программы, способные защитить ва¬шу систему от подобных «троянских коней».
Утилита NOBO (ее название происходит от «No BackOrifice») не¬прерывно контролирует соответствующие порты на предмет поступле¬ния в систему данного вируса, хотя в общем она реагирует на любого ро¬да «подозрительные» пакеты. При этом NOBO выдает сообщение о получении блока данных неизвестного происхождения и тут же закрыва¬ет порт, предотвращая тем самым возможность продолжения атаки. За¬тем программа записывает в log-файл данные об IP-адресе агрессора (ко¬торые могут быть сфальсифицированы, но это уже совсем другая история). В случае повторения инцидента эту информацию нужно пре¬доставить своему провайдеру.
Программа BODetect проверит все ваши жесткие диски на наличие BackOrifice. Таким образом, комбинацией этих двух утилит удобно поль¬зоваться при частой работе в Internet: с одной стороны, вы можете контро¬лировать движение пакетов к вашему компьютеру, с другой — периодиче¬ски запускать антивирус, наученный распознавать именно BackOrifice.
Сканеров портов, препятствующих проникновению в вашу систе¬му другого, не менее опасного «троянского коня» NetBus, также суще¬ствует довольно много. Пакет NetBuster, например, прекрасно справится с этой задачей. Более того, при атаке на ваш компьютер NetBuster будет умышленно отвечать на запросы агрессора, создавая тем самым впечат¬ление, что вирус надежно установлен на вашем ПК. В итоге время, по¬траченное взломщиком на безуспешные попытки получить доступ к компьютеру «жертвы», увеличится, что, в свою очередь, может помочь специалистам найти реальный источник угрозы и идентифицировать компьютер, с которого производится атака.
И наконец, еще один вид компьютерной агрессии, заслужива¬ющий отдельного разговора, — атомная атака, или просто «ньюкинг» (nuking). Программы такого рода, используя некоторые ошибки Windows, отсылают на адрес жертвы большое количество срочных паке¬тов, что в конечном итоге приводит к «зависанию» компьютера, а в неко¬торых случаях и к повреждению его системных файлов. Основная опас¬ность подобных программ заключается в их разрушительной силе и в то же время простоте использования.
Потенциальному террористу для атаки через Internet с помощью WinNUKE нужно знать только ваш IP-адрес.
Какие же меры противодействия следует предпринять в данном случае? Прежде всего старайтесь, чтобы ваш IP-адрес был известен как можно меньшему кругу людей. Основные каналы утечки информации об IP-адресе — чаты и ICQ. Что касается «тети Аси» — позаботьтесь о том, чтобы во вкладке Security в поле IP всегда появлялась надпись «N/A» (Not Available — недоступно).
Кроме того, обратите внимание, насколько легко ваше имя может добавить в свой список другой пользователь ICQ. Не будет лишним огра¬ничить круг потенциальных друзей. Хотя все эти меры довольно-таки косметические. Существуют программы, способные распознавать IP-адрес даже тех владельцев ICQ, которые предприняли все меры пре¬досторожности. Именно поэтому в большинстве серьезных компаний использование данной популярной программы запрещено.
Но даже если террористу удалось завладеть IP-адресом, что, как мы убедились, сделать весьма несложно, это еще вовсе не является «окончательным приговором» вашей системе. «Атомных атак» поможет избежать программа Nuke Nabber. Она непрерывно сканирует открытые порты компьютера, подключенного к Internet, и перехватывает пакеты, используемые для атаки. Желающие побольше узнать об этой техноло¬гии могут почитать ответы на часто задаваемые вопросы по применению Nuke Nabber. Программа распространяется как freeware, после инсталля¬ции ярлык на нее желательно установить в папку Автозагрузка меню Пуск, для того чтобы каждый раз при загрузке компьютера Nuke Nabber запускалась автоматически.
Многие, возможно, спросят: зачем нужно было приводить назва¬ния программ, предназначенных для компьютерных атак? Ведь в руках агрессивно настроенного пользователя они станут настоящим оружием и приведут к нежелательным последствиям, тем более что принципы ис¬пользования упомянутых приложений, как мы успели убедиться, могут озадачить разве что дошкольника. Однако, как говорил Суньцзы в трак¬тате «Искусство войны»: «Тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, бу¬дет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, не¬избежно будет разбит в каждом сражении».