Как поймать зверя за хвост

Вам кажется, что за вами установили пристальную слежку? Крякеры, хакеры, просто недруги или кто посерьезнее? Конкуренты или Комитет? Шпионы и воры всех мастей желают скрытно заполучить содержимое вашего жесткого диска, пароли в Интернет и деловые бумаги? В таком случае вы попали по адресу. Меня зовут доктор Мекс (и зовут в случае крайней необходимости).

Заметьте, что в большинстве своем материалы по безопасности, публикуемые в местных изданиях, носят ярко выраженную антисоциальную направленность, то есть содержат информацию, полезную больше взломщикам, нежели их жертвам. Хорошо, конечно, знать типичные приемы "атакующих", но совсем неплохо было бы изучить и арсенал защиты вашей информации. А вот с этим напряженка ;-)) Наверное, потому, что хакеров у нас больше, чем юзеров.

Возьмем тривиальнейший случай: вы обнаруживаете пропажу корреспонденции в своем почтовом ящике. Естественно, систематическую. Случаи сбоя в передаче почты должны "проясняться" на месте, "не отходя от кассы". С ними любой нанятый сетевой профи за небольшую мзду расправится легко. Но если проблема стала возникать регулярно, есть повод обратиться к "доктору Мексу". Что посоветует в таком случае обычный системщик? Провериться на вирусы, переформатировать винчестер, зашифровать данные, поменять провайдера в крайнем случае. Но это лишь полумеры. Я расскажу о том, как своими силами простому пользователю изловить злоумышленника "за хвост". Это не профанация, а обобщение многолетнего опыта.

Во-первых, чтобы отсечь всевозможных "просто так спуфферов, снифферов" и прочих "несерьезных дядек", поищите на Ждановичах комплекты заплаток для сетевой безопасности к вашей ОС. Несколько легче линуксоидам: заплаты выходят регулярно и содержат свежайшие "дырозаклеиватели". С Windows различных версий сложнее, но, тем не менее, и тут можно найти несколько файлов.

Во-вторых, для полного контроля над входящей и исходящей информацией инсталлируйте какой-нибудь логгер портов (обычно легко журналируются сокеты), который не доступен в первом попавшемся магазине. Обычно софт такого рода находится на Ждановичах на CD с названиями типа "Все, что нужно Хакеру-2000", "Сетевая безопасность для всех`99". Я лично рекомендую Socket Spy от WinTECH software (www.win-tech.com). С его помощью вы сможете записывать всю информацию, которую какое-либо приложение передает в Сеть или принимает оттуда.

В-третьих, обзаведитесь доступным программным файерволом с любой степенью "навороченности" - она нам не понадобится. Самое главное - чтобы firewall поддерживал автоматическую паузу для неразрешенного приложения. Я лично рекомендую Zone Alarm от Zone Labs (есть на Ziff-Davis). И теперь можно приступать к массовому отлову всевозможных троянских компонент.

Чтобы приступить к обнаружению канала утечки информации, необходимо вызвать "аварийную" (с точки зрения безопасности, естественно. Не думайте кидать на пол ваш системный блок!) ситуацию. Удалите все имеющиеся разделы на винчестере и заново их создайте. Инсталлируйте только нужные компоненты. Поменяйте пароли. Если "троян" увидит это - первой его реакцией станет выход во внешнюю Сеть. Тут мы его и накроем!

Информация может "стравливаться" вашим интернет-браузером при помощи cookies недобросовестному администратору интернет-сайта или провайдера. Для того, чтобы подтвердить данное предположение, система, состоящая из файервола и логгера, должна поработать некоторое время с браузером, после чего журнал следует проанализировать на предмет наличия в нем фрагментов вашей конфиденциальной информации, помня, что в целях маскировки она может быть разбавлена "информационным мусором" или зашифрована.

Хитрые троянцы оформляются в виде отдельных потоков "как бы полезных" приложений, и на них только что описанный метод практически не действует. Зато их можно отловить при помощи файервола, и вот каким образом это делается.

Файерволу ставится жесткая установка: при попытке соединения немедленно приостанавливать работу приложения, запросившего соединение, и просить пользователя подтвердить факт соединения. В этом случае троянская компонента будет вынуждена соединяться практически прозрачно для пользователя, НО НЕ ДЛЯ логгера! "Убиваем" поток трояна, запускаем логгер, через него - файервол, и пытаемся снова сменить пароль. Вирус просит соединения - и он его получает. В последний раз. Далее следует долгий и нудный "организационный момент", в котором выясняется, откуда и когда троянская программа попала на ваш компьютер.

Остается заметить, что таким образом я отловил для примера "милашка.exe", бродящую по Байнету в невообразимых количествах и слушающую порт 1001. Идет с некоторыми программами "1С", покупаемыми на радиорынке (хотя авторство, насколько я понимаю, приписывают локальной сети общежития №2 Белгосуниверситета, Минск:-))

Вот, собственно говоря, и все,

Пишите письма.

Mexicanetz Express,
tso@chem.bsu.unibel.by

Версия для печатиВерсия для печати

Номер: 

50 за 2000 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Sinister
Может хватит уже всякую чушь писать :(((
Аватар пользователя Pascal
Откуда только таких Дебилов находят с такими статьями? А ведь кто то этот бред допустил до печати и этот человек работает в КВ.
Аватар пользователя Эдуард
Да это по-приколу, к новому году.
Аватар пользователя Sinister
Нихрена себе приколы ;)