Как обворовывают Вас и Ваш ПК в Internet

• *j Port 6770 to 6799 http, 81.82,83, https, socks, htb 7071 Port 1024 to 65535 http, 81,82,83, https, socks, hit.. ftp-data, ftp domain domain T~ Back-Orifice, Back-Orifbe-2000-J j NetBus-Pro, NetBus, NetBus-2 S1

Ш ® 21554 Ц Щ Щ Ц

® ® ® ®

2583,3024,4092,5742 2140,3150.41,60000,6670,67. 31785,31787,31788,31789,31. 1999,2773,54283, 7215, Backd^rJ

l >Г

«J

Add..

Modfiy.. •QK.

Remove

Test.. Cancel

Hep l

Рис. 8.4. Брандмауэры могут осуществлять мониторинг отдельных портов и извещать вас о попытках их использования без вашего разрешения

К числу наиболее популярных брандмауэров относятся: BlacklCE PC Protection (http://www.iss.net), Personal Firewall (http://www.mcafee.com), Norton Internet Security (http://www.symantec.com), Outpost and Jammer (http://www.agnitum.com) и ZoneAlarm (http://www.zonelabs.com).

Программы для защиты от "троянских коней11 Лучший способ защиты от "троянских коней" — это установка одной из программ, которые специально предназначены для их обнаружения и удаления. Такие программы, называемые антитроянскими (anti-Trojan horse programms), которые содержат базы данных сигнатур, однозначно идентифицирующих различные разновидности "троянских коней" (см. рис. 8.5), сканируют диск и проверяют, не встречается ли в содержимом того или иного файла известная сигнатура из базы данных. Наличие одной из сигнатур в файле указывает на присутствие "троянского коня", что дает возможность своевременно удалить преступную программу и ликвидировать последствия ее работы, например, восстановить испорченные данные реестра Windows.

124

Часть 2. Опасности, подстерегающие в Internet

Initialisation

Г Г Г P jv P P &

Boost TDS Process Priority (NT) Boost TDS Token Privileges LoadPlugins Load Radius Systems Load Radius Extensions Initialise Sockets Show Tip Of The Day Greet User With Speech

\ Г" Process Memory Space Scan ! !? Memory Object Scan i p Memory Mutex Scan j P Registry Ь File Trace Scan : Г CRC32 System Files Test

Minimise TDS to Windows Taskbar I C Windows System Tray ! Г TDS Mini Control Window ;•• Run At Windows Startup i Г Yes Л1 No г Startup State i С Minimised 6 Normal

юп$ | Generic Detect» i-Seatch Inside Files nded Executable* impressed Executables VRAR Archives dvanced Deep-Search an for Hidden Executables .an for CSents\EditServers tpack compressed EXEs

Advanced Scan Options Г Scan NTFS ADS Hidden Streams Г Show all NTFS ADS Streams Г" Scan Drivers Г Scan DLL Libraries f7 Radius Extensions Enabled p Show Suspicious Filenames Г Scan for EICAR Test String

Save Configuration I

Scan Exclusions...

Рис. 8.5. Антитроянские программы позволяют обнаруживать и удалять "троянских коней" еще до того, как они получат возможность атаковать компьютер

В отличие от брандмауэров, которые блокируют порты, предоставляющие путь доступа в компьютер через локальную сеть или Internet, антитроянские программы могут осуществлять мониторинг открытых портов и обнаруживать любой подозрительный трафик, который может быть связан с деятельностью "троянского коня". Как только программа RAT попытается получить доступ к порту вашего компьютера или открыть его, ее действия будут замечены, а "троянский конь" — найден и уничтожен. Специализированные программы защиты от "троянских коней", как и антивирусные программы, следует регулярно обновлять. К числу наиболее популярных антитроянских программ относятся следующие: Hacker Eliminator (http://hackereliminator.com), Tauscan (http://www.agnitum.com), TDS-3: Trojan Defence Suite (http:// tds.diamondcs.com.au), NetSpyHunter (http://www.netspyhunter.com), Anti-Trojan (http:// www.anti-trojan.net) и The Cleaner (http://www.moosoft.com).

Хакерский инструментарий для борьбы с "троянскими конями" Поскольку хакеры часто атакуют друг друга, многие из них написали собственные инструментальные средства, позволяющие им удалять из своих компьютеров

Глава 8. "Троянские кони": бойтесь данайцев, дары приносящих

125

"троянских коней" определенного типа. В отличие от антитроянских программ общего назначения, просматривающих жесткий диск в поиске "троянских коней" всех известных типов, аналогичные им хакерские программы предназначаются для обнаружения и удаления лишь какого-то одного определенного их типа. (Будьте бдительны: хакер-злоумышленник может предлагать вам для загрузки якобы антитроянскую программу, которая в действительно несет в себе "троянского коня".)

Еще несколько слов о "троянских конях" Для защиты от "троянских коней" используйте комбинацию различных защитных средств в сочетании с небольшой толикой здравого смысла. Лучшим способом оградить свой компьютер от заражения "троянским конем" является блокирование всех возможных каналов его проникновения, например: установка брандмауэра, отказ от запуска неизвестных программ и физическое блокирование доступа к компьютеру, исключающее вероятность случайной или преднамеренной установки на нем троянской программы в ваше отсутствие. Для получения более подробной информации о "троянских конях" посетите Web-узел HackFix (http:// www.hackfix.org) или Web-узел TL Security (http://www.tlsecurity.net), на котором не только рассказывается о троянских программах, но и предоставляются их исходные коды для вашего ознакомления. "Троянские кони" представляют собой реальную опасность, однако если вы будете избегать использования неизвестных программ и защитите свой компьютер всеми известными средствами, то вам удастся не допустить в него "троянских коней", которые будут угрожать вашим данным. После этого вам останется лишь побеспокоиться о том, чтобы возле компьютера не мелькали посторонние люди.

Глава 9 "Легкий" заработок в Internet

Честного человека провести невозможно! — Слова одного мошенника

ДОБАВЬТЕ К ЛЕНИ ДОВЕРЧИВОСТЬ И ЖАДНОСТЬ - И ВЫ ПОЛУЧИТЕ НАБОР ОСНОВНЫХ КАЧЕСТВ, КОТОРЫМИ ДОЛЖЕН ОБЛАДАТЬ ЧЕЛОВЕК ДЛЯ ТОГО, ЧТОБЫ ПОТЕРЯТЬ ДЕНЬГИ В ОДНОЙ ИЗ М Н О Г О Ч И С Л Е Н Н Ы Х АФЕР, З А П О Л О Н И В Ш И Х INTERNET Предоставив ни с чем не сравнимые возможности для общения между людьми, разбросанными по всему земному шару, Internet одновременно создала глобальную среду для их одурачивания. Сама по себе сеть Internet, конечно же, не заслуживает обвинений в мошенничестве. Она просто оказалась весьма удобной новой средой для мошенников, в которой их жертвы легко попадаются на удочку. Любая афера в Internet включает в себя следующие элементы: > Игра на доверии жертвы > Соблазнение жертвы на уплату предварительного взноса >

Обещание фантастического вознаграждения при незначительности или полном отсутствии каких бы то ни было усилий со стороны жертвы

Поскольку почти никто не откажется получить кругленькую сумму, не приложив никаких усилий к тому, чтобы заработать эти деньги (именно этим объясняется, почему так много людей рвутся в политику!), все мы подвержены риску в один прекрасный день оказаться жертвой подобного мошенничества. Чтобы у жуликов не было ни единого шанса обвести вас вокруг пальца, зат ратьте некоторое время на самообразование и ознако

Глава 9. "Легкий" заработок в Internet

127

тесь с описанными ниже видами жульничества, которые годами используются для того, чтобы выманивать у людей деньги.

Аферы стелефонными кодами Аферы с телефонными кодами основаны на том, что люди не в состоянии уследить за появлением новых региональных кодов, число которых постоянно растет. Чтобы связаться с вами, мошенник может оставить сообщение на автоответчике, прислать его по электронной почте или использовать пейджер. Мошенник будет пытаться убедить вас сделать междугородный телефонный звонок, мотивируя это, например, тем, что вы, якобы, выиграли сказочный приз в конкурсе, что с вашей кредитной карточки были неправильно сняты деньги и вы должны уладить эту проблему, связавшись с кем надо по телефону, что один из ваших родственников умер, арестован, заболел, и т.п. Когда вы сделаете звонок по указанному номеру, вас попросят не класть трубку, дадут прослушать запись длинного сообщение или же соединят с человеком, плохо говорящим по-английски. В любом случае человек на другом конце линии будет просто стараться удержать вас на связи как можно дольше, поскольку (сю-ю-рприи-из!) данному коду соответствует специальная тарифная ставка (как в случае номеров, начинающихся с цифр "900"), np^i которой стоимость минуты разговора может достигать 25 долларов, так что тому, к)го звонит (т.е., вам) такой разговор выльется в значительную сумму. Наиболее популярным телефонным кодом, используемым для подобных афер, является код "809", который в действительности соответствует Карибским островам, так что аферист может избежать ответственности перед американским законодательством, предупредив вас о необходимости оплаты разговора по специальному тарифу и информировав о вашем праве прервать разговор в течение определенного времени, не будучи обязанным оплачивав его. К тому же, поскольку набирать код выхода на международную линию не требуется (достаточно набрать только "1-809" и номер), большинство людей и не догадываются, что на самом деле они делают международный звонок. Аферы с телефонными кодами очен^ трудно преследовать по закону. Поскольку вы действительно сделали телефонный звонок, то ни местная телефонная компания, ни оператор междугородних разговоров! скорее всего, ничем не смогут вам помочь и не снизят оплату, так как они обязаны рбеспечить оплату счета, выставленного зарубежной телефонной компанией. Чтобы не дать втянуть себя в эту аферу, следите за тем, какой код вам приходится набирать в подобных случаях. Чтобы ознакомиться с другими телефонными кодами, принадлежащими Карибским островам, посетите Web-узел LincMad (http:// www.lincmad.com/caribbean.html). Для получения более подробной информации относительно аферы "809" воспользуйтесь своей любимой поисковой системой и задайте поиск по фразам "809 fraud" или "809 scam".

128

Часть 2. Опасности, подстерегающие в Internet

Нигерийские аферы Жители многих стран не любят американцев, что кажется вполне естественным, если учесть, что в большинстве случаев единственные американцы, с которыми им приходится сталкиваться,— это американские туристы (которых они не любят) и американские полицейские (которых не любим и мы). Одним из источников информации об Америке в других странах служат американские телевизионные шоу. Просмотрев такие шоу, как Baywatch или Sex and the City, люди во многих странах будут думать, что американцы не только богаты и красивы, но и никудышные актеры. Тем не менее, независимо от того, как воспринимают американцев в других странах, остается фактом, что Америка — одно из самых богатых государств на планете. Учитывая величину разрыва между доходами среднего американца и доходами жителей остальных стран мира, вряд ли следует удивляться тому, что большинство из них без всякого зазрения совести готовы воспользоваться любой удобной возможностью, чтобы надуть американца и выкачать из него деньги. По каким-то непонятным причинам в центре этих афер оказалась Нигерия, причем во многих случаях их инициаторами являются не только нигерийские граждане, но даже и правительство Нигерии, которое неоднократно уличалось в причастности к подобного рода делам, в связи с чем многие считают, что мошенничество в международном масштабе образует одну из трех основных статей дохода Нигерии. Среди нигерийцев бытует всеобщее мнение, что если удается обмануть американца и вытянуть из него деньги, то виноват в этом, прежде всего, сам американец, который проявил излишнюю доверчивость. Нигерийские аферы часто называют "аферами с предоплатой", "аферами 419" (или просто четыре-один-девятъ (four-one-nine) по номеру соответствующей статьи Уголовного кодекса Нигерии) или "факсовыми аферами". Суть аферы заключается в следующем. Жертва получает неожиданное сообщение по электронной почте, факсу или в виде письма из Нигерии с предложением по "отмыванию" денег, которое на первый взгляд кажется вполне легальным деловым предложением, связанным с поставками сырой нефти или с завещательным отказом от движимого имущества. В факсе или письме речь, как правило, идет об оказании содействия в переводе крупной денежной суммы в банк, услугами которого пользуется жертва, и обещается, что часть этой суммы будет передана получателю, если он (или она) перечислит определенную сумму в качестве "предоплаты за услуги", "налога на денежные переводы за границу", "гарантии выполнения обязательств" или же просто на взятки правительственным чиновникам. Стоит только жертве принять условия и перечислить указанную авансовую сумму, как сразу же возникают какие-то непонятные сложности, требующие от жертвы пересылки дополнительных сумм, и так до тех пор, пока жертва не прекратит переводы или у нее не закончатся деньги, или же не произойдет одновременно и то, и другое. Ввиду непрерывного роста популярности сети Internet у нигерийских мошенников хватает работы, поэтому не удивляйтесь, если в один прекрасный день вы получите из Нигерии факс, в котором к вам обращаются за помощью. Пример такого

Глава 9. "Легкий" заработок в Internet

129

письма из Нигерии, в котором вам обещается получение фантастического состояния в обмен на незначительные услуги с вашей стороны, приводится ниже: Уважаемые господа/ Я— работник Федерального Министерства здравоохранения Нигерии. Так случилось, что пять месяцев назад мой отец, занимавший должность Председателя Специального комитета, созданного по решению нынешнего военного правительства для контроля над поступлениями в государственный бюджет, связанными со сбытом и распределением сырой нефти в период от начала войны в Персидском заливе и до ее окончания, погиб в результате автомобильной катастрофы по пути домой из Лагоса, где он участвовал в работе Национального собрания. Прежде чем умереть, он пролежал в госпитале 8 (восемь) дней. За то время, пока я проведывал его в госпитале, он ввел меня в курс всех своих конфиденциальных дел, о сути одного из которых я и собираюсь вам сейчас рассказать. Еще до того как отец умер в госпитале, он успел мне признаться, что в одной страховой компании он хранит в сейфе 21,5 (Двадцать один с половиной) миллионов долларов США наличными. О содержимом сейфа страховая компания ничего не знает. Отец дал мне документ, по которому я смогу забрать этот сейф, предварительно оплатив услуги по его хранению. Далее, отец посоветовал мне, чтобы я забрал деньги с помощью иностранца, который должен открыть в местном банке счет на имя своей компании, откуда денежная сумма будет переведена компании на ее зарубежный счет. Такая процедура необходима, поскольку я — гражданский служащий, и мне будет трудно объяснить, откуда у меня взялись деньги. Именно поэтому я и решил обратиться к вам за помощью, предлагая следующие условия: 1. Эта сделка будет проводиться с соблюдением полной конфиденциальности, на условиях взаимовыгодного сотрудничества и без разглашения информации о ней посторонним лицам. 2. Деньги будут переведены на такой расчетный счет, для которого ставка налогообложения не очень высока. 3. Все вопросы финансирования, необходимого для успешного завершения сделки, будут решаться обоими партнерами сообща. 4. Вы подготовите гарантийное письмо за собственноручной подписью и печатью, в котором будет сказано, что поступившая на ваш расчетный счет сумма размером 21,5 (Двадцать один с половиной) миллионов долларов США принадлежит мне и что за ваши услуги вам причитается только 20 % от общей суммы. Для получения более подробной информации свяжитесь со мной по указанному номеру телефакса. Просьба ставить на своих письмах пометку "QS". Искренне Ваш Д-р Ан Узоамака

130

Часть 2. Опасности, подстерегающие в Internet

Для более детального ознакомления с аферами, проистекающими из Нигерии, воспользуйтесь своей излюбленной поисковой системой (см. главу 1) и произведите поиск по следующим ключевым словам: 419fraud или Nigerian scam. После того как Соединенные Штаты послали своих солдат в Афганистан, нигерийские аферы несколько разнообразились, так что теперь жертва может получить письмо, якобы отправленное американским солдатом, который нашел тайник с большими деньгами и нуждается в помощи американца для их незаметной переправки в США. Не считая замены имени нигерийского чиновника именем американского солдата, суть письма остается одной и той же. (Забавный обзор самых разных писем от нигерийских жуликов вы сможете найти по адресу: http://archive.salon.com/people/feature/2001/08/07/419scams/index.html.)

Пирамидальные схемы Идея, лежащая в основе пирамидальных схем (pyramid schemes), или пирамид, заключается в том, чтобы заставить двух или более человек дать мошеннику свои деньги. Взамен они не получают ничего, кроме надежды на то, что они также могут разбогатеть, но при условии, что и им, в свою очередь, удастся уговорить двух или более человек дать им деньги и т.д. Самой распространенной формой пирамид является цепная переписка (chain letters). Типичное цепное письмо содержит пять адресов, по каждому из которых вас убеждают выслать определенную сумму (например, 1 доллар). Вы должны скопировать письмо, удалив из списка верхний адрес и вставив внизу собственные имя и адрес. Все, что требуется от вас далее,- это отправить пять копий письма другим людям и спокойно ждать, пока в ваш почтовый ящик через несколько недель не польется сказочный "золотой дождь". Чтобы избежать позорного клейма "цепной переписки", во многих из таких писем вас просят расписаться в том, что вы посылаете деньги в качестве подарка или же покупаете прилагаемые пять адресов как список рассылки. Благодаря этому, говорится в письме, вас никто не сможет обвинить в нарушении каких-либо законов. Механизм многоуровневого маркетинга (MLM — multilevel marketing) аналогичен механизму цепной переписки. Настоящий MLM-бизнес позволяет людям делать деньги двумя способами: путем продажи продукта и путем привлечения новых распространителей продукта. К сожалению, многие аферы лишь маскируются под легальный MLM с тем существенным отличием от него, что, являясь дутым MLM-бизнесом, могут предлагать вам делать деньги лишь на рекрутировании других людей, а единственным продаваемым продуктом здесь являются весьма туманные "деловые возможности". Часто пирамиды действительно делают немногих людей очень богатыми, но это лишь за счет тех, кто находится в нижней части пирамиды. Большинство пирамид формируются за счет привлечения новых членов через группы новостей Usenet или же за счет рассылки спама (spam), т.е. хлама — многочисленных непрошеных писем, направляемых по электронной почте (см. главу 16). Как только вы примете, что пирамидальные схемы нуждаются в ваших деньгах лишь для того, чтобы сделать богатыми других людей, вы сможете устоять перед искушением принять одно из посту-

Глава 9. "Легкий" заработок в Internet

131

пивших к вам предложений подобного рода, каким бы соблазнительным оно ни казалось. (А если вы сами хотите включиться в аферы для надувательства других людей, то для этого не существует более быстрого способа, чем запуск собственного цепного письма, где ваше имя находится в самом верху списка.)

Остерегайтесь Mega$Nets Широкое распространение компьютеров и Internet породили электронную версию пирамидальной схемы на основе цепной переписки, получившую название MegaSNets (см. рис. 9.1). В отличие от традиционной цепной переписки, в которой письма пересылаются обычной почтой, а от ее участников требуется соблюдение определенной честности (чтобы они не помещали свое имя вверху списка), в MegaSNets обман одних участников другими исключается за счет отслеживания списка имен с помощью программного обеспечения. Программу MegaSNets обычно продают примерно за 20 долларов (хотя многие раздают эту программу бесплатно). Сразу же после того как вы установите программное обеспечение MegaSNets на своем компьютере, на экране появится список из пяти имен и адресов. Предполагается, что вы вышлете каждому из указанных в этом списке лиц по 20 долларов, а в ответ получите от них шестисимвольные коды. Как только вы оплатите все пять кодов, программа введет ваше имя в список. Начиная с этого момента вы можете продать (или отдать бесплатно) копии программы тем, кто заплатит вам по 20 долларов за получение от вас компьютерных кодов, позволяющих очередным участникам поместить в список свои имена и т.д.

Рис. 9 . 1 . Программа Mega$Nets, реализующая разновидность цепной переписки, распространяется в виде бесплатной программы

132

Часть 2. Опасности, подстерегающие в Internet

В программе MegaSNets возможность обмана исключается за счет использования двух факторов. Во-первых, никто не может удалить из списка какое-либо имя, поскольку в MegaSNets имена хранятся в зашифрованном файле. Во-вторых, единственный способ поместить свое имя в список MegaSNets (чтобы другие участники могли выслать вам по 20 долларов) — это предварительно самому заплатить по 20 долларов каждому из пяти участников, указанных в присланном вам списке, чтобы они сообщили вам свои коды. Чтобы избежать каких-либо ассоциаций с цепной перепиской (каковой, по сути, и являются "деловые предложения" MegaSNets), всегда подчеркивается, что вы продаете как программу MegaSNets (по цене 20 долларов), так и компьютерные коды (дополнительные 20 долларов), которые могут быть сгенерированы только программой MegaSNets. В отличие от настоящих MLM-планов, когда участники действительно получают какой-либо полезный продукт (например, витамины или пищевые добавки), план MegaSNets сводится исключительно к продаже программы, которую далее можно продать только такому же простаку, полагающему, что он сможет заработать кучу денег, если будет далее продавать эту программу другим. Чтобы найти Web-узлы, созданные теми, кто дал втянуть себя в аферу с MegaSNets (см. рис. 9.2), воспользуйтесь услугами поисковой системы и произведите поиск по строке "megaSnets".

: Fe li Edti V eiw Go Bookmak rs Toosl W nidow Hep l

http: //communtyi, wow. net/meganets/ •^Bookmarks ^The Moza li Organziato i n ^Latest Bud lis

Welcome to MEGANET$ If you are already a millionaire or earn over $70,000 a month - have a good life and ignore the following. If, however, you are like me: WAS NOT BORN RICH DIDN'T MARRY MONEY HAVEN'T WON THE LOTTERY and work full time and yet still need additional income then read on, here is how to make it on your own! Friends and fellow Networkers, I would feel guilty if I did not tell I you about something that is taking the MLMs and traditional businesses by STORM!

Рис. 9.2. Один из многочисленных Web-узлов, развернутых "заблудшими душами" для того, чтобы убедить других в целесообразности загрузки программного обеспечения Mega$Nets и участия в этой сетевой афере

Глава 9. "Легкий" заработок в Internet

133

Взлом MegaSNets Mega$Nets взламывается с помощью написанной на Visual Basic программы, остроумно названной Mega$Hack (см. рис. 9.3). Mega$Hack предоставляет возможность редактирования файла зашифрованных данных MegaSNets, что позволяет удалять одни имена и вставлять вместо них другие, не платя по 20 долларов за предоставление соответствующих кодов. Обманывая других подобным образом, вы можете либо убедить людей в тщетности надежд на получение больших денег с помощью MegaSNets, либо обманом заставить их перечислить вам деньги, поскольку они будут считать, что вы присоединились к проекту MegaSNets обычным путем.

Мошеннические предложения работы на дому Кроме предложений, связанных с участием в пирамидальных схемах, часто встречаются сообщения, в которых предлагается возможность сказочно обогатиться, работая на дому. Типичные примеры подобных афер приводятся ниже. About Mega$Hack

IHegalHack is a tool foi altering the Mega$Mets data file. With this program you can add уош own name and address to Mega$!Niets and calculate other people's secret code*. That way you never have to pay anyone $20 for joining this useless scam.

CHRS I TOPHER

Don't be fooled Mecja$Nets is a con game. Chain Letter Info

|970Fax: |970Title 18, United States Cotfe What the United States Postal Inspection Service says about chain E le-mail: |L IK I EBLUE@>~ (http://wvww.usps.gov/websites/depart/inspect/chainlet.htm) Payee name: (CHRS I TOPHER A chain letter is a 'get rich quick* scheme that promsies that your ma soon be stuffed full of cash if you decide to participate. You're told yoSecret code: |AACM09 make thousands of dolars every month if you follow the detailed instn Record Number in the letter. Previous Record ! 2 of 7 A typical chain letter includes names and addresses of several indivi you may or may not know. You are instructed to send a certain amoun -usually J5--to the person at the top of the list, and then eliminate the and add yours to the botom. You are then instructed to mail copies ol * ad Data I tie instructions to a few more individuals who wil hopefuly repeat the entire process. __ Рис. 9.З. Программа Mega$Hack, позволяющая взламывать базу данных Mega$Nets

Next Record Exit

134

Часть 2. Опасности, подстерегающие в Internet

Упаковка бандеролей В одной из наиболее распространенных афер, связанных с работой на дому, вас уверяют, будто можно заработать сотни долларов, упаковывая бандероли в свободное от основной работы время. Прежде всего, подумайте сами: ну кому из нормальных людей, находящемуся в здравом рассудке, захочется зарабатывать себе на жизнь упаковкой бандеролей? Если эта логика ускользает от вас и вы собираетесь выслать деньги за то, чтобы вам рассказали, как на этом можно обогатиться, то вам следует серьезно пересмотреть свои взгляды на жизнь. Если же, невзирая ни на что, вы все-таки решитесь выслать деньги, то, вероятнее всего, получите следующее: > Письмо, в котором сообщается, что если вы желаете заработать деньги, то вам следует поместить в газете или журнале собственное объявление с предложением купить у вас информацию о том, как заработать большие деньги на упаковке бандеролей. Как видите, тема упаковки бандеролей послужила лишь поводом для того, чтобы выудить у вас деньги. > Информацию о компаниях, занимающихся выполнением заказов по почте, вместе с советом обратиться к ним с предложением своих услуг по упаковке бандеролей. К сожалению, расценки, предлагаемые за такую работу, настолько мизерны, что вскоре вы убедитесь, что это занятие способно принести вам лишь доходы на уровне средней зарплаты § странах третьего мира. Ну что, поняли теперь? Вас просто обманули, заставив поверить в то, что вы действительно сможете заработать большие деньги, делая примитивную работу, вместо того чтобы попытаться добиться этой цели путем нормального трудоустройства.

Наборы "Сделай сам" В других аферах с работой на дому вам продают за баснословную цену какой-нибудь набор (например, набор для изготовления поздравительных открыток). Предполагается, что, следуя прилагаемым инструкциям, вы сможете изготовлять оригинальные поздравительные открытки, рождественские венки, красочные картинки и другие бесполезные продукты, которые, якобы, люди будут у вас охотно покупать. Такие предложения могут казаться вполне нормальными, но предлагаемые наборы, как правило, не представляют никакой ценности, а выручкой от продажи продуктов, для изготовления которых они предназначены, вы вряд ли покроете даже свои первоначальные расходы на покупку набора.

Работа в качестве независимого подрядчика Если вы не хотите упаковывать бандероли или изготовлять оригинальные поздравительные открытки, то, может быть, стоит заплатить за возможность работы в качестве независимого подрядчика (конечно же, за непомерно большое вознаграждение)? В аферах этого типа говорят, что компания готова доверить вам изготовление определенных изделий, например, кукол или детских тапочек. Все, что от вас требуется,- это изготовить данные изделия и продать их компании.

Глава 9. "Легкий" заработок в Internet

135

В действительности работа оказывается настолько неинтересной и скучной, что большинство людей отказываются от нее еще до того, как продадут компании хотя бы одну единицу продукции. Тем же, кто оказался настолько упрямым, что действительно смог изготовить то, что заказывалось, компания заявляет, что качество продукции получилось очень низким, и поэтому она отказывается оплатить вашу работу. В любом случае ваши деньги вновь переходят к кому-то другому.

Жульническая торговля Людей годами надували на покупке залежалого или несуществующего товара. Internet лишь значительно расширил возможности мошенников бойко торговать, скажем, "змеиным ядом". Двумя популярными темами в жульнической торговле являются "чудодейственные" лекарственные продукты и инвестиции. Чудодейственные лекарственные продукты предлагаются людям на протяжении многих столетий, причем всегда утверждается, что они способны излечивать абсолютно от всех болезней — от рака и импотенции до СПИДа и несварения желудка. Разумеется, после покупки и начала приема подобных, с позволения сказать, "лекарств", ваша болезнь не уходит, а во многих случаях на самом деле даже обостряется. Между тем, вы продолжаете заталкивать в себя продукт, не имеющий никакой ценности и являющийся, например, не более чем смесью кукурузного сиропа и пищевого красителя. Мошеннические сделки в области инвестиций также не представляют собой ничего нового. Типичный биржевой жулик обещает вам большую прибыль при малом риске, но все это при условии, что вы начинаете действовать немедленно (поскольку мошеннику в этом случае удается быстрее получить от вас деньги). Многие биржевые жулики — завсегдатаи форумов по инвестициям и частые посетители комнат для бесед в сетях America Online и CompuServe, где есть возможность подыскивать людей, которые настолько уверуют в наличие у жулика "беспробойных" вариантов, что будут готовы вручить свои деньги совершенно незнакомому человеку. Как и в случае афер с ничего не стоящими чудодейственными лекарствами, в инвестиционных аферах вам будут продавать акции или облигации, не представляющие никакой реальной ценности. В роли типичных объектов таких инвестиций выступают золотодобывающие шахты, нефтяные скважины, недвижимость, страусиные фермы и другие экзотические объекты, которые кажутся привлекательными и интересными, но на поверку оказываются либо несуществующими, либо не имеющими никакой ценности.

Схема Понци Одной из самых давних и широко распространенных афер в области инвестиций является разновидность пирамидальной схемы, называющаяся схемой Понци (Ponzi scheme). Свое название эта схема получила по имени финансиста времен Первой мировой войны Чарльза Понци (Charles Ponzi), который прославился в послевоенное время тем, что просто брал у людей деньги, используя для расчетов с первыми вкладчиками средства, поступающие от новых вкладчиков. Поскольку доходы от

136

Часть 2. Опасности, подстерегающие в Internet

инвестиций, получаемые первыми вкладчиками, были огромными, вести о Чарльзе Понци как о финансовом гении распространились очень быстро. Вполне естественно, что как только эта новость разошлась, новые вкладчики ринулись вкладывать свои деньги в надежде обогатиться точно так же, как и первые. В этот момент, забрав деньги новых вкладчиков, Чарльз Понци исчез. Обычно схемы Понци легко распознаются по обещанию невероятно высоких доходов, которые должны быть получены в рекордно короткие сроки. Всегда предельно осторожно относитесь к заявлениям тех, кто утверждает, что без какого-либо риска с вашей стороны он сможет удвоить или утроить ваше капиталовложение в течение одной-двух недель. Не исключено, что вас просто пытаются втянуть в схему Понци.

Безошибочный прогноз Будьте очень внимательны, когда получаете письмо или электронное сообщение от незнакомого человека, предлагающего вам свою помощь без каких-либо видимых на то причин. Многие мошеннические проделки начинаются с того, что жертве чтото предлагается бесплатно, а это во многих разжигает жадность и желание урвать еще больший кусок (что доказывает справедливость слов: "Честного человека обмануть невозможно!"). В инвестиционных аферах этого типа с жертвой связывается "брокер", который совершенно бесплатно предлагает свой инвестиционный прогноз. Единственной его целью является продемонстрировать свое знание рынка и умение его прогнозировать. Брокер советует понаблюдать за отдельными акциями или товарами, и можете нисколько не сомневаться — их цены вскоре пойдут вверх в полном соответствии с его предсказаниями. Вскоре к жертве поступает еще одно сообщение от того же брокера, в котором он предлагает другой прогноз, предсказывающий падение курса некоторых акций или товаров, и действительно — все происходит именно так, как он и говорил. Наконец, он присылает третье сообщение со своим прогнозом, однако на этот раз в нем уже содержится инвестиционное предложение. Поскольку два предыдущих прогноза брокера оказались точными, большинство людей ухватятся за этот шанс как за "верняк", во многих случаях отдавая брокеру все деньги, которые у них есть. В этот момент брокер забирает деньги и исчезает. В действительности происходит следующее: псевдоброкер направляет 100 писем разным людям. В половине из этих писем он предсказывает, что стоимость акций или товаров поднимется, а в другой половине — что упадет. Что бы ни случилось, по крайней мере 50 человек будут считать, что прогноз оказался безошибочным. Описанный процесс повторяется с оставшимися 50 людьми: 25 из них получают прогноз с повышением, а 25 — с понижением цен. И на этот раз по крайней мере 25 человек также смогут убедиться в безошибочности прогноза. Теперь мошенник знает, что 25 человек (из первоначальных 100) убеждены в его способности предсказывать поведение рынка. Эти оставшиеся 25 человек высылают брокеру свои деньги — и только они его и видели!

Глава 9. "Легкий" заработок в Internet

137

Аферы с одинокими людьми В аферах этого типа богатую жертву обирают под обещания любви и привязанности. В прежние годы мошенники должны были физически встречаться и разговаривать с потенциальными жертвами, но теперь сеть Internet предоставляет им возможность обирать жертву на расстоянии. Итак, мошенник связывается с потенциальной жертвой, представляясь представительницей прекрасного пола, которая в настоящее время проживает в другой стране, например, в России или на Филиппинах. Выслав вначале "свою" фотографию (на которой, как правило, он не изображен в компании других лиц), мошенник продолжает добиваться доверия жертвы с помощью почтовых, факсимильных или электронных сообщений. Когда мошенник сочтет, что предварительная задача решена, клиент получает от "женщины" письмо, в котором она открыто обращается к нему с просьбой выслать деньги на оплату визы, что позволит ей покинуть страну и обеспечит возможность их личной встречи. Конечно же, как только жертва вышлет мошеннику деньги, возникают неожиданные сложности, и теперь у жертвы просят деньги уже на взятки чиновникам или на оплату официальных дополнительных расходов. В некоторых случаях жертва начинает осознавать, что ее обманывают, и прекращает высылать деньги, но чаще всего человек искренне верит тому, что мошенник — это реальная женщина, пытающаяся вырваться из чужой страны, и продолжает слать деньги по указанному адресу в надежде на то, что наконец-то он встретится с прекрасной незнакомкой, которая так понравилась ему на фотографии. Чем дольше мошеннику удастся поддерживать эту иллюзию, тем больше денег он сможет "выкачать" из несчастной жертвы.

Сетевые анализаторы пакетов, Web-спуфинг, фишинг и регистрация клавиатурных нажатий Одни разновидности афер известны уже на протяжении многих лет, другие появились совершенно недавно в связи с развитием Internet. К числу основных видов мошенничества в Internet относится кража номеров кредитных карточек, что дает жулику возможность использовать карточки без ведома их владельцев. Для кражи номеров кредитных карточек мошенники могут использовать несколько способов: анализ пакетов, Web-спуфинг, фишинг и регистрацию клавиатурных нажатий.

Анализаторы пакетов Когда вы вводите какую-либо информацию для передачи через Internet (например, свое имя, номер телефона или номер кредитной карточки), эта информация попадает на Web-узел не сразу. Вместо этого она разбивается на так называемые "пакеты", которые пересылаются с одного компьютера на другой подобно тому, как при тушении пожара ведра с водой передаются друг другу людьми, выстроившимися в

138

Часть 2. Опасности, подстерегающие в Internet

цепочку. Лишь после совершения такого путешествия информация, в конечном счете, доходит до хоста, на котором размещен просматриваемый вами Web-узел. Анализаторы пакетов (packet sniffers) позволяют выяснять номера кредитных карточек путем перехвата пакетов информации. Как правило, анализаторы пакетов пытаются устанавливать на тех хостах, на которых развернуты Web-узлы сетевых магазинов. В этом случае большинство перехваченных пакетов будут содержать номера кредитных карточек и иную полезную для вора информацию, которую он сможет использовать в своих интересах. Техника перехвата информации в Internet, использующая анализаторы пакетов, напоминает ту, которую применяют воры, перехватывающие звонки с беспроводных и сотовых телефонов. При заказе вами какого-либо товара по такому телефону вор может перехватить звонок и подслушать номер вашей кредитной карточки, когда вы будете называть его тому, кто принимает заказ. Определив номер кредитной карточки, программа-перехватчик копирует его и отсылает далее по назначению. Следовательно, о том, что номер кредитной карточки похищен, вы не будете знать до тех пор, пока к вам не начнут приходить необычайно высокие счета. Чтобы анализаторы пакетов не могли похитить у вас эту информацию, никогда не пересылайте данные о кредитной карточке через Internet. Если же вы все-таки решаетесь делать покупки в сети, доверяйте только тем Web-узлам, которые шифруют номера кредитных карточек (при подключении к безопасному сетевому магазину в нижней части экрана появляется крошечная пиктограмма замка). В то время как вероятность кражи номеров кредитных карточек с использованием анализаторов пакетов является довольно незначительной, реальная опасность этого связана с хранением данных о карточках в компьютерах торгующих компаний (организация защиты данных в которых, как правило, оставляет желать лучшего). Если хакер проникнет в компьютер компании, то в числе прочего он может похитить и хранящийся в нем номер вашей кредитной карточки, и в этой ситуации от вас ничего не будет зависеть.

Web-спуфинг Web-спуфынг (web spoofing), или Web-мистификация, весьма напоминает перехват пакетов, однако вместо скрытной установки на хосте программы-анализатора пакетов спуфинг подразумевает разворачивание ложного Web-узла, который воспринимается извне как самый обычный узел сетевого магазина или маскируется под один из существующих легальных Web-узлов (см. рис. 9.4). URL-адреса ложных Web-узлов часто выбираются похожими на URL-адреса реальных Web-узлов, которые они имитируют (например, http://www.micrsoft.com, где используется искаженное слово Microsoft), чтобы жертва считала, будто она на самом деле соединяется с легальным узлом. В подобных случаях, заказывая товар, вы можете думать, что отправляете номер кредитной карточки легальной компании, но в действительности передаете его вору. Чтобы противостоять попыткам спуфинга, следует тщательно контролировать адреса Web-узлов в своем браузере. Если вы полагаете, что связываетесь с Web-узлом фирмы Microsoft (http://www.micrsoft.com), но браузер сообщает вам, что в дей-

Глава 9. "Легкий" заработок в Internet

139

ствительности вы осуществляете доступ к Web-узлу с адресом, относящимся к другой стране, то, возможно, вы являетесь жертвой спуфинга. 4. Подмена содержимого страницы

www.fakesite.com 5. Пересылка пользователю подмененного содержимого страницы

\ 3. Пересылка содержимого реальной страницы

2. Запрос реального URL-адреса

Сущность спуфинга

www.realsite.com Рис. 9.4. При спуфинге вас пытаются обманом завлечь на ложный WeB-узел, маскирующийся под легальный

Фишинг Самый наглый способ получения номера чужой кредитной карточки — это просто спросить его у хозяина. Естественно, в большинстве случаев люди откажутся сообщить его без достаточных на то оснований, но мошенники — мастера придумывать всевозможные убедительные доводы. Сутью фитинга (phishing)1 является установление контакта с жертвой при помощи электронной почты или посредством сервера разговоров. Например, мошенник может сказать жертве, что состояние ее счета у Internet-провайдера или учетной записи в одной из онлайновых служб нуждается в обновлении, ввиду чего компания просит сообщить номер кредитной карточки, чтобы можно было произвести сверку данных (см. рис. 9.5). Фишинг особенно популярен в комнатах для бесед, предоставляемых службами America Online и CompuServe. Совершенно очевидно, что ни у одного легального предприятия нет никаких причин для того, чтобы интересоваться номером вашей кредитной карточки через сервер разговоров или по электронной почте. Чтобы защитить себя от подобных попыток мошенничества, никогда не сообщайте номера своих кредитных карточек незнакомцам, обращающимся к вам через Internet или одну из онлайновых служб. 'Искаженное fishing (англ.) — рыбная ловля. — Прим. науч. ред.

140

Часть 2. Опасности, подстерегающие в Internet

CPW

<^CC C-PW/CC

:

С Custom

:

:

•':: ШЯ1Ш1в|||И|1оеГ2

Double Click any Name to Remove к

"''" ••' :

Hi, i am with the Ameiica Online Billing Department. We havo icason to believe someone other than the valid user of this account has been using it To verify your identity, please respond with yotif Credit Card Information.

luJ

PHiSH

J

Рис. 9.5. Под фишингом подразумевается рассылка сообщений, содержащих на первый взгляд вполне обоснованную просьбу о том, чтобы потенциальная жертва предоставила свой пароль, номер кредитной карточки или иную конфиденциальную информацию

Регистрация клавиатурных нажатий Регистратор клавиатурных нажатий (keystroke logger) — это специальная программа или устройство, которые скрытно записывают информацию о всех клавишах, нажатых пользователем в процессе работы, включая и те, которые были нажаты при вводе пароля или номера кредитной карточки. Если мошенник имеет доступ к вашему компьютеру, он (или она) может тайком установить это средство для записи всей информации, вводимой вами с клавиатуры. После вашего ухода хакер может вернуться к компьютеру для извлечения записанных данных. Программы-регистраторы нажатий клавиш скрываются в памяти компьютера, тогда как аппаратные регистраторы либо подключаются между клавиатурой и компьютером, либо маскируются внутри клавиатуры специальной конструкции. Чтобы ознакомиться с примерами обоих типов регистраторов клавиатурных нажатий, посетите Web-узел KeyGhost (http://www.keyghost.com). Если же доступа к вашему компьютеру у хакера нет, то он все еще может воспользоваться удаленной установкой программы-регистратора с помощью "троянского коня" удаленного доступа, или RAT (см. главу 8). Для этого мошеннику достаточно связаться с потенциальной жертвой по электронной почте или через сервер разговоров и обманным путем заставить ее загрузить и запустить троянскую программу. Как только троянская программа будет запущена, она откроет порт и свяжется с хакером. С этого момента хакер, ничем себя не выдавая, получит возможность читать любые файлы и следить за всеми нажатиями клавиш на компьютере жертвы.

Глава 9. "Легкий" заработок в Internet

141

Изменение маршрутизации Internet-соединений Кроме анализа пакетов, Web-мистификации и фишинга, мошенники, промышляющие в Internet, могут прибегать к изменению маршрутизации вашего Internetсоединения. Одна из подобных афер начиналась с того, что людей приглашали просмотреть порнографические файлы. Подвох состоял в том, что для этого необходимо было предварительно загрузить "бесплатную" программу. Будучи загруженной, эта "бесплатная" программа захватывала контроль над модемом, отключала динамики компьютера, отсекала локальные линии связи с Internet, а затем тайком набирала телефонный номер, находящийся в бывшей советской республике Молдове. Чем больше времени пользователь затрачивал на просмотр порнофайлов, тем дольше он оставался подключенным к зарубежному Internet-провайдеру, стоимость подключения к которому составляла 2—3 доллара в минуту. О том, что их злостно надули, пользователи узнавали лишь тогда, когда к ним начинали приходить телефонные счета. Несмотря на то что Федеральная торговая комиссия (Federal Trade Commission — FTC) вскоре положила конец действиям упомянутых аферистов, следует по-прежнему остерегаться их подражателей. Всякий раз, когда для продолжения просмотра Webстраницы вы должны загрузить бесплатную программу, держите ухо востро. Если у вас установлен внешний модем, проследите по индикаторным лампочкам, не разорвалась ли связь лишь затем, чтобы спустя мгновение загадочным образом вновь самостоятельно восстановиться. В случае внутреннего модема единственно доступная вам мера предосторожности — это проявлять осмотрительность, если Web-узел соблазняет вас загрузкой "бесплатного" программного обеспечения, которое якобы требуется для того, чтобы вы смогли продолжить просмотр Web-узла.

Жульничество с онлайновыми аукционами В последнее время много шума в Internet наделали онлайновые аукционы (online auctions), на которых люди могут предлагать к продаже устаревшие вещи, антиквариат и предметы коллекций тем, кто желает их купить. Однако будьте осторожны! На таких аукционах не только встречается много заявок от людей, которые не имеют ни денег, ни желания что-либо купить, но и реальные покупатели должны следить за тем, чтобы не натолкнуться на мошенника, который продает "воздух". Простейший жульнический ход заключается в том, что мошенник выставляет на аукционную продажу то, чего в действительности у него нет. Например, в канун Рождества нередки ситуации, когда кому-то позарез нужна игрушка, которая обычно стоит 10 долларов, но ввиду ее дефицита в магазинах продается кем-то по цене, достигающей нескольких тысяч долларов. Очень часто мошенник подает заявку на продажу таких продуктов, но как только ему пришлют деньги, моментально исчезает из поля зрения.

142

Часть 2. Опасности, подстерегающие в Internet

Другой разновидностью аукционного жульничества является фальсификация: например, продажа таких поддельных коллекционных предметов, как бейсбольные мячи или элементы спортивной формы с автографами их бывших владельцев. Чтобы не оказаться обманутым на онлайновых аукционах, придерживайтесь следующих рекомендаций: > Постарайтесь установить, что собой представляет продавец, и проверьте его рейтинг. Узлы онлайновых аукционов, таких как eBay, позволяют покупателям и продавцам оставлять краткую информацию о себе. Просматривая эту информацию, вы сможете выяснить, не имел ли ранее кто-либо из покупателей печальный опыт общения с тем или иным продавцом. > Выясните, не предлагает ли аукцион возможность страхования риска. EBay возмещает Покупателям убытки в размере до 200 долларов за вычетом сбора в сумме 25 долларов. > Убедитесь, что вам ясен предмет торга, его сравнительная стоимость, а также все условия и обстоятельства продажи, такие как стратегия продавца или обязательства сторон по оплате доставки товара. > Рассмотрите вариант использования службы условного депонирования, в распоряжении которой ваша сумма будет находиться до тех пор, пока купленный вами товар не будет благополучно доставлен по месту назначения. > Никогда не покупайте товары, реклама которых попала к вам вместе с прочим спамом (spam), т.е. "макулатурной" почтой, рассылаемой одновременно многим абонентам. Мошенники часто используют спам, поскольку знают, что чем больше предложений будет разослано, тем больше вероятность того, что среди получателей найдется доверчивая жертва, которая вышлет деньги. Тот же, кто продает действительный товар, будет, скорее всего, действовать через Web-узел онлайнового аукциона. На Web-узле ScamBusters (http://www.scambusters.org/Scambusters31.html) приводятся другие мудрые советы: > Не заключайте сделок с анонимными пользователями. Узнайте настоящее имя физического лица (или же название юридического лица), его адрес, номер телефона и проверьте эти данные, прежде чем совершать покупку. Никогда не высылайте деньги, если в качестве адреса получателя указан почтовый ящик. > Проявляйте повышенную осторожность, если продавец пользуется услугами бесплатной электронной почты, например, Hotmail, Yahoo и т.п. Конечно, большинство тех, кто пользуется услугами этих служб, — честные люди, но многие проблемы возникают именно тогда, когда продавец использует бесплатную службу, поскольку в этом случае ему легче скрыть свое настоящее имя. > Совершая онлайновые покупки, используйте кредитные карточки, поскольку в случае любых спорных вопросов кредитная компания сможет приостановить снятие денег с вашего счета или, если это необходимо, поможет "отвоевать" купленный товар. > Сохраняйте копии всех сообщений электронной почты и других документов, имеющих отношение к сделке.

Глава 9. "Легкий" заработок в Internet

143

Обманчивость торговых пассажей Internet Вы можете получить электронную почту (в том числе "макулатурную"), в которой вам настоятельно рекомендуют начать собственный бизнес, продавая товары и услуги через один из торговых центров Internet (Internet Mall). Вас будут убеждать, что в этом случае вы сможете реализовать все преимущества обычного торгового центра в сочетании с удобствами Internet. И хотя стоимость предлагаемого вам развертывания собственной "витрины" в электронном торговом центре никогда не будет особенно высокой, скрытый обман заключается в том, что Internet Mall просто не в состоянии обеспечить те же преимущества, что и реальный торговый центр. В настоящих торговых центрах витрины магазинов всегда на виду у прохожих. В случае же Internet Mall клиент сможет "заглянуть в магазин" лишь после того, как сделает щелчок мышью. Поэтому, хотя ваш магазин и будет находиться от клиента "на расстоянии одного щелчка мыши", шансы того, что он туда заглянет, довольно мизерны. Если уж вам придется выбирать между развертыванием собственного Web-узла и оплатой чьих-то услуг за развертывание для вас витрины в Internet Mall, не колеблясь выбирайте первый вариант. В долгосрочной перспективе он не только окажется для вас более дешевым, но и позволит самостоятельно выбрать для своего узла легко запоминающееся имя. В целом, электронные торговые центры способны обогатить лишь тех, кто продает эту идею ничего не подозревающим "коммерсантам".

Городские легенды Городскими легендами (urban legend) называют ходящие по городу слухи, относительно которых каждый будет божиться, что "это истинная правда", но вам вряд ли удастся услышать хоть какие-нибудь убедительные доводы в пользу того, что то, о чем говорится, было на самом деле. К числу обычных городских легенд относятся слухи о бесплатных (но в действительности не существующих) рекламных предложениях со стороны крупных компаний наподобие Microsoft или Hewlett-Packard, "страшные" рассказы о том, как в пище, подаваемой в одном из известных ресторанов быстрого обслуживания, находили останки насекомых или другие малосъедобные вещи, а также сообщения о новых случаях массовой гибели или увечья людей в той или иной стране. Городские легенды крайне раздражают тем, что правда в них зачастую смешана с вымыслом и они носят пасквильный характер. Если вы повторите кому-либо из своих знакомых одну из этих историй в своей электронной почте, то это может вызвать у них такую же отрицательную реакцию, как и непрошеные сообщения электронной почты (спам), содержащие рекламу. Более подробную информацию о городских легендах прошлого и настоящего вы сможете найти на следующих Web-узлах: About Scam Busters Urban Legends Reference Pages

http://urbanlegends.about.com/science/urbanlegends http://www.scambusters.org/iegends.html http://www.snopes.com

144

Часть 2. Опасности, подстерегающие в Internet

Жульничество с кредитными карточками Хотя вопрос о том, можно ли считать пересылку номеров кредитных карточек через Internet достаточно безопасной, волнует многих, случаи кражи подобной информации из Сети в действительности довольно редки. Потенциальный вор не только должен быть подключенным к вашей учетной записи в Internet в момент пересылки номера карточки на Web-узел, но ему придется также взломать схему шифрования, поскольку многие Web-узлы для защиты конфиденциальной информации, пересылаемой в интерактивном режиме, предпринимают специальные меры. Если кто-то и собирается похитить номер чьей-либо кредитной карточки, то проще всего это сделать, взломав компьютер одной из крупных организаций, таких, например, KaKAmazon.com или CD Universe, и считав информацию, хранящуюся в их базах данных. Кроме того, в крупной финансовой компании всегда может найтись нечистоплотный сотрудник с правами доступа к номерам кредитных карточек клиентов, которому для кражи любого номера достаточно переписать его с экрана компьютера. На самом деле больше всего неприятностей мошенники, использующие номера чужих кредитных карточек, доставляют продавцам, так как именно на них лежит ответственность за проверку достоверности информации о платежеспособности покупателя при оформлении заказа. Если вор украдет чью-то кредитную карточку и закажет под нее товар на сумму в несколько тысяч долларов, то оплачивать потери будет не владелец украденной карточки, а тот, кто продал товар. Поэтому, если вы торгуете каким-либо товаром, очень осторожно принимайте заказы, оплата которых осуществляется по кредитным карточкам. Чтобы обезопасить свой бизнес, руководствуйтесь следующими рекомендациями: > Проверяйте подлинность имен, адресов и номеров телефонов, указываемых в каждом из заказов. Будьте особенно бдительны в случае заказов, в которых выставление счета и доставка товара осуществляются по разным адресам. > Будьте внимательны при обслуживании заказов, поступающих с использованием служб бесплатной электронной почты (hotmail.com, juno.com, usa.net и др.). Учетную запись бесплатной электронной почты легко открыть на вымышленное имя, а это означает, что в ответ на просьбу предоставить адрес электронной почты большинство похитителей кредитных карточек будут указывать именно бесплатную учетную запись. Прежде чем обрабатывать подобные заказы, требуйте, чтобы при их приеме вам предоставили такую дополнительную информацию, как, например, адрес платной электронной почты, название и телефон банка, выдавшего кредитную карточку, точное наименование кредитной карточки, а также точный адрес, по которому должен быть выставлен счет. В большинстве случаев похитители кредитных карточек уходят от ответов на подобные вопросы и ищут других, более доверчивых продавцов, которых можно обмануть. > Особую осторожность следует проявлять по отношению к заказам на большие суммы, когда от вас добиваются, чтобы товар был доставлен в течение суток.

Глава 9. "Легкий" заработок в Internet

145

Обычно воры требуют, чтобы продавцы отправляли товар как можно быстрее, ибо тогда у них будет меньше времени на раскрытие обмана. > Точно так же будьте бдительны, когда заказанный товар требуют доставить в другую страну. В этом случае нельзя жалеть времени на то, чтобы с помощью электронной почты и телефона перепроверить как можно больший объем сведений о покупателе. Более подробную информацию относительно методов защиты от тех, кто использует ворованные кредитные карточки, а также от других видов онлайнового мошенничества вы найдете на Web-узле AntiFraud по адресу: http://www.antifraud.com.

Рекомендации по защите от мошенничества в Internet Чтобы не стать жертвой обмана в Internet, внимательно изучите приведенный ниже перечень тактических приемов, которые чаще всего используют мошенники: > Обещание больших денежных сумм, для получения которых от вас почти ничего не требуется. > Требование осуществить предоплату еще до того, как у вас будет какая-либо возможность проверить наличие товара или разобраться в сути сделки. > "Стопроцентные" гарантии того, что вы ни в коем случае не потеряете свои деньги. > Уверения наподобие: "Это не обман!", сопровождаемые ссылками на статьи законодательства, подтверждающие полную легитимность сделанного вам предложения. Ну скажите, давно ли с вами было такое, чтобы вы зашли, например, в ресторан "Мак-Дональде", а его владелец бросился к вам и сразу же начал уверять, что здесь вас никто не обманет? > Со здравым скептицизмом относитесь к изобилующим ЗАГЛАВНЫМИ БУКВАМИ или знаками пунктуации!!!!! объявлениям примерно такого содержания: "ВОЛШЕБНОЕ ЛЕКАРСТВО!!!", "ПРЕКРАСНАЯ ВОЗМОЖНОСТЬ БЫСТРОГО $$$$$ ЗАРАБОТКА!!!!" и т.п. > Скрытые расходы. Многие мошенники сначала предоставляют вам бесплатную информацию, а затем постепенно требуют заплатить "вступительный взнос", оплатить "накладные расходы" и т.п. > Любые инвестиционные предложения, которые оказываются в вашем электронном почтовом ящике среди прочего "хлама". Нельзя забывать одну истину: в этом мире ничто не достанется вам "просто так" (если только вы не мошенник, обманывающий других). Для получения более подробной информации о различных видах мошенничества (то ли для того, чтобы защитить себя от него, то ли для того, чтобы узнать, как обманывать других) воспользуйтесь своей любимой поисковой системой и проведите поиск по следующим ключевым словам: scam, fraud, pyramid schema, Ponzi и packet

146

Часть 2. Опасности, подстерегающие в Internet

sniffer. С этой же целью вы можете посетить также Web-узлы следующих организаций: Cagey Consumer. Предлагает свежую информацию о самых последних деловых предложениях и случаях мошенничества (http://cageyconsumer.com). Council of Better Business Bureaus. Здесь вы всегда сможете проверить, не было ли какое-либо предприятие, зарегистрированное в США, ранее уличено в мошенничестве или нечестных действиях, и не поступали ли на него жалобы со стороны клиентов (http://www.bbb.org). Federal TVade Commission. Содержит правила и рекомендации, касающиеся охраны прав потребителя, которых должны придерживаться все предприятия в США; кроме того, здесь рассказывается о самых последних случаях мошенничества (http://www.ftc.gov). Fraud Bureau. Бесплатная служба, учрежденная с целью привлечения внимания онлайновых покупателей и инвесторов к случаям жалоб на онлайновых поставщиков, включая продавцов на онлайновых аукционах, а также для предоставления потребителям, инвесторам и пользователям информации и новостей, касающихся вопросов безопасности при работе в Сети или при осуществлении онлайновых покупок и инвестиций (http://www.fraudbureau.com). International Web Police. Узел Международной полиции WEB (International Web Police), предоставляющий пользователям Internet услуги в тех случаях, когда требуется прибегать к мерам принудительно-правового характера. Многие чиновники полиции WEB одновременно являются и чиновниками органов правового принуждения, так что в случае необходимости они смогут оказать вам эффективную помощь в пресечении любой попытки совершения преступления в Internet (http://www.web-police.org). National Fraud Information Center. Регулярно публикует новости о самых последних случаях мошенничества, а также о результатах текущих и законченных расследований. Узел предоставляет пользователям возможность поместить жалобу на то или иное предприятие и прочитать информацию, знакомство с которой позволит не стать жертвой мошенничества. ScamBusters. Предоставляет информацию о всех видах опасностей, подстерегающих пользователя Internet, начиная от вирусов и вирусоподобных электронных сообщений и заканчивая мошенничеством и похищением номеров кредитных карточек. Регулярно посещая этот Web-узел, вы сможете быть уверенным в том, что никогда не станете жертвой неизвестного вам вида мошенничеств (http://www.scambusters.org). Scams on the Net. Предоставляет множество ссылок на источники информации о самых различных аферах, блуждающих по Internet. Получив какое-либо предложение, проверьте с помощью этого узла, не попадает ли оно в одну из категорий мошенничества, которые уже были использовацы для того, чтобы одурачить когото другого (http://www.advocacy-net.com/scammks.htm).

Глава 9. "Легкий" заработок в Internet

147

ScamWatch. Этот узел оказывает помощь тем, кто стал жертвой обмана или мошенничества в Internet. Здесь каждый может поделиться своими сомнениями относительно предлагаемых ему сделок и прочитать ответные комментарии и рекомендации других пользователей Сети. Если ScamWatch решает, что факт мошенничества налицо, он активно включается в разрешение возникших проблем (http://www.scamwatch.com). Securities and Exchange Commission. На этом узле Комиссия по ценным бумагам США (Securities and Exchange Commission) публикует нормативные материалы, регулирующие безопасную деятельность рынка, а также дает советы по вопросам инвестиций, предоставляет информацию о выставленных на публичные торги предприятиях, предупреждает о возможных видах мошенничества, связанных с инвестициями, оказывает помощь инвесторам, которые, по их мнению, стали жертвами мошенничества, а также предоставляет ссылки на Web-узлы других органов правового принуждения как федерального уровня, так и уровня штата. Если вы один из спекулянтов, ворочающих деньгами на бирже, непременно посетите этот узел (http://www.sec.gov).

Глава10 "Охота" в Сети

Я всегда был убежден в том, что установление истинного равноправия в обществе неизбежно должно сопровождаться попытками учинения беспорядков. — Пауль Красснер (Paul Krassner)

ВСЯКИЙ РАЗ, КОГДА ВЫ ИСПОЛЬЗУЕТЕ КРЕДИТНУЮ КАРТОЧКУ, ЗАПОЛНЯЕТЕ ЗАЯВЛЕНИЕ О ПРИЕМЕ НА РАБОТУ ИЛИ АНКЕТУ, ВЫ РАСКРЫВАЕТЕ ПЕРЕД ДРУГИМИ КОНФИДЕНЦИАЛЬНУЮ ИНФОРМАЦИЮ О СЕБЕ. Ситуацию усугубляет то, что предоставленная вами информация обычно заносится в компьютер, где она будет оставаться доступной для государственных чиновников, а также компаний и частных лиц в течение 24 часов в сутки семь дней в неделю. Если вас беспокоит тот факт, что посторонние могут при желании получать о вас информацию, то ваши опасения небезосновательны. Разумеется, информация — обоюдоострое оружие. В то время как другие люди имеют возможность извлечения данных о вас, точно такими же возможностями получения данных о них располагаете и вы. Вы можете разыскать старого школьного товарища или родственника, которого никогда до этого не видели, и даже выследить того, кто шлет в ваш адрес анонимные угрозы. С помощью Internet и материала этой главы вы сможете находить имена, адреса и номера телефонов тех, кто вам нужен, и при этом уменьшить вероятность попадания информации о себе к другим людям. Если вы полагаете, что ваша личная жизнь настолько защищена, что может считаться действительно личной, посетите любой из Web-узлов, перечисленных в этой главе, и произведите поиск, используя собственное имя в качестве ключа. Возможно, вы удивитесь тому обилию информации о себе, которую сможете отыскать на этих узлах, а ведь эта информация доступна любому человеку в любое время!

Глава 10. "Охота" в Сети

149

Поиск телефонных номеров, почтовых адресов и адресов электронной почты Люди могут пополнять ряды "пропавших без вести" по многим причинам. Некоторые могут попасть в эту категорию, поскольку меняют свои адреса и номера телефонов настолько часто, что, в конце концов, теряются из виду. Другие могут намеренно заметать свои следы, взяв себе другое имя или изменив внешность. Есть и такие, которые, казалось бы, попросту пропадают. Однако каким бы способом люди ни умудрялись исчезать из поля зрения, после них почти всегда остаются какие-нибудь "бумажные следы", которые можно использовать для их розыска, — телефонные справочники, записи в налоговой инспекции, счета за коммунальные услуги. Даже если человек намеренно "исчезает", чтобы избежать ареста, судебного разбирательства или юридической ответственности иного рода, обычно всегда удается найти какой-нибудь ключик, который, по крайней мере, дает намек на то, где следует искать беглеца. Если вам необходимо кого-то разыскать, то первое, что вы должны сделать, — это собрать как можно больше подробных сведений об этом человеке, а именно: выяснить его (ее) полное имя, номер социальной страховки, дату рождения, возраст, адрес последнего места жительства и т.п. В этом отношении ценными источниками информации могут послужить сделанные в различных государственных организациях записи о вступлении в брак, пребывании в армии, участии в операциях по передаче недвижимости, а также медицинские карточки и регистрационные данные транспортных средств. Чем больше информации об объекте поиска вы соберете, тем быстрее вы сможете его найти.

Методы поиска людей Поскольку вам, вероятнее всего, известно хотя бы имя разыскиваемого человека, вы можете попытаться определить его последний адрес электронной почты или номер домашнего телефона, воспользовавшись услугами одного из Web-узлов, предназначенных для поиска людей (см. пример на рис. 10.1). Информация, предоставляемая на таких Web-узлах, собирается из общедоступных источников, например телефонных справочников, и хотя в некоторых случаях подобные услуги являются платными, в основном эта информация предоставляется совершенно бесплатно. Приведенный ниже список Web-узлов вы можете использовать не только для сбора сведений об интересующем вас человеке, но и для поиска его родственников, друзей или бывших соседей. Хотя кто-то и может постараться уничтожить ведущие к нему документальные следы, в высшей степени маловероятно, чтобы точно так же поступили одновременно все его бывшие друзья или соседи. 555-1212сот. Предоставляются "желтые страницы", с помощью которых можно находить нужные предприятия и организации. Для поиска физических лиц предоставляются "белые страницы", а также средства обратного поиска, позволяющие найти человека по известному номеру телефона, адресу электронной почты или почтовому адресу (http://www.555-1212.com).

150

Часть 2. Опасности, подстерегающие в Internet

Fe li Edti Veiw Favorties Toosl Hep l

;;, [т^

Address ijgjj htp://peopel.yahoo.com/

иg

:|i 0Go Ln iks

Yahoo! • Emali - Address Boqk - Hep l c Public Rg»rds SM 'First Name [ "] Last Name f

"1 | Search ]

Click Here, or Call 1-800-US-SEARCH

Create My Listing - Sign In

Welcome, Guest User

Ptook L<x*Jt Bicknquad Chtch Merchant Spotlight

Telephone Search First Name

Last Name(required)

City/Town jRedmond

[ ^ E : : : : : : : : : : ] State [WA 1 1 Search J | Reset

Email Search GETINSTANTACCESS CLICK

HERE

• Yellow Pages • Yahoo! Advice

First Name

с::::::::: Can't Find Them ОП YahOO!?

powered by USSEARCH.com

Search lQOO's of Public Databases with one click! Find Addresses. Property. Licenses. Court

Рис. 10.1. Поисковая служба Yahoo! может оказать вам помощь при поиске номера телефона интересующего вас человека, а также города, в котором он проживает

Freeality. Поиск людей по имени, городу или штату с использованием целого ряда наиболее популярных служб поиска людей, включая Switchboard, WorldPages и Fourl I (http://www.freeality.com/find.htm). InfoSpace. Поиск предприятий по названию, категории или городу, а также людей по имени или городу (http://www.infospace.com). Switchboard. Поиск предприятий и людей по названию, имени, городу или штату (http://www.switchboard.com). Telephone Directories on the Web. Поиск предприятий и людей на основе информации, содержащейся в опубликованных телефонных справочниках различных стран мира, включая страны Северной Америки, Европы, Азии Африки. Кроме того, на этом Web-узле продаются компакт-диски с названиями и адресами предприятий, размещенных на всей европейской территории (http://www.ussearch.com). USSearch.com. Платная служба поиска, использующая в качестве поисковой базы самую разнообразную информацию, от почтовых адресов и телефонных номеров до данных о собственности, друзьях, родственниках, включая данные о вступлении в брак или разводе (http://www.ussearch.com). WhoWhere. Поиск людей по имени с целью определения их адресов электронной почты или номеров телефонов, а также Web-страниц, содержащих их имена (http://www.whowhere.lycos.com). (

Глава 10. "Охота" в Сети

151

Yahoo! People Search. Поиск людей по имени, городу, штату или адресу электронной почты (http://www.people.yahoo.com). Если в поисках чьего-либо имени у вас нет желания "рыться" в Internet, то вместо этого вы можете воспользоваться компакт-диском, содержащим информацию из "белых страниц" телефонных справочников, охватывающих всю страну. (Необходимо, однако, иметь в виду, что за то время, пока компания соберет информацию и сохранит имена и адреса на компакт-диске, упакует все это в красивую коробочку и доставит в магазин, данные могут порядком устареть.) Чтобы найти информацию о компакт-дисках с базами данных, содержащими имена, посетите Web-узел InfoUSA (http://www.phonedisc.com). Если предпринятые меры не приведут к желаемому результату, посетите местную публичную библиотеку. Во многих библиотеках хранятся старые телефонные и перекрестные справочники (основанные на данных городской переписи населения), проиндексированные по годам. Старые телефонные справочники помогут вам уточнить написание имени и фамилии разыскиваемого лица и его предыдущий адрес. В данных городской переписи населения часто содержатся уже нигде не числящиеся телефонные номера, имена супругов и детей опрошенных лиц, а также сведения о месте работы граждан и их почтовые адреса. Если в вашей городской библиотеке данные переписи отсутствуют, попытайтесь найти эту информацию в Торговой Палате или бюро трудоустройства того города, в котором, по вашему мнению, в данный момент может проживать разыскиваемый человек. Кроме того, вы можете запросить нужную информацию в публичных библиотеках других городов, воспользовавшись для этого телефоном или услугами почты, если ваша личная поездка затруднительна.

Обратный поиск Телефонные номера •— это замечательная зацепка, используя которую вы можете напасть на след того, кто вас интересует. Если вы обнаружили у себя нацарапанный на конверте или салфетке телефонный номер, но не можете вспомнить, кому он принадлежит, используйте обратный поиск по телефонным номерам. В данном случае областью поиска являются общедоступные телефонные справочники, а объектами поиска — имена и адреса, соответствующие данному телефонному номеру. Вы должны понимать, что возможности такого поиска ограничены информацией, содержащейся в телефонных справочниках, так что если чей-то телефонный номер в справочники не занесен, то обратный поиск вам ничего не даст. Некоторые системы обратного поиска в состоянии работать также с почтовыми адресами или адресами электронной почты. Для проведения обратного поиска попробуйте воспользоваться следующими Web-узлами: AnyWho InfoUSA InfoSpace WhitePages.com

http://www.anywho.com http://adp.infousa.com http://www.infospace.com/info/reverse.htm http://whitepages.com

152

Часть 2. Опасности, подстерегающие в Internet

Поиск людей по номерам социальной страховки Самый быстрый способ разыскать кого-либо в Америке — это использовать номер его социальной страховки. Поскольку этот номер всегда требуют работодатели, Внутренняя налоговая служба США и банки, то по нему можно быстрее всего точно определить, где именно проживает или работает разыскиваемый вами человек. Выяснение номера социальной страховки может оказаться нелегкой задачей, если только данное лицо не подавало документы в связи с поступлением на работу в вашу фирму или не является вашим супругом (супругой); в последних двух случаях определение указанного номера не составит особого труда. Например, если вы пытаетесь отыскать следы вашей бывшей супруги, то номер ее социальной страховки вам несложно будет найти в любой из прошлых совместных налоговых деклараций. Если же вам необходимо разыскать своего бывшего работника, можете воспользоваться его заявлением о приеме на работу или налоговыми ведомостями предприятия. Получив в свое распоряжение искомый номер страховки, вы можете обратиться на один из Web-узлов, которые за небольшую плату окажут вам помощь в проведении поиска. Частичный перечень таких узлов приводится ниже:

Computrace Fast-Track USSearch Find A Friend

http://www.amerifind.com http://www.usatrace.com http://www.ussearch.com http://findafriend.com

Найти человека вам помогут и местные отделения Службы социального обеспечения, если вы предоставите им номер социальной страховки искомого лица. Хотя адреса этого человека вам могут и не дать, зато вышлют ему ваше письмо, на которое он, если захочет, ответит. Шансы получения ответа увеличатся, если вы немного приврете в письме, сообщив об ожидающей человека премии, наследстве и т.п. или придумав любой другой удобный предлог, который заставит разыскиваемого ответить вам и тем самым раскрыть свой нынешний адрес. Чтобы направить письмо через Службу социального обеспечения, укажите на нем следующий адрес: Social Securities Location Services 6401 Security Blvd. Baltimore, MD 21235 По номеру социальной страховки можно быстрее и точнее всего определить местопребывание того или иного лица. Если этот человек еще жив, номер его карточки поможет вам определить его настоящий домашний или рабочий адрес. Если же он умер, то об этом вы также сможете узнать.

Поиск военнослужащих Вооруженные силы поддерживают обширную базу данных, в которой содержится информация обо всех, кто проходил воинскую службу. Если человек, которого вы

Глава 10. "Охота" в Сети

153

ищете, в настоящее время служит в армии, то военные будут в состоянии помочь вам найти его независимо от того, в какой точке земного* шара располагается его часть. Чтобы найти того, кто проходит воинскую службу в настоящее время, сделайте звонок по телефону или напишите по одному из приведенных ниже адресов, сообщив как можно больше подробных данных об этом человеке, а именно: > Имя > Личный номер военнослужащего > Последний известный адрес > Дата рождения > Номер социальной страховки За проведение такого поиска вам придется заплатить. Контактная информация по отдельным видам вооруженных сил приводится ниже: Военно-воздушные силы: Department of the Air Force Attn: Military Personnel Records Division Randolph AFB, TX 78148 (210) 565-2660 Справочник по глобальному базированию личного состава: (703) 325-3732 Береговая охрана U.S. Coast Guard 1300 East St.NW Washington, DC 20591 Корпус морской пехоты: Commandant of the Marine Corps Attn: MSRB-10 Washington, DC 20591 (703) 784-3942 . Военно-морской флот Department of the Navy Washington, DC 20270 (901) 874-3070 Если тот, кого вы ищете, уже не служит в армии (например, это ваш давний армейский приятель), попробуйте поискать его через Web-узел Министерства по делам ветеранов (http://www.va.gov) или через Web-узел "Джи-Ай" (http://www.gisearch.com).

154

Часть 2. Опасности, подстерегающие в Internet

Поиск с использованием архивных данных Еще одним неплохим источником имен и адресов являются архивные материалы. Если вам хотя бы приблизительно известно последнее место проживания разыскиваемого лица, обратитесь к компаниям, оказывающим населению данного района коммунальные и иные услуги (уборка мусора, кабельное телевидение и т.п.). Кроме того, наведите справки в управлении регистрации транспортных средств штата и попытайтесь найти нужную информацию среди регистрационных данных избирателей. Записи актов гражданского состояния оказываются особенно полезными для нахождения фамилии женщины, принятой ею после замужества, поскольку в них указана и ее девичья фамилия, не говоря уже о фамилиях родителей и свидетелей. Постарайтесь ознакомиться также с заявлением на регистрацию брака, поскольку в нем могут быть указаны номера социальных страховок каждого из будущих супругов. Ниже приведены некоторые другие советы по этому поводу: > Дополнительным ключом к определению места постоянного проживания человека могут служить налоговые документы. Каждый домовладелец обязан платить налог на недвижимость, о чем государственными организациями ведутся соответствующие записи. В этих записях указывается имя и настоящий, а иногда и будущий адрес налогоплательщика. > Во многих штатах деятельность представителей некоторых профессий, например врачей, адвокатов, агентов по недвижимости или страховых агентов регулируется разрешительными и сертифицирующими органами. Если человеку, которого вы ищете, для осуществления своей деятельности необходимо получить разрешение, то в соответствующем органе штата вам могут предоставить адрес и номер телефона предприятия, на котором он работает. > Попытайтесь навести справки в органах, выдающих разрешения на охоту и рыбную ловлю. В заявлениях на получение таких разрешений обычно указываются полное имя, дата рождения и адрес заявителя. > Другими источниками информации могут служить разрешения на содержание собак, разрешения на строительство, регистрационные документы на личную яхту, автомобиль, самолет. Сведениями относительно регистрации самолетов и выдачи удостоверений пилота располагает Федеральное авиационное агентство, поэтому свяжитесь с Отделом регистрации авиатранспортных средств этого агентства (адрес электронной почты: http://www.faa.gov) и Отделом выдачи удостоверений пилота (405-954-3205). > Федеральное авиационное агентство может предоставить вам нужную копию удостоверения пилота, в котором указывается также и адрес. Для получения этой информации необходимо располагать именем и датой рождения искомого человека или номером его социальной страховки. Чтобы воспользоваться этой услугой, обратитесь по адресу:

Глава 10. "Охота" в Сети

155

FAA Airman Certification Branch VN-460 P.O. Box 25082 Oklahoma City, OK 73125 > Поскольку каждого из нас время от времени штрафуют за нарушение правил дорожного движения, постарайтесь поискать нужную информацию в протоколах окружного суда. В талонах на уплату штрафа указываются имя и адрес нарушителя, а также дата его рождения и номер водительского удостоверения. > Если тот, кого вы пытаетесь найти, работал на федеральное правительство, то вы сможете получить некоторые данные, сославшись на поправку о свободном распространении информации. В эту информацию домашний адрес разыскиваемого вами лица не будет включен, однако в ней будут перечислены занимаемые им, как в прошлом, так и в настоящее время, должности (с возможным указанием местонахождения соответствующих учреждений). Для получения более подробной информации обратитесь с письменным запросом по адресу: National Personnel Records Center 111 Winnebago Street St. Louis, MO 63118 > Если для получения дополнительной информации о разыскиваемом вами человеке вы хотите воспользоваться архивными материалами, касающимися водительских удостоверений, кредитных историй, регистрационных документов избирателей, судебных протоколов или свидетельств о рождении и смерти, приготовьте свою кредитную карточку для оплаты необходимых расходов и отправляйтесь на узел Национальной кредитной информационной сети (http:// www.wdia.com). > Если тот, кого вы ищете, совершил серьезное преступление, посетите Web-узел The World's Most Wanted (http://www.mostwanted.org). Кто знает? Если вы разыщете преступника раньше полиции, то даже сможете заработать вознаграждение (см. рис. 10.2).

Поиск людей по водительским удостоверениям и регистрационным документам на автотранспорт Если у человека, которого вы ищете, есть автомобиль, попытайтесь использовать архивные материалы регистрации автотранспорта. Для проведения такого поиска вы должны располагать полным именем искомого человека и (в случае, если у него есть однофамильцы) датой его рождения. Из регистрационных данных на автомобиль вы сможете узнать последний адрес нужного вам человека. Если этот человек продал автомобиль, вы можете использовать указанные записи для нахождения адреса покупателя, который, возможно, будет в состоянии предоставить какую-то информацию, с помощью которой будет легче найти того, кого вы ищете.

156

Часть 2. Опасности, подстерегающие в Internet

ш

€JBack ' О ' Й Й © •>) Search. ^Favorites hl:t: тГ|;tw5n(:ed or ' ' - -fei P' /w'ww • 9

; !df

J

a

The World's Most Wanted Osama Bin Laden September 11, 2001 We will not forget

Coming soon! Child kidnapping alerts. Amber Alerts online. For more infomation email: Tips@MostWanted. org

The World's Most Wanted Terrorists!

Listings What's New? How to Post How to Help About Us Contact Us FAQ

Fugitives & Unsolved Crimes e tiki The Original! Since 1995. It's not pretty. "Just the facts...". No sensationalism, this is die real thing! Brought to you by The World's Most Wanted, Inc. : Ф Internet

Рис. 10.2. Проверьте, не фигурирует ли имя вашего друга, любимого человека или врага на Web-узле The World's Most Wanted

Вы также можете обратиться в управление штата по учету автотранспортных средств с просьбой, чтобы вам предоставили данные водительского удостоверения искомого лица. Эти данные содержат очень много информации о владельце удостоверения, включая его настоящий или последний известный адрес, рост, вес, цвет глаз и волос, предыдущие фамилии (если таковые были), а также номера и марки автомобилей, которые ему принадлежат в настоящее время. Если разыскиваемый вами человек сменил место жительства, вы найдете среди этих данных также название штата, в котором по состоянию на данный момент зарегистрировано его удостоверение. Даже если человек пользуется вымышленными именами, вы можете выследить его по прозвищам. Для ознакомления с полным перечнем бюро регистрации водительских удостоверений в каждом из штатов посетите Web-узел Всеамериканской организации содействия обмену информацией (Foundation for American Communications — FACS) (http://www.facsnet.org). Эта организация предлагает наводящие данные и ресурсы, помогающие журналистам отслеживать информацию, имеющую отношение к репортажам, которые они готовят.

Использование официальных актов о смерти для поиска людей Если ни один из описанных выше методов не позволил получить желаемого результата, попытайтесь поискать информацию среди актов о смерти родственников

Глава 10. "Охота" в Сети

157

разыскиваемого лица. В этих актах часто указываются имена и адреса родственников и наследников умершего. В каждом штате есть бюро, в которых фиксируются все сведения, касающиеся рождения, смерти и бракосочетания проживающих на его территории граждан. Чтобы найти ближайшее бюро, посетите Web узел FACS. Если в картотеках штата вам не удалось найти нужные сведения, попытайтесь поискать их в Главном архиве документов регистрации смерти граждан Управления социального обеспечения (Social Security Administration's Master Death Files). В этом архиве содержится более 43 миллионов имен и подробных данных обо всех, кто умер в Соединенных Штатах, начиная с 1962 года, когда в системе был введен автоматизированный учет. В Главном архиве предоставляется следующая информация об умерших: > Номер социальной страховки > Имя и фамилия > Дата рождения > Дата смерти > Почтовый индекс населенного пункта, на территории которого наступила смерть > Почтовый индекс населенного пункта, в котором была произведена выплата единовременного пособия родственникам умершего Для получения данных из Главного архива документов регистрации смерти граждан свяжитесь с Управлением социального обеспечения. Возможно, вам удастся ускорить поиск, если вы посетите библиотеку в каком-нибудь крупном городе, а еще лучше — федеральное книгохранилище, где вам, скорее всего, смогут предоставить компакт-диск с нужными сведениями, которые вы сможете бесплатно просмотреть. При проведении поиска с помощью Главного архива документов регистрации смерти граждан, следуйте приведенным ниже рекомендациям: 1. Поищите в архиве имена родителей исчезнувшего человека. Если хотя бы один из них умер, то вы узнаете почтовый индекс населенного пункта, в котором это произошло. 2. По найденному индексу определите город и запросите в местной окружной администрации или департаменте здравоохранения данные свидетельства о смерти. В этом свидетельстве указывается похоронное бюро, которое оказало ритуальные услуги. 3. Свяжитесь с похоронным бюро и проверьте, не располагают ли они данными, которые помогли бы вам определить имена, а возможно, даже адреса или телефоны ближайших родственников умершего.

Поиск родственников Разыскивая человека, всегда просматривайте архивы окружного суда или другого государственного учреждения штата. При поиске родственников этот путь будет не очень сложным, поскольку, скорее всего, либо вы сами, либо другие члены ва-

158

Часть 2. Опасности, подстерегающие в Internet

шей семьи располагаете конкретными сведениями о пропавшем человеке, например, знаете его имя, а также дату и место рождения. Если вам надо найти чьих-то настоящих родителей, начните поиск с регистра документов о рождении (Birth Index Records) — сводной картотеки, в которой хранятся данные обо всех, кто родился в данном штате, проиндексированные по именам и датам. Как правило, содержащиеся в этом регистре данные являются общедоступными и вам всегда их предоставят, чего нельзя сказать относительно свидетельств о рождении. Если вам известен день рождения человека, родителей которого необходимо разыскать, найдите в регистре список тех, кто родился в этот день. Затем удалите из этого списка детей другого пола. Наконец, для сужения области поиска до нескольких имен удалите из списка тех, место рождения которых отличается от известного вам. Просмотрев оставшуюся часть списка, вы сможете определить имена родителей известного вам человека. Поиск следов чьих-либо братьев или сестер начинайте со школьных архивных документов. В средних школах практикуются регулярные сборы одноклассников, так что обратившись в школьный комитет, занимающийся организацией таких сборов, вы, вероятнее всего, сможете получить всю необходимую информацию. В колледжах также хранят информацию о своих выпускниках и часто обращаются к своим бывшим воспитанникам с просьбами об оказании "шефской" помощи. Даже если адреса уже устарели, вы сможете использовать их в качестве отправной точки. Если вы — приемный ребенок и хотели бы разыскать своих настоящих родителей, или если вы отдали в усыновление своего ребенка и теперь хотите узнать, где он (или она) находятся в настоящее время, посетите один из следующих Web-узлов, оказывающих содействие в воссоединении детей и родителей: AdopHonRegistry.com Find-Me International Soundex Reunion Registry Reunion Registry Seekers of the Lost WhereAbouts, Inc.

http://www.adoption.com/reunion http://www.findme-registry.com http://www.plumsite.com/isrr http://www.reunionregistry.com http://www.seeklost.com http://www.whereabouts.org

Кроме того, в архивах окружного гражданского суда можно найти материалы судебных исков, дел о разводах, изменении фамилии, усыновлении и другие судебные документы. Особый интерес представляют дела о разводах, поскольку в них речь идет о разделе имущества (откуда следует, что в них перечислены принадлежавшие бывшим супругам автомобили, дома, яхты, недвижимое имущество, банковские счета и т.п.), а также дела об установлении опеки над детьми, поскольку в них содержится подробная информация о детях: их имена, возраст и номера социальных страховок.

Нахождение адресов электронной почты Поскольку в Internet "толчется" очень много людей, существует большая вероятность того, что у человека, которого вы ищете, есть собственный адрес электронной

Глава 10. "Охота" в Сети

159

почты. Чтобы найти этот адрес, необходимо знать имя человека, а еще лучше — и его местожительство (город, штат, округ). Начать свой поиск вы можете с таких Webузлов: EmailChange.com. Поиск адреса электронной почты по имени человека и последнему известному адресу его электронной почты (http://www.emailchange.com). MESA. Позволяет осуществить поиск адреса электронной почты человека по его имени с одновременным использованием нескольких поисковых систем (http://mesa.rrzn.uni-hannover.de). NedSite. Поиск адреса электронной почты по имени владельца, номеру его телефона или факса, почтовому адресу, названию законченного им колледжа, именам его родителей, а также армейскому послужному списку (http://www.nedsite.nl/ search/people.html#top). Если местонахождение человека вам неизвестно или же предшествующий поиск не дал результатов, попробуйте обратиться на Web-узел Google Groups (http:// groups.google.com/, см. рис. 10.3). Вполне могло быть, что разыскиваемый человек недавно послал сообщение в группу новостей, в связи с чем имеет смысл провести в Google Groups поиск по имени, чтобы попытаться найти такое сообщение, а вместе с ним и искомый адрес электронной почты. Back • J

Э й -ЙЬ Р Search S^Favorfces <jg*Me<*a ф

; > ^

\ ,

J Q .&

Go ode

-O o rupiH p«l Gp e g ^i oe fsr com ep tl 2Q y$ -arUsenetAc rvh ei w h ti <mr7V m I ages

Groups

Directory л.

\ • Advanced Ofoup< S«arch

ЭЙ» Any conceivable topic.

news. Info about Usenet News...

Ы& Business products, services, reviews..

ia£» Games, hobbies, sports...

comp ; Hardware, software, consumer info...

acL Applied science, social science...

hurpanitjes. Fine art, literature, philosophy...

SSHL Social issues, culture...

mi§£* Employment, health, and much more...

talk. Current issues and debates... Browse complete list of groups .

Advertise with \}$ - Search Solutions - News and Resources - Services & Tools - Jobs. Press. Cool Stuff..,

S I

Ф2ОО2 Google • Searching 700,000.000 messages

РИС. 10.3. С помощью Web-узла Google Groups вы сможете найти сообщения, присланные с определенного адреса электронной почты

160

Часть 2. Опасности, подстерегающие в Internet

Защита собственных идентификационных данных Теперь, когда вы знаете, как разыскивать других людей, вам уже известно и то, как другие люди могут разыскивать вас, а это позволяет вам заблаговременно позаботиться о том, чтобы вас было трудно найти. Если вы не хотите, чтобы ваше имя или домашний адрес появлялись где попало в Сети, старайтесь следовать приведенным ниже правилам: > При получении номера телефона попросите, чтобы его не включали в справочники. Благодаря этой мере большинство узлов, предназначенных для поиска людей, не смогут отыскать ваше имя, адрес или номер телефона (поскольку в телефонных справочниках ваше имя будет отсутствовать). > Используйте вымышленные имена или имена с измененным написанием. Телефонной компании безразлично, как вы написали свое имя, лишь бы все телефонные счета своевременно оплачивались. Использование вымышленных имен затруднит получение более подробной информации для большинства специализированных поисковых Web-узлов, даже если кому-то и известен ваши настоящий номер телефона. > Старайтесь не указывать свой почтовый адрес. Благодаря этому, даже если ктото и найдет номер вашего телефона в справочнике, он не сможет по нему определить, где именно вы проживаете. Напрямую свяжитесь с Web-узлами, специализирующимися на поиске людей, и потребуйте, чтобы ваше имя было исключено из всех списков. К сожалению, в последнее время они настолько расплодилось, что вам придется связаться не менее чем с десятком таких узлов, но даже и эта мера не может гарантировать, что на вновь появившемся узле не появится информация о вас. Если вы не хотите, чтобы адрес вашей электронной почты попал к тому, кто может вас разыскивать, старайтесь придерживаться следующих рекомендаций: > Для отправления сообщений в группы новостей используйте адреса анонимной пересылки. Кроме всего прочего, этот метод не даст вашему адресу попасть в списки адресов для рассылки спама. > Почаще меняйте адреса электронной почты. Если получение сообщений электронной почты для вас не является критичным, пользуйтесь несколькими учетными записями и периодически закрывайте их. Если в каждое из отправляемых электронных сообщений вы включаете файл цифровой подписи, проследите за тем, чтобы в этом файле отсутствовали ваши идентификационные данные или иная важная информация, например, номер домашнего телефона или адрес Wfeb-узла, на котором может содержаться дополнительная информация о вас. > Если у вас есть серьезные основания скрываться от кого-то, старайтесь не оставлять даже малейших "бумажных" следов. Не абонируйте телефонный номер (а если это очень необходимо, то используйте вымышленное имя), не за-

Глава 10. "Охота" в Сети

161

водите кредитных карточек и рассчитывайтесь за все наличными, избегайте подписки на журналы с использованием своего настоящего имени. Соблюдение всех этих мер предосторожности может оказаться не очень легким делом, но оно себя оправдывает, если вы скрываетесь от действительно грозного преследователя (такого, например, как налоговая служба Internet (Internet Revenue Service)). Несмотря на все ваши старания, вы все равно можете оказаться в роли жертвы чьей-нибудь "охоты" в Сети. Как только кто-то начнет донимать вас, используя для этого электронную почту или службу немедленных сообщений, безотлагательно вьншгате в ответ одно-единственное сообщение с просьбой оставить вас в покое. Во многих случаях краткого твердого ответа будет вполне достаточно, чтобы остановить того, кто, возможно, просто рассердился на вас за какое-то открыто высказанное мнение. Ваше сообщение может выглядеть, например, так: "Я сожалею, что вы восприняли все именно таким образом, но мне кажется, что вы переступаете определенную черту, и я предпочел бы, чтобы наше общение на этом закончилось". Некоторым "охотникам" просто нравится дразнить людей, и поэтому стоит вам не ответить на их следующее письмо, как они отстанут от вас и начнут искать более легкую добычу. Наибольшую опасность могут представлять те, кто целенаправленно избрал вас в качестве мишени, то ли просто потому, что знает вас, то ли из-за какого-либо вашего высказывания на сервере разговоров. В случае если такие письма продолжают поступать, отыщите провайдера, обслуживающего автора писем, который доставляет вам беспокойство, и обратитесь к ним за помощью. Многие провайдеры в подобных случаях вышлют письмо возмутителю вашего спокойствия, на чем все дело и закончится. Если же провайдер не ответит вам, а письма будут продолжать приходить, сохраните их в качестве вещественного доказательства. Если кто-то пытается напрямую угрожать вам или вашей семье, указывая при этом, например, номер школы, в которую ходят ваши дети, или цвет вашего автомобиля, немедленно обратитесь в полицию и предоставьте им все имеющиеся доказательства (копии писем, в которых вам угрожают). Иногда таким "охотникам" просто нравится наводить страх на жертву, находясь от нее на расстоянии, и они не собираются причинять вам никаких реальных неприятностей. Однако полной уверенности в этом никогда быть не может, и поэтому лучше позаботиться о собственной безопасности и попытаться себя защитить. Точно так же как вы никогда не позволяете себе беспечно прогуливаться в опасном районе, не следует "бродить" и по Internet, не предприняв предварительно определенных мер предосторожности. Более подробную информацию о том, как защитить себя от киберсталкеров, вы сможете получить на следующих узлах:

Antistaiking Web Site CyberAngels Online Harassment SafetyEd International Who®

http://www.antistalking.com/ http://www.cyberangels.org/stalking http://www.onlineharassment.com http://www.safetyed.org http://www.haltabuse.org

Часть 3

Способы взлома и проникновения в компьютеры

Глава 11 Разведка объектов атаки

Одна лишь настойчивость не гарантирует успеха. Сколько ни рыскай в поле, где дичи нет, охоты не получится. — Чинг

ИНОГДА ХАКЕРЫ ЦЕЛЕНАПРАВЛЕННО АТАКУЮТ ВПОЛНЕ О П Р Е Д Е Л Е Н Н Ы Е К О М П Ь Ю Т Е Р Ы , НО ЧАЩЕ ВСЕГО ОНИ ПРОСТО СТАРАЮТСЯ НАЙТИ КОМПЬЮТЕР, КОТОРЫЙ ЛЕГЧЕ ДРУГИХ ПОДДАЕТСЯ ВЗЛОМУ. Проникнув в компьютер, хакер может воспользоваться им для хранения своих файлов, которые, будучи обнаруженными у хакера, послужили бы уликами против него. Бывает и так, что хакер использует чужой компьютер в качестве стартовой площадки для атак на другие компьютеры, в которых хранятся секретные данные, например на компьютеры правительственных учреждений. Поэтому любые попытки "вычислить" хакера будут приводить не к его компьютеру, а к тому, который был использован для атаки. Конечно, если ваш компьютер никто не сможет найти, то и атаковать его будет невозможно. Если вы отключите компьютер от телефонных линий и Internet и перекроете все пути физического доступа к нему, так что никто, кроме вас, не сможет им воспользоваться, то это будет гарантией того, что ни один хакер его не взломает. К сожалению, в большинстве случаев пользователи заинтересованы в подключении своих компьютеров к Internet или локальным сетям, а это означает, что любой компьютер, в том числе и ваш, может стать мишенью для хакера. Перед наступлением военные высылают разведчиков во вражеский стан для получения сведений о противнике. Точно так же и хакер, решив взломать чей-либо компьютер, сначала разведывает возможные мишени, чтобы определить, какую из них атаковать. Чаще всего для сбора предварительных сведений об объектах атаки исполь-

Глава 11. Разведка объектов атаки

165

зуются автоматическое сканирование телефонных линий (war-dialing), сканирование портов (port scanning) и мобильная локация (war-driving).

Автоматическое сканирование телефонных линий Доступ к чужому компьютеру чаще всего осуществляется через Internet, но одного только отключения кабеля, соединяющего компьютер с Internet, еще не достаточно для того, чтобы преградить путь хакеру. Даже установив брандмауэр и защитив компьютерную локальную сеть от проникновения извне, многие компании фактически сами предоставляют возможности обхода защитной системы, разрешая своим сотрудникам подключение компьютеров через модемы к внешним телефонным линиям, чтобы торговые агенты и персонал, работающий на удалении, могли беспрепятственно получать доступ к корпоративной информации из любой точки земного шара. Компьютеры, находящиеся в индивидуальном пользовании, также могут быть уязвимыми, если на них выполняются такие программы удаленного доступа, как pcAnywhere. Всякий раз, когда вы подключаете компьютер к модему, соединенному с внешней телефонной линией, вы словно распахиваете настежь двери, ведущие к вашему компьютеру. Чтобы исключить возможность доступа к компьютерам людей, не имеющих на то полномочий, организации и индивидуальные пользователи держат соответствующие телефонные номера в секрете и требуют не включать их в справочники. В то же время, если это и способно остановить значительную часть тех, кто пытается осуществить несанкционированный доступ к компьютеру, то только не хакеров. Определение телефонного номера, ведущего к компьютеру, хакеры начинают с продуманного сужения области поиска. Если для атаки намечена конкретная цель, то сначала выясняется, какие вообще телефонные номера могут принадлежать данной компании. Например, если хакер хочет определить телефонный номер, к которому подключен компьютер, принадлежащий местному офису предприятия, ему достаточно просмотреть телефонный справочник и найти в нем все телефонные номера, относящиеся к данному зданию. Как правило, все номера, выделяемые телефонной компанией предприятию, имеют общий префикс, например: 234-1090, 2343582. Следовательно, если в интересующей хакера компании имеется компьютер с модемом, то существует почти стопроцентная вероятность того, что телефонный номер, набор которого приведет к соединению с таким компьютером, также начинается с префикса "234м. Однако вместо того, чтобы тратить всю ночь на слепой перебор различных цифровых комбинаций для определения номера, обеспечивающего необходимое соединение, хакеры поручают выполнение этой утомительной работы своим компьютерам, запуская специальные программы автоматического сканирования телефонных линий (war-dialers), называемые также демонами набора телефонных номеров, или демонами дозвона (demon dialers) (рис. 11.1). Если, например, хакер предварительно установил, что все телефонные номера компании начинаются с префикса "234", то демону дозвона будет поручено перебрать все номера в диапазоне от 234-0000 до 234-9999. Всякий раз, когда демон дозвона

166

Часть 3. Способы взлома и проникновения в компьютеры

обнаруживает, что к линии данного телефонного номера (например, 234-3402) подключен компьютерный модем, он запоминает этот номер, чтобы впоследствии хакер мог воспользоваться им для своих целей. Отсюда следует, что если существует телефонный номер, используя который можно получить доступ к компьютеру, то, рано или поздно, хакер его определит.

MildDialer Uersion 2.0

number Dialed: 619-573-1257 Modem Status : Dialing Number, of Carriers: 0 Search started at: 20:16:02 Last call at : 20:16:20| Hit 'Й* to abort search» >space< to cycle to nest number.

firea Code : 619 Start Hwiber: 573-1000 End Hunber : 573-2000 Sauing to: NUMBERS.TXT

Pulse/Dial: Tone Delay: 20 seconds

Port: COM2

Wild Dialer U2.00 (C)opyright 1988 by Pica Man

Рис. 1 1 . 1 . Демон набора телефонных номеров осуществляет автоматический набор номеров, принадлежащих определенному диапазону, и отслеживает те из них, которые ведут к компьютерам

После того как демон набора определит все телефонные номера, ведущие к компьютерам, хакер может заняться проверкой каждого из них по отдельности. Обычно, прежде чем разрешить подключение к телефонной линии, компьютер запрашивает пароль. Все, что на данном этапе требуется от хакера,— это разгадать пароль, после чего ворота компьютера будут распахнуты перед ним. Один из простейших способов борьбы с демонами набора телефонных номеров состоит в использовании процедуры обратного вызова (call back). Когда кто-то (легальный пользователь или злоумышленник) пытается дозвониться до компьютера, устройство обратного вызова "поднимает" трубку и делает звонки по предварительно заданным телефонным номерам, заведомо принадлежащим легальным пользователям. Разумеется, решительно настроенный хакер в состоянии определить, по каким номерам дозванивается устройство обратного вызова, а затем перенаправить эти звонки на свой телефонный номер.

Сканирование портов Хотя к некоторым компьютерам и можно получить доступ по телефонным линиям, в большинстве случаев компьютеры подключаются к Internet напрямую. Вместо уникальных телефонных номеров, идентифицирующих компьютеры в телефонной сети, компьютеры, подключенные к Internet, снабжаются уникальными IP-адреса-

Глава 11. Разведка объектов атаки

167

MPi, однозначно идентифицирующими их во всей сети Internet. Поэтому для нахождения компьютеров в Internet хакеры используют не демоны набора телефонных номеров, а специально предназначенные для этой цели хакерские инструментальные средства (см. рис. 11.2), называемые сканерами (scanners) (а также сканерами портов (port scanners) или сетевыми сканерами (network scanners)).

s Recycel Bn i

Maker 13

¥ Рис. 11.2. Сканеры портов используются хакерами для выяснения IP-адресов компьютеров, входящих в локальную сеть, перед тем как ее атаковать

К наиболее популярным сканерам портов относятся NetScanTools (http:// www.nwpsw.com), Nessus (http://www.nessus.org), iNetTools (http://www.widpackets.com), SAINT (http://www.wwdsi.com/products/daint_engine.html), SARA (http://www-arc.com/ sara), SATAN (http://www.fish.com/satan) и Nmap (http://www.insecure.org/nmap). Сканирование во многом напоминает перебор телефонных номеров с помощью демонов дозвона, отличаясь лишь тем, что в данном случае для выяснения путей доступа к компьютеру исследуется некоторый диапазон IP-адресов. Определив IPадрес какого-либо компьютера, сканер исследует далее порты этого компьютера, чтобы выяснить, какие из них удастся использовать. Порт — это не физический кабель или разъем в вашем компьютере, а коммуникационный канал, через который компьютер соединяется с Internet. При подключении компьютера к Internet он должен уметь различать, когда приходит электронная почта, а когда — Web-страница. Поскольку информация из Internet поступает в компьютер по одному и тому же физическому соединению (телефонная линия или Internet-кабель), в компьютерах создаются отдельные каналы, или порты, каждый из которых предназначен для получения данных определенного типа. Благодаря этому, всякий раз, когда информация поступает через определенный порт, компьютеру известно, как ее обрабатывать.

168

Часть 3. Способы взлома и проникновения в компьютеры

Чтобы порты можно было отличать друг от друга, каждому из них присваивается определенный номер. Так, если компьютеру необходимо получить доступ к Web-странице, хранящейся на другом компьютере, то он запрашивает эту информацию через порт номер 80. Компьютеры, которые отображают Web-страницы (их называют также Web-хостами (web hosting computers)), поддерживают свой порт 80 в открытом состоянии, выжидая, когда другой компьютер запросит у них Web-страницу через этот порт. Порты используются в каждом компьютере, подключенном к Internet, а это означает, что любой из них всегда может послужить точкой доступа к компьютеру для хакера. В таблице 11.1 перечислены наиболее часто используемые порты, однако следует иметь в виду, что любой компьютер имеет сотни портов, каждый из которых может быть открыт. Таблица 11.1 Порты, которые обычно всегда доступны в компьютерах, подключенных к Internet Служба

Порт

File Transfer Protocol (FTP)

21

Telnet

23

Simple Mail Transfer Protocol (SMTP)

25

Gopher

70

Finger

79

Hypertext Transfer Protocol (HTTP)

80

Post Office Protocol, version 3 (POP3)

110

Когда одному компьютеру необходимо связаться через порт с другим компьютером, он посылает ему пакет с установленным битом SYN (синхронизация), что означает: "Я готов подключиться к твоему порту". Получив это сообщение, целевой компьютер отвечает посылкой пакета SYN/ACK (синхронизация/уведомление), подтверждающего успешное получение им первого пакета и означающее: "Я готов к установлению соединения". Когда первый компьютер получает пакет SYN/ACK, он возвращает целевому компьютеру свой ответный пакет АСК (уведомление). В результате описанного обмена сообщениями первый компьютер узнает о том, что порт открыт и что второй компьютер готов к обмену данными через этот порт. Описанную последовательность событий сетевые сканеры и используют для нахождения открытых портов и проверки их уязвимости.

Эхо-тестирование адресатов Эхо-тестирование (ping sweeping) используется для проверки возможности обмена пакетами с компьютером, имеющим заданный IP-адрес, путем посылки на него сообщений. Если компьютер отвечает обратной посылкой полученных данных, то это означает, что он включен и функционирует нормально. Если же сканер не получает ответного сообщения, то можно сделать вывод, что либо компьютер по указанному IP-адресу отсутствует, либо он подключен, но работает в автономном режиме.

Глава 11. Разведка объектов атаки

169

При обычном эхо-тестировании используется протокол ICMP (Internet Control Message Protocol — протокол управляющих сообщений в сети Internet), определяющий способ передачи сообщений между двумя компьютерами. Эхо-запросы ICMP абсолютно безопасны и вовсе не обязательно означают нападение на компьютер, хотя, если они адресованы определенным портам, некоторые брандмауэры и могут предпринимать их блокировку в качестве меры защиты от синхронной атаки (ping flooding — один из самых ранних и простейших методов атаки серверов с целью вызова ситуации отказа в обслуживании (denial of service), называемой также "убийственным запросом" (Ping of Death), когда количество запросов, посылаемых атакующим компьютером, значительно превышает то, которое в состоянии обработать получающий их компьютер). В тех случаях, когда ICMP-запросы не доходят до компьютера, который по имеющимся у хакера сведениям должен быть подключен к Internet и нормально функционировать, часто пытаются использовать сканеры портов, такие как Nmap (см. рис. 11.3), которые посылают на целевой компьютер сообщения (эхо-запросы) с установленным битом АСК. Иногда таким способом действительно удается обмануть брандмауэр, поскольку компьютер-мишень принимает получаемые сообщения за уведомления об успешном приеме первым компьютером предыдущего сообщения, которое подтверждало готовность компьютера-мишени к установлению соединения. Поскольку брандмауэр полагает, что установление соединения инициировано самим компьютером-мишенью, он пропускает эти сообщения (АСК), что позволяет таким сканерам, как Nmap, определить доступность целевого компьютера, в то время как с помощью обычного ICMP-запроса выяснить это было бы невозможно. b*NMapWn i v.1.3.0 w l ww.ssh.coml Scan | Dsicover ] Opo tins | Tm in ig j Fe li s | Servc ie j Wn i32 j -;Mode i : Scan Opo tins I

С Connect

Г ftull Scan

С ДСР Scan I I ^ M Г Port Range

| |

<* SYN Stealth

Г Xmas Tree

С List Scan | j

Г FIN Stealth

С [Р Protocol Scan

|

С Ping Sweep

Г АСК Scan

I

Г yDP Scan

Г Window Scan

— Г Use Decoy

— _ _ Г Bounce Scan

Г" Source Address f~ Source Port

! V Device

Output S t a r t i n g nmap v . з . о о С www 1nsecure.org/nmap ) I n t e r e s t i n g p o r t s on www.ssh.com ( 1 9 8 . 3 1 . 1 0 0 . 8 2 ) :

e:

filtered)

22/tcp open ssh з/tcp closed domain 80/tcp open http 443/tcp open https Remote o p e r a t i n g system guess: S o l a r i s 8 e a r l y access b e t a t h r o u g h a c t u a l r e l e a s e Uptime 86.375 days Csince F r i May 03 1 2 : 5 6 : 4 6 2002) Nmap r u n completed — 1 IP address ( l h o s t up) scanned i n 191 seconds

JCMD: -sS -PT -PI -0 -T 3 www.ssh.com

~ Щ] 28/07/02 f22:05:07

Рис. 11.3. Сканер Nmap, позволяющий "нащупывать" уязвимые компьютеры в сети Internet

170

Часть 3. Способы взлома и проникновения в компьютеры

Тестирование IP-адресов, покрывающих некоторый диапазон, может занять много времени, поскольку компьютер должен дожидаться ответа на каждый посылаемый запрос. Чтобы ускорить этот процесс, некоторые сканеры посылают лавинные запросы (flood of pings), т.е. отправляют очередной запрос, не дожидаясь прихода ответов на предыдущие запросы, причем каждый подтвержденный запрос указывает на компьютер, который может служить потенциальной мишенью.

Методы сканирования портов Чтобы атаковать компьютер, требуется знать его IP-адрес, который можно получить либо методом эхо-тестирования, либо просмотром имен доменов на Web-узле Network Solutions (http://www.networksolutions.com/cgi-bin/whois/whois) (см. рис. 11.4). После выяснения IP-адреса компьютера-мишени необходимо определить его открытые порты, которые можно будет использовать в качестве точек доступа к компьютеру |:i| Fe li £d* V eiw §o Bookmak rs o lok W nidow

"I

*. . -а ж

Г ;ЙHome | ^Bookmarks -j£ The a li Organziao tin ^Latest Bu d lis J Moz

Back >•• ;•«!; Re olad fi •••;•>

of mass unsolicited, commercial advertising or solicitations via

America Online, Inc. reserves the right to modify these terms at any time. By accessing and using our VHOIS service, you agree to these terms. Domain Name: AOL.СОН Registrant: America Online, Inc. 22000 AOL Vay Dulles, VA 20166 US Created on : Jun 22 1995 12 :OOAH Expires on : Kov 23 2002 7:02AH Record Last Updated on..: Jul 8 2002 8:45PM Registrar, : America Online, Inc. http://whois.registrar.aol.com/whois/

Transfer Your { Domain TODAY \rrSEASY!; Register Domain Names 1 Y E A R FREE!

I

f

Included m a i year пфягдюпЩ

Administrative, Techn AOL Domain Adraini: 22000 AOL Way Dulles, VA 20166 US Email: domainsSao DNS-01.NS. AOL,.COH 152.163. 1591.232 DN5-02.NS. AOL,.COM 205.188. DNS-06.NS. AOL DNS-07.NS. AOL 64.12.51.132 \£- Ш : Document: Done (2.404 sees)

Рис. 11.4, При выяснении IP-адресов Web-узлов может пригодиться команда Whois

К числу наиболее часто применяемых методов сканирования портов относятся следующие: Сканирование путем установления TCP-соединения. Сканер связывается с портом

путем посылки пакета синхронизации (SYN), ждет прихода ответного пакета, под-

Глава 11. Разведка объектов атаки

171

тверждающего получение предыдущего пакета (SYN/ACK), после чего посылает уже свой пакет подтверждения (АСК), что завершает установление соединения. Сканирование этого типа легко распознается и во многих случаях регистрируется компьютерами-мишенями как возможное начало хакерской атаки, о чем выводится соответствующее предупреждение. Сканирование путем посылки пакетов TCP SYN. Сканер связывается с портом пу-

тем посылки пакета SYN и ждет прихода ответного пакета SYN/ACK, указывающего на то, что порт находится в состоянии ожидания (прослушивания). По сравнению со сканированием с образованием TCP-соединения применение этой методики, называемой полусканированием (half-scanning), мишеням труднее обнаружить и зарегистрировать, поскольку в данном случае подтверждающий пакет (АСК) сканирующим компьютером не посылается. Сканирование путем посылки пакетов TCP FIN. Сканер связывается с портом пу-

тем посылки сообщения "Больше нет данных" ("No more data from sender") (пакет FIN). Закрытый порт отвечает на него сообщением Reset (RST), тогда как открытый порт просто игнорирует его и тем самым обнаруживает себя. Фрагментарное сканирование. Чтобы скрыть от фильтра пакетов или брандмауэра свои истинные намерения, сканер разбивает исходный пакет SYN на более мелкие части. Этот метод используется в сочетании с другими методами сканирования, такими как сканирование с установлением TCP-соединения или сканирование путем посылки пакетов TCP SYN и TCP FIN. Рикошетная атака FTP-сервера. Сканер запрашивает у FTP-сервера файл. Поскольку в запросе указывается IP-адрес и номер порта компьютера-мишени, при рикошетной атаке удается замаскировать источник атаки и обойти любой брандмауэр или иную систему защиты, предназначенную для блокирования доступа "чужаков" (но не других компьютеров той же сети) к целевому компьютеру. Успешная передача файла говорит о том, что порт открыт. Сканирование с использованием протокола UDP (User Datagram Protocol). При

передаче сообщений вместо протокола TCP используется протокол UDP. При получении эхо-запроса закрытые порты отвечают сообщением об ошибке ICMP_PORT_UNREACH. Порты, не ответившие таким сообщением, являются открытыми.

Получение "отпечатков пальцев" операционной системы Успешный поиск открытого порта и определение его номера открывают возможность доступа к компьютеру, но одного только определения открытого порта для этого не достаточно. Хакер должен также определить, под управлением какой операционной системы работает данный компьютер, после чего он будет знать, какие команды следует применять и какими известными брешами в программном обеспечении можно воспользоваться, чтобы не пришлось разгадывать пароль доступа. Большинство Web-серверов используют разновидности системы Unix (например, Linux, DigitalUNIX или Solaris), хотя на многих серверах выполняется одна из вер-

172

Часть 3. Способы взлома и проникновения в компьютеры

сий Microsoft Windows. Найдется также значительное количество серверов, использующих OS/2 или Mac OS. Определение операционной системы осуществляется путем посылки данных на различные порты. Поскольку различные операционные системы реагируют на получаемые данные по-разному в зависимости от того, какие данные поступают на тот или иной порт, это позволяет хакерам судить о типе операционной системы, развернутой на компьютере-мишени. Некоторые примеры распространенных методов определения удаленных операционных систем приведены ниже: Зондирование путем посылки пакетов FIN. Зондирующий компьютер посылает порту сообщение "Больше нет данных" ("No more data from sender") (пакет FIN) и ждет ответа. Windows отвечает на пакеты FIN сообщениями Reset (RST), в связи с чем, если в ответ на зондирующий пакет FIN получено сообщение RST, можно сделать вывод, что компьютер-мишень работает под управлением системы Windows. Зондирование путем посылки пакетов FIN/SYN. Зондирующий компьютер посылает порту пакет FIN/SYN и ждет ответа. Системы Linux отвечают посылкой пакета FIN/SYN/ACK. Проверка начального окна TCP. Проверяется размер окна пакетов, возвращаемых компьютером-мишенью. В случае системы AIX размер окна составляет 0x3F25, a в случае систем OpenBSD и FreeBSD — 0х402Е. Анализ ICMP-сообщения. Зондирующий компьютер посылает данные на закрытый порт и ожидает получения сообщения об ошибке. Любой компьютер, кроме тех, которые работают под управлением операционных систем Solaris и Linux, должен выслать обратно начальный IP-заголовок с присоединенными к нему дополнительными восемью байтами. В случае указанного выше исключения возвращается более' восьми байтов. Кроме того, сканирование компьютеров с помощью таких программ, как Nmap, позволяет хакерам уточнять версию операционной системы, установленной на компьютере-мишени, и в некоторых случаях даже определять номер ее версии. От подобного зондирования трудно защититься, поскольку его очень трудно отличить от обычного процесса установления связи с другим компьютером. Попытки такого зондирования выглядят настолько безобидными, что во многих случаях брандмауэры и системные администраторы их просто могут не заметить. Определив IPадрес, доступные открытые порты и операционную систему целевого компьютера, хакер может приступить к планированию стратегии проникновения в компьютер, как это делает и обычный взломщик, предварительно изучающий дом, прежде чем пытаться в него проникнуть.

Мобильная локация Вместо того чтобы физически соединять компьютеры в сеть с помощью кабелей, многие компании и частные лица переходят к стандарту беспроводных (мобильных) систем, известному под названиями 802Л1Ь или Wi-Fi (wireless fidelity). Все выглядит очень просто. Вы подключаете устройство, называемое точкой доступа (access

Глава 11. Разведка объектов атаки

173

point), как элемент своей сети, и через эту точку доступа сигналы из сети передаются на любой компьютер с мобильным сетевым адаптером, или картой (NIC — network interface card), обеспечивая доступ этого компьютера к сети, как если бы он был физически соединен с ней кабелем. Если вы пользуетесь компьютером Macintosh, оборудованным адаптером AirPort, то вы используете протокол 802.11Ь. Доступ к беспроводной сети может получить каждый компьютер, оборудованный мобильным сетевым адаптером. К сожалению, это означает, что хакер, расположившийся на другой стороне улицы со своим портативным компьютером, к которому подключен мобильный сетевой адаптер, также может получить доступ к той же сети. По сути дела, беспроводная сеть — это та же кабельная сеть, но только кабели в этой сети выходят из каждого окна здания, и любой посторонний человек всегда может подключиться к ней таким образом, что вы об этом не будете знать. Для предотвращения несанкционированного доступа в большинстве беспроводных сетей используют механизм шифрования (получивший название WEP от wired equivalent privacy — защищенность на уровне кабельных сетей) и аутентификации. WEP-шифрование позволяет скрывать данные, передаваемые беспроводным способом, а аутентификация обеспечивает предоставление лишь заранее предусмотренных возможностей компьютерного доступа к беспроводной сети. Как и в случае большинства других защитных мер, применение двух этих методов способно остановить далеко не любого хакера. WEP-шифрование обладает слабыми возможностями защиты и легко взламывается. Разрешение доступа лишь заранее определенным компьютерам действительно является эффективным средством защиты в беспроводных сетях, но многие просто не утруждают себя использованием этой возможности. Даже если это средство и активизируется, хакеры знают, как обмануть компьютер и заставить его считать, что у них действительно есть полномочия на использование сети. Хакеры могут сканировать беспроводные сети, разъезжая в автомобиле с портативным компьютером, мобильным сетевым адаптером, антенной для приема сигналов, передаваемых в сети, и программой сканирования, позволяющей обнаруживать беспроводные сети (см. рис. 11.5). Некоторые хакеры для этой цели даже вооружаются глобальной системой рекогносцировки (global positioning system — GPS), с помощью которой они могут составлять точные карты беспроводных сетей. Процесс объезда некоторой территории на автомобиле с целью обнаружения беспроводных сетей называют "мобильнойлокацией"(war-driving), а поскольку все больше и больше организаций и частных лиц переходят к эксплуатации беспроводных сетей, то найти такую сеть довольно легко. (Подобную локацию можно осуществлять и при пешем обходе территории (war-strolling), а также с борта самолета (war-flying) или судна (war-boating), но во всех этих случаях основная идея остается одной и той же: обнаружение беспроводных сетей, развернутых на некоторой территории, путем ее обхода.) Чтобы больше узнать о методах мобильной локации и используемом при этом аппаратном и программном обеспечении, а также для ознакомления с последними новостями в этой области, посетите Web-узел WarDriving.com (http:// www.wardriving.com). Посетив узел http://www.kraix.com/downloads/TDGTWWarXing.txt, вы сможете загрузить руководство "The Definitive Guide To Wireless WarX'ing" ("Полное методическое руководство по локации беспроводных сетей"). Для

174

Часть 3. С п о с о б ы взлома и проникновения в к о м п ь ю т е р ы

получения более подробной информации о сетях Wi-Fi обзаведитесь книгой Джона Росса (John Ross) "The Book of Wi-Fi", опубликованной издательством No Starch Press.

^Bookmarks ^The Moza li Organziato i n ^Latest Bud li s

Рис. 11.5. Карта Северной Америки, на которой отображены известные беспроводные сети, которые удалось обнаружить с помощью программы NetStumbier

Ключевая роль при поиске беспроводных сетей принадлежит специализированным анализаторам пакетов, результаты работы одного из которых представлены на рис. 11.6. К числу наиболее популярных программ этого типа относятся NetStumbier (http://www.stumbler.net) (для Windows), MiniStumbler (http://www.netstumbler.com) (для Pocket PC), Kismet (http://www.kismetwireless.net) (для Linux) и MacStumbler (http://www.macsturnbler.com) (для Mac OS). Чтобы облегчить друг другу обнаружение беспроводных сетей, хакеры приспособили для этой цели приемы странников, которые выцарапывали или наносили мелом на деревьях или домах различного рода метки, предупреждающие других странников, например, о том, что такой-то город негостеприимен, а такое-то селение, наоборот, очень радушно встречает незнакомцев, или же что проходящие поезда в данном месте притормаживают, так что здесь на них легко запрыгнуть. Применяя аналогичную методику расстановки опознавательных знаков (war-chalking) (http:// www.warchalking.org), хакеры имеют возможность сообщить друг другу о местонахождении и характеристиках тех или иных беспроводных сетей, как показано на рис. 11.7.

Глава 11. Разведка объектов атаки 175

1 «•jg a . •

Ж *$*3 S "'§' 4

•

;v~ * £ * В

4С>Р63^А06{

#с<с ~

d

I 3 •ооаггоогсссе ©00&OSOF05B5C ii 3.56 Y«J 1 •-0040963 0Е8Ь8 1 • 0040964P2&C5 I ii Y«i фФ0(&1ЪПСС79 a • OOOWKOK'Ki'jr» 5 j ФО0О?2О0СЗЭОС 7 Y« I Y*s Фоооегыр5ьв7 t I I

ЛР ДР ДР AP A(* AH

5610 ' AriWovt ArW i ow MrWH f Л1да2 А1Ц.Ы.

Anqcki"-» Afniiirf Arena

ЛР A\> AP A? AP

Angela's A«rporr Ar<no any

ДР

Apple N « i w o r k l f 5 < i b 7

A?

A p p l« N e t w o r k J f b W O

A$at (Lucent) W<miM4 Ац«г4 i;Luc«nt)Orii»oce A$trt (Lutftet) Wawij*J Cisco (Airom*)

10 27

Ciicc (Aironft) Cisco (AirOn*t)

32 0 3-1 40

HtfiHttMt ?<137^И307Э

t:i U

ш/л\он/ N37.133678

AnfrmUftlnc MounraR iveiw API Prn i ter 'line Hurmmtjm

XP AP MP

Anyuin'fAmmml Um» Htisshs 'i Hen>9O¥«r Hav«n

Aq«f
Aq«r* (L«t*»t) WaveijW 1

0«№e Network » ^(j«f* (Lucent) Or inece j i y i j (Iii<:eftf)C>uwi.:i* j*5«r* (Ltwent) Orinoe» ^9«f * (Lmctnt) Orirvoce

ANY Aparrmenr A|itili.'Ni!Kvtir(i ( № » A I I < 9

! -jr-M

|v*r.dor

A7Z^T

Mu^nn) Kfi-.f Siuimn

—

v

г 1$ 5 -I

N37.412748

y

i

W

l

W

l

W

J

l

W

l

W

l

W

l

4

в сю0?2l>0rOIOt • со • 91

г*' й-

#00 i Дкт2 4> alpha

к»

irt Aft^wrf A : t *Г m«nt * ^ AppV

•JyLv

'.-',

и

-

'•'•

1J •

-90 i f f \\П\"ГН -too uw V,,/^i ' Wu gt/ ' .V--'/'Ul CV-p/'gov;w/ui ]K>:0-.m-,. .Г.:ГСн20, 09 24 31S4O 1>Ь( ? !'.*?>! to • !5v6.; ?< UP£ ••••:. • t

Рис. 1 1 . 6 . Обнаружение ближайших беспроводных сетей с помощью специализированного анализатора пакетов

Стоит одному хакеру обнаружить какую-либо беспроводную сеть, как на нее тут же набрасываются другие хакеры. При наличии столь большого количества желающих получения несанкционированного доступа к сети весьма вероятно, что кто-то из них сможет случайно или преднамеренно разрушить, удалить или изменить ценные файлы легальных пользователей. let's warchalk.J KEY SYMBOL OPEN ssid NODE CLOSED NODE

X bandwidth ssid

О

««а (w) blackbeltjones.cob m an /w daw rcd ihthalking

WEP NODE

k

A

Рис. 1 1 . 7 . Опознавательные знаки, используемые для указания местоположения и статуса беспроводных сетей

176

Часть 3. Способы взлома и проникновения в компьютеры

Что происходит после того, как хакер изучил подступы к компьютеру Используя автоматическое сканирование телефонных линий, сканирование портов и автомобильную локацию, хакеры могут определить местонахождение почти любого компьютера, который обменивается сообщениями с другими компьютерами через локальную сеть, телефонную линию или Internet. К сожалению, изучив подступы к компьютеру, хакер не может удержаться от соблазна изучить ситуацию далее и попытаться взломать компьютер; а уж если это ему удается, то далее от него можно ожидать чего угодно — от простого просмотра файлов до перегрузки системы и разрушения любых программных объектов, попадающихся ему под руку.

Глава12 Методы компьютерного взлома

По-видимому, успех чаще всего приходит к тем, кто настойчиво стремится к цели, от которой другие уже

отказались. — Уильям Фезер (William Feather)

ПОИСК КОМПЬЮТЕРА, КОТОРЫЙ МОЖНО АТАКОВАТЬ,- ЭТО ЛИШЬ ПЕРВЫЙ ШАГ ХАКЕРА. СЛЕДУЮЩИМ ЕГО ШАГОМ ЯВЛЯЕТСЯ ПРОНИКНОВЕНИЕ В КОМПЬЮТЕР, ИЛИ, КАК ГОВОРЯТ, ЕГО ВЗЛОМ. Обычно хакеры добиваются успеха не в силу каких-то особых, присущих только им качеств. В большинстве случаев работу взломщикам облегчают беззаботность, невежество или откровенная лень тех, кто эксплуатирует или обслуживает компьютеры. Если компьютер связан с внешним миром через телефонную линию, Internet или беспроводную сеть, то в качестве первой линии защиты от хакеров обычно используют пароли.

Просите - и воздастся вам: искусство социотехники Простейший способ пробраться в чужой компьютер — это попросить кого-то предоставить вам права доступа к нему. Само собой разумеется, что системные администраторы не предоставят права доступа к компьютеру кому попало, и поэтому с подобной просьбой хакеры обращаются не к ним, а к тем, кто имеет обычные права доступа и при этом мало задумывается о вопросах безопасности компьютера. Иными словами, хакеры выбирают своей мишенью рядового пользователя.

178

Часть 3. Способы взлома и проникновения в компьютеры

Анонимная "разработка" жертвы по телефону Многие люди привыкли считать компьютер постоянным источником различных неприятностей, и поэтому, когда кто-то звонит им по телефону и сетует на возникшие в связи с плохой работой компьютера проблемы, ему начинают сочувствовать. Если тот, кто звонит по телефону, жалуется, что из-за неполадок с компьютером у него "горит" проект, крайний срок окончания которого уже брезжит на горизонте, всем сразу становится понятно, отчего этот абонент так расстроен. А если неизвестный телефонный собеседник изъясняется на принятом в данной компании жаргоне и упоминает в разговоре имена ее руководителей или названия разрабатываемых проектов так, словно он проработал в ней уже не один год, то большинство людей сразу же начинают воспринимать его как "своего". И если такой собеседник попросит выручить его, подсказав номер телефона, к которому подключен компьютер, или даже пароль доступа к нему, большинство людей охотно помогут тому, кто, по всей видимости, является их сослуживцем. Беда в том, что в действительности он может быть хакером, который с помощью приемов социотехники (social engineering) пытается заставить вас добровольно выдать ему ценную информацию, необходимую для взлома компьютера и получения доступа к нему. Вся прелесть социотехники заключается в том, что люди, помогающие хакеру, могут так никогда и не узнать о его истинных намерениях. Более того, чтобы получить информацию, хакеру достаточно всего лишь поднять телефонную трубку Если у собеседника, находящегося на другом конце линии, нужную информацию получить не удалось, хакеру достаточно набрать другой номер телефона и вновь попытать счастья, пока не будут добыты нужные сведения. Иногда хакеры пользуются методами обратной социотехники (reverse social engineering). Вместо того чтобы делать телефонные звонки, пытаясь найти человека, из которого можно выудить нужную информацию, хакер стремится сделать так, чтобы люди сами звонили ему и выкладывали информацию по собственной инициативе. Один из видов афер, в которых используются методы обратной социотехники, основан на том, что хакер вызывает хотя и незначительные, но достаточно заметные для того, чтобы мешать пользователям, нарушения нормальной работы сети. Далее он оставляет возле каждого компьютера свои данные (номер телефона и имя, обычно вымышленное), чтобы пользователи легко их заметили. Можно не сомневаться, что кто-нибудь из пользователей обязательно прозвонит по этому номеру, считая, что он связывается с администратором сети, хотя на самом деле этот номер принадлежит хакеру. Получив такой звонок, хакер затребует определенную информацию, например, имя или учетную запись пользователя и соответствующий пароль. Пользователь, который сделал звонок, скорее всего, не заподозрит, что его собеседник может быть кем угодно, но только не услужливым техническим специалистом, и добровольно предоставит ему все запрошенные данные. Получив необходимую информацию, хакер прежде всего устранит созданную им же самим неисправность. В результате этого пользователь почувствует себя осчастливленным, а в распоряжении хакера окажется вся информация, необходимая для взлома компьютера.

Глава 12. Методы компьютерного взлома

179

Чтобы их нельзя было распознать, некоторые хакеры прибегают к маскировке, имитируя, например, голос пожилого человека или молоденькой девушки. Значительно изменяя свой голос, хакер может неоднократно обращаться к одному и тому же человеку за уточнением информации, не возбуждая у него никаких подозрений. Поскольку удобные случаи для взлома компьютеров хакерам предоставляются не так уж часто, они умеют проявлять терпение. Хакеры могут днями, неделями, а иногда даже и месяцами собирать информацию о намеченной мишени из различных источников, и поэтому в разговорах, имеющих отношение к компании или компьютерам, держатся с видом бывалого сотрудника, который проработал здесь уже не один год.

Использование методов социотехники при личном общении Разговор по телефону обладает тем преимуществом, что позволяет хакеру скрыть от собеседника свою внешность. Ведь если бы только люди увидели, что тот, кто разговаривает с ними тоном босса, на самом деле — совершенно незнакомый им молодой двадцатилетний человек, то вряд ли бы они вообще предоставили ему какую-либо информацию. Вместе с тем, применению методов социотехники по телефону свойственны свои ограничения. Например, уже на стадии получения предварительной информации для хакера может оказаться желательным непосредственный доступ к компьютеру, а это означает, что ему не избежать личного контакта с хозяином компьютера. Разумеется, только достаточно самоуверенный человек способен лгать, не моргнув и глазом. Однако большинство людей даже и мысли не допустят, что все сказанное стоящим прямо перед ними человеком относительно того, кто он такой и чем занимается, является наглой ложью, и они помогут ему без лишних расспросов о том, зачем это надо. Используя методы социотехники при личном контакте, хакеры часто выдают себя за консультантов или временных работников, поскольку это, прежде всего, естественным образом объясняет их присутствие в офисе, а вместе с тем и их незнакомство с расположением в нем различных служб. Оказавшись на месте, хакер может ограничиться разведкой обстановки и получением дополнительной информации относительно самой компании и того, как организована в ней эксплуатация компьютеров. Если представится удобный случай, хакер может и непосредственно воспользоваться компьютером, выдав себя за консультанта или специалиста, отвечающего за вопросы безопасности. Прикрываясь необходимостью ремонта или профилактического обслуживания компьютера, хакер может незаметно установить лазейку в его защите, которой он сможет воспользоваться уже после того, как покинет офис. Расхаживая по помещениям, хакер может выискивать приклеенные к мониторам листки с записанными паролями или же пытаться подглядеть из-за спины работающего за компьютером сотрудника, как тот набирает на клавиатуре свой пароль. Вместо того чтобы маскироваться под кого-то, хакер может просто устроиться на работу, например, ночным дежурным. Благодаря этому он сможет получить свободный доступ к офисным компьютерам, не прибегая к чьей-либо помощи.

180

Часть 3. Способы взлома и проникновения в компьютеры

Независимо от того, какие методы социотехники применяет хакер — разговор по телефону или личный контакт с людьми,— его задача всегда остается одной и той же: обеспечить себе возможность проникновения в компьютер. Для этого ему достаточно либо получить пароль от ничего не подозревающего сотрудника компании, либо иметь физический доступ к месту установки компьютера, где у него появится возможность подглядеть пароль, когда кто-то будет вводить его с клавиатуры, обнаружить его на клочке бумаги, приклеенном к монитору, или же самостоятельно перепробовать различные пароли.

Взлом парольной защиты Во многих случаях первая линия обороны компьютеров основывается на паролях. Несмотря на то что пароли ограничивают доступ к компьютеру, они являются самым слабым звеном в любой системе безопасности. Наиболее надежны длинные пароли, состоящие из случайно подобранных символов, однако большинство людей, как правило, выбирают простые, легко запоминающиеся пароли, которые, к тому же, используются ими одновременно в нескольких системах (например, для доступа к рабочему компьютеру и учетной записи в America Online, а также для хранителя экрана в своей системе Windows). Поэтому довольно часто хакеру достаточно раскрыть пароль в одной из систем, чтобы автоматически получить ключи доступа ко всем остальным учетным записям данного пользователя. Если компьютер запрашивает пароль, а хакер не имеет об этом ни малейшего понятия, то у него есть несколько возможностей: > Украсть действующий пароль > Угадать пароль > Раскрыть пароль, атаковав компьютер

Кража паролей Если у хакера есть возможность физически оказаться рядом с компьютером, то проще всего ему будет украсть пароль, подглядев из-за спины пользователя, как тот вводит его с клавиатуры. Если такая возможность отсутствует, хакер может осмотреть рабочий стол хозяина компьютера. Большинству людей трудно запомнить пароли, и поэтому они часто записывают их на клочках бумаги и хранят в легкодоступном месте, например, приклеив их сбоку монитора или положив в ящик письменного стола. Если в результате описанных действий раскрыть пароль хакеру все же не удалось, он может применить следующие средства: > Регистратор клавиатурных нажатий > Мониторинговую программу > Программу удаленного мониторинга компьютера > Программу восстановления паролей

Глава 12. Методы компьютерного взлома

181

ПРИМЕЧАНИЕ Использование каждой из указанных категорий программ предполагает наличие у хакера физического доступа к компьютеру жертвы, обеспечивающего возможность установки или запуска программы без ведома пользователя.

Использование регистрации клавиатурных нажатий Специальные программы, называемые регистраторами клавиатурных нажатий (keystroke recorder, keystroke logger), записывают все, что вводится в компьютер с клавиатуры, и либо выводят эту информацию на экран монитора, либо сохраняют в файле. Простейшие из таких программ записывают любую информацию, вводимую пользователем в компьютер (см. рис. 12.1), в том числе и возможные компрометирующие его тексты сообщений электронной почты, номера кредитных карточек и пароли. Когда пользователь покинет место за компьютером, хакер может удалить программу регистрации клавиатурных нажатий и извлечь созданный в процессе ее работы файл журнала записей, содержащий пароли и любую другую информацию, введенную пользователем (см. рис. 12.2). Более совершенные программы-регистраторы могут даже переслать этот файл электронной почтой хакеру, который при этом получает возможность наблюдать за деятельностью пользователя, находясь в другом месте.

SpyBuddy Central Control Panel ;olenctio trn i"S gtarltistSpth tuytoounwb oe uo d iagol tghs ifrom PC, cthc ilekfoo tlhewn y"ab llwlike 0 Cp ilboard te Ims Recorded 0 Wnidows Recorded. 0 Documenst Recorded. Г™| О Applications Recorded 0 Keystrokes Recorded. Щ

0 Screen Shots Captured

[ЛУГ] О Disk Changes Recorded. Vi«w Loec By Date? Ye*< No.

General ] в WebWatch \ M Misc Logging Settings j Scieen Shot Surveillance Ш Logging | g v/eb Content Fiftenng j PC Surveillance Select which areas of this machine you wish to have SpyBuddy discretely monitor... 0 0

Record all AOl/AIM/ICQ/MSN/Yahoo Chats All c».*t conversations will be receded. Record all Website Activity

0

Record all Clipboard Activity

0 Record all Windows Record ail windows opened and interacted wi 0 Record all Keystrokes

0

rd all Executed Applications ord all application* launched, rd all Print Acitivty ord *H documents printed. Record all Disk Changes and Activity

Manitorinf - Advanced Screen Shot Surveillance WebWatch Keyword Monitoring

Рис. 12.1. Характер информации, подлежащей перехвату программой-регистратором, можно уточнить путем настройки конфигурационного файла

j

182

gg Fe li Hep l 56 57 58

«г

о

68 69 70 71 72 73 74 75 76

Ь/24/2003^ 6:38:32 !PM >3/24/2003! 6:38:34 3/24/20036:38:34 3/24/200316:38:34

1 Raw _t|

о о

Ж. 67

Pciture

• М Н Н И tornЯ М И Н /2a0te036!:3M 8:17Start 1 : {,3/24D C .o a itnenr 0K ,evsi Fom r ae td :00 M ac io sm o W tfen o d rD cp uo m 00 00 00 0 :0 5 D o u t 1 M a i o s o t f c i e W o d r оO if 3/24/2003P!!PM 6:38:17:; 0 2 0L0 3BO B e a tD C JP A R T e sena redh ttoecom sec re 53/24/2003P::6M :38:22 o c u m e n s t y:h o u ee e p e e lttash te 000 :000d d e s g i n o f h t e w a p o n o f m d e s r t u c o i t n y o u r e ' d e s g i n i g n i y o u r g aa a rg eofuts nig u lIte,sho sa nldpa p r,pa nw deru b lg w nie .ug u d b eep o fa lhen you e n o u h t o h r t a o l t o f e o p e l w s e t i t o f 000 :00 :7we n iekh te m did el of h te sc2hoo y[elard next I^3/24/2!0P M '8; 29000 c : 0 0 . 0 S t a r t M e n u 0 3 ^ 6 : 3 о 1 ^!3/234//2240/0230:60:33!8:263:38:290 0 0 0 0 . 0 s t a r t 0 00 00 0 00 .:3 S tasrtotfM enu ! 3/24/200P3M ! 6:38:320 ::0 0 0 !M ciro W od r Document 00 000 :00 :2200D ocuB m r 3 e a tenit• Mcirosotf Ocfie Wod 0 0 0 : 0 0 : 0 F o W e V r w i 0 .:0 Po rg a 00 00 0 00 00 0W d irm th: Manager i 000 :00 :0 ; W nW i KW alhee rn Ivesg tiatorооSeu tp i 000 :000 Start wth iW nd iows о j 000 :003 ! WhWha W ther n Ivesg tiator Seu tp i 000 :001 Fe li Acvtiy i 0 j 0 | 000 :00 :0 C pib loard 000 .00 :4 Web Fo m r Daa t оо |; 000 :007 Daa tbase Name о 1 ! 000 .00 :1 Save 000 .00 :1 nvesg itao tr Ended 0 : о

59 6P 61 82 63 64 65

Часть 3. С п о с о б ы взлома и проникновения в компьютеры

! 3/24/20036:38:34 iPM 3/24/2003:6:38:34 PM ; 3/24/2003 6:38:35

! 3/24/2003^6:38:38 iPM i 3/24/2003! 6:38:39 PM 5 3/24/2003 6:38:39 !PM

13/24/2003; 6:38:43 • PM i 3/24/2003! 6:38:50 PM 3/24/2003! 6:38:51

Un sig (

гяммоомт

„ Records: 70 ;.

Рис. 12.2. Программа-регистратор записывает информацию обо всех нажатиях клавиш, сделанных пользователем, что позволяет хакеру точно знать, какие клавиши пользователь нажимал и какими программами он пользовался

Чтобы избежать обнаружения, программы-регистраторы клавиатурных нажатий выполняются в невидимом режиме (stealth mode), т.е. скрывают свое присутствие от пользователя, хотя их все еще можно обнаружить, если только знать, что и где следует искать. Если только кто-либо не заметит, что в компьютере установлена программа-регистратор, то очень маловероятно, чтобы программу, действия которой сводятся к записи нажатий клавиш в невидимом режиме скрытно от пользователей, кто-нибудь искал, не говоря уже о том, чтобы ему удалось ее найти. Чтобы их нельзя было обнаружить, некоторые регистраторы клавиатурных нажатий выпускаются в виде устройств, подключаемых между компьютером и клавиатурой; такие устройства можно увидеть, если заглянуть за компьютер, но для любой программы, выполняющейся на компьютере, они остаются совершенно невидимыми. Более того, в отличие от своих программных аналогов, которые могут работать лишь под управлением определенных операционных систем, аппаратные устройства регистрации клавиатурных нажатий совместимы с любой системой, например, FreeBSD, Linux, Windows XP или OS/2. К числу популярных аппаратных регистраторов клавиатурных нажатий относятся KeyGhost (http://www.keyghost.com), Hardware KeyLogger (http://www.amecisco.com) и KEYKatcher (http://www.tbotech.com/key-katcher.htm). Для получения более подроб-

Глава 12. Методы компьютерного взлома

183

ных сведений о программах-регистраторах посетите Web-узел Keylogger.org (http:// www.keylogger.org), на котором приводятся оценки технических и эксплуатационных возможностей таких программ.

Тайное наблюдение за активностью компьютера с помощью мониторинговых программ Более широкие по сравнению с регистрацией клавиатурных нажатий возможности предлагает оперативный контроль активности компьютеров, осуществляемый с помощью так называемых мониторинговых программ (desktop-monitoring programs). Действуя подобно камерам слежения, такие программы, наряду с сохранением информации о нажимаемых клавишах, ведут закулисный учет запусков и времени выполнения программ на компьютере, а также данные о посещенных Web-узлах. С целью обеспечения определенного визуального контроля за действиями пользователя в некоторых мониторинговых программах предусмотрено периодическое получение снимков экрана и незаметное включение Web-камеры, позволяющее при необходимости выяснить, кто именно работал за компьютером. Многие из программ этой категории сохраняют информацию, записанную на протяжении нескольких дней, тогда как другие можно настраивать для осуществления записи лишь в течение заранее установленных промежутков времени, при запуске определенных приложений или же при подключении пользователя к Internet (рис. 12.3).

0 £ Scheduling |с»~1 j*M:

General Startup Setti ngs and Confi g

|j Logging I Configure Logging Options Email Delivery % Configure Email Delivery

flf Logging

WrnJcws V i e w e d

Ш

Internet Connections 7ConriMtiori>U>eg«tf<ДО! <мм Messttges 0 С or v er swl> л< li l_oggt.-rf

Content Fittcrina I Filter User Activity

Scheduling Schedule Monitoring Tim

Щ Lockdcwn Schedule

) J

fZJ EMaiiDeivery

genC

[ ScreenSpy Snapshots

, 0 Conversation* Logged

S en tin citn sgedI •••: Г* D o notCepu ttr W e b Con e tnt 10pyAeA o c tsAo Log | E J L o j i l W n d o i w * * p c p i a l u o r . P » s C pib lo a d rload F ^o e sed p C ib rsLogsLogged S 2iesD F e lc is sA Loc gc g ed Ш0 Lof Cc jc ik Hee r for Easy Con gifura oitn and Se u tp •р Yahrao} Messenger 0 Conversation» Logged

{

H C Q Messenger

Passwords Entered О Р assvuords Logged

Рис. 12.3. Мониторинговые программы позволяют отследить любые нажатия клавиш и запуски программ на контролируемом компьютере

184

Часть 3. Способы взлома и проникновения в компьютеры

Если вы испытываете потребность в мониторинговой программе, посетите Webузел Computer Monitoring Software (http://www.computer-monitoring.com) или воспользуйтесь одной из перечисленных ниже программ: AppsTralca Desktop Surveillance iSpyNOW Net Vizor Spectpr SpyBuddy WinWhatWhere Investigator WinGuardian

http://appstraka.hypermart.net http://www.omniquad.com http://www.ispynow.com http://www.mi-inc.com/netvizor.htm http://www.spectorsoft.com http://www.agent-spy.com http://www.winwhatwhere.com http://www.webroot.com

t

Удаленный мониторинг компьютеров Программы мониторинга, о которых говорилось выше, полезны в тех случаях, когда у вас есть обычный доступ к компьютеру, наблюдение за которым вы хотите организовать. Если такой возможности у вас нет, можете воспользоваться одной из аналогичных программ удаленного наблюдения. Для этого потребуется установить на контролируемом компьютере одну из таких программ, как Q-Peek (http:// www.qpeek.com), Spector (http://wwwnetbus.org) или PC Spy (http://www.softdd.com). После успешной установки программы вся информация о действиях пользователя контролируемого компьютера, связанная с клавиатурным вводом, манипулированием файлами и запуском программ, будет выводиться на экран вашего компьютера.

Использование программ восстановленияпаролей Поскольку ввод пароля при каждом обращении к программе пользователям быстро надоедает, во многих приложениях предусмотрена возможность сохранения паролей непосредственно в программе и отображение их звездочками при выводе на экран (см. рис. 12.4). С учетом того, что пользователи часто забывают пароли и в результате этого не могут обратиться к своим же файлам, были разработаны специальные программы (password-recovery programs), которые позволяют восстанавливать утерянные или забытые пароли из памяти компьютера. Само собой разумеется, что эти же программы с равным успехом могут быть использованы и для восстановления паролей, введенных другими людьми. Существует целый ряд коммерческих и бесплатных версий программ подобного рода, частичный перечень которых приводится ниже: iOpus Password Recovery XP Passware Kit Peek-a-boo Revelation

http://www.iopus.com http://www.lostpassword.com http://www.corteksoft.com http://www.snadboy.com

Пароли могут блокировать доступ не только к программам, но и к файлам, например, к файлам документов Microsoft Word или электронных таблиц Excel. Для

Глава 12. Методы компьютерного взлома

185

извлечения паролей или взлома защищенных паролем файлов служат специализированные программы, доступные на следующих Web-узлах (см. рис. 12.5): http://www.accessdala.com http://www.alpinesnow.com http://www.crak.com http://www.elcomsoft,com http://www.pwcrack.com http://www.lostpassword.com

AccessData Alpine Snow Crak Software ElcomSoft Password Crackers Pass ware

in to read or send mail.

~3|

Existing Yahoo! users Enter your ID and password to sign in

J : !: j Xt

Yahoo! ID:jbiigates

• Check Fa Update 1

П Remember my ID on this computer •

i * Fernet S

t

R

a

t

e

v

u

e

Length Ы avaiabte text: 9

s

l

a

t

w

n

a

c

t

i

v

e

.

Г" Repositiofi Revelation out of the way Г When minimized, pot in System Tray'

Г~ Akvays on top Г Hide "How to' instructions

How to 1) Left cick and drag fwble hoiing dcwr the left mouse button) the'circled+' 2) As you <*ag the 'cite led •' cur^ot ovei drfierent Telds on various wndowt, the text in the held under the curscxwiH be displayed in the 'Tent of Window...' box. ;. 3} Release the left mouse button when you have revealed the text you desite. NOTE -If the field contains >exl hidden by asterisks (ot some other character), the actuai text wil be shown. In some cases the text may actually be asterisks. NOTE - N • (he сипа- passes over wi have text that can be revealed Check the status Sght fot availability or text Bright green -text available (See length oHext.1 in Status area] В right red » no text available

РИС. 12.4. Программа Revelation в СОСТОЯНИИ восстанавливать пароли, необходимые для доступа к учетным записям пользователей в Internet

Разгадывание паролей атакой с помощью словаря Так как большинство людей предпочитают выбирать легко запоминающиеся пароли, то всегда велика вероятность того, что паролем служит самое обычное слово. Для подбора таких паролей хакеры создали специальные программы, работа которых основана на использовании файлов словарей (иногда называемых словарными списками), включающих в себя имена популярных актеров, героев мультипликационных фильмов и музыкантов рок-групп, жаргон Stark Trek, распространенные женские и мужские имена, технические термины, а также другие общеупотребительные слова, входящие в состав большинства словарей.

186

Часть 3. Способы взлома и проникновения в компьютеры

/ Д Home i *jjBookmarks ^ T h e МогШа Organization ^Latest Builds

D o w n l o a d Q u i c k B o o k s 9 9 ® a n d Q u i c k e n 9 9 ® Password Eliminator. W o r k s f o r Q u i c k B o o k s 9 9 / 2 0 0 0 a n d Quicken99 Only. You can import earlier versions of QuickBooks or Quicken files and defeat password protection on these also if you already have QuickBooks!» or Quicken99 installed on your computer. This software operates in a time limited demo mode until you enter a security code. You will need to purchase the security code. This j tiny executable is only 20KB in size and downloads in seconds. Just execute the I download, no installation is required. Now you can recover your own files on 1 your own computer.

$97 U S

| D o w n l o a d Q u i c k B O O k S ® a n d Q u i c k e n ® Password Recovery I Software For Win95/98 / NT ...Works for versions of QuickBooks version 3 through 6 Quicken Version 4 thru 6

$97 U S

i D o w n l o a d L o t U S i 2 3 ® Cracker • LOcraU For Win 3.x and Win i 95/38/NT (All Versions, Self Extracting) ...Works for ail 123 files WK1 thru

$67 US

I

I WK4

I Download 32 Bit Access® & Money98/99® ver 6 and 7 Cracker 1 - "ACcrak32" For Win95/98/NT (Self Extracting Download File)" ...Works for ! Office 95, and 97 versions of Access®, ver 6 of MS Money98/99® | Limitations щ . =• = = ~ . __

1 Download 32 Bit MS EXcel® Cracker • "EXcrak32_32(Self Extracting ! 32setup.exe Download File for win 95/98/NT)" ...Works for all versions of 1 Excel thru version 7.0 Does NOT Work For Office 97/98 I Download 32 Bit MS Word® Cracker - "WDcrak3 For Win95£8/NT (Self j Extracting Download File WD32setu.exe)"..Works for all versions of Word

$67 US

$67 US

$67 US

Рис. 12.5. Купить в Internet программу для взлома паролей не составляет никакого труда

Типичные программы взлома паролей (password-cracking program) выбирают из словарного списка какое-либо слово и пробуют применить его в качестве пароля для доступа к компьютеру. Если это слово не подходит, программа выбирает другое слово, повторяя описанную процедуру до тех, пока не будет угадан пароль или не будут исчерпаны имеющиеся в ее распоряжении слова. Если пароль угадан, то желаемая цель достигнута и доступ к компьютеру открыт. Если же исчерпан список слов, содержащихся в одном словарном списке, но пароль не найден, то программа может использовать другой словарь, продолжая действовать в таком же духе до тех пор, пока не раскроет пароль или не использует все имеющиеся словарные списки. Если паролем служит обычное слово, то его определение является лишь делом времени. Чтобы повысить вероятность раскрытия паролей, некоторые программы предусматривают не только перебор содержащихся в словарном списке слов, но и проверку их различных производных форм, полученных, например, обращением порядка букв в слове или дополнением слова различными цифровыми комбинациями. Например, хотя пароль SNOOPY12 и не содержится в обычном словарном списке, вероятность его раскрытия с помощью указанных программ все равно существует. Чтобы ознакомиться с инструментальным средством, предназначенным для имитации атаки со словарем в целях тестирования безопасности сетей, посетите Webузел SolarWinds (http://solarwinds.net). Одна из самых больших коллекций словарных списков содержится на Web-узле Wordlist Project (http://wordlists.securityon.net),

Глава 12. Методы компьютерного взлома

187

где предлагаются версии таких списков для целого ряда языков, включая английский, испанский, японский и русский.

Взлом паролей методом "грубой силы" Атаки со словарем позволяют обнаруживать пароли, представляющие собой обычные слова или их видоизмененные формы, но иногда в качестве паролей используются последовательности символов, не имеющие никакого смысла. В подобных случаях единственным выходом является применение метода "грубой силы" (brute-force attack), т.е. атаки "в лоб". Как говорит само название, атаку ив лоб" можно уподобить выбиванию пароля из компьютера ударами кувалды. Вместо перебора обычных слов, которые могли быть использованы в качестве пароля, этот метод предполагает перебор всевозможных комбинаций символов, образующих последовательности различной длины. Поэтому даже если кто-то и выберет для своего пароля некую "бессмысленную" комбинацию букв и цифр, например NI8SFQ2, то метод "лобовой атаки" позволит рано или поздно раскрыть этот пароль (а также любые другие пароли, которыми защищен данный компьютер). Атаки парольных систем защиты "в лоб" особенно часто применяются в системах Unix, поскольку имена учетных записей и пароли хранятся в них во вполне определенном месте — файле /etc/passwd. Чтобы обеспечить достаточную степень защиты, Unix шифрует каждый пароль, используя один из алгоритмов шифрования (называемых также хэш-функциями), соответствующих, как правило, стандарту DES (Data Encryption Standard — стандарт шифрования данных). Для получения доступа к Unix-компьютеру хакеру достаточно скопировать файл /etc/passwd на собственный компьютер, а затем в спокойной обстановке заняться расшифровкой паролей методом атаки со словарем или "в лоб", не рискуя быть застигнутым "на горячем". Располагая собственной копией указанного файла с паролями, хакер может потратить на его расшифровку столько времени, сколько нужно, пока его усилия не увенчаются успехом. Как только будет раскрыт хотя бы один пароль, хакер сразу же сможет использовать его для доступа к учетной записи неудачливой жертвы. Для ознакомления с существующими программами-взломщиками паролей, использующими для атаки систем защиты как словарные списки, так и грубую атаку "в лоб", посетите следующие Web-узлы: BlackCode AntiOnline New Order

http://www.blackcode.com http://www.antionline.com http://neworder.box.sk

Лазейки и бреши в программном обеспечении Вместо того чтобы затрачивать усилия на получение пароля, хакеры часто прибегают к альтернативному (хотя и не всегда приводящему к желаемым результатам)

188

Часть 3. Способы взлома и проникновения в компьютеры

подходу, пытаясь воспользоваться всевозможными брешами в операционной системе или сервере приложений и полностью обойти систему безопасности компьютера, намеченного для атаки. Инструментальные средства (именуемые на жаргоне "ковырялками" — exploits, что произносится хакерами как 'sploits — "сплойтс"), рассчитанные на использование различных брешей в программном обеспечении, особенно популярны среди начинающих, неопытных хакеров — "сценарщиков"(script kiddies), которые с их помощью могут проникать в компьютеры, даже не разбираясь во всех тонкостях атакуемой системы. В действительности "сценарщики" гораздо опаснее своих технически более подкованных собратьев, поскольку могут повредить или удалить ваши файлы исключительно из-за своей неуклюжести, в то время как искушенный хакер всегда знает, как надо действовать, чтобы случайно не нанести вреда (хотя при желании сможет причинить вам гораздо более серьезный ущерб).

Переполнение буфера Пожалуй, чаще всего уязвимость многих операционных систем и серверного программного обеспечения связана с возможностью переполнения буфера (buffer overflow), происходящего, когда в программу поступает слишком много данных или их тип не соответствует ожидаемому. Во многих случаях атака компьютера путем вызова переполнения буфера приводит к краху системы. Хотя некоторых крах компьютерной системы и может позабавить, переполнение буфера чревато опасными последствиями. Если вместе с лавиной данных хакер перешлет на компьютер свою программу, то в создавшихся критических условиях компьютер может ошибочно запустить эту программу, которая затем прикажет ему открыть порт, уничтожить файлы или предоставить хакеру доступ к разделам компьютера, изменять которые разрешено только администратору. Чтобы убедиться в том, насколько опасно переполнение буфера даже для таких программ, как ICQ, Microsoft Internet Information Server (IIS), WS-FTP, Macromedia Flesh, HP Tru64 UNIX или AOL Instant Messenger, загляните на Web-узел компьютерной "скорой помощи" CERT Coordination Center (http://www.kb.cert.org/vuls) и проведите поиск по словам "buffer overflow" (см. пример на рис. 12.6).

Скрытые лазейки Создавая программное обеспечение, программисты часто оставляют для себя лазейки или заданные для использования по умолчанию учетные записи и пароли, с помощью которых они могут миновать обычную процедуру входа в систему и быстро получать доступ к отдельным ее компонентам в целях тестирования. Когда работы над созданием программного обеспечения завершены и ему придают вид законченного промышленного продукта, программисты должны удалить подобные лазейки, однако о некоторых из них, как правило, забывают, и их могут обнаруживать хакеры. Когда компания Red Hat поставила на рынок свой сервер LVS (Linux Virtual Server), получивший прозвище "Pyranha" ("Пиранья"), его разработчики по недосмотру оставили в нем лазейку в виде недокументированной учетной записи с именем пользователя "pyranha" и паролем "q", что позволяло каждому, кто об этом знал, получать доступ ко всем серверам, на которых выполнялась программа LVS.

Глава 12. Методы компьютерного взлома 189

Back r-wv:- Reo lad Home '; ^Bookmarks j^Tbe Moa zli Organziao tin ^Latest Bu d lis

Search Results Search Vulnerability Notes Vulnerability Notes Help Information

Name ID Number CVEName Date Public Date Updated

Date ID PubHc Name VW570167 01/07/2002 ICQ contains a buffer overflow while processing Voice Video & Games feature requests VU#313280 01/10/2002 Oracle9i Application Server Apache PL/SQL module vulnerable to buffer overflow via HTTP Location header VW542971 06/26/2002 Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to buffer overflow via network name and address lookups VW703835 05/29/2002 Macromedia JRun ISAPI DLLfiltervulnerable to buffer overflow via request for long Host header field VW612843 Sun iPlanet and ONE Web Servers contain a buffer overflow in the search engine VUW313819 Microsoft Internet Information Server (US) contains remote buffer overflow in chunked encoding data transfer mechanism for HTR УШП2583 11/07/2001 Common Desktop Environment (CDE) Subprocess Control Service dtsped contains buffer overflow VTJ#745371 07/18/2001 Multiple vendor telnet daemons vulnerable to buffer overflow via crafted protocol options УШ907819 01/02/2002 AOL Instant Messenger client for Windows contains a buffer overflow while parsing TLV 0x2711 packets УШ274043 08/28/2001 BSD Line Printer Daemon vulnerable to buffer overflow via crafted print request VW986843 11/05/2001 WS-FTP Server vulnerable to buffer overflow via long string sent as argument to ftp command УЩ276321 08/22/2002 Microsoft Windows Terminal Services Advanced Client (TSAC) contains buffer overflow in process that handles input parameters 03/12/2002 Microsoft SQL Server contains buffer overflow vulnerabilities in multiple extended stored procedures X 08/15/2001 Microsoft Internet Information Server (US) vulnerable to buffer overflow via malformed server-side include directive Transferring data from www.kb.cert.org...

Рис. 1 2 . 6 . Постоянно растущий список известных брешей в программном обеспечении, используемых для создания ситуации переполнения буфера

Проблема "Пираньи" ярко демонстрирует двойственную природу всякого программного обеспечения с открытым исходным кодом, такого как Unix. Хотя раскрытие исходного кода и способствует повышению безопасности программ, поскольку в этих условиях каждый может изучить программу и самостоятельно предпринять любые защитные меры, которые он считает необходимыми, но и хакерам становится легче находить в программах уязвимые места, которые иначе им не удалось бы обнаружить и использовать в своих целях.

Настройки по умолчанию Многие программы, такие как операционные системы или серверное программное обеспечение, поставляются с множеством встроенных средств защиты. Единственная проблема заключается в том, что программа не установит ни одного из этих средств до тех пор, пока вы специально этого не потребуете. Поскольку большинство людей редко используют возможность выбора состава устанавливаемых компонентов, вполне вероятно, что великолепно защищенная программа по незнанию пользователя будет установлена с отключенными средствами защиты.

190

Часть 3. Способы взлома и проникновения в компьютеры

Даже если вы работаете в операционной системе Windows XP, вы можете не знать, что она поставляется со встроенным брандмауэром, предназначенным для защиты вашего компьютера от несанкционированного доступа через сеть Internet. К сожалению, многие изготовители устанавливают Windows XP с отключенной защитой, поскольку в противном случае у некоторых могли бы возникнуть трудности с подключением к Internet, если бы им не было известно, что брандмауэр включен. Чтобы включить (отключить) брандмауэр в системе Windows XP, поступите следующим образом: 1. Щелкните на кнопке Start (Пуск) и далее на пункте меню Control Panel (Панель управления). 2. Щелкните на пункте меню Network and Internet Connections (Подключение к сети и Internet). 3. Щелкните на пункте меню Network Connections (Подключение к сети). 4. Щелкните на значке Local Area Connection (Локальное соединение). 5. Щелкните на кнопке Change Settings of This Connection (Настройка подключения), расположенной слева от окна Network Connections (Подключение к сети), в результате чего на экране отобразится диалоговое окно Local Area Connection (Локальное соединение). 6. Щелкните на кнопке Advanced (Дополнительно). 7. Установите флажок "Protect my computer and network by limiting or preventing access to this computer from the Internet" ("Включить защиту компьютера и сети путем ограничения или предотвращения доступа к компьютеру через Internet"). (Если этот флажок уже установлен, то защита включена.) 8. Щелкните на кнопке ОК (Да). 9. Щелкните на кнопке закрытия диалогового окна Network Connections (Подключение к сети).

Поиск дополнительных программных "ковырялок" Изъяны имеются в любой программе, и сообщения об обнаружении очередного из них появляются чуть ли не ежедневно, что заставляет администраторов Web-узлов тратить значительную часть своего рабочего времени на ознакомление с последними новостями по этой проблематике и установку свежих пакетов исправлений. Поэтому нет ничего удивительного в том, что администраторы иногда пропускают информацию о выходе какого-то пакета, в результате чего лазейка в компьютере может оставаться открытой и эксплуатироваться на протяжении многих лет после того, как сведения о ней были опубликованы. Иногда установка пакета исправлений приводит к созданию новой бреши, для закрытия которой в будущем придется устанавливать дополнительный пакет. Чтобы использовать подобные бреши, хакеры создают инструментальные средства, возможности которых позволяют любому человеку "прощупывать" компьютер и обнаруживать наличие в нем уязвимостей известных типов, и именно благодаря таким программам новички ("сценарщики") могут получать доступ к компьютеру, даже не понимая того, каким образом это делается.

Глава 12. Методы компьютерного взлома

191

Если вы хотите больше узнать о самых последних "проходах" в системах безопасности компьютеров, работающих под управлением Windows, посетите Web-узел Microsoft Security & Privacy (http://www.microsoft.com/security), где вы сможете загрузить пакеты исправлений и ознакомиться с последними информационными выпусками, отчетливо свидетельствующими о том, насколько небезопасной может быть в действительности ваша сеть Windows. Чтобы ознакомиться с самыми последними новостями, касающимися брешей в защитных системах различных сред, включая Windows 2000, Linux, ColdFusion, Solaris, FreeBSD и Unix, посетите перечисленные ниже Web-узлы: lnsecure.org Security Administrator SecurityFocus Packet Storm SecuriTeam Linux Security Zone-H

http://www.insecure.org http://www.ntsecurify.net http://www.securityfocus.com http://packetstormsecurity.nl http://www.securiteam.com http://www.linuxsecurity.com http://www.zone-h.org

Взлом беспроводных сетей Проблемой беспроводных сетей является необходимость обеспечения разумного компромисса между легкостью доступа к сети и ее безопасностью, причем, как нетрудно догадаться, чаша весов в большинстве случаев склоняется не в сторону требований безопасности. Хотя во многих беспроводных сетях вопросам безопасности вообще не уделяется никакого внимания, часть из них использует встроенный стандарт шифрования, получивший название WEP (Wired Equivalent Privacy — защищенность на уровне кабельных сетей). Разумеется, считать протокол WEP безопасным — это все равно, что полагать, будто закрытые на замок жалюзи способны остановить злоумышленника, имеющего твердое намерение проникнуть в дом. Для взлома беспроводных сетей, защищенных протоколом WEP, хакеры, использующие методы мобильной локации (war-drivers), создали специальную программу под названием AirSnort (http:// airsnort.shmoo.com), позволяющую перехватывать в режиме пассивного накопления передаваемые по беспроводной сети зашифрованные пакеты. Накопив достаточное количества пакетов (от 5 до 10 миллионов), программа оказывается в состоянии раскрыть пароль шифрования и тем самым предоставить возможность беспрепятственного подключения к сети. Чтобы убедиться в том, что можно справиться с любой беспроводной сетью, использующей WEP-шифрование, испытайте еще одну программу подобного рода, которая называется WEPCrack (http://wepcrack.sourceforge.net). И AirSnort, и WEPCrack поставляются вместе с исходным кодом, что позволяет изучить принципы их работы и либо дополнить их новыми возможностями, либо написать на их основе собственную программу. С целью повышения безопасности беспроводных сетей их изготовители включают в поставку два дополнительных средства проверки подлинности адресов — SSID

192

Часть 3. Способы взлома и проникновения в компьютеры

(Service Set Identification) и MAC (Media Access Control). SSID назначает каждой беспроводной сети уникальный идентификатор, в результате чего доступ к ней смогут получить лишь те компьютеры, которым этот идентификатор известен. Аналогичным образом, каждая точка доступа в беспроводную сеть может снабжаться списком МАС-адресов компьютеров, которым доступ в сеть разрешен. Компьютеры, МАС-адреса которых в этом списке не числятся, подключиться к беспроводной сети через данную точку доступа не смогут. Как SSID-, так и МАС-адреса действуют подобно паролям, но многие люди не утруждают себя их применением. Даже если эти средства и активизируются, то редко кто осуществляет их пользовательскую настройку. В результате этого в большей части беспроводных сетей используются пароли, устанавливаемые по умолчанию, которые изготовители поставляют вместе со своими продуктами. Пароли, устанавливаемые по умолчанию, знают и хакеры, которым в этой ситуации остается лишь перебрать все известные пароли, чтобы определить, какой из них является действительным.

Пароли: первая линия обороны Вероятно, выбор уникального пароля, который нелегко будет отгадать, способен остановить любого хакера, кроме тех, которые отличаются особым упорством. Чтобы расстроить агрессивные планы большинства хакеров, достаточно использовать в качестве пароля последовательности символов (буквенных и цифровых), выбираемых наугад или генерируемых специальными программами, такими как Quicky Password Generator (http://www.quickysoftware.com), Masking Password Generator (http:// www.accusolve.biz) или Randpass (http://www.randpass.com), которые позволяют создавать подлинно случайные парольные последовательности переменной длины. К сожалению, чем больше людей используют один и тот же компьютер, тем выше вероятность того, что кто-то из них выберет в качестве пароля слово, которое очень легко угадать. Для взлома компьютера хакеру достаточно узнать всего лишь один пароль. Какой бы сложной ни казалась вам система защиты компьютера против хакеров, имейте в виду, что обнаружить присутствие хакерских программ и избавиться от их вмешательства в работу вашего компьютера вам будет еще сложнее.

Глава 13 Внедрение в компьютер

Удобные случаи множатся, если ими пользуются. — Сун Цзу

ВЗЛОМАТЬ КОМПЬЮТЕР НЕЛЕГКО, И ХАКЕР, КОТОРОМУ ЭТО УДАЛОСЬ, ДОЛЖЕН В ПЕРВУЮ ОЧЕРЕДЬ ПОЗАБОТИТЬСЯ О ТОМ, ЧТОБЫ ВПОСЛЕДСТВИИ ОН МОГ ВНОВЬ ВЕРНУТЬСЯ В СИСТЕМУ. Лучшей гарантией такой возможности для хакера является получение доступа к учетной записи администратора (привилегированного пользователя) — root.

С этой целью хакеры разработали специальные инструментальные средства расширения полномочий (rootkits),

предназначенные для создания люков, или "дыр" (holes), в системах защиты. Эти средства позволяют хакерам подготавливать альтернативные пути доступа к компьютеру, которыми они смогут воспользоваться даже в том случае, если системный администратор обнаружит лазейку, использованную для первоначального проникновения в компьютер. К наиболее распространенным средствам указанной категории относятся сетевые анализаторы пакетов (sniffers) и регистраторы клавиатурных нажатий (keystroke loggers) (предназначенные для отслеживания дополнительных паролей), средства для удаления записей в системных журналах (log-cleaning tools) (позволяющие уничтожать следы присутствия хакера в компьютере), программы поиска уязвимостей известного типа (позволяющие воспользоваться ранее найденными брешами в операционных системах и серверном программном обеспечении) и "троянские кони" (предназначенные для создания люков и маскировки результатов деятельности злоумышленника в компьютере). Стоит только хакеру установить в компьютере одно из перечисленных инструментальных

194

Часть 3. Способы взлома и проникновения в компьютеры

средств, и он сможет вновь посетить этот компьютер в любой момент, оставаясь незамеченным.

Удаление записей из системных журналов В системные журналы (log files) записывается информация обо всех действиях, которые выполняются на данном компьютере, что дает системному администратору возможность проследить за тем, кто именно пользовался компьютером, что он делал, как долго длился рабочий сеанс и откуда было произведено соединение. Подобно тому, как телекамеры наблюдения записывают видеоинформацию обо всех действиях взломщика в магазине, системные журналы сохраняют информацию обо всех действиях компьютерного злоумышленника, и поэтому хакер, проникнув в компьютер, прежде всего отыскивает системный журнал. Неопытные "сценарщики", чтобы администратор системы не смог проследить за их действиями, часто удаляют все содержимое системного журнала. Однако это не самое удачное решение с их стороны, поскольку удаление системного журнала говорит о визите компьютерного злоумышленника не менее убедительно, чем уничтожение видеокамеры слежения динамитом — о визите грабителей. Как только администратор заметит, что системный журнал был кем-то удален, он сразу поймет, что в системе поработал хакер. Чтобы не выдавать себя удалением системных журналов, более осмотрительные и технически более подкованные хакеры для скрытия следов своей деятельности вносят в них лишь избирательные изменения, удаляя записи с информацией о своих действиях и оставляя все остальные записи в журнале нетронутыми. При беглой проверке системы администратор вряд ли заметит изменения, в результате чего у хакера появится еще один шанс проникнуть в компьютер, не вызвав у администратора никаких подозрений. Записи в системных журналах обычно содержат следующую информацию: > IP-адрес машины, которая выполнила некоторое действие или запрос на компьютере-мишени. > Имя пользователя, которое лишь идентифицирует используемую учетную запись. Под именем вполне легитимного пользователя может скрываться хакер, которому удалось завладеть данными учетной записи. > Дату и время выполнения пользователем отдельных операций. > Полный перечень команд и запросов, направленных компьютеру пользователем. > Код HTTP-состояния, возвращенный компьютером пользователю. Код состояния показывает, какие действия были выполнены компьютером в ответ на команды или запросы пользователя. > Количество байтов, переданных пользователю. Во многих случаях хакеру для скрытия следов своей деятельности вполне достаточно отредактировать системный журнал, однако в распоряжении системных администраторов имеются специальные методы проверки целостности журнальных

Глава 13. Внедрение в компьютер

195

файлов. Одним из наиболее простых методов является вывод журнала на печать по мере его генерации. При таком подходе, даже если хакер удалит или модифицирует журнал, ему никогда не удастся уничтожить или изменить его печатную копию. Если у системного администратора возникнут какие-либо подозрения, он может сравнить содержимое системного журнала, хранящегося на жестком диске, с информацией, выведенной на печать. Хотя такая процедура и кажется довольно утомительной, она может служить реальной гарантией того, что хакеру не удастся скрыть следы своей деятельности одним лишь изменением содержимого системных журналов. Другим способом сохранения информации, содержащейся в системных журналах, является ее дублирование. Исходный системный журнал размещается там, где его и рассчитывает найти хакер, но дубликаты того же файла сохраняются на совершенно другом компьютере, желательно таком, на котором никому (даже тому, кто зарегистрировался в системе с правами администратора) не будет позволено модифицировать или удалить их. В распоряжении системных администраторов имеются специальные программы анализа системных журналов (log-file analysis programs), которые могут сравнивать две версии журнала и уведомлять системного администратора о любых расхождениях между ними, указывающих на возможное вмешательство хакера. Для получения более полного представления о возможностях программ анализа содержимого системных журналов вы можете посетить узлы, перечень которых приводится ниже:

Analog WebTrends

http://www.analog.cx http://www.neHq.com

Sawmill

http://www.sawmill.net

NetTracker Webalizer

http://www.sane.com http://www.mrunix.net/webalizer

Нейтрализация мониторинговых программ Путем изменения содержимого системных журналов хакеры могут скрывать следы совершенных ими деяний, но при этом они все еще нуждаются в средствах, позволяющих им скрывать свое присутствие во время работы в системе. Поэтому вслед за системными журналами очередными мишенями хакеров являются программы, с помощью которых системные администраторы отслеживают изменения в системе. В мире Unix и Linux хакеры чаще всего пытаются изменить следующие команды: > find — Осуществляет поиск групп файлов > Is — Выводит содержимое текущего каталога > netstat — Отображает состояние сети, в том числе информацию об открытых портах > ps — Отображает текущие процессы, находящиеся в состоянии выполнения > who — Отображает имена пользователей, работающих в данный момент в системе

196

Часть 3. Способы взлома и проникновения в компьютеры

> w — Выводит информацию об использовании системных ресурсов, а также о работающих в данный момент пользователях и выполняемых ими действиях

Внедрение троянских программ При внедрении своих программ в чужие компьютеры хакеры заменяют оригинальные программы или двоичные файлы их подмененными или троянскими версиями. Если ничего не подозревающий системный администратор использует хакерские версии программ, то внешне все команды будут выполняться нормально, но в действительности они будут выводить действия хакера из поля зрения администратора. Чем больше времени потребуется системному администратору для обнаружения следов хакера, тем больше времени будет иметь последний для того, чтобы нанести системе урон или подготовить дополнительные люки, которыми он впоследствии сможет воспользоваться. Конечно, заменяя оригинальные программы или двоичные файлы их поддельными версиями, хакер рискует "засветиться". Дело в том, что каждый файл обладает двумя уникальными свойствами: временем создания и размером файла. Если системный администратор заметит, что в качестве даты создания программного файла фигурирует вчерашняя дата, то он может с уверенностью сделать вывод о том, что файл был подвергнут изменению. Для защиты файлов от несанкционированного изменения системные администраторы используют программы проверки целостности файлов (file integrity programs), вычисляющие показатель, называемый контрольной суммой, величина которого зависит от размера файла. Любые, даже самые незначительные изменения размера файла приводят к изменению его контрольной суммы. Чтобы избежать обнаружения, опытный хакер может самостоятельно запустить программу проверки целостности файлов и заново пересчитать контрольные суммы для всех файлов, включая и те, которые он модифицировал. Теперь, если только системный администратор не организовал отслеживание предыдущих значений контрольных сумм, программа проверки не сможет выявить никаких изменений. Приложив определенные усилия, хакеры могут добиться того, чтобы размеры измененных версий программ совпадали с исходными размерами файлов, которые они замещают. Отсюда следует, что если хакер позаботится еще и о том, чтобы дата создания и размер измененных файлов совпадали с соответствующими характеристиками реальных файлов, то никакая программа сравнения контрольных сумм не сможет заметить подмены. Системный администратор, использующий программу проверки целостности файлов, должен запускать ее сразу же после настройки компьютера. Чем дольше он будет затягивать с выполнением этой процедуры, тем больше времени будет у хакера для того, чтобы заменить файлы, в результате чего программа проверки воспримет подмененные файлы как действительные. Весьма эффективным средством системных администраторов является расчет криптографических контрольных сумм с помощью таких алгоритмов, как MD5. В отличие от своих обычных аналогов криптографические контрольные суммы прак-

Глава 13. Внедрение в компьютер

197

тически невозможно сфальсифицировать, откуда следует, что хакеры не в состоянии скорректировать их для измененных файлов. Для получения более подробных сведений относительно различных программ проверки целостности файлов, используемых системными администраторами, посетите следующие узлы:

Samhain Tripwire GFI LANguard AIDE (Advanced Intrusion Detection Environment)

http://www.la-samhna.de http://www.tripwiresecurily.com http://www.gfi.com

http://www.cs.tut.fi/~rammer/aide.html

Хакерские инструментальные средства в виде загружаемых модулей ядра Самое простое, что системный администратор может предпринять для обезвреживания любой подмененной или троянской программы,- это хранить резервные копии всех программ, которые обычно пытаются подменять хакеры, и при необходимости восстанавливать исходные файлы их обратным копированием в компьютер. С помощью таких чистых копий мониторинговых программ системный администратор сможет обследовать компьютер и обнаружить новые следы хакерской деятельности, которые были скрыты троянскими программами из поля зрения. Чтобы справиться с этой проблемой, хакеры начали использовать инструментальные средства для взлома загружаемых модулей ядра (LKM — Loadable Kernel Modules), которые обычно используются в UNIX-подобных системах, таких как Linux. В прежние времена, если в Linux необходимо было включить какое-либо дополнительное средство, приходилось модифицировать и перекомпилировать весь исходный код операционной системы. Загружаемые модули ядра устраняют эту проблему, позволяя дополнять ядро Linux (составляющее сердцевину операционной системы) новыми командами. Это позволяет избавиться от повторного компилирования всего ядра при каждом изменении системы, а заодно исключает вероятность того, что в результате внесения некорректных изменений в исходный код Linux операционная система вообще не сможет загрузиться. Если вы модифицируете код LKM, то ядро Linux нормально загрузится в любом случае, так что даже наличие в коде LKM ошибок не приведет к краху всей операционной системы. Хакеры также могут использовать все преимущества, предоставляемые LKM. Вместо того чтобы подменять существующие программы с риском быть обнаруженными, они могут воспользоваться возможностями LKM для загрузки своих программ в память компьютера. В этом случае системный администратор, проведя проверку целостности файлов своих средств текущего контроля, придет к выводу, что никакие хакерские действия этих файлов не коснулись (что, по существу, будет соответствовать действительности). Однако если администратор попытается запускать эти, казалось бы, вполне нормальные программы, модуль LKM будет перехватывать соответствующие команды и запускать собственные варианты команд, маскируя вмешательство хакера. С точки зрения системного администратора режим работы мо-

198

Часть 3. Способы взлома и проникновения в компьютеры

ниторинговых программ будет оставаться неизменным и внешне они будут функционировать совершенно нормально. Некоторые популярные хакерские инструментальные LKM-средства имеют довольно необычные названия, например: SuckIT, Knark, Rial, Adore, Tuxkit. Для более подробного ознакомления с различными инструментальными средствами, используемыми для создания хакерского инструментария, посетите Web-узел Rootkit (http://www.rootkit.com) (рис. 13.1).

Создание люков Самым распространенным способом создания люков (back doors) для проникновения в компьютер является открытие порта, как правило, неприметного и вряд ли до этого используемого (если только другой хакер не добрался до него раньше). Хакерские программы часто встраивают свои пароли по умолчанию, например "password", так что при следующем соединении с данным портом для проникновения в компьютер хакеру достаточно будет лишь ввести этот пароль.

-==||KQQK i J.i4.QM:wec iorne||==-~ v. Back Fo:v«r<J ЩЩ

ip

Refresh

Home

:

AutoFil

Print

Mali

http://www.rootkit.corn/

Hv ie Home Page # Appe l ® (Toosl ® Appel Support ® Appel Store ® Mcirosoft MacTopai ® MSN (§) Ofcie for Macnitosh «•!

—w

Lo g ni S vS a iLserS S L » N e w U v a i » I Seac rh Open Leter to Secuy t r i C o m m y u t n i Requ e ri Al Thehogiund 2002-Oct e rcent arest of h te Tornkti auh tor has spak red Hosted PROJECTS Root Kit Trojan Kit Patch Kit buffer Kit Discussion

debate over the legality of authoring г we have to respond to this. The respc..~ open letter to the community[ http://www.rootkit.com/ openletter.txt ] Here is the original article posted by Kevin Poulson[ http://online.securityfocus.com/news/813 ] Wired article on tornkit authors arrest[ http:'//www,wired.com/new technology/ОД282,55515,00.html ]

Under new management allegro - 2002-Oct-06 16:46 - Qina Trojan Fear not! The Gina Trojan project is under new management and an alpha code release (after so long) is on its way.

Рис. 1 3 . 1 . Web-узел Rootkit.com предоставляет исходные коды различных хакерских инструментальных средств, включая коды "троянских коней" и пакеты исправлений к программным продуктам, позволяющие хакерам скрывать следы своей деятельности

Глава 13. Внедрение в компьютер

199

Если у хакера было достаточно времени, чтобы установить троянские версии программ текущего контроля (мониторинговых программ), то эти программы будут игнорировать как открытие порта (сообщая о нем как о закрытом, хотя на самом деле он будет открыт), так и любую связанную с ним активность. Порт, открытый хакером в качестве люка, системный администратор может заметить при обычном сканировании портов системы. Для маскировки следов своего присутствия хакеры могут создавать специальные лазейки типа "сезам, откройся", которые остаются закрытыми до тех пор, пока хакер не пошлет на компьютер определенную команду. При получении компьютером этой внешне безобидной команды порт откроется и хакер благополучно проникнет в компьютер.

Раскрытие дополнительных паролей В качестве дополнительных компонентов хакерского набора инструментальных средств расширения полномочий могут использоваться анализаторы пакетов или регистраторы клавиатурных нажатий, внедряемые хакерами в систему для отслеживания паролей, номеров кредитных карточек и любой другой ценной информации, передаваемой по сети. Хакер может установить регистраторы клавиатурных нажатий на нескольких компьютерах, хотя при этом вероятность обнаружения таких программ повышается. Заметить анализатор сетевых пакетов труднее, поскольку хакеру достаточно установить его только на одном компьютере, одновременно задав для сетевого адаптера (network interface card — NIC) беспорядочный режш работы (promiscuous mode). Обычно каждый из компьютеров, включенных в сеть, отбирает лишь трафик, который адресован ему, но при работе в беспорядочном режиме адаптер считывает все проходящие через него данные. Как только сетевой анализатор извлечет один или несколько паролей, хакер может использовать эти пароли для захвата учетных записей других пользователей. После этого хакер сможет войти в систему под видом легального пользователя, сделав это, скажем, в ночное время в середине недели, когда вероятность работы других пользователей за компьютерами очень мала. Зарегистрировавшись в системе как легальный пользователь, хакер может не спеша исследовать содержимое жестких дисков компьютера, чтобы детально ознакомиться с установленным на нем программным обеспечением и конфигурацией сети. Если с помощью сетевого анализатора пакетов удается получить пароль системного администратора, хакер использует его учетную запись для доступа к компьютеру на правах привилегированного пользователя (суперпользователя). Располагая этими правами, хакер может создавать дополнительные учетные записи, в том числе и такие, которые предоставляют привилегии администратора системы, что обеспечивает хакеру возможность последующего проникновения в компьютер под прикрытием внешне легитимных учетных записей. Чтобы узнать больше о возможностях сетевых анализаторов пакетов, ознакомьтесь со следующими программами:

200

Часть 3. Способы взлома и проникновения в компьютеры http://windump.polito.it http://www.ethereai.com http://www.sniffer.com http://www.wildpackets.com http://analyzer.polito.it http://www.tcpdump.org http://reptile.rug.ac.be/~coder/sniffit/sniffit.html

WinDump Ethereal Sniffer EtherPeek Analyzer tcpdump Sniffit

Сетевые анализаторы пакетов используются и легальными пользователями для анализа состояния сетей и устранения неполадок. Однако вряд ли кому-либо понравится, если анализатор будет запускать в сети совершенно посторонний человек. Вместо проверки того, не установлен ли для сетевого адаптера компьютера беспорядочный режим, системный администратор может прибегнуть к помощи целого ряда специализированных инструментальных средств (например, программы AntiSniff, представленной на рис. 13.2), предназначенных для обнаружения активности нештатных сетевых анализаторов в своей сети. Некоторые из таких средств перечислены ниже: http://packetstorm.decepticons.org/sniffers/antisniff http://ntsecurity.nu http://www.securityfriday.com http://www.packetfactory.net/Projects/sentinel

AntiSniff PromiscDetecr PromiScan The sentinel project File View Tools Help j ' D Network Configuration j j :

ИШ Scan Progress j Щ Reports

Detection Tests

Schedule

9

DNS Те t

(* Now

F

ARP Test

F

Ether Ping Test

Г Hourly

F

I CMP Time Delta Test

С Daily

Continuously Wait I 7:42:37 PM--

Г Weekly fc

Number Of Packets: Г~ Echo Test NumBer Or Packets; F

Г

Log Test Text Outpul

Ping Drop Test Number Of Packets:

! ~">UM Г

"A

Рис. 13.2. Интерфейс программы AntiSniff, позволяющей обнаруживать присутствие скрытых сетевых анализаторов

Глава 13. Внедрение в компьютер

201

Нейтрализация хакерских инструментальных средств расширения полномочий Полностью исключить возможность проникновения хакеров в компьютер практически невозможно. Системный администратор может старательно удалить все выявленные им хакерские средства расширения полномочий и перекрыть все лазейки, подготовленные хакером, но он никогда не может быть уверенным в том, что ничего не пропустил. Даже если остался всего лишь один "потайной ход", хакер вновь сможет воспользоваться им, установить дополнительные средства и подготовить себе другие лазейки. Единственным стопроцентно надежным способом очистки компьютера от каких бы то ни было следов хакерской деятельности является полное уничтожение всей хранящейся в нем информации и установка всего программного обеспечения "с нуля". Поскольку полная очистка системы является чрезвычайно радикальным средством, большинство системных администраторов вынуждены постоянно поддерживать систему в работоспособном состоянии и одновременно пытаться не допустить в нее хакеров. Однако ни один системный администратор не в состоянии работать без огрехов, тогда как хакеру, чтобы проскользнуть в компьютер незамеченным, достаточно воспользоваться всего лишь одним удобным шансом. Для изменения баланса сил в пользу системных администраторов было создано много программ, специально предназначенных для обнаружения присутствия в системе хакерских средств расширения полномочий. Сканируя компьютер, такие программы осуществляют поиск определенных признаков, указывающих на наличие установленных хакерских инструментальных средств. В частности, таким признаком может служить наличие определенных файлов, о которых заведомо известно, что они входят в состав хакерских программ. Двумя наиболее популярными программами, позволяющими обнаруживать присутствие компонентов хакерского инструментария в компьютере, являются Chkrootkit (http://www.chkrootkit.org) и Carbonite (http:// www.foundstone.com), которые могут осуществлять также поиск хакерских LKMсредств. Кроме периодического запуска программ обнаружения хакерских инструментальных средств расширения полномочий, системные администраторы должны также регулярно контролировать состояние портов компьютера. Наличие открытого без надобности порта может свидетельствовать либо о нерадивости администратора, либо о создании хакером люка. При первоначальной подготовке компьютера к работе системный администратор должен создать криптографические контрольные суммы для всех важных файлов и сохранить их в отдельном месте, например на компакт-диске, допускающем только однократную запись информации. Одновременно на компакт-диске следует сохранить также резервные копии всех ключевых служебных программ. Даже если хакеру и удастся взломать компьютер, системный администратор будет уверен в том, что, по крайней мере, тем файлам, которые были сохранены на компакт-дисках, можно доверять.

202

Часть 3. Способы взлома и проникновения в компьютеры

Наконец, системные администраторы должны следить за всеми сообщениями о новых обнаруженных брешах и уязвимостях защитных систем, чтобы своевременно предпринимать необходимые меры по их устранению или, по крайней мере, знать предположительный характер действий, которых можно ожидать от хакеров в ближайшее время. И все же, какие бы меры не предпринимались системным администратором, всегда существует вероятность того, что, воспользовавшись удобным случаем, хакер всетаки сможет незаметно проникнуть в компьютер. Некоторые системные администраторы не принимают хакеров в расчет до тех пор, пока те не уничтожат их файлы с важными данными, но большинству администраторов приходится непрестанно прилагать усилия к тому, чтобы очистить систему от хакеров, тогда как те не прекращают своих попыток нападения на компьютеры, используя для этого каждый раз все новые и новые методы, инструментальные средства и идеи.

Часть 4

Защита самого себя

Глава 14 Как уменьшить затраты при покупке компьютера Если иметь в виду только финансовую сторону вопроса, то богатство лучше бедности. — Вуди Аллен

ОДНО ИЗ САМЫХ СЕРЬЕЗНЫХ ПРЕПЯТСТВИЙ НА ПУТИ К ПОКУПКЕ КОМПЬЮТЕРА - ЭТО БИРКА С ЦЕНОЙ. Производителям компьютеров были бы очень рады, если бы вы считали, будто вам необходим только компьютер самой последней модели, которая, как это обычно бывает, всегда стоит дороже, чем вы хотели бы на это потратить. Главное при покупке компьютера — это знать, что самая современная модель компьютера в действительности нужна лишь немногим, тогда как цены на новые компьютеры растут быстрее, чем цены на новые автомобили. Чтобы снизить расходы, проведите небольшое исследование, и тогда при покупке очередного компьютера вы сможете сэкономить несколько сотен долларов, а если подойдете к делу творчески, то сможете загрузить компьютер программным обеспечением бесплатно или же за совсем небольшие деньги.

Планирование покупки компьютера Если вам нужен компьютер, никогда не покупайте новый. Лучше сэкономьте деньги и купите подержанный или подновленный компьютер. Поскольку цена любой модели снижается с каждым днем, даже новейший компьютер через несколько недель успеет морально устареть и упасть в цене. Затратив немного времени на поиски, можно купить по сниженной цене даже компьютер самой последней модели, но для этого надо знать, где искать.

Глава 14. Как уменьшить затраты при покупке компьютера

205

Подновленные компьютеры Подновленными (refurbished) называются компьютеры, которые были куплены, но затем возвращены, то ли потому, что проявились какие-либо дефекты, то ли просто потому, что покупателю компьютер разонравился, хотя и функционировал совершенно нормально. Получив компьютер обратно, производитель разбирает его, тестирует все компоненты, а затем вновь собирает из них компьютер, который, в общемто, можно было бы считать новым, если бы не одно обстоятельство: закон запрещает производителям продавать возвращенные компьютеры как новые, и поэтому их можно продавать только как подновленные. Поскольку, принимая такие компьютеры обратно, производители уже теряют деньги, они часто продают их со значительной скидкой, чтобы поскорее от них избавиться. Если компьютер подведет и во второй раз, так что и очередной покупатель будет вынужден вернуть его, то убытки производителя еще более увеличатся. Ввиду этого компьютеры, получаемые при первом возврате, проверяются гораздо придирчивее, чем вновь произведенные, поскольку производители хотят быть уверенными в том, что клиенты не вернут компьютер вновь по причине его технической неисправности. Подновленные компьютеры поступают в продажу с тем же уровнем технической поддержки и теми же гарантиями, что и идентичные им новые модели, но по гораздо меньшей цене. Пожалуй, единственным серьезным недостатком подновленных компьютеров является то, что иногда может потребоваться их дополнительная комплектация, обеспечивающая необходимые вам возможности. Покупая подновленный компьютер, вы можете приобрести лишь то, что у производителя в этот день имеется в наличии. Поэтому, если вам нужен компьютер, укомплектованный жестким диском объемом 120 Гбайт, но у производителя в данный момент имеется лишь подновленный компьютер с жестким диском объемом 80 Гбайт, то вы должны либо дождаться, пока появится компьютер с жестким диском 120 Гбайт, либо купить тот компьютер, который есть в наличии, а впоследствии осуществить замену жесткого диска (или же установить дополнительный диск). Опять-таки, если у вас нет никаких возражений против приобретения компьютера, который кем-то уже вскрывался или был в употреблении, то покупка подновленного компьютера — это прекрасная возможность получить сногсшибательную машину за вполне скромные деньги. Вместе с тем, выставленных на продажу подновленных компьютеров в своем любимом магазине вы не увидите, поскольку большинство производителей продают такие компьютеры только через Web-узлы. Amazon.com. Более известный продажей книг, Web-узел Amazon.com продает также новые и подновленные компьютерные системы и аксессуары (http://www.amazon.com; 800-800-8300). Astak. Продает компьютерные системы и комплектующие известных производителей, причем многие комплектующие для сборки и ремонта компьютеров дилеры обычно закупают у производителей категории OEM (Original Equipment Manufacturer — производитель комплектного оборудования), в связи с чем соответствующие руководства могут отсутствовать или вообще не существовать, а сами

206

Часть 4. Защита самого себя

продукты поступают в обычных картонных коробках (http://www.astak.com; 408-519-0401). HP Shopping. Онлайновый компьютерный магазин фирмы Hewlett-Packard, который имеет также специальную секцию сбыта снятых с производства и подновленных настольных и портативных компьютеров. Кроме компьютеров, здесь также можно купить подновленные принтеры, мониторы и карманные компьютеры (http://ww.shopping.hp.coni; 888-999-4747). Dell Computer. Другим компьютерным гигантом, осуществляющим торговлю по почте, является компания Dell Computer, которая имеет свою долю рынка подновленных изделий, продаваемых ею со скидкой (http://www.dell.com/factoryoutlet; 877-471-DELL). Gateway. Компания Gateway продает подновленные настольные и портативные компьютеры, а также серверы (http://www.gateway.com; 1-800-846-3614). Opportunity Distributing. Компания Opportunity Distributing связывается с компаниями, которые занимаются модернизацией выпущенных ими же компьютеров, и продает их устаревшее оборудование широкому кругу покупателей (http://www.opportunitydistribute.com; 952-936-0221). Overstock.com. Кроме подновленных и снятых с производства изделий различных производителей, включая Gateway, Sony, Dell и Toshiba, компания Overstockxom продает по сниженным ценам также программное обеспечение, ориентированное на индивидуальных потребителей, например, игры и обучающие программы для детей (http://www.overstock.com; 800-989-0135). PC Factory Outlet. Здесь продаются возвращенные и снятые с производства компьютеры компаний Packard Bell, eMachines и NEC (http://www.pcfactoryoutlet.com; 800-733-5858). PCnomad. Специализируется на продаже подновленных портативных компьютеров, в том числе выпущенных такими производителями, как IBM, Toshiba, Dell и Compaq (http://www.pcnomad.com; 800-278-4009). PCRetro. Закупает компьютеры и офисное оборудование потерпевших неудачу или обанкротившихся компаний и восстанавливает их для продажи широкому кругу покупателей (http://www.pcretro.com; 877-277-3872). TigerDirect. Продает новые и подновленные компьютеры и комплектующие, из которых вы можете при желании самостоятельно собрать собственный компьютер (http://www.tigerdirect.com; 800-800-8300). UsedComputer.com. Служит своеобразным расчетным центром для самых различных дилеров, специализирующихся на продаже подновленных и бывших в употреблении компьютеров и офисного оборудования по ценам намного ниже розничных (http://www.usedcomputer.com/classifieds/XcClassPro.asp; 877-277-3872).

Образцы и возвращенные компьютеры В любом компьютерном магазине всегда выставлены модели, с которыми заглянувший сюда посетитель может поработать в порядке тестирования. Если вам ни-

Глава 14. Как уменьшить затраты при покупке компьютера

207

как не обойтись без компьютера, представляющего собой последнее слово техники, не исключайте возможность покупки одного из таких выставленных в магазинах образцов. В большинстве магазинов будут только рады немного снизить цену на подобный, компьютер, лишь бы вы его купили. Точно так же, рассмотрите возможность покупки возвращенного или "распечатанного" компьютера. Во многих крупных магазинах разрешается возвращать компьютеры в течение определенного периода времени после их покупки. Обычно в магазинах всегда можно найти одну-две модели, которые находятся в идеальном состоянии, но хранятся без оригинальной упаковки или же их упаковка вскрыта, так что магазин охотно продаст вам такой компьютер по сниженной цене.

Онлайновые аукционы Если компьютеры, возвращенные покупателями, или компьютеры, упаковка которых вскрыта, в вашем местном магазине не продаются, посетите онлайновый аукцион или распродажу. Онлайновые аукционы — великолепное место для покупки недорогих компьютеров и компьютерных комплектующих. Компьютеры, комплектующие и даже компьютерный "антиквариат" продаются здесь как индивидуальными пользователями, решившими избавиться от старого оборудования, так и ликвидаторами имущества разорившихся компаний и известными оптовыми поставщиками (такими как Dell Computer), которым необходимо поскорее продать накопившиеся на складе излишки или оборудование не самых последних моделей. Проявив достаточную настойчивость, вы не только сможете найти на аукционах ту редкую деталь, без которой ваш вышедший из строя компьютер не будет работать, но и с выгодой для себя приобретете ее по очень низкой цене. Учитывая то разнообразие компьютеров и комплектующих, которые предлагаются на онлайновых аукционах, прежде чем заглядывать туда, вы должны точно определиться в том, что именно вам необходимо. Проведя небольшое исследование и запасшись терпением, вы сможете купить нужное вам новое или подержанное оборудование или программное обеспечение по таким ценам, о которых в случае заказа по почте или покупки в розничной торговле остается только мечтать. Следите лишь за тем, чтобы, горя желанием приобрести нужную вам вещь, вы не "завелись" и не предложили за нее больше обычной розничной цены. Для поиска компьютерного оборудования, продающегося через онлайновые аукционы, посетите следующие Web-узлы:

CNET Auctions eBay Dell Auction CompUSA Auctions uBid

http://auctions.cnet.com http://www.ebay.com http://www.dellauction.com http://www.compusaauctions.com http://www.ubid.com

Государственные аукционы Каждый год полиция по всей стране конфискует имущество, принадлежащее преступным элементам. Оставив изрядную его часть для себя, полиция организует аукционы, чтобы избавиться от остатков и заработать дополнительные деньги.

208

Часть 4. Защита самого себя

На проводимых полицией аукционах (обычно это происходит ежемесячно, в зависимости от местности) продается все что угодно, — от автомобилей и яхт до жилых домов и офисной мебели и оборудования, включая, разумеется, компьютеры. (Не поленитесь сделать телефонный звонок в местное отделение полиции и узнайте, когда будет проводиться следующий аукцион.) До начала аукциона постарайтесь убедиться в том, что нужное вам оборудование работает нормально. (Это не всегда удается сделать.) Поступающие на такие аукционы компьютеры продаются без гарантии, поэтому либо заранее настройтесь на то, что купленный вами компьютер не будет работать и его придется разобрать на запчасти, либо надейтесь на лучшее.

Отреставрированные компьютеры В последнее время появилось много компаний, которые скупают старые компьютеры у корпораций, подновляют их, а затем продают. Хотя среди такого бывшего в употреблении и отреставрированного (recycled) оборудования компьютеров самых последних моделей вы не найдете, зато сможете получить вполне приличную машину с гарантией того, что она запустится. Необходимо лишь убедиться в том, что отреставрированный компьютер обойдется вам действительно дешевле, чем если бы вы купили подновленный или ранее распакованный компьютер в магазине или на аукционе. Перечень некоторых Web-узлов, на которых продаются отреставрированные компьютеры, приводится ниже: Comp-Recycle.com RE-PC RecommIT Used-PCs.com

http://www.comp-recycle.com http://www.repc.com http://www.recommit.co.uk http://www.used-pcs.com

Соберите компьютер сами При наличии определенных навыков вы можете собрать компьютер самостоятельно. В зависимости от того, какие комплектующие вы купите, вы можете либо сэкономить кучу денег, собрав компьютер без всяких "наворотов", либо собрать мощнейший компьютер за ту же цену, за которую в магазине вы могли бы купить лишь обычный неплохой компьютер известного производителя. Однако самое главное — это то, что вы приобретете опыт сборки собственной машины, который пригодится вам в дальнейшем при ее ремонте и обновлении. Загляните в сеть или в любой из выпусков журналов PC Magazine, PC World или Computer Shopper, и вы обнаружите тысячи предложений относительно продажи компьютерных комплектующих, или же найдете адрес ближайшего магазина (как правило, не имеющего громкого имени), в котором сможете купить все, что вам надо. Если вы нуждаетесь в помощи, купите книгу по компьютерам из серии "Сделай сам", в которой объясняется, как собрать собственный ПК (хотя лучше всего научиться этому, наблюдая, как это делает кто-то другой), или произведите соответствующий поиск в Internet, где вы найдете множество руководств и обзоров по различным ви-

Глава 14. Как уменьшить затраты при покупке компьютера

209

дам аппаратного компьютерного обеспечения (для начала вы можете заглянуть на такие Web-узлы: http://www.pcguide.com, http://www.storagereview.com, http:// www.tomshardware.com или http://www.anandtech.com). Собирать компьютеры сравнительно несложно, поскольку они состоят из легкодоступных съемных компонентов, которые необходимо только соединить друг с другом с помощью креплений и винтов. Если вы в состоянии построить игрушечный домик из деталей конструктора Lego, то никаких проблем при сборке собственного компьютера у вас возникнуть не должно. Немного повозиться придется лишь с тем, чтобы все заработало. При сборке компьютера собственными силами наибольшая трудность заключается в том, чтобы правильно подобрать комплектующие и добиться, чтобы они правильно функционировали, будучи собранными вместе. Даже новые компьютеры иногда оказываются совершенно неработоспособными, поэтому не думайте, что собранный вами компьютер будет в этом отношении чем-то от них отличаться.

Купите новый компьютер В некоторых случаях вам может потребоваться компьютер только самой последней из имеющихся моделей. И хотя возможным выходом было бы подождать несколько месяцев, пока люди не начнут возвращать эти модели в магазины, обстоятельства могут складываться так, что вы не можете позволить себе терять время и должны немедленно приобрести новинку. Тем, у кого нет времени выжидать, остается лишь посоветовать, чтобы они постарались не потратить больше денег, чем это необходимо. Приобрести новые компьютеры по самым низким ценам вам помогут Web-узлы, перечень которых приводится ниже: StreetPrices.com PriceWatch iBuyernet.com Shopper.com BizRate.com PriceSCAN.com

http://www.streetprice:>.com http://www.pricewatch.com/ http://www.ibuyer.net http://shopper.cnet.com http://www.bizrate.com http://www.pricescan.com

На этих Web-узлах вы сможете подобрать наиболее выгодные варианты цен из тех, которые предлагаются разными онлайновыми продавцами за одно и то же оборудование. Найдя вариант с наиболее низкой ценой, вы сможете купить себе новый компьютер, будучи уверенным в том, что совершили покупку по наиболее выгодной в настоящее время цене. Исследуя рынок новых компьютеров, не исключайте возможности покупки машины, которая оборудована процессором, отличным от Intel. Поскольку фирма Intel является лидером на рынке процессоров, ее цены, как правило, выше цен, предлагаемых ее соперниками, такими как Advanced Micro Devices (AMD). Часто процессоры AMD обеспечивают то же (а иногда и более высокое) быстродействие, что и процессоры Intel, с которыми они конкурируют, но их стоимость при этом почти всегда оказывается более низкой.

210

Часть 4. Защита самого себя

Оживите свой старый компьютер Многие хотят сменить свой компьютер лишь потому, что он работает слишком медленно. Однако людям, стесненным в средствах, вместо покупки нового компьютера следовало бы сначала подумать о том, а не стоит ли просто вытащить старый процессор и заменить его новым, отличающимся более высоким быстродействием. Если новый процессор несовместим со старым компьютером, во многих случаях можно демонтировать материнскую плату целиком и заменить ее другой, совместимой с новым процессором. Приобретение нового процессора и материнской платы почти всегда обойдется вам дешевле, чем покупка нового компьютера. В качестве еще более дешевого способа повышения быстродействия своего компьютера вы можете попытаться "разогнать" его. По существу, под термином разгон (overclocking) подразумевается тонкая настройка аппаратной части компьютера (как правило, главного процессора, но иногда и видеокарты) для работы при более высокой тактовой частоте, чем та, которая предполагается изготовителем. Применение разгона лишает вас возможности потребовать от изготовителя выполнения им своих гарантийных обязательств в соответствующих случаях и может привести даже к перегреву оборудования и выходу его из строя, если не проявить достаточной осторожности. Однако при благоразумном подходе быстродействие вашего обычного компьютера может быть доведено до быстродействия мощнейшей машины с использованием лишь уже имеющейся аппаратной базы. Для получения более подробной информации относительно разгона компьютеров посетите Web-узлы ClubOC (http://www.cluboverclocker.com) и Extreme Overclocking.com (http://www.extremeoverclocking.com), приобретите экземпляр книги Скотта Вайнера (Scott Wainner) и Роберта Ричмонда (Robert Richmond) The Book of Overclocking, выпущенной издательством No Srarch Press.

Экономьте на расходных материалах для принтеров Покупая компьютер, вы, вероятно, захотите заодно взять и принтер. Для обычной черно-белой печати хорошо подойдет лазерный принтер. Хотя по сравнению со струйными принтерами первоначальная стоимость лазерных принтеров выше, эксплуатационные расходы на печать при использовании таких принтеров оказываются более низкими. В то же время, если вам нужна цветная печать, у вас не будет другого выхода, кроме как купить недорогой струйный принтер (иначе вам придется купить цветной лазерный принтер по гораздо более высокой цене). При этом следует проявлять осмотрительность. Многие производители принтеров соблазняют покупателей низкими ценами на струйные принтеры, однако при покупке сменного чернильного картриджа вы обнаружите, что стоимость двух или трех картриджей равна исходной цене самого струйного принтера. Более того, струйные принтеры настолько быстро расходуют чернила, что на протяжении срока службы принтера вам придется потратить на сменные картриджи сумму, которая в несколько раз превзойдет первоначальную стоимость принтера.

Глава 14. Как уменьшить затраты при покупке компьютера

211

Для снижения затрат на чернила попробуйте использовать программу под названием InkSaver (http://www.strydent.com), относительно которой утверждается, что с ее помощью можно уменьшить расход чернил без заметного ухудшения качества печати. Программа InkSaver может работать с большинством принтеров Epson, Canon и Hewlett-Packard, но вы можете сначала загрузить пробную версию InkSaver, чтобы убедиться в том, что эта программа подходит для конкретной модели струйного принтера используемой вами. Независимо от того, какую экономию чернил способны обеспечивать такие программы, как InkSaver, так или иначе вам придется покупать сменные картриджи. Вместо покупки новых картриджей, выпускаемых производителем вашего принтера, вы можете попробовать заправлять картриджи красителями с помощью специальных наборов или использовать аналогичные картриджи от Amazon Imaging (http:// www.amazonimaging.com) или Rhinotek (http://www.buyrhinotek.com). Для поиска в сети других продавцов, торгующих чернильными картриджами, посетите Web-узел Buy Ink Cartridges (http://www.buyinkcartridges.com). Указанные сторонние компании, предлагающие чернильные картриджи, продают наборы для заправки и сменные картриджи для большинства струйных принтеров по цене, которая примерно вдвое ниже цены оригинальных картриджей. Посетите их Web-узлы и проверьте, не торгуют ли они сменными картриджами, которые подходят для вашего струйного принтера. Если вы заинтересованы в покупке струйного принтера, сравните цены на сменные чернильные картриджи, предлагаемые на сайтах Amazon Imaging и Rhinotek. Может оказаться, что струйный принтер, который кажется вам таким привлекательным с точки зрения его сегодняшней цены, повлечет впоследствии расходы в несколько сотен долларов на одни только чернильные картриджи. Поэтому сначала посмотрите, какие картриджи являются самыми дешевыми, и уже затем подберите подходящий принтер, который сможет работать с ними. Чтобы помешать конкурентной деятельности компаний (таких как Amazon Imaging и Rhinotek), изготовляющих сменные чернильные картриджи, производители принтеров применяют разнообразную тактику, целью которой является заставить потребителей покупать лишь картриджи оригинального изготовления. И Hewlett-Packard, и Epson планируют применение специальных микросхем, препятствующих повторной заправке чернильных картриджей. Как только в картридже вырабатываются все чернила, внедренная в картридж микросхема не даст вам повторно использовать этот картридж, сколько бы вы ни пытались заправить его чернилами. Такая микросхема предположительно уже используется в чернильных картриджах к принтерам Deskjet 2000 фирмы Hewlett-Packard. Фирмы Lexmark и Hewlett-Packard даже запатентовали печатающие головки, используемые в некоторых чернильных картриджах, чтобы воспрепятствовать независимому изготовлению сменных картриджей. Поэтому если вам нигде не удастся найти нужные вам сменные чернильные картриджи, изготовленные независимыми производителями, вы будете знать, почему это так. Если у вас лазерный принтер, не выбрасывайте картриджи с израсходованным тонером. Просмотрите в местных Желтых страницах раздел, связанный с компьютерами (или свяжитесь с Amazon Imaging), и попытайтесь найти адреса магазинов,

212

Часть 4. Защита самого себя

которые заправляют либо продают бывшие в употреблении картриджи, совместимые с моделью вашего лазерного принтера.

Почти бесплатное программное обеспечение Приобретя, наконец, компьютер, вы должны установить на нем операционную систему и программное обеспечение. Многие компьютеры поставляются уже с установленной операционной системой (например, Windows XP или Linux), но если вы самостоятельно собрали свой компьютер или же купили компьютер, бывший в употреблении, установка операционной системы для вас будет все еще актуальной. Поскольку операционные системы Microsoft Windows по-прежнему остаются столь популярными, у вас может возникнуть соблазн купить новенький "с иголочки" экземпляр Windows XP. Но если вы найдете старый экземпляр Windows 9Ч8 или Windows Millennium Edition (ME), то вместо покупки полного пакета Windows XP вы сможете купить пакет обновления, сэкономив на этом деньги. В этом случае вам достаточно будет загрузить на своем компьютере Windows 98/ME и, прежде чем устанавливать какое бы то ни было другое программное обеспечение, загрузить пакет обновления до Windows XP При этом следует быть внимательным. Если на вашем компьютере уже установлена Windows 2000, то вы должны обновлять ее только до Windows XP Professional Edition, а не до Home Edition. Вполне естественно, что Professional Edition стоит дороже, поэтому может оказаться, что проще сначала установить Windows 98/Me, a затем обновить ее до версии Home Edition системы Windows XP. Если вы планируете использовать Linux, то можете загрузить бесплатную копию этой операционной системы, К числу популярных поставщиков Linux, предлагающих бесплатные версии, относятся компании Red Hat (http://www.redhat.com), Mandrake Linux (http://www.linux-mandrake.com) и Debian (http://www.debian.org). Если для загрузки копии Linux у вас не хватает времени или терпения и вы не хотите покупать ее розничный вариант в магазине, закажите компакт-диск с Linux в компании CheapBytes (http://www.cheapbytes.com). Что касается истинных компьютерных ренегатов, то они могут игнорировать Windows XP и Linux и перейти в чистую среду Unix, представленную в виде FreeBSD (http://www.freebsd.org) или OpenBSD (http://www.openbsd.org).

Условно бесплатное и бесплатное программное обеспечение Условно бесплатные программы (shareware) могут бесплатно использоваться на протяжении некоторого испытательного периода (длительность которого, как правило, составляет примерно 30 дней), после чего обычно выводится сообщение, в котором вам предлагается заплатить определенную незначительную сумму, если вы хотите иметь возможность использовать их и далее. Бесплатно условные версии программ чаето ничем не хуже (а иногда даже и лучше) аналогичных им программ известных

Глава 14. Как уменьшить затраты при покупке компьютера

213

производителей, которые стоят намного дороже. Независимо оттого, какая программа вам нужна (антивирусная программа, тестовый процессор, графическая программа и т.п.), вы почти всегда сможете найти ее условно бесплатную версию, которая по своим возможностям сравнима с аналогичной коммерческой программой. Бесплатные программы (freeware) раздаются свободно — вы можете на законных основаниях использовать их и распоряжаться ими без какой бы то ни было оплаты с вашей стороны. Бесплатным может быть программное обеспечение, использование которого компания-разработчик не собирается контролировать, или же ограниченная версия программы, выпущенная в маркетинговых целях для продвижения полнофункциональной версии данного продукта. (Идея заключается в том, что если вам понравится условно бесплатная версия, то вполне вероятно, что позже вы захотите обновить ее, чтобы воспользоваться всеми возможностями программы.) Прекрасные подборки условно бесплатного и бесплатного программного обеспечения цы можете найти на следующих Web-узлах: Download.com Simtel.Net Jumbo Tucows

http://download.cnet.com http://www.simtel.net http://www.jumbo.com http://www.tucows.com

Покупка программного обеспечения с академической скидкой Обычно в книжных магазинах колледжей и университетов со значительной скидкой продаются академические версии почти любого основного программного обеспечения -~ именно так компании-производители пытаются сделать свои программные продукты более привлекательными для студентов по сравнению с программными продуктами конкурентов. Поэтому, например, программу, обычная цена которой составляет 495 долларов, в университетском книжном магазине можно купить всего за 100 долларов. Разумеется, чтобы воспользоваться такой возможностью надо иметь студенческий билет. Если у вас есть знакомый, который учится в колледже, попросите его, чтобы он купил для вас нужное программное обеспечение (а взамен вы угостите его пивом). Другая возможность заключается в том, чтобы записаться на какой-либо курс в колледже для того, чтобы самому получить студенческий билет, а затем перестать посещать занятия, сославшись на занятость играми в составе футбольной команды. Теперь уже ничто не помешает вам приобрести любое необходимое программное обеспечение с академической скидкой, воспользовавшись своим студенческим билетом.

Предложения по обновлению программного обеспечения В попытках захватить как можно большую часть рынка почти каждая компания, выпускающая программное обеспечение, предлагает свои продукты по двум различ-

214

Часть 4. Защита самого себя

ным ценам: обычной розничной цене и сниженной цене за пакет обновления для владельцев предыдущих версий данной программы (а иногда даже и конкурирующей программы). Если только денег у вас не больше, чем здравого смысла, то при покупке любого программного обеспечения никогда не спешите выкладывать деньги за его полную версию. Чтобы приобрести программный продукт по цене обновления, вы должны либо подтвердить, что владеете предыдущей версией программы или конкурирующей программой, либо иметь фактическую копию одной из указанных программ на своем жестком диске. Как правило, продаваемые фирмой Microsoft специальные версии обновления программного обеспечения предварительно проверяют жесткий диск на предмет наличия предыдущей версии программы или ее аналога-конкурента. При отсутствии и того, и другого, обновленная версия устанавливаться не будет. Вот тут-то вы и можете проявить свою творческую смекалку. Если вы покупаете программное обеспечение непосредственно у его издателя, от вас могут потребовать подтверждения того факта, что вы являетесь владельцем предыдущей версии программы или ее конкурирующего аналога, путем, например, посылки по факсу или почте первой странички соответствующего руководства. Таким образом, если вы хотите обновить свою версию Microsoft Excel, вам достаточно доказать, что у вас имеется конкурирующая программа электронных таблиц, например, Lotus 1-2-3 или Quattro Pro. Простейший способ решения этой задачи состоит в том, чтобы найти знакомого, у которого есть нужная вам программа (например, Lotus 1-2-3), и отправить по факсу ксерокопию первой странички руководства. Если такого человека вам найти не удалось, попробуйте поискать раннюю версию программы либо в Internet, либо в местном компьютерном магазине. Купив устаревшую версию (которую затем вы всегда сможете продать через eBay), вы получите право на обновление программы за небольшие деньги. Совокупная стоимость покупки устаревшей версии программы в магазине и ее обновления почти всегда окажется ниже полной розничной стоимости новой версии. А возможно, вы даже придете к выводу, что вас вполне устраивает и прежняя версия программы — в конце концов, во многих ли случаях так уж необходима именно самая последняя версия? Устаревшие версии программного обеспечения можно найти на следующих Webузлах: Ellen's Software Collection Oldsoftware.com Surplus Computers ComputerCost

http://www.ellens.com http://www.oldsoftware.com http://www.softwareandstuff.com http://www.computercost.com

Недорогие альтернативы Microsoft Office У неискушенного пользователя могло бы сложиться впечатление, что каталоги компьютерных магазинов и организаций, выполняющих заказы по почте, содержат весь перечень доступных программных продуктов. Однако это далеко не так, по-

Глава 14. Как уменьшить затраты при покупке компьютера

215

скольку в большинстве магазинов предлагается лишь самое популярное программное обеспечение. Поэтому, вместо того чтобы выкладывать сотни долларов за коммерческие варианты программ, воспользуйтесь Internet и постарайтесь подыскать альтернативные варианты. Если вы участвуете в коллективной работе, то, вероятнее всего, привязаны к Microsoft Office. Совершенно естественно, что при стоимости, исчисляемой сотнями долларов, Microsoft Office предлагает и сотни различных возможностей, которыми, однако, большинство людей никогда не пользуется. В подобных случаях лучше не мучить себя изучением Microsoft Office и попробовать использовать один из перечисленных ниже альтернативных вариантов аналогичного программного обеспечения: EasyOffice OpenOffice РС602 Pro PC Suite SOT Office 2002 ThinkFree Office

http://www.e-press.com http://www.openoffice.org http://www.software602.com http://www.sot.com/en/linux/soto http://www.thinkfree.com

Пиратское программное обеспечение Иногда даже самые лучшие бесплатные или условно бесплатные программы не предлагают и малой доли тех возможностей, которые обеспечиваются их коммерческими версиями. Однако вместо того чтобы покупать программное обеспечение, многие люди просто пользуются нелегальными, или пиратскими, копиями. С юридической точки зрения всякий раз, когда вы устанавливаете одну и ту же программу на двух и более компьютерах, вы совершаете акт компьютерного пиратства, причем это относится даже к тем случаям, когда все эти компьютеры принадлежат вам, а вы являетесь их единственным пользователем. Поскольку некоторые положения законодательства о компьютерном пиратстве кажутся просто нелепыми, многие не видят ничего зазорного в том, чтобы копировать и использовать программное обеспечение, которое они не покупали. "Одолжив" у приятеля программу для копирования, вы, скорее всего, обнаружите, что в процессе ее установки требуется указать ключ к компакт-диску или регистрационный номер программы. В случае оригинальных компакт-дисков соответствующий ключ обычно отпечатан на полоске бумаги, приклеенной к тыльной стороне коробки. Если же ключ отсутствует или вы его не знаете, у вас есть два выхода: > Посетить один из хакерских Web-узлов, на которых содержатся перечни действительных ключей для различных программ, и выбрать нужный ключ (осуществляйте поиск по имени продукта, для которого вы ищете ключ, в сочетании с терминами "serial", "crack" или "appz"). > С помощью специальной программы генерации ключей (при необходимости используя компьютер приятеля, если ваш собственный пока еще не работает) создайте ключ для вашей программы, который и используйте для установки программного обеспечения (рис. 14.1).

216

Часть 4. Защита самого себя

Software: JW N IDOWS XP HOME zl Mode: j FN I D KEY 3 Num. of Searches: | 1OO-rj Max. Keys to find | ?j-]

I Status i Tm i e Ealpsed: I Keys Processed 78 j Invald i Keys: 2 I Vad il Keys: VALD! ; Last Key: F Save found Keys in Log Fe li

Results of last Keysearch: Software:

WiHDOtfS XP HOME

Max. Searches: Кеуз processed: Mua. Keys to find: Valid Keys found:

100 80 2 2

Operation completed successfully ! Found Keys: QKT8M-4TFDG-4YXHY-GX6KV-27Kh7 erJTJ-7CJ16-CPRTP-P66?6-Q8mf^ (End Log Info)

Рис. 14.1. Сообщение программы XPKeyGen о том, что ей удалось создать ключи, необходимые для активизации нелегальных копий Windows XP

Если вы не хотите одалживать компакт-диск (или если не удалось найти того, кто мог бы вам его одолжить), попробуйте использовать для установки нужного программного обеспечения другой простой способ -— найдите и загрузите программу из Internet. На многих хакерских Web-узлах предлагаются полностью пиратские версии программ (называемые warez или appz), в которых путем взлома оригинальных программ нейтрализованы столь раздражающие нас схемы защиты от копирования. Достаточно посетить один из таких узлов, и вы сможете загрузить все программное обеспечение, которое вам необходимо. ПРИМЕЧАНИЕ Большинство пиратских программ, предлагаемых на Web-узлах, являются играми, однако если достаточно хорошо покопаться, то можно найти пиратские программы любой разновидности.

Вряд ли следует удивляться тому, что Web-узлы, предлагающие серийные номера программных продуктов, генераторы ключей к компакт-дискам и пиратское программное обеспечение, вынуждены часто менять свое расположение. Чтобы найти такие узлы (см. рис. 14.2), используйте при поиске в качестве ключевых слов "serial number", "pirated software", "warez", "cracks", "serials" или "CD key generator".

Глава 14. Как уменьшить затраты при покупке компьютера

217

й CrackPortel.com -100000 с

Fe li Edti V eiw go Bookmak rs Toosl

ьokma:k ^Bo rss^Thei Moazl Organ za ioitn ^Latest Bd u ls i Microsoft Golf 98 Microsoft Golf V2.0 Microsoft Great greetings vl.O for Win Microsoft Great Greetings vl.O for Windows Microsoft Hell Bender for Windows 95 Microsoft IntelliPoint v 1.10 for Win95 Microsoft IntelliPoint vl.10 for Windows(95) Microsoft IntelliPoint vl.10 Win95 Microsoft Internet Cache Explorer vl.29 Microsoft MapPoint Europe 2002 Trial french by NaG-SCRiM Microsoft money 2000 standard Microsoft Money 2001 French Microsoft Money 2002 fran3aise Microsoft Money 2002 French by SuperGege Microsoft Money 2003 French by SuperGege Microsoft Music Producer vl.O Microsoft Office 11 Betal CD1 Microsoft Office 11 Betal CD2 & CD3 Microsoft Office 2000 Microsoft office 2000 Edition PME Microsoft Office 2000 Lithuanian Speller Fix by Dee Microsoft Office 2000 Premium Microsoft Office 2000 Professional Microsoft Office 2000 Professional Microsoft Office 2000 Professional by 3Reis007 Microsoft Office 2000 Professional D7H88 JBH7K 2В66И F4QQH 7RRRT JKCVR-TJQ3V-6CKD9-XHYV7-JKHPD H4RFW HYHF3 78WBD F2P92 СКШТ

Direct Download

Links

Т-Ф-аГ

Рис. 14.2. На многих Web-узлах вы сможете найти перечни действительных ключей для самых различных программ

Однако не забывайте о некотором риске, который сопутствует попыткам использования программ типа warez. Иногда эти программы оказываются неполными, в результате чего, затратив время на загрузку программы, вы можете обнаружить, что она не работает. Более того, многие хакеры, чтобы "наказать" тех, кто пытается использовать программное обеспечение "на дармовщину", любят инфицировать такие "проги" вирусами или троянскими конями.

Взлом программного обеспечения Но зачем поручать делать всю работу кому-то другому — почему бы не попытаться взломать программное обеспечение самому? Взлом программ заключается во внесении в них изменений, которые либо превращают пробную версию в полностью функциональную программу, либо убирают из условно бесплатной программы надоедливый экран, постоянно напоминающий вам о необходимости регистрации. По существу, цель взлома состоит в том, чтобы заставить программу думать, будто вы действительно являетесь зарегистрированным пользователем, хотя на самом деле это не так. Для взлома программного обеспечения Windows вам потребуется несколько различных инструментальных средств:

218

Часть 4. Защита самого себя > Дизассемблер (обратный ассемблер) для получения исходного программного кода на языке ассемблера, который позволит вам разобраться в устройстве программы — например, IDA Pro (http://www.datarescue.com/database). > Отладчик для проверки работы программы, с помощью которого вы сможете перейти в ту часть программы, которую вы хотите изменить (обычно вас будет интересовать часть программы, запрашивающая регистрационный номер) — например, MULTI Source-Level Debugger (http://www.ghs.com/products/ MULTI_debugger.html). > Редактор шестнадцатиричных кодов для внесения изменений в исполняемую версию программы — например, UltraEdit (http://www.ultraedit.com) или Hex Workshop (http://www.hexworkshop.com). > Программа просмотра и редактирования реестра Windows для внесения в записи реестра изменений, обеспечивающих нормальную работу взломанной программы — например, Registry Crawler (http://www.4developers.com/regc) или Registry Toolkit (http://www.funduc.com/registry__toolkit.htm).

Помните, что для взлома программного обеспечения требуется хорошее знание языка ассемблера, поэтому такая работа — не для новичков. Чтобы узнать о том, с помощью каких приемов взламывают программы другие люди, или как самому стать опытным взломщиком программного обеспечения (крекером), произведите поиск нужных вам программ и руководств с помощью поисковых систем Astalavista (http:// www.astalavista.com) и CyberArmy (http://www.cyberarmy.com). Более подробную информацию относительно взлома программного обеспечения и используемых программистами методов защиты программ от взлома вы найдете в книге Павола Червена (Pavol Cerven) Crackproof Your Software, выпущенной издательством No Starch Press.

Бесплатная музыка Почти все современные модели компьютеров оборудованы дисководами для компакт-дисков, звуковыми картами и громкоговорителями, с помощью которых любой компьютер можно превратить в обычный аудиопроигрыватель. Вы можете воспроизводить на своем компьютере и обычные аудиодиски, но гораздо интереснее поискать в Internet бесплатную музыку, которую можно будет записать на жесткий диск или перезаписываемый компакт-диск (CD-R — CD recordable) для последующего прослушивания. Одна из причин, по которым в Internet существует так много бесплатных музыкальных файлов, заключается в ограничительной природе индустрии звукозаписи. В прежние годы на массовую слушательскую аудиторию могли рассчитывать лишь те артисты, которым удавалось подписать контракт с одной из крупных звукозаписывающих студий. Без такого контракта шансов быть услышанным широкой публикой у артистов было мало. Чтобы обойти эту проблему, некоторые музыканты-ренегаты начали бесплатно предлагать свои музыкальные произведения через Internet. Но на ранних этапах циф-

Глава 14. Как уменьшить затраты при покупке компьютера

219

ровой звукозаписи (до прихода звукового формата МРЗ) размер высококачественной записи только одной песни мог достигать 30 Мбайт. Позже появился формат МРЗ — технология сжатия звука Moving Picture Experts Group Audio Layer-3. Формат МРЗ позволяет сжать целиком всю песню до файла сравнительно небольшого размера (порядка нескольких мегабайт) при сохранении качества звучания исходной записи. Развитие средств быстрого доступа к Internet (таких как кабельные или DSL-модемы) сделали быстрыми и удобными загрузку и обмен МРЗ-файлами. Многие предприимчивые музыкальные группы и отдельные исполнители регулярно выпускают свои песни в формате МРЗ, чтобы люди могли бесплатно загружать, копировать и наслаждаться ими, в надежде, что если им понравится какая-либо песня, то они охотнее купят и целый музыкальный альбом. Разумеется, это вполне законное, санкционированное использование МРЗ-технологии. Однако многие люди незаконно используют МРЗ-технологию, когда переписывают песни своих любимых исполнителей с компакт-дисков, сохраняют их в виде файлов в формате МРЗ, а затем продают другим через Internet, тем самым нарушая закон об охране авторских прав и лишая исполнителей положенного им авторского гонорара. Сохранив свои любимые песни в формате МРЗ, вы можете воспользоваться записывающим дисководом для создания собственных компакт-дисков. МРЗ-формат произвел в области распространения звукозаписей переворот, аналогичный перевороту, произошедшему после появления ленточных магнитофонов, когда люди получили возможность записывать и копировать музыкальные произведения своих любимых исполнителей на пустые пленки и обмениваться ими друг с другом, только во всемирном масштабе с использованием мощи Internet. Чтобы воспользоваться музыкальными файлами, записанными в формате МРЗ, вы должны иметь проигрыватель (обеспечивающий воспроизведение сохраненной в МРЗ-формате музыки), программу записи (позволяющую сохранить ваши МРЗфайлы на компакт-диске) и доступ к одному или нескольким Web-узлам, с которых вы могли бы загрузить музыкальные файлы.

Программы для воспроизведения МРЗ-файлов Ниже приводится список Web-узлов, с которых вы можете загрузить один из наиболее популярных МРЗ-проигрывателей: MuzicMan (для Windows)

http://www.muzicman.com

Sonique (для Windows)

http://sonique.lycos.com

Winamp (для Windows)

http://www.winamp.com

RadioDestiny (для Windows и Macintosh)

http://www.radiodestiny.com

M p g l 2 3 (для Unix)

http://www.mpgl23.de

Программы для записи МРЗ-файлов С помощью перечисленных ниже программ вы сможете сохранить свои МРЗ-файлы на компакт-диске для последующего воспроизведения:

220

Часть 4. Защита самого себя

AudioCatalyst (для Windows и Macintosh) http://www.xingtech.com/mp3/audiocatalyst Cdparanoia (для Unix) http://www.xiph.org/paranoia Play & Record (для Windows) http://www.hycd.com

Системы для поиска МРЗ-файлов в Internet Поиск МРЗ-файлов в Internet можно начать со следующих Web-узлов: MP3.com Lycos Music Musicseek Yahool Digital

http://www.mp3.com http://music.lycos.com/downloads/ http://www.musicseek.net http://launch.yahoo.com/downloads

Альтернативой специализированным системам поиска МРЗ-файлов является запуск программы обмена файлами между равноправными узлами (МРЗ peer-to-peer sharing program), которые предоставляют пользователям возможность связываться между собой и перебрасывать друг другу музыкальные файлы. Перечень некоторых популярных программ указанного типа приводится ниже: Blubster Gnutella Grokster Kazaa iNoize Madster Morpheus

http://www.blubster.com http://www.gnutella.com http://www.grokster.com http://www.kazaa.com http://www.inoize.com http://www.madster.com http://www.morpheus-mp3-music-download-ic.com

В то время как законопослушные граждане используют программы подобного рода для таких, например, целей, как обмен рецептами любимых блюд или советами, касающимися выигрышной тактики в той или иной компьютерной игре, другие могут использовать их для обмена материалами порнографического характера или материалами, охраняемыми законом об авторских правах, например, МРЗ-файлами или коммерческим программным обеспечением.

Бесплатный доступ к Internet Сетевое телевидение является бесплатным, поскольку стоимость показа передач покрывается рекламодателями в обмен на возможность представить свои продукты широкой аудитории. Точно так же многие поставщики услуг Internet предоставляют сейчас бесплатные учетные записи в обмен на право отображать рекламные объявления на экранах ваших компьютеров или возможность отслеживать в маркетинговых целях вашу активность в сети. Многие из таких бесплатных учетных записей в Internet подвержены действию всевозможных условий и ограничений, которые время от времени могут меняться, в связи с чем их владельцы должны внимательно читать соответствующие информационные сообщения. Для ознакомления с последними замечательными предложениями относительно предоставления бесплатных учетных записей в Internet посетите Web-узел Internet 4

Глава 14. Как уменьшить затраты при покупке компьютера

221

Free (http://www.internet4free.com) или же попытайтесь воспользоваться одним из перечисленных ниже Web-узлов: DotNow Juno NetZero

http://www.dotnow.com http://www.juno.com http://www.netzero.net

Вместо того чтобы заводить собственную учетную запись в Internet, достаточно посетить любую крупную публичную библиотеку, в которой установлены подключенные к Internet компьютеры. Библиотеки предлагают бесплатные учетные записи, хотя и могут налагать временные ограничения на их использование и взимать плату за вывод материалов на печать.

Бесплатная электронная почта Бесплатные учетные записи электронной почты вам очень пригодятся, если у вас возникает необходимость в отправке сообщений личного характера, так что когда ваш босс будет просматривать корпоративные почтовые учетные записи, он не увидит там никакой иной вашей переписки, кроме той, которая связана с работой. Во многих случаях предоставление бесплатных учетных записей электронной почты сопровождается предложениями относительно шифрования сообщений (для защиты вашей почты от любопытных посторонних глаз), возможности самоуничтожения сообщений (т.е. их удаления по истечении определенного периода времени), поддержки нескольких языков и анонимности (чтобы скрыть ваши персональные данные от остального человечества). Чтобы подписаться на услуги бесплатной электронной почты, воспользуйтесь своей излюбленной поисковой системой и произведите поиск по строке "free email". Для быстрого ознакомления с возможностями, предлагаемыми бесплатными службами электронной почты, посетите один из нижеперечисленных Web-узлов: MSN Hotmail Mail.com HushMail Yahool Mail

http://www.hotmail.com http://www.mail.com http://www.hushmail.com http://mail.yahoo.com

Службы бесплатной пересылки факс-сообщений Для того чтобы выслать кому-либо сообщение по факсу, вовсе не обязательно иметь факсовый аппарат или даже программное обеспечение, позволяющее пересылать факс-сообщения. Существует целый ряд бесплатных служб, которые позволяют послать бесплатное факс-сообщение в любую точку мира. Некоторые из таких служб могут даже получать факс-сообщения, присылаемые для вас другими людьми, и пересылать их на вашу учетную запись электронной почты в виде графических файлов, которые далее вы сможете просмотреть. Если вам это интересно, посетите следующие Web-узлы:

222

Часть 4. Защита самого себя eFax.com Free Fax Zip Fax

http://www.efax.com http://www.freefax.com.pk http://www.zipfax.com

Бесплатный Web-хостинг Многие сетевые службы или поставщики услуг Internet предоставляют на сервере пространство объемом в несколько мегабайт для размещения клиентами собственных Web-страниц. К сожалению, в подобных случаях объем предоставляемого дискового пространства может оказаться слишком мал, или же поставщик услуг Internet может подвергать цензуре размещаемую вами на подобном узле информацию. Например, такие сетевые службы, как America Online, неодобрительно относятся к использованию предоставляемых ими узлов для размещения любых материалов, выставляющих America Online в неприглядном свете. Если либо объем дискового пространства, предоставляемого для такого узла, либо действующие в отношении него правила, установленные вашим поставщиком услуг Internet, вас не удовлетворяют, попробуйте воспользоваться услугами одной из многочисленных компаний, предлагающих бесплатный Web-хостинг. Как правило, таким компаниям совершенно безразлично, какую информацию вы будете размещать на своем узле. Единственное, в чем они заинтересованы, — это в увеличении количества людей, посещающих их собственные Web-узлы, и связанного с этим роста доходов от рекламы. Чтобы найти компании, предлагающие бесплатные Web-узлы, произведите поиск с ключевыми словами "free web page" или "free web site" или же непосредственно воспользуйтесь услугами Web-узлов, которые перечислены ниже: GeoCiHes Netfirms Theglobe Free Website Hosting Free Web Hosting Tripod

http://geocities.yahoo.com http://www.netfirms.com http://www.theglobe.com http://www.freewebsitehosting.com http://www.freewebhosting.com http://www.tripod.lycos.com

Обзаведение компьютером посредствам Хотя стоимость компьютеров и может символизировать разрыв между имущими и неимущими, реальная картина в этом отношении вовсе не так плоха, как кажется. Проявив немного изобретательности и будучи достаточно настойчивым, каждый может получить доступ к Internet. Кто знает, возможно, именно это позволит вам в один прекрасный день посодействовать изменению политического курса, встретить новых друзей или просто расширить свой кругозор, исследуя окружающий мир в условиях домашнего уюта, — и все это без риска стать банкротом из-за покупки множества дорогостоящего компьютерного оборудования, в которсж, если на то пошло, нет никакой реальной необходимости.

Глава 15 Защита собственных данных и персональной информации Основной проблемой является неприкосновенность частной жизни. Почему решение женщины переспать с мужчиной, с которым она буквально минуту назад познакомилась в баре, считается ее личным делом, тогда как ее решение переспать с тем же мужчиной, но за 100 долларов, влечет за собой уголовную ответственность? — Анна Куиндлен (Anna Quindlen)

ХОТЯ НА СЛОВАХ ВСЕ ЯВЛЯЮТСЯ ПРИВЕРЖЕНЦАМИ ТАКИХ БЛАГОРОДНЫХ ПРИНЦИПОВ, КАК ПРАВА ЧЕЛОВЕКА И СВОБОДА ЛИЧНОСТИ, В БОЛЬШИНСТВЕ ГОСУДАРСТВ ЭТИ ПРИНЦИПЫ БЕССОВЕСТНО НАРУШАЮТСЯ, ЕСЛИ ОНИ ПРОТИВОРЕЧАТ ИНТЕРЕСАМ ПОЛИТИЧЕСКОЙ ЦЕЛЕСООБРАЗНОСТИ И КРАТКОСРОЧНОЙ ЭКОНОМИЧЕСКОЙ ВЫГОДЫ. Поскольку любое правительство заинтересовано в защите прав граждан меньше, чем в защите собственных прав, то единственным человеком, который больше всех заинтересован в защите ваших прав, являетесь вы сами.

Защита персональных данных Независимо от того, храните ли вы в своем компьютере секретную деловую информацию, личные заметки, электронную почту с разоблачительными материалами, финансовые документы или просто данные, которые вы не хотите раскрывать, вы имеете право хранить эту информацию втайне от других. Разумеется, одно дело — иметь право на неприкосновенность частной жизни, и совсем другое — иметь возможность воспользоваться этим правом на практике. Помимо блокирования физического доступа к своему компьютеру (см. главу 20), вы можете защитить свои данные паролями, зашифровать их или скрыть и полагаться на то, что никому не станет известно, где они находятся. Еще лучше, если вы используете сочетание этих методов,

224

Часть 4. Защита самого себя

что затруднит доступ посторонних к вашим данным настолько, насколько это возможно.

Защита паролем Пароли хороши лишь тогда, когда они достаточно длинны и сложны. В любом случае, при хорошем выборе пароля вы сможете перекрыть доступ к данным большинству потенциальных похитителей. Никогда не полагайтесь на слабую защиту паролями, которую обеспечивают хранители экрана, и используйте специально предназначенные для этой цели программы парольной защиты (password-protection programs). Такие программы способны не только блокировать нежелательный доступ к данным, но и помешать посторонним перезагрузить ваш компьютер, чтобы обойти парольную защиту. Пользователи Windows могут воспользоваться программой Workstation Lock фирмы Posum (http://posum.com), обеспечивающей парольную защиту компьютера, системой Password Protection System (http://www.necrocosm.com/ppsplus/index.html), обеспечивающей защиту отдельных файлов, таких как файлы данных и программ, или системой WinLock (http://www.crystaloffice.com), которая предоставляет доступ к определенным программам лишь тем, кто знает пароль.

Шифрование данных Хотя программы парольной защиты и могут ограничивать доступ к объектам, не рассчитывайте только на них, если речь идет об обеспечении безопасности данных. В качестве дополнительной защитной меры используйте шифрование (encryption), позволяющее перемешивать данные до неузнаваемости. Разумеется, шифрование хорошо лишь настолько, насколько хорош ваш пароль: если кто-то украдет ваш пароль, то от шифрования будет столько же проку, сколько от банковского сейфа без замка. Кроме выбора слабого пароля, дополнительные лазейки злоумышленникам может предоставить выбор слабого алгоритма шифрования. Алгоритмы шифрования (encryption algorythms) определяют способ перемешивания данных, и не все алгоритмы в этом отношении одинаково эффективны. Лицензированные алгоритмы шифрования часто оказываются наихудшими, поскольку скрытие того, как работает алгоритм (принцип, известный под названием "security by obscurity"— "безопасность за счет неясности"), никак не влияет на сам тот факт, что данные перемешиваются предсказуемым образом, и это может быть использовано для взлома зашифрованных данных. Те, кто пытается заставить вас поверить, будто их программа, использующая защищенный лицензией алгоритм шифрования, обеспечивает полную безопасность данных, вероятнее всего, сами ничего не смыслят в шифровании. Для алгоритмов, используемых в лучших программах шифрования, характерно, что до этого они широко публиковались и выжили, несмотря на самый скрупулезный многолетний анализ их устойчивости экспертами по вопросам безопасности. Отсюда вовсе не следует, что у них нет изъянов — речь идет лишь о том, что никаких слабых мест в них обнаружить пока никто не смог (если только этого не удалось до-

Глава 15. Защита собственных данных и персональной информации

225

биться Управлению национальной безопасности, и оно об этом молчит). (Изучение алгоритма шифрования может прояснить, каким образом шифруются данные, однако знание этого вовсе не обязательно приводит к пониманию того, каким образом можно взломать данный алгоритм.) К числу наиболее популярных алгоритмов шифрования относятся Data Encryption Standard (DES), International Data Encryption Algorythm (IDEA), Rivest Cipher #6 (RC6) (http://www.rsasecurity.com/labs.html) и Advanced Encryption Standard (AES) (http:// csrc.nist.gov/encryption/aes). Шифрование перемешивает ваши данные, а пароль защищает их. В мире шифрования родились два метода использования паролей: шифрование с индивидуальным (закрытым) ключом и шифрование с открытым ключом. При шифровании с индивидуальным ключом (private-key encryption) для шифрования и дешифрования данных используется один и тот же пароль, откуда следует, что если вы потеряете или забудете пароль, то не сможете извлечь данные, а тот, кто раскроет пароль, сможет дешифровать ваши файлы. Еще более неприятно то, что если вы захотите переслать кому-либо зашифрованный ф»айл, то должны будете сначала придумать безопасный способ передачи пароля, чтобы те, кто получит файл, смогли его дешифровать. Для преодоления недостатков шифрования с индивидуальным ключом ученыекомпьютерщики разработали метод шифрования с открытым ключом (public-key encryption), который предусматривает наличие двух паролей — индивидуального и открытого. Индивидуальный ключ известен только вам (по крайней мере, хотелось бы, чтобы это было так). Открытый ключ можно беспрепятственно передавать другим людям. С помощью своего индивидуального ключа вы можете зашифровать файл, в то время как человек, которому вы предоставляете открытый ключ, сможет дешифровать этот файл. Если кому-либо понадобится переслать вам данные, он может зашифровать их с помощью вашего открытого ключа. Зашифрованный таким образом файл впоследствии может быть дешифрован лишь с использованием вашего индивидуального ключа. Одной из наиболее популярных программ шифрования является программа Pretty Good Privacy (http://www.pgp.com и http://www.pgpi.com), которую написал Фил Циммерман (Phil Zimmermann), заслуживший всеобщее уважение тем, что сделал шифрование с открытым ключом доступным каждому путем распространения исходного кода своей программы Pretty Good Privacy (PGP) через Internet. Когда этот исходный код попал в другие страны, правительство США возбудило уголовное дело (безрезультатное расследование по которому длилось около пяти лет), пытаясь установить, не нарушил ли Фил каких-либо законодательных положений, согласно которым технологию шифрования можно было бы отнести к категории разработок, имеющих отношение к "интересам обороноспособности страны". В конечном счете, правительство убедилось в отсутствии состава преступления и сняло все свои обвинения, успев к этому времени настроить публичное мнение против себя. Аналогична PGP и ее бесплатная версия с открытым исходным кодом под названием GNU Privacy Guard (http://www.gnupg.org). Кроме PGP существует и другое программное обеспечение для шифрования данных:

226

Часть 4. Защита самого себя Kryptel PC-Encrypt Absolute Security Crypto Forge

http://inv.co.nz http://www.pc-encrypf.com http://www.pepsoft.com http://www.cryptoforge.com

Вопросам шифрования посвящен ежемесячный бесплатный информационный бюллетень Crypto-Gram Newsletter (http://www.counterpane.com/crypto-gram.html), выпускаемый Брюсом Шнайером (Bruce Schneier), автором книги Applied Cryptography. Если хотите принять участие в обсуждении проблем шифрования данных, посетите одну из следующих групп новостей: alt.security, alt.security.pgp, comp.security.misc и comp. security, pgp. discuss.

Взлом зашифрованных данных Простейший способ взлома зашифрованных данных — это кража пароля шифрования. Если этого сделать не удается, решить задачу пытаются, что называется, атакой "в лоб", илиметодом "грубой силы "(brute-force attack), фактически сводя ее к простому перебору всевозможных перестановок символов до тех пор, пока, в конце концов, не будет найдена правильная комбинация. Такой грубый метод способен "пробить" любой шифровальный алгоритм, но если алгоритм достаточно мощный, то число всевозможных комбинаций, которые необходимо перебрать, оказывается настолько большим, что для их исчерпывающего тестирования даже самому быстродействующему компьютеру потребовались бы миллионы лет, так что с практической точки зрения такое шифрование оказывается надежным. По мере роста быстродействия и вычислительной мощности компьютеров вскрытие слабых алгоритмов шифрования атаками "в лоб" будет все более упрощаться. 17 июня 1997 года группа студентов, принявшая участие в спонсированном организацией RSA Security конкурсе с призовым фондом 10000 долларов, применила атаку "в лоб" для взлома файла, зашифрованного с использованием DES-алгоритма. Их программа-взломщик, имеющая кодовое название DESCHALL (http:// www.interhack.net/projects/deschall), была распространена для загрузки через Internet, так что тысячи добровольцев смогли связать воедино свои компьютеры, которые одновременно решали одну эту задачу. Далее, если даже группе приятелей-студентов оказалось под силу взломать алгоритм уровня DES с помощью обычного компьютерного оборудования, то сами догадайтесь, что можно сказать о государстве с его гораздо более мощным бюджетом и специализированным оборудованием. Из этой истории следует сделать вывод, что если программа не предлагает ничего более сильного, чем шифрование на уровне алгоритмов стандарта DES, то следует поискать другую шифровальную программу. Более жестким по сравнению с DES является стандарт Triple-DES (производный от стандарта DES), хотя во многих программах шифрования все чаще используется стандарт AES.

Скрытие файлов на жестком диске Одна из проблем шифрования заключается в том, что сам факт его применения может привлечь внимание посторонних, которые начнут задумываться о том, что вы

Глава 15. Защита собственных данных и персональной информации

227

скрываете некую важную информацию. Поскольку ни один метод шифрования не обеспечивает стопроцентной надежности (всегда существует опасность того, что ктото сможет украсть у вас пароль или взломать алгоритм шифрования), вы могли бы попытаться использовать более хитрый метод: скрыть важные файлы. В конце концов, невозможно украсть то, чего не можешь найти! Для этого посетите Web-узел PC-Magic Software (http://www.pc-magic.com) и загрузите одну из программ Magic Folders или Encrypted Magic Folders. Обе программы позволяют сделать невидимыми целые папки (каталоги), так что вор даже не будет догадываться об их существовании. Программа Encrypted Magic Folders скрывает и зашифровывает файлы, в результате чего, даже если кому-то и удастся обнаружить папку, он не сможет заглянуть в ее содержимое или скопировать любой из находящихся в ней файлов, не зная пароля. Перечень других аналогичных программ, позволяющих скрывать и защищать шифрованием скрытые папки, приводится ниже: b Protected Hide Folders Win Defender

http://www.clasys.com http://www.fspro.net http://www.rtsecurity.com/producfs/windefender

Шифрование с помощью изображений Поскольку лишь немногие люди шифруют свои электронные сообщения, то те из них, кто применяет шифрование для этих целей, немедленно привлекают к себе внимание. Если вы все же хотите использовать шифрование, но так, чтобы это не было заметно, воспользуйтесь стеганографией (steganography), название которой происходит от двух греческих слов — стеганое (скрытный или тайный) и графил (написание или рисование) и дословно означает тайнопись. Стеганографией называют скрытие информации в объектах, которые на первый взгляд кажутся безобидными, например, в рисунках или звуковых файлах. Предположим, например, что "компетентные" государственные органы решили перехватывать все входящие и исходящие сообщения электронной почты некоторого Web-узла. В случае незашифрованных сообщений компьютеры, занятые такой слежкой, могут легко осуществлять поиск таких слов, как "ядерная", "ракета", "нервнопаралитический газ" или "бомба", и сохранять копии соответствующих сообщений для их последующего анализа. Если же электронная почта шифруется, то зашифрованные сообщения также можно легко перехватить и впоследствии взломать примененный в них шифр с помощью суперкомпьютеров. Однако при использовании стеганографии могут пересылаться на первый взгляд невинные графические файлы с изображениями известных картин, антикварных моделей автомобилей или красавиц в бикини, в действительности содержащие скрытые внутри них сообщения. В таких обычных файлах могут скрываться целые подпольные газеты, подлежащая цензуре информация или же просто текст, который не предназначен для посторонних глаз. Если кто-то перехватит вашу электронную почту, то он не увидит там ничего, кроме картинки. Если только сыщику не известно с достоверностью, что рисунок является тайным сообщением, то он его, вероятнее всего, проигнорирует.

228

Часть 4. Защита самого себя

Стеганографические программы разбивают исходные данные (обычный или зашифрованный текст) на отдельные части и скрывают их в недрах графического или звукового файла, например, файла в формате GIF или WAV. В процессе этого стеганографическая программа незначительно искажает графический или звуковой файл, причем чем больший объем информации скрывается внутри такого файла, тем больше степень его искажения. Чтобы не допустить полного искажения основной информации файла (ибо это сигнализировало бы о том, что звуковой или графический файл содержит скрытую информацию), вы можете использовать две методики. Во-первых, вместо файлов цветных изображений следует использовать файлы черно-белых изображений, поскольку в последнем случае искажения будут менее заметными по сравнению с первым. Во-вторых, вместо того чтобы втискивать всю информацию в один-единственный графический или звуковой файл, ее следует разделять на части и скрывать в нескольких файлах. Чтобы немного поупражняться с программами стеганографического шифрования и больше узнать об этой сравнительно малоизвестной области шифрования, посетите Web-узел StegoArchive, находящийся по адресу http://steganography.tripod.com/ stego.html, и поищите одну из популярных стеганографических программ, таких как S-Tools, Invisible Secrets или Hide and Seek. Возможно, вы также захотите посетить узел Stego Online (http://www.stego.com), загрузить бесплатный исходный код на Java и попрактиковаться с шифрованием текстовых файлов внутри GIF-файлов на собственном жестком диске. Если вас действительно серьезно интересуют вопросы шифрования своих данных таким образом, чтобы это нелегко было заметить, просмотрите посвященные стеганографии материалы группы новостей по адресу ait.steganography. Пытаясь помочь людям в свободном общении друг с другом вопреки противоположным устремлениям правительств их стран, группа хакеров, образующих общество Cult of Dead Cow, разработала стеганографический инструмент под названием Camera/Shy (http://hacktivismo.com/projects). Скрыв сообщение внутри GIF-изображения с помощью Camera/Shy, вы можете разместить его на Web-странице. Тогда любой пользователь, у которого есть копия программы Camera/Shy и который знает правильный пароль, сможет просмотреть вашу Web-страницу и отобразить сообщения, скрытые в GIF-изображениях (рис. 15.1). Несмотря на то что стеганография может показаться идеальным способом тайного общения, ее можно обнаруживать. Для сканирования графических, звуковых и видеофайлов с целью выявления скрытых сообщений можно использовать программы Stegdetect (http://www.outgess.org) и Stego Watch (http://www.wetstonetech.com). Хотя и не всякое сообщение, скрытое внутри графического файла, может быть прочтено с помощью этих программ, сам факт наличия подобных сообщений способны зарегистрировать обе программы. В зависимости от того, в какой стране мира вы проживаете, подобное раскрытие вашего зашифрованного сообщения может либо привлечь к вам более пристальное внимание властей, либо даже привести к вашему "внезапному" исчезновению одной глубокой ночью.

Глава 15. Защита собственных данных и персональной информации

229

Mties Ve i w securt * Hep l jhttp: //hacktivismo. com/

October 2, 2002, 4:40 pm EDT Bombs, Democracy, Hacktivismo More and Double Headlines news... Standards On the 4th of July [Geez, US government funds talk about a loaded date! P2P resereh - Editor] Hacktivismo announced it would Censorware funded by release Camera/Shy, a steganography application. Ever since we've been bombarded by journalists wanting to The EUCD, A shadow know, "Could this application be used by terrorists?" Last year the RfNJ: "Played" boogiemen were child pornographers. Next year Beiina is Anb'-Hac they might be extraterrestrials. Who Auzzie Cybercrime code knows?

We have a weapon of mass destruction that we j plan to unleash on the oceans of the world. It's called a supertanker controlled by a captain who gets drunk every night.

Content to Put in GIF; (Мах, яге; 661)

We know we're in the Э

ОГП/

E n c r y p t e d GIF I m a g e s in Vv'ebp*ge, Click t o L o a d

Рис. 1 5 . 1 . Программа Camera/Shy позволяет скрывать сообщения в GIF-изображениях таким образом, чтобы их могли прочесть те, для кого они предназначены

Чтобы больше узнать о методах шифрования, загляните на узел Cryptography A—Z (http://www.ssh.fi/tech/crypto), где вы найдете ссылки на соответствующее бесплатное программное обеспечение, списки компаний, продающих программные шифровальные пакеты, и университетов, предлагающих материалы учебных курсов по шифрованию, а также множество других сведений, относящихся к шифрованию, которые вам хотелось бы получить, при условии (разумеется), что к тому времени соответствующие государственные органы не успеют конфисковать ваш компьютер.

Тайное наблюдение за собственным компьютером Иногда наибольшая угроза исходит не от незнакомого вам человека, а от того, кого вы хорошо знаете, будь то коллега по работе, родственник или даже ваш собственный супруг или супруга. Если вы не находитесь вблизи своего компьютера, то не можете быть уверены в том, что никто из них не пользуется им во время вашего отсутствия. Если даже другим людям разрешается работать за вашим компьютером, то вам, скорее всего, захочется знать, каким именно образом они его в действительности используют.

230

Часть 4. Защита самого себя

В подобных случаях у вас может возникнуть желание организовать тайное наблюдение за собственным компьютером. Благодаря этому вы будете точно знать, кто и когда пользовался вашим компьютером, какие программы на нем запускались и даже какие клавиши нажимались. Возможно, ваши подчиненные выдают кому-то производственные секреты, дети просматривают порнографические узлы, а супруга пытается завязать контакты с посторонними мужчинами, используя серверы разговоров.

Слежение с помощью Web-камер С помощью соответствующего программного обеспечения любую Web-камеру можно превратить в видеокамеру наблюдения. Как только кто-то попадет в поле обзора камеры, программное обеспечение зарегистрирует движение и начнет записывать видеоматериал или делать снимки, что позволит вам точно знать, кто и в какое время работал за компьютером. Для большей надежности программа обслуживания Web-камеры может даже пересылать вам изображения по электронной почте или помещать их на Web-узел. Благодаря этим мерам, даже если непрошеный гость уничтожит файлы на вашем жестком диске, у вас будет фото- или видеоматериал, который позволит установить личность злоумышленника. Иногда может возникать необходимость в организации постоянного наблюдения за территорией, через которую регулярно проходят потоки людей, например, за торговым залом магазина. В этом случае достаточно указать программе время начала и конца осуществления видеозаписи, а также продолжительность хранения записанной информации до того, как ее можно будет уничтожать (см. рис. 15.2). Тогда, если случится нечто необычное, например, будет совершено нападение на кассира, Webкамера сохранит запись этого события в компьютере.

Рис. 15.2. Программа обслуживания Web-камеры может быть запрограммирована таким образом, чтобы записываемые в процессе наблюдения изображения пересылались вам по электронной почте

Глава 15. Защита собственных данных и персональной информации

231

Чтобы превратить свою Web-камеру в камеру наблюдения, загрузите бесплатно распространяемую фирмой Microsoft программу Webcam Timershot (http:// www.microsoft.com) или воспользуйтесь одной из следующих программ: http://www.icode.co.uk/icatcher http://www.honestech.com http://www.melioris.com

i-Catcher Video Security MelCam

Слежение с помощью программного обеспечения Web-камера в состоянии помочь вам узнать, кто и когда пользовался компьютером во время вашего отсутствия, но предоставляемой в этом случае информации не всегда достаточно для того, чтобы установить, какие именно операции злоумышленник выполнял за компьютером. Для получения этих сведений вы должны прибегнуть к помощи одной из мониторинговых программ (desktop-monitoring programs), осуществляющих текущий контроль действий, выполняемых на компьютере, что позволит вам узнать, какие именно программы запускались злоумышленником, какой текст набирался им дая отправки посредством сервера разговоров или службы немедленного обмена сообщениями и даже какие изображения вызывались на экран монитора (рис. 15.3). Setup and Activate Use this section to activate PC Spy. Upon activating, this program wii disappear, and screen logging wil begin dependn i g upon your setups just below. You can snap screen pictures of your computer, capturing and saving whatever is viewed on your screen at that time. Various options are listed below, and you can get derailed information by clicking tfie help button below. What tm i e do you want to start and stop logging sc|rePierc^ture compression: Select a srrjall number (or low image quality < small picture size. Select a high number for better image quality bu >: .-£>•. ? •. •• •:.. 1<"*!у-:« Р' ' 07:10 PM

I ^ I 1U ^U PH

Г" <-- Always Run (Ignore Start Time) j How manv ;>cr.%r. -T^ges do you want to captuie i before :

i GXU

ID 14

т

How often should the screen capture be done? (It will stop when ii reaches the total number of pictures you selected on the left) L i d

Seconds

'•&>] Settings/Uninstall

|f •S.SSFe..SSS5ii ,

Delete image 3 Sa\ i

|

i

I

? Help

Clear All :

•

hI j

Total images * 0

Cancel

1 1

2 Activate/Start |

Рис. 15.3. ~ Мониторинговая программа, осуществляющая текущий контроль действий, выполняемых на вашем компьютере, может сохранять снимки экрана, что позволит вам точно выяснить, для каких именно целей ваш компьютер использовался другими людьми

232

Часть 4. Защита самого себя

С помощью мониторинговых программ вы можете сохранить доказательства незаконного использования вашего компьютера другими людьми и либо предъявить эти доказательства немедленно после их получения, либо хранить их в секрете с тем, чтобы накопить больше информации, которую вы при необходимости используете в будущем. (Более подробно о мониторинговых программах говорится в главе 12.)

Заметание своих следов При использовании Internet иногда бывает желательным скрыть от других людей информацию о том, какие Web-узлы вы посетили. К сожалению, любой, кто имеет доступ к вашему компьютеру, может получить эту информацию, просмотрев файлы, хранящие предысторию ваших посещений Web-узлов (файлы cookie), и содержимое папки для хранения временных файлов вашего браузера, так что если вы хотите скрыть маршруты своих путешествий по Internet, вы должны уничтожить каждый из файлов, по которым можно было бы отследить ваши действия.

Запрет сохранения cookie-файлов При посещении вами некоторых Web-узлов они могут сохранять на вашем компьютере некоторую информацию в так называемых cookie-файлах, содержащих адрес Web-узла, а также другую информацию, введенную вами, например, ваше имя или адрес электронной почты. При повторном посещении этого же узла информация, сохраненная на вашей машине, посылается в виде cookie-файлов на компьютер Web-узла. Файлы cookie используются для настройки (персонализации) страниц Web-узла, что позволяет, например, отображать в верхней части каждой из просматриваемых вами Web-страниц сообщения наподобие: "Уважаемый Джон Доу, мы рады вновь приветствовать вас на страницах нашего узла". Будучи сами по себе совершенно безвредными (они никогда не переносят вирусов и не уничтожат ни одного из ваших файлов), файлы cookie могут выдать информацию о том, какие узлы вы посещаете чаще всего, любому, кто может просмотреть настройки вашего браузера. Ни подросткам, ни служащим не хотелось бы, чтобы их родители или начальство узнали о посещении ими Web-узла Penthouse в рабочие часы, но даже при условии принятия всех мер предосторожности предательские cookie-файлы помогут узнать всю правду о таких посещениях. Если вас не очень-то радует мысль о том, что некоторые Web-узлы могут сохранять на вашем компьютере свои cookie-файлы, вы можете запретить эту операцию, соответствующим образом настроив браузер. Так, в случае браузера Internet Explorer 6.0 для Windows вы должны выполнить следующие действия (см. рис. 15.4): 1. Выберите пункты меню Tools (Сервис) -» Internet Options (Свойства обозревателя). На экране отобразится диалоговое окно Internet Options (Свойства обозревателя). 2. Щелкните на вкладке Privacy (Конфиденциальность).

Глава 15. Защита собственных данных и персональной информации

233

3. Щелкните на кнопке Advanced (Дополнительно). На экране отобразится диалоговое окно Advanced Privacy Setting (Дополнительная настройка параметров конфиденциальности). 4. Щелкните на флаговом переключателе "Override automatic cookie handling" ("Отменить автоматическую обработку cookie-файлов"), чтобы в нем появилась "галочка". 5. Выберите желаемый режим обработки обозревателем Internet Explorer файлов cookie, щелкнув на одном из селективных переключателей Accept (Разрешить), Block (Отключить) или Prompt (Предлагать). 6. Щелкните сначала на кнопке ОК в этом диалоговом окне, а затем на кнопке ОК основного диалогового окна Internet Options (Свойства обозревателя). Advanced Privacy Settings You can cr- • zone. This overrides auk

-He internet -via

Cook. W Override auton

Third-party Coot (* Accept

Рис. 15.4. Изменение способа обработки cookie-файлов браузером Internet Explorer в Windows

Для удаления существующих cookie-файлов и фильтрации поступающих воспользуйтесь одной из перечисленных ниже служебных программ, обеспечивающих нужную обработку cookie-файлов: Cookie Crusher Cookie Pal MagicCookie Monster

http://www.thelimitsoft.com h ftp ://w w w. kb и rra. со m http://download.at/cj rjsoftware

Эти программы обеспечивают фильтрацию cookie-файлов в процессе использования браузера, пропуская одни из них (например, те, которые сохраняются торговыми узлами для отслеживания ваших потребительских вкусов), и блокируя другие (например, cookie-файлы компаний, пытающихся накапливать статистические данные о посещаемости их узлов). Приятнее всего то, что подобные программы могут автоматически обнаруживать и удалять cookie-файлы, которые уже хранятся на вашем жестком диске (рис. 15.5).

234

Часть 4. Защита самого себя

S3 Cookie Pal 1.7c (Unregistered) Session) H Fitters ® Cookies | j«J Sounds] Щ Configure) The Ы below displays any cookies and their values which ate stored permanently on your •>

Server + 2o7.net ads.tucows.com ads.tucows.com atdmt.com bluestreak.com channesl.msn.com cnn.com cnn.com cnn.com cnnaude i nce.com msn.com msn.com msn.com

i

'«

'.-,

,

-

' . . . I . , - . •

j Expries Name ) Value _* 4/15/20101:00 PM s vi nyhyix7b8x3b.. [CS]v1|3DS 12/30/2037 9:00 AM NGUserD l d828207110/4/200210:16 AM ptfc yfki 9/29/2012 5:00 PM AA002 10336627S" 7827487Л 9/30/2012 6:39 AM id %3Fdom^^ 1/1/20101:00 AM RetURL seen(sh:1Sc 10/9/2002 4:43 PM EdtionPopUp 0c5aaf27-1— 8/12/2010 7:12 PM CNNd i www С 10/2/200310:28 PM SelectedEdition cM947fb-5 12/30/2037 9:00 AM AUDd i en-us |K 12/31/2010 5:00 PM lang V=2?cGUiD " 10/4/200312:00 PM MC1 MSFT Щ 12/31/2010 5:00 PM mh

N e b

C o o k i e s

i

R e f r e s h

Path:

Ordering..,

C : \ D 0 c u m e n t 2

I

a n d

j

S e t t i n g s \ B o \ C o o k i e s

Regime'...

Рис. 15.5. Программы наподобие Cookie Pal помогают находить все cookie-файлы, хранящиеся на жестком диске

Очистка папки временных файлов браузера Помимо сохранения в cookie-файлах информации о ваших излюбленных Web-узлах браузер также может сохранять изображения, Web-страницы и адреса нескольких последних посещенных вами Web-узлов (журнал предыстории посещений Webузлов), используя для этого папку для хранения временных файлов (вложенную в основную папку Windows), как показано на рис. 15.6. Для удаления этой информации в браузере Internet Explorer необходимо выполнить следующие действия: 1. Выберите пункты меню Tools (Сервис) -> Internet Options (Свойства обозревателя). На экране отобразится диалоговое окно Internet Options (Свойства обозревателя). 2. Щелкните на вкладке General (Общие). В группе History (Журнал) будет представлена информация о том, сколько дней (например, 20) должны храниться ссылки. 3. Щелкните на кнопке Clear History (Очистить). На экране отобразится диалоговое окно, в котором вам будет предложено подтвердить или отвергнуть удаление всех элементов, хранящихся в папке журнала. 4. Щелкните на кнопке Yes (Да). 5. После этого щелкните на кнопке Delete Files (Удалить файлы) в группе элементов управления Temporary Internet Files (Временные файлы Internet). 6. Щелкните на кнопке ОК.

Глава 15. Защита собственных данных и персональной и н ф о р м а ц и и

Ни-. Edit

View

Favorite

Toots

,:

Help

I

M

"

1

™

"

1

" '

.."

~

vvwfetish.com/

l l l

" "

______________

"

i i l i

"

1

Щ

"

____________

_J ^Go i Ln i^s »

i Щ http://www.fetish.com/ 1 http://www.whitehouse.com/ Д H • Я _•

235

J 1 toD':/7www.hustler.com/ ^ .&_ http://www.sex.com/ Щ http://www.penthouse.com/ Ш http://www.playboy.com/ # 1 http://www.surfseaet.com/

* What's

.

j

^

5

3

«

?

4

K

!

?

^

i

i

'

1

s i s "

J-.y "i

1

%

1

S'-i |0ono

тттжя

Рис. 15.6. Адреса последних Web-узлов, посещенных тем, кто пользовался вашим компьютером, вы сможете найти в списке Address Bar

Чтобы избавить себя от необходимости каждый раз заниматься удалением этих файлов вручную, попробуйте воспользоваться одной из следующих программ: CyberClean MacWasher or Window Washer SurfSecret Privacy Protector

http://www.thelimjtsoft.com http://www.webroot.com http://www.surfsecret.com

Указанные программы могут автоматически очищать папки Temporary Internet Files (Временные файлы Internet) и History (Журнал), заодно удаляя файлы cookie, старые сообщения электронной почты и файлы загруженных из Internet программ. Регулярно запуская программу очистки, вы будете уверены в том, что никто не сможет проследить за тем, какие Web-узлы вы посещаете, и тем самым вторгнуться в сферу ваших личных дел (рис. 15.7).

Защита конфиденциальности Кроме защиты сведений личного характера от посторонних людей, которые могут получить доступ к вашему компьютеру, вам может потребоваться также защита от попыток некоторых Web-узлов, государственных организаций или корпораций получить информацию относительно того, какие Web-узлы вы предпочитаете посещать.

236

Часть 4. Защита самого себя

Хотя и представляется маловероятным, чтобы Управление национальной безопасности или ЦРУ шпионили за вашим компьютером, для вас может быть невыносимой сама мысль о том, что за некоторыми аспектами вашей частной жизни может вестись постоянное наблюдение, превращающее вашу жизнь в некое подобие жизни в доме с прозрачными стенами. Чтобы создать для своей работы в Internet конфиденциальные условия, вы можете использовать анонимный просмотр Web-узлов и шифрование каждого из посылаемых вами электронных сообщений. Ниже описано, как это сделать. 'mm Windows & Internet Washer Pro Quick Erase j Browser (IE J j Windows | Diiks | Acid ins j Popup Б looker) Settings j About ]

gjlE Visit History 0 Cookies ©IE Cache Files 0TypedURLs SForm AutoComplete List 0Saved user name and password by IE [j/j lndex.dat used by IE 0Windows Recent Documents List 0Recycle Bin 0Windows Temp Folder 0Windows Start Menu -- Run Drop List

УМи..We*i*iork..P.lac.e.«ЖяЬмгик Mpinhhnrhnnril Г д г Ь *

eWasher

Close

Help

Рис. 15.7. Программа Window & Internet Washer Pro, позволяющая удалять записи журнала посещений Web-узлов

Анонимный просмотр Web-узлов Поскольку очистка жесткого диска от информации о посещенных ранее Web-узлах доставляет дополнительные хлопоты, большинство людей предпочитают этого не делать. Но что, если бы можно было вообще не допустить сохранения подобного рода информации на вашем компьютере или же посещать Web-узлы скрытным образом? Службы анонимного просмотра Web-узлов (anonymous browsing services), такие как IDzap.com (http://www.idzap.com), Anonymizer.com (http://www.anonymizer.com) или Rewebber (http://www.rewebber.com), блокируют доступ к вашему компьютеру, так что Web-узлы уже не смогут поместить в него файлы cookie, определить, какой тип браузера вы используете или вычислить ваш IP-адрес. При использовании этих служб вы просто указываете URL-адрес узла, который хотите посетить, и служба анонимного доступа подключит вас к этому узлу, скрыв, что это делается для вас. Что нема-

Глава 15. Защита собственных данных и персональной информации

237

ловажно, основные услуги подобного рода предоставляются бесплатно. Чтобы узнать адреса других служб анонимного просмотра Web-узлов, посетите Web-страницу Anonymous Browsing Quick-Start Page (http://anonbrowse.cjb.net). Следует, однако, вас предостеречь: службы анонимного просмотра Web-узлов не всегда работают надежно. В частности, возможно возникновение проблем при попытках просмотра страниц торговых Web-узлов (функционирование которых в значительной степени основано на использовании cookie-файлов), а также других узлов, которые будут пытаться определить тип вашего браузера и т.п. Как бы то ни было, указанные службы являются бесплатными и обеспечивают простой способ просмотра Web-узлов, не выдавая себя.

Просмотр Web-узлов под другим именем Одну из действительно необычных возможностей анонимного просмотра Webузлов предлагают лаборатории Bell Labs и AT&T Labs в рамках поддерживаемой ими службы Crowds (http://www.research.att.com/projects/crowds). Лежащую в основе этой возможности идею молено уподобить идее смешивания с толпой в людных местах. При использовании системы Crowds вы как бы помещаетесь в "толпу" (crowd) других пользователей, выбираемых случайным образом. Вместо того чтобы предоставить вам право самостоятельного доступа к интересующей вас Web-странице (нежелательным побочным эффектом чего было бы раскрытие ваших действий в сети), компьютер случайным образом выбирает из "толпы" другого пользователя, от имени которого и осуществляется необходимый доступ, после чего нужная страница передается вам. Маскируя действия отдельного члена группы действиями всей группы, Crowds обеспечивает конфиденциальность действий каждого, поскольку никто не сможет указать, какие именно действия были совершены тем или иным индивидуумом в тот или иной момент времени. Программное обеспечение Freedom WebSecure от Zero-Knowledge Systems (http:// www.zeroknowledge.com) позволяет подключиться к серверу Zero-Knowledge Systems, который переадресует вас далее на любой Web-узел, который вы хотите просмотреть. Если Web-узел попытается проследить за вами, то он сможет обнаружить лишь сервер Zero-Knowledge Systems. Несмотря на то что большинство людей прежде всего заинтересованы скрыть следы своих путешествий по Internet, вам, напротив, может захотеться продать полученную информацию другим людям. Вы сможете это сделать, если посетите принадлежащий фирме Lumeria Web-узел Super-Profile (http://www.supeiprofile.com). Здесь вы не только проконтролируете, кому досталась ваша личная информация, но и (по крайней мере, теоретически) попутно заработаете немного денег.

Посылка электронной почты в анонимном виде Если вы хотите поделиться с другими своим мнением о чем-либо, передать секретную информацию или просто принять участие в деятельности одной из групп поддержки на условиях конфиденциальности, старайтесь использовать для этого надежные способы, обеспечивающие вашу анонимность. Один из таких способов заключается в периодическом закрытии текущих учетных записей бесплатной элек-

238

Часть 4. Защита самого себя

тронной почты и регистрации новых. Однако обеспечить бесплатную защиту вашей электронной переписки смогут и службы анонимной электронной почты (anonymous email services) наподобие Sendfakemail.com (http://www.sendfakemail.com). Опять же, еще одну возможность сохранить в тайне свои идентификационные данные предоставляет использование любой службы бесплатной электронной почты, которой вы сообщите вымышленные данные о себе. Для получения более подробной информации относительно возможностей посылки электронной почты в анонимном виде посетите Web-узел eMailman (http://www.emailman.com/anonymous). Если вышеперечисленных служб анонимной электронной почты вам будет мало, можете воспользоваться услугами одной из служб безопасной посылки зашифрованных анонимных сообщений, перечень которых приводится ниже: Hushmcul CryptoMail.org PrlvacyX CertifsedMail.com ZipLip

http://www.hushmail.com http://www.cryptomail.org http://www.privacyx.corq http://www.certifiedmail.com http://www.ziplip.com

Подобно любым другим аналогичным службам службы анонимной посылки зашифрованных почтовых сообщений не будут требовать, чтобы вы предоставили им свое имя, адрес, номер телефона или иные данные, используя которые вас можно было бы выследить, так что ваша почта будет оставаться действительно анонимной. Более того, служба ZipLip даже уничтожит вашу электронную почту после того, как она будет прочтена.

Использование служб пересылки электронной почты Еще одним способом скрытия своих идентификационных данных при посылке электронной почты является использование служб анонимной пересылки электронной почты (anonymous remailers), таких как Anonymous.To (http://anonymous.to). Суть анонимной пересылки заключается в том, что электронные сообщения, посылаемые с вашего компьютера, направляются на сервер пересылки, функции которого выполняет другой компьютер, подключенный к сети Internet. Сервер пересылки скрывает ваши идентификационные данные путем удаления из сообщения информации о ваших настоящих имени и адресе и замене их фиктивными, прежде чем отправить ваше электронное сообщение по адресу конечного пункта назначения. Вы даже можете использовать несколько серверов пересылки электронной почты, чтобы еще более замести следы. Сначала вы направляете свои сообщения на один пересыльный сервер (который удалит из сообщений ваши имя и адрес) и даете ему указание переслать их на другой пересыльный сервер. Если распространить этот процесс на два и более подобных анонимных перехода, то те, кто пытается контролировать вашу электронную переписку, практически не смогут это осуществить. Хотя работа компьютеров, осуществляющих описанную пересылку электронной почты, может быть организована по-разному, в типичных случаях это происходит следующим образом. Как правило, начало вашего сообщения должно иметь следующий вид:

Глава 15. Защита собственных данных и персональной информации

239

From: [email protected] То: гemaiIer@RemaiIerAddress Subject: Anything Anon-To: destination@address Текст сообщения.

Ваш действительный адрес появляется лишь в электронном сообщении, направляемом серверу пересылки. Как только сервер получит ваше сообщение, он переправит его по адресу, определенному в поле Апоп-То. (Адрес истинного конечного пункта назначения (destination@address), по которому должно быть переслано сообщение, указывается вслед за двойным двоеточием.) Чтобы ваше сообщение прошло через многозвенный фильтр серверов пересылки, оно должно выглядеть примерно так: From: Name@YourAddres s.com To: remailer@RemailerAddress Subject: Anything Anon-To: second@Remai1erAddress Anon-To: destination@address Текст сообщения.

В данном примере вы посылаете электронное сообщение на первый сервер пересылки, находящийся по адресу remailer@RemailerAddress. Далее этот сервер пересылает ваше сообщение второму серверу, находящемуся по адресу second©RemailerAddress. После этого второй сервер пересылает сообщение в конечный пункт назначения, находящийся по адресу destination@address. Подобный процесс добавления серверов пересылки параноик мог бы продолжать до бесконечности. В качестве дополнительной меры защиты своих идентификационных данных потребуйте, чтобы сервер анонимной пересылки задерживал отправку ваших сообщений, каждый раз случайным образом варьируя время задержки. Благодаря этому у тех, кто может пытаться отслеживать источник сообщений, не будет возможности заметить, что, например, сообщение, которое поступило на сервер пересылки в 4:00, было отправлено ровно минуту спустя. Однако не думайте, что серверы анонимной пересылки позволят кому-то осуществлять с их помощью деятельность, которая преследуется законом. В случае обнаружения электронных писем, доставляющих беспокойство другим людям, содержащих угрозы в чей-нибудь адрес или планы террористических нападений, администраторы серверов пересылки сообщений электронной почты, вероятнее всего, окажут содействие полиции, и против автора подобных писем будет возбуждено уголовное дело. Поэтому злоупотреблять предоставляемыми вам возможностями не стоит! Самым большим неудобством при работе с серверами пересылки электронной почты является то, что они возникают и исчезают столь же быстро, как и демократические режимы в странах третьего мира. Поддержка деятельности службы анонимной пересылки сообщений электронной почты стоит времени и денег, причем на

240

Часть 4. Защита самого себя

большинстве пересыльных серверов плата за услуги не взимается, поскольку обращение к клиенту с просьбой произвести оплату с помощью чека или карточки противоречит принципу соблюдения его анонимности. К тому же, пересыльные серверы не всегда обеспечивают подлинную анонимность. Некоторые из них требуют открытия учетной записи, а это означает, что те, кто управляет таким сервером, будут располагать вашим истинным электронным почтовым адресом. Хотя анонимная пересылка электронных сообщений и их шифрование и способствуют защите ваших идентификационных данных, они не гарантируют обеспечения полной конфиденциальности. Серверы анонимной пересылки надежны лишь настолько, насколько надежен обслуживающий их персонал. Любой человек может развернуть фиктивный пересыльный сервер и спокойно читать каждое сообщение, которое отправляется через него. В то время как шифрование обеспечивает некоторую защиту сообщения,.остается реальная опасность того, что ваш истинный электронный почтовый адрес может быть раскрыт. По этой причине лучше всего использовать серверы пересылки, находящиеся в другой стране. Например, жителю коммунистического Китая следует с опаской относиться к серверу пересылки, находящемуся в Китае. В то же время, он, пожалуй, может чувствовать себя в безопасности, если воспользуется услугами серверов анонимной пересылки, находящихся где-нибудь в Финляндии, Канаде или Мексике, поскольку их администраторов, вероятнее всего, вряд ли интересуют заботы граждан Китая, а получение китайскими властями доступа к журнальным записям сервера представляется маловероятным. Чтобы обогатиться опытом у тех, кто пользуется услугами серверов анонимной пересылки сообщений электронной почты, посетите группу новостей Usenet по адресу alt.privacy.anon-server, где вы сможете найти материалы о самых последних разработках в этой области.

Ваш "собственный Айдахо" Если идея объединения анонимной пересылки сообщений электронной почты с шифрованием вам кажется слишком хлопотной, вы можете вместо этого воспользоваться специализированными программными средствами. Программа Private Idaho (http://www.eskimo.com/~joelm/pi.html) в сочетании с программой Pretty Good Privacy (PGP) обеспечит шифрование ваших электронных сообщений. Как программа шифрования, PGP котируется очень высоко, а используемый в ней механизм шифрования считается достаточно устойчивым, чтобы выдержать попытки взлома даже таких щедро финансируемых разведывательных организаций, как ЦРУ или Управление национальной безопасности. Немаловажен тот факт, что Private Idaho — бесплатная программа, поставляемая вместе с полным исходным кодом на языке Visual Basic, что позволяет модифицировать этот код или изучить его с целью выявления возможных "потайных ходов", которыми государственные органы могли бы воспользоваться для того, чтобы перехватывать ваши электронные сообщения. Для получения 32-битовой версии Private Idaho посетите почтовый Web-узел Private Idaho (http://www.itech.net.au/pi).

Глава 15. Защита собственных данных и персональной информации

241

Серверы анонимных разговоров Кроме анонимной пересылки сообщений электронной почты вы можете воспользоваться возможностью анонимно пообщаться с другими людьми в так называемых "комнатах для разговоров" (chat rooms), предоставляемых серверами разговоров IRC (Internet Relay Chat). Обычно, если вы посетили комнату IRC, другие люди могут выяснить ваш IP-адрес с помощью команды whois. В то же время, загрузив программное обеспечение Invisible IRC Project (http://www.invisiblenet.net/iip), вы можете скрыть свой IP-адрес от посторонних людей.

Защита своих идентификационных данных В вышедшем в 1990 году кинофильме "Человек тьмы" ("Darkman") один ученый разработал рецепт получения искусственной кожи, но прежде чем он успел объявить миру о своем открытии, бандиты взорвали лабораторию, в которой в этот момент находился и он. Хотя ученый и выживает, он сильно обгорел и скрывает свое обет зображенное лицо от людей. Пользуясь изобретенной им искусственной кожей и своей способностью имитировать голоса, ученый принимает облик различных людей, пытаясь выйти на след преступников, которые хотели его уничтожить. Разумеется, возможность подобного рода идеальной имитации других людей кажется настолько отдаленной, что никому и в голову не придет представить себе, что он сам может стать объектом подобной имитации. К сожалению, в современном мире злоумышленникам имитация вашего внешнего вида, голоса или манеры поведения может даже не потребоваться, поскольку определяющие личность каждого из нас идентификационные данные хранятся в компьютерной базе данных в виде цифровых и текстовых строк. Достаточно украсть лишь некоторую информацию, которая предположительно должна быть известна только жертве, например номер социальной страховки, и во всем, что касается взаимоотношений с компьютером, вы сможете выдавать себя за другого человека. Стоит только кому-то нечестным путем раздобыть ваши идентификационные данные, и он сможет делать от вашего имени все, что ему заблагорассудится, в то время как отвечать за его действия придется вам. Похитители идентификационных данных (identity thieves) открывали счета кредитных карточек, пользуясь именами других людей, и успевали снимать со счетов суммы, исчисляемые многими тысячами долларов, прежде чем исчезнуть, ободрав жертву как липку. Преступникам этой категории удавалось покупать новые машины, открывать счета в телефонных компаниях на пользование мобильными телефонами и даже получать займы. К тому времени, когда похититель идентификационных данных очистит ваш кредитный счет, оставив вас наедине со множеством финансовых проблем и юридических исков, которые вам придется урегулировать, он (или она) уже успеет найти другую невинную жертву, с которой сделает то же самое. Удачливые воры могут годами жить за счет других людей, так ни разу и не попавшись и не понеся наказания, откуда следует, что очередной их мишенью, До поры до времени даже не догадываясь об этом, можете стать и вы.

242

Часть 4. Защита самого себя

Берегите свои личные документы Чтобы воспользоваться вашими идентификационными данными, вору достаточно скопировать любые номера или пароли, которые однозначно удостоверяют вашу личность, например, номер социальной страховки, водительского удостоверения, счета чековой книжки или кредитной карточки, ваши паспортные данные или иную персональную информацию, например, домашний адрес, девичью фамилию матери или дату рождения. Чтобы свести к минимуму вероятность попадания ваших персональных данных к другим людям, прежде всего избавьтесь от привычки держать в кошельке или сумочке лишние документы. В самом деле, так ли уж часто на протяжении дня вам может действительно потребоваться карточка социальной страховки, свидетельство о рождении или паспорт? А если вы не можете запомнить девичью фамилию своей матери или PIN-код мобильного телефона, то у вас, по всей видимости, существуют более серьезные проблемы, чем забота о том, чтобы ваши документы не попали в чужие руки. Максимальное освобождение кошелька от ненужных в данный момент личных документов исключит возможность их кражи карманным воришкой или простую утерю по забывчивости, когда вы оставляете где-то без присмотра свой бумажник или сумочку. Для совершения следующего шага, после освобождения бумажника или сумочки от лишнего содержимого, от вас потребуются сознательные усилия. Не раздавайте информацию о себе кому угодно. Не записывайте номер своей социальной страховки или водительского удостоверения на чеке и всегда уничтожайте свои заявки на открытие кредитных карточек, возвращающиеся к вам по почте после их предварительного утверждения. "Разгребание мусора" (dumster diving), как называют популярную среди хакеров методику извлечения полезной информации из виртуальных мусорных корзин компьютерных систем, также может использоваться похитителями идентификационных данных, которым достаточно заполнить любую вашу заявку на открытие кредитной карточки, найденную ими в "корзине", и вписать в нее новый адрес, в результате чего новая кредитная карточка (разумеется, оформленная на ваше имя) будет выслана по указанному домашнему (реальному или фиктивному) адресу вора. Вооружившись кредитной карточкой, о которой вы ничего не знаете, злоумышленник может "повеселиться" в магазинах, оставив вас наедине с кучей счетов, которыми вы будете завалены месяцы спустя. Вместо того чтобы завладевать вашей персональной информацией незаконным путем, вор может воспользоваться менее очевидным, но более эффективным способом и постараться сделать так, чтобы вы сами предоставили ему эту информацию. Разумеется, если совершенно незнакомый человек обратится к вам с просьбой предоставить ему номер вашей социальной страховки, это вызовет у вас подозрения, но предположим, что не так давно вы потеряли свой бумажник, и заботливый банковский служащий сообщает вам по телефону о находке, прося при этом сообщить ему для сверки ваш личный идентификационный код для пользования банкоматами и номер банковского счета. Большинство людей не задумываясь выдадут эту ин-

Глава 15. Защита собственных данных и персональной информации

243

формацию по телефону, даже не отдавая себе отчета в том, что фиктивный банковский служащий в действительности является вором. Мишенью одного из видов жульничества, осуществляемого обходными путями, являются пожилые представители чернокожего населения Америки. Вблизи церквей или домов для престарелых часто появляются информационные листки, распространяемые также и по почте, с призывными заголовками примерно следующего содержания: Ждем ваши заявки на получение компенсационных выплат жертвам рабовладения/ Получите свои 5000 долларов в отделе социального страхования!

В листках утверждается, что в соответствии с якобы недавно принятым "Законом о выплате денежных компенсаций жертвам рабовладения" или в результате устранения некоторых недочетов системы социального страхования пожилым чернокожим американцам должны быть выплачены некоторые компенсационные суммы. Для получения этих сумм необходимо связаться с определенным лицом, которое запрашивает имя, адрес, номер телефона, дату рождения и номер социальной страховки заявителя, необходимые будто бы для оформления несуществующих выплат. Получив всю нужную информацию, похититель идентификационных данных может открывать счета кредитных карточек на имена ничего не подозревающих жертв обмана. Несмотря на то что кража идентификационных данных практиковалась задолго до распространения компьютеров, развитие Internet активизировало этот вид жульнической деятельности. Хакеру не составляет труда взломать корпоративный Webузел и раздобыть информацию о действительных кредитных карточках. Хотя и менее вероятной, но все же реальной возможностью является внедрение троянской программы удаленного доступа (например, Back Orifice или NetBus), которая будет перехватывать клавиатурные нажатия в процессе ввода вами данных кредитной карточки и передавать их через Internet. В то время как против хакеров, проникающих в корпоративные базы данных с целью похищения хранящейся в них информации о кредитных карточках, вы оказываетесь бессильны, у вас имеется возможность защитить свой личный компьютер от атаки троянских программ путем установки брандмауэра (задачей которого является блокирование любых подозрительных попыток доступа к вашему компьютеру через Internet), а также антивирусных и антитроянских программ, способных обнаруживать "троянских коней" и удалять их с жесткого диска.

Если это все-таки произошло с вами Несмотря на соблюдение всех необходимых мер предосторожности, нельзя исключить вероятность того, что в роли очередной жертвы похитителей идентификационных данных окажетесь вы. Сразу же после того, как вы это обнаружите, немедленно аннулируйте все свои кредитные карточки, включая те, по которым вы получаете деньги в банке, закупаете товары в универсаме, заправляетесь топливом на бензоколонке или берете видеокассеты в прокатном пункте. Закрыв все свои текущие расходные счета, чтобы свести к минимуму возможные потери от действий вора, укравшего ваши идентификационные данные, свяжитесь

244

Часть 4. Защита самого себя

с указанными ниже кредитными учреждениями и объясните, что вы стали жертвой мошенничества. Эти учреждения внесут номера ваших счетов в специальный список, что обеспечит защиту ваших денежных вкладов от посягательств вора.

EQUIFAX РО Box 105069 Atlanta, GA 30348

(800)525-6285 TRANS UNION PO Box 6790 Fullerton, CA 92634 (800) 680-7289 EXPERIAN POBox 1017 Allen, TX 92634 (888)397-3742 Поскольку восстановление кредитоспособности обычно требует значительных затрат времени и нервов, поинтересуйтесь в компании, у которой вы приобрели кредитную карточку, не предоставляют ли они услуг по защите от мошенничества. При похищении сведений о кредитной карточке подписчики таких услуг несут лишь ограниченную ответственность перед кредитной компанией, и на восстановление их кредитоспособности в подобных случаях обычно уходит меньше времени. Конечно, подобная услуга обеспечивает только защиту отдельного расходного счета, в связи с чем может оказаться целесообразным воспользоваться услугами таких компаний, как PromiseMark (http://www.promisemark.com), которые могут взять на себя защиту всех рисков, связанных с кражей ваших идентификационных данных. Компания PromiseMark предлагает специальный план защиты клиентов от подобных рисков (Identity Theft Protection Plan), который в соответствующих случаях упростит восстановление вашей кредитоспособности и открытие новых счетов. Благодаря этому плану вы сможете минимизировать свой финансовый ущерб и вернуться к обычному распорядку жизни настолько быстро, насколько это возможно, избавив себя от нервотрепки и суеты, с которыми будет сопряжено восстановление вашей кредитоспособности собственными силами. Для получения более подробной информации относительно проблемы воровства идентификационных данных и способов его предотвращения, защиты от него и, при необходимости, преодоления его последствий посетите Web-узел Victims Assistance of America (http://www.victimsassistanceofamerica.org), Web-узел Министерства юстиции США (http://www.usdoj.gov/criminal/fraud/idtheft.html) или специализированный Web-узел правительства США (http://www.consumer.gov/idtheft/index.html). Итак, какова вероятность того, что данными, идентифицирующими вашу личность, воспользуется кто-то другой? По всей видимости, вероятность этого не столь уж и высока, однако спросите, у Опра Винфри (Oprah Winfrey), Стивена Спилберга

Глава 15. Защита собственных данных и персональной информации

245

(Steven Spielberg), Уоррена Баффита (Warren Buffitt) или Марты Стюарт (Martha Stewart), что по этому поводу думают они. Можете также посетить Web-узел Privacy Rights Clearinghouse (http://www.privacyrights.org/identity.htm) и просмотреть длинный список рядовых граждан, которые теряли документы, удостоверяющие их личность, а затем тратили месяцы (или даже годы), пытаясь урегулировать понесенный в результате этого ущерб. Чтобы было легче справиться с проблемами, которые могут возникнуть в случае кражи сведений, удостоверяющих вашу личность, приобретите набор Identity-Theft Survival Kit, доступный на узле IdentityTheft.org (http://www.identitytheft.org). В набор входит книга, в которой разъясняется, какие действия следует предпринять, если вы стали жертвой похитителя идентификационных данных, подготовленные юристами бланки заявлений с просьбой защитить ваши законные права и оказать помощь в восстановлении кредитоспособности, а также шесть аудиокассет, рассказывающих о том, как ликвидировать последствия кражи подобных данных. Шансы попасть в автомобильную аварию не столь уж высоки, но, тем не менее, большинство из нас, вероятно, имеют соответствующую страховку на этот случай. Поэтому, если вас беспокоит мысль о возможной краже ваших идентификационных данных, то, пожалуй, предпринять по крайней мере минимальные меры защите в этом плане никогда не помешает. Для этого достаточно хотя бы не забывать убеждаться в том, что организация, которой вы доверяете данные о своей личности, на самом деле не ворует эти данные.

Глава 16 Борьба со спамом

Речь подобна любовной истории. И то, и другое легко начать, но для того, чтобы их успешно завершить, требуется большое мастерство. — Лорд Мэнкрофт (Mancroft)

НЕЗАВИСИМО ОТ ТОГО, КАК ЧАСТО ВЫ ПОЛЬЗУЕТЕСЬ СЕТЬЮ INTERNET, СПАМ НЕ ОСТАВИТ ВАС В ПОКОЕ. Заглядывая в свой почтовый ящик в ожидании важных сообщений от коллег по работе или друзей или рассчитывая получить необходимые материалы своей любимой сетевой телеконференции, вы будете обнаруживать в нем кучу "макулатурных" писем от компаний, рекламирующих совершенно бесполезные продукты наподобие мнимых витаминов, "бесплатных" отпускных путешествий или многообещающих схем, которые якобы обеспечат вам баснословные заработки. В отличие от газетной или журнальной рекламы, которую вы можете игнорировать, не задерживая на ней взгляда ни на секунду, от поступающего по электронной почте спама вам будет трудно отвязаться. Термином спам (spam) обозначают непрошеные сообщения, рассылаемые по множеству адресов электронной почты или групп новостей Usenet. Жертвам спама приходится тратить время на удаление нежелательных писем, чтобы освободить в почтовых ящиках место для полезных сообщений. Некоторые из наиболее распространенных видов спама являют собой образцы цепной переписки (chain letters) и других "заманчивых деловых предложений" сомнительного толка, наподобие следующего: $$$$$$$$ БЫСТРЫЙ ЗАРАБОТОК!/// $$$$$$$$ Привет/ Прочтите о том, как все это работает/ Коллега-должник, хотя это и может казаться чистым надувательством, но все действительно РАБОТАЕТ! Когда я получил такое же письмо (а это было всего лишь несколько дней назад), тот, кто числится сейчас в списке под № 4, имел № 5. Пять долларов — не такая большая сумма, чтобы ее можно было пожалеть для инвес-

Глава 16. Борьба со спамом

247

тирования в свое будущее. Забудьте на неделю о лотерее и испытайте то, что мы вам предлагаем. Это может сработать для ВСЕХ нас. Вы можете отредактировать приводимое ниже письмо в любом текстовом процессоре или текстовом редакторе и преобразовать его в формат простого текстового файла. Желаем удачи!!! Дорогой друг! Меня зовут Дэйв Родес. В сентябре 1988 года мой автомобиль был изъят за неплатежи, и агенты по взысканию долгов обложили меня со всех сторон. Я временно потерял работу, а все мое пособие по безработице было уже потрачено. Единственным средством, которое могло помочь мне избежать полного краха, был имевшийся у меня компьютер, оборудованный модемом. И я решил превратить свое хобби в профессию. Уже в январе 1989 года я вместе с семьей отправился в десятидневный круиз по тропикам. В феврале того же года я купил ЗА НАЛИЧНЫЕ новенький Lincoln Town Car. Сейчас я строю на западном побережье Флориды свой дом с бассейном, лодочным причалом и прекрасным видом на залив, открывающимся передо мной из-за обеденного столика на террасе. Мне больше никогда не придется работать. Сегодня я богат! К настоящему времени я заработал свыше 400 000 (четырехсот тысяч) долларов, а в ближайшие 4—5месяцев стану миллионером. То же самое по силам любому другому человеку. Эта программа получения прибыли всегда работает идеально и срабатывает в 100% случаев. Пока еще не было НИ ОДНОГО СЛУЧАЯ, чтобы я не заработал 50 и более тысяч долларов, когда мне это было необходимо. При этом вы даже не должны покидать свой дом, если не считать прогулок к своему почтовому ящику или ближайшему почтовому отделению. Вскоре я понял, что, используя возможности компьютера, я могу выжать из этой финансовой схемы гораздо больше и превратить ее в невероятно эффективный генератор прибыли, равных которому в прошлом не существовало. Я отказался от услуг почтовых отделений и перешел к использованию электронных досок объявлений, делая с помощью компьютера все то, что остальные делают исключительно средствами обычной почты. Теперь лишь немногие письма я рассылаю вручную. Большая часть тяжелой работы выполняется путем рассылки писем на электронные доски объявлений, разбросанные по всему миру. Если вы считаете, что заслужили того, чтобы в один прекрасный день вам улыбнулось счастье, которого вы ожидали всю жизнь,— просто следуйте приведенным ниже инструкциям. Ваши мечты станут явью!

И далее в таком же духе.

Почему компании наводняют Internet спамом и как это делается Никому не нравится получать спам, поскольку он забивает электронные почтовые ящики и на его удаление приходится тратить время, и тем не менее компании

248

Часть 4. Защита самого себя

упорно продолжают рассылать его, поскольку, в отличие от обычной почтовой рассылки рекламы, это почти не стоит денег. Потратившись на обзаведение единственной учетной записи в Internet, любой человек может сразу же завоевать многомиллионную аудиторию, рассеянную по всему миру. С точки зрения спамеров, т.е. тех, кто рассылает спам, даже если 99% пользователей Internet и будут раздражены спамом, но 1% их все-таки купят продукт, то игра стоит свеч. Опять же, при рассылке спама вовсе не требуется набирать вручную множество адресов. Подобно тому, как при массовой рассылке обычных писем никому не приходится лизать языком каждую марку перед тем как наклеить ее на конверт, многие компании используют для массовой рассылки сообщений электронной почты специальное программное обеспечение (bulk emailing software), которое автоматизирует процесс адресации. Точно так же и вам одного щелчка на кнопке вполне хватит для того, чтобы непрошеные электронные сообщения разошлись по всей сети Internet. Многие провайдеры, т.е. поставщики Internet-услуг (ISP), идя навстречу пожеланиям пользователей, блокируют почту, поступающую с учетных записей известных спамеров, хотя иногда и раздаются голоса о том, что это незаконно, поскольку такие действия по существу являются своего рода цензурой. В представлении многих спамеры часто ассоциируются с жуликами и аферистами, однако вовсе не обязательно, чтобы так оно и было во всех случаях. Многие спамеры — такие же люди, как вы или я, которые просто хотят добиться того, чтобы их заметили, но делают это не так, как следовало бы. Для более близкого ознакомления с тем, что думают по поводу спама сами спамеры, а также с используемыми ими методами и программами, посетите Web-узел Bulk Email Store (http://www.easybiz.com), где вы найдете некоторые рекомендации от спамеров, удовлетворенных программным обеспечением, которое они используют для массовой рассылки спама.

Извлечение электронных адресов Прежде чем спамер сможет наводнять Internet своими сообщениями, он должен составить список адресов электронной почты. Хотя такие списки и можно купить, они не всегда точны и актуальны. Вместо того чтобы полагаться на покупные списки, в которых многие адреса могут оказаться уже не действующими, спамеры используют специальные программы для извлечения электронных почтовых адресов, позволяющие строить собственные списки. Для выуживания адресов подобные программы используют следующие три источника: группы новостей, Web-узлы и справочные базы данных.

Извлечение электронных адресов из групп новостей При посылке вами сообщения на форум CompuServe или в группу новостей Usenet оно появляется там с вашим электронным почтовым адресом. Существуют специальные программы, которые загружают сообщения из онлайновых служб (таких как America Online) или групп новостей Usenet, удаляют из них текст и сохраняют обратные адреса электронной почты, формируя бесплатные списки актуальных на сегодняшний день адресов.

Глава 16. Борьба со спамом

249

Немаловажным (с точки зрения тех, кто занимается массовой рассылкой электронной почты) является и тот факт, что форумы, организуемые онлайновыми службами, и группы новостей Usenet посвящены определенным темам, таким как здравоохранение, культуризм, программирование или спорт. Поэтому, например, если компания продает витамины, то ей достаточно посетить любой форум America Online или группу новостей Usenet, связанные со здравоохранением и культуризмом, и дело будет сделано, т.е. в распоряжении компании сразу же окажется список адресов электронной почты тех, кто может стать их заказчиками.

Извлечение электронных адресов из Web-узлов Программы, извлекающие адреса электронной почты из Web-узлов, работают по тому же принципу, что и программы, рассмотренные выше, но применительно к Wbbузлам. Спамеры знают, что если кто-то развернул персональный или корпоративный Web-узел, то на Web-странице, вероятнее всего, размещен и адрес электронной почты для связи (рис. 16.1). Программы этого типа просматривают Internet с целью нахождения Web-узлов, охватывающих родственную тематику, например, отдых или биржевые новости. Последующее сканирование этих узлов дает один или несколько электронных почтовых адресов. (.> Earthoniine ISITRO

.

-

i

n

l

x

j

•

Exit

Search | Resulting URL's | Status j Email Addresses j ; •<• Search Engines (Enhanced Pak) Г AOLNetFind [HotBot ' Webcrawler r Yahoo " Excite "Looksmart

JF j Г P Г

Google Magellan NewHoo PlanetS earch Sn*p

Г" Inference Find

Г LinkStar Г . Hoi 100 Г What You Seek F EuroSeek Г PlanetS earch T" Starting Point P" Northern Lights Г" Bntannica Internet

1

' Г Select All Engines

±\

Find;

' Г Search URL

rSearching Rules Г" Stay on Domain

0

Ignore URL ff Contains...

Ignore Email if Contains...

Web Page Must Contain. JEmail*12

URL Rule Help Must Contain. !URLs104

[Bytes; 576,138

Рис. 1 6 . 1 . Для нахождения Web-узлов, предоставляющих свои актуальные адреса электронной почты, программы массовой рассылки электронных сообщений могут использовать популярные поисковые системы

250

Часть 4. Защита самого себя

Извлечение электронных адресов из справочных баз данных Программы третьего типа получают адреса электронной почты из справочников служб поиска людей, таких как Bigfoot. Хотя получаемые при этом списки адресов и не обладают столь же выраженными целевыми характеристиками, как в случае Webузлов или групп новостей, с их помощью можно извлекать адреса, связанные с определенными географическими регионами, или людьми, имеющими определенные фамилии.

Маскировка спамерами своих идентификационных данных Спамеры часто вызывают гнев сотен (или даже миллионов) раздраженных жертв. Одни получатели спама высылают сердитые сообщения, другие запускают собственную программу атаки электронными письмами, высылая множество сообщений по адресу электронной почты спамера и забивая ими его почтовый ящик, который в результате этого перестает нормально функционировать. К сожалению, в результате вывода из строя или перегрузки ISP спамера могут пострадать ни в чем не повинные другие клиенты, использующие учетные записи у того же ISP, что и спамер. Во избежание подобных контратак многие спамеры создают временные учетные записи Internet (используя такие службы, как Hotmail или Juno), рассылают свой спам, а затем аннулируют учетную запись, прежде чем ктолибо сможет их атаковать. Конечно же, это означает, что спамер должен многократно открывать и закрывать учетные записи, однако отказ от услуг данного ISP и открытие новой учетной записи составляют лишь часть игры, проводимой теми, кто рассылает массовые сообщения. В случае получения ответа от заинтересованного заказчика спамер высылает ему свой постоянный адрес электронной почты или обычный почтовый адрес и номер телефона, чтобы потенциальный клиент мог подробнее ознакомиться с рекламируемым продуктом. Разумеется, для тех спамеров, которые не хотят возиться с открытием и закрытием учетных записей, существует более легкий путь. Многие программы массовой рассылки электронной почты, такие как Email Magnet, во избежание контратак получателей просто опускают электронный адрес отправителя или подставляют в сообщения фиктивный адрес.

Поиск программ массовой рассылки электронной почты Выставленных на продажу программ массовой рассылки электронной почты в ближайшем компьютерном магазине вы, пожалуй, не увидите, но множество таких программ можно найти в Web. Двумя узлами, предлагающими целый ряд программ подобного рода, являются Bulk Email Software Superstore (http://www.americaint.com) и Send-Bulk-Email.co.uk (http://www.send-bulk-email.co.uk). (См. рис. 16.2.)

Глава 16. Борьба со спамом

Fle i Ecft Ve iw Favorties Toos l Hep l Back • 3 i*) 1*1 ^ Ires* :$j htp://www.ametc ian i t.cofn

иаа

gj Go Ln iks

Al PrograTm w tih B auyF!REE Demo rysBceofm oreeY ou Emali Delivery Software: Mail-Safe:^ Platinum Corporate Mailer: ^ MachiO: Speedy Mailer: Sm tea assssM E allithAdM dre Caoileler:ctors: Hitro: Lightning: S

a

W

e

m

u

H

a

E

x

p

e

r

E

m

a

i

l

E

m

a

i

l

s

o

n

S

i

p

c

y

:

М

d

e

e

r

Е

E

x

h

p

y

d

S

b

r

a

P

t

e

c

E

r

g

t

a

c

t

v

e

m

P

e

E

E

a

y

o

a

i

m

u

l

r

e

i

e

r

l

a

i

l

l

i

v

s

b

D

l

i

e

l

E

i

a

M

d

E

m

-

l

a

M

m

(

a

H

i

l

T

w

M

L

e

r

i

t

w

/

h

o

u

I

t

m

a

a

n

e

s

g

y

I

)

S

,

P

D

i

a

t

s

a

s

u

b

a

t

r

e

s

s

!

e

D

r

i

v

e

n

P

e

r

s

o

n

a

l

i

z

e

d

M

e

e

s

s

a

g

e

s

,

&

!

d

i

r

-

e

e

a

S

e

E

e

m

R

i

r

e

a

c

l

e

o

p

P

i

e

g

m

h

s

t

d

a

e

b

y

n

c

l

m

i

(

r

i

-

e

r

e

y

e

s

D

H

y

n

p

t

a

e

i

o

c

v

r

l

T

e

u

L

o

s

a

c

M

r

a

t

e

r

o

f

m

!

!

o

c

c

e

s

s

r

a

S

t

w

a

r

e

!

!

o

n

,

e

c

!

r

,

d

p

)

g

t

d

y

i

o

n

u

p

e

,

a

s

i

t

c

n

d

i

o

u

l

l

s

t

r

y

i

n

t

,

d

o

c

u

s

r

i

y

,

&

c

i

t

y

/

s

t

a

t

e

! !

! !

t

y

,

s

t

a

t

e

,

c

o

u

n

t

r

y

,

a

l

a

n

d

m

o

r

f

o

e

!

И

r

:

t

^

a

P S

y

h

g

U

T

l

P

c

e

B

S

u

e

b

i

W

S

f

251

P

l

u

g

i

n

s

:

^

e

r

l

m

g

u

e

g

o

t

i

s

e

n

t

d

s

a

a

d

e

x

t

l

l

o

v

r

a

a

w

c

t

c

u

e

i

d

o

s

n

t

o

f

i

l

t

a

v

a

i

m

i

z

e

l

d

i

n

g

c

a

a

b

l

e

!

e

x

t

r

p

a

a

c

b

t

i

i

l

n

i

g

t

i

f

e

r

s

o

e

m

v

s

e

r

p

e

d

c

i

e

s

f

i

i

c

g

n

e

U

R

L

d

'

,

s

,

w

l

e

o

w

b

i

p

n

a

g

g

e

s

r

t

h

,

o

r

m

e

v

e

o

s

n

t

t

e

x

t

. flies.

L

i

s

t

M

a

n

a

g

e

m

e

n

t

S

o

f

t

w

a

r

e

:

HHHHHHH Ф Internet

Рис. 16.2. В Internet существует множество Web-узлов, на которых любой желающий может купить программу, предназначенную для массовой рассылки электронных почтовых сообщений (спама)

Поскольку издатели таких программ представляют собой весьма соблазнительную мишень для тех, кто желает отомстить за получаемый спам, они стараются избежать идентификации путем продажи своих программ через сторонних распространителей, которые создают собственные Web-узлы, а затем, используя обычную пирамидальную схему, подключают других желающих к продаже этих программ через их собственные узлы. Применяя для продажи своего программного обеспечения подобного рода схему многоуровневого маркетинга (multilevel marketing approach), издатели программ массовой рассылки электронной почты могут сохранять относительную анонимность и, в то же время, быть уверенными в том, что их программы будут доступны во многих местах независимо от того, насколько часто активисты антиспама будут пытаться атаковать и останавливать работу Web-узлов, предлагающих это программное обеспечение.

Защита от спамеров Теперь, когда вы уже знаете, откуда спамеры извлекают адреса электронной почты, вам легче будет понять, как с этим бороться. В зависимости от вашего настроения и темперамента ваша ответная реакция на спам может быть как сдержанной,

252

Часть 4. Защита самого себя

так и враждебной. И хотя в большинстве случаев вы просто проигнорируете спам и удалите его, некоторые из получаемых сообщений могут повергать вас в ярость.

Предъявление претензий спамеру Среди получаемого вами спама могут быть письма, содержащие адрес электронной почты, по которому вы можете потребовать, чтобы ваш адрес был удален из списка рассылки. Иногда это срабатывает, но в большинстве случаев указанные адреса являются фиктивными, или же ваш ответ просто позволит спамеру убедиться в том, что ваш адрес является действительным, и это может вдохновить его на продажу вашего адреса другим спамерам, пока он, тем временем, будет продолжать слать свой спам в ваш адрес.

Обращение с жалобами к ISP спамеров Чтобы защититься от возможного возмездия, большинство спамеров либо удаляют из сообщений обратные адреса электронной почты, либо подставляют вместо них фиктивные адреса. Но даже если вы не находите в сообщении действительный адрес электронной почты, по которому вы могли бы направить свой ответ, у вас еще остается возможность выяснить его. Для этого изучите заголовок полученного сообщения и постарайтесь отыскать в нем адрес ISP, например earthlink.net, который может находиться в заголовках From или Message-ID. Идентифицировав ISP, вы сможете направить свою жалобу непосредственно ему. Беглый просмотр приведенного ниже примера показывает, что адресом ISP спамера (возможно, поддельным, чтобы скрыть истинного ISP спамера) является example.com: Subject: Absolutely NOT Risky ! Nothing to lose !!! From: Hidden <[email protected]> Date: Fri, 01 Aug 1997 00:02:54 +0800 Message-ID: <[email protected]>

Поскольку "макулатурная" почта весьма раздражает ее получателей, большинство ISP запрещают своим подписчикам осуществлять массовую рассылку сообщений. Поэтому, если к ним поступают жалобы, ISP нередко аннулируют учетные записи спамеров. Чтобы уведомить ISP о спамере, направьте свою жалобу электронной почтой по следующим адресам: [email protected], [email protected], [email protected] или [email protected], где "spammer.site" представляет узел спамера, используемый для рассылки "макулатурной" почты. ISP не в состоянии проконтролировать всех своих пользователей, но если к ним поступает поток жалоб на одного из их клиентов, то они могут предпринять по отношению к нему определенные меры и (возможно) не допустить повторения такого злоупотребления в будущем. К сожалению, всякий раз, когда дело касается денег, всегда найдутся те, кто хватается за любую возможность заработать, невзирая на последствия. В то время как одни ISP открыто запрещают рассылку спама, другие специализируются на этом, как, например, служба EmailSending.com (http://www.emailsending.com), которая про-

Глава 16. Борьба со спамом

253

дает свои услуги исключительно тем клиентам, которые занимаются подобного рода деятельностью. Один из таких ISP даже опубликовал следующее объявление: Ваш Web-узел прекращает работу из-за вашей агрессивной маркетинговой кампании с использованием электронной почты? Если это так, вы обязательно должны воспользоваться услугами службы Bulk Friendly Web Hosting, принадлежащей Bulk Email Superstore! Наши высокоскоростные серверы подключены к дружественным по отношению к массовой рассылке сообщений магистральным коммутаторам, специально предназначенным для поглощения избыточного трафика, которые обеспечат горячую линию связи для проведения ваших электронных маркетинговых кампаний.

Поэтому, если вы направите такому ISP жалобу на одного из его клиентов, то единственным результатом может быть лишь то, что ваш электронный адрес пополнит имеющийся у клиента список актуальных адресов электронной почты и будет продан в составе этого списка кому-то другому.

Обращение с жалобами на спамеров в Налоговое управление США Поскольку многие спамеры рекламируют схемы "как-быстро-стать-богатым", велика вероятность того, что они не всегда точны в ведении отчетности о доходах, подлежащих налогообложению, и поэтому один из способов взятия реванша за полученный спам состоит в том, чтобы связаться с Налоговым управлением США (или местной налоговой службой) и побудить их к проверке правильности указания спамером размера своих доходов. Американские граждане могут направлять образцы спама либо по адресу [email protected], чтобы обратить внимание властей на возможную мошенническую основу предлагаемой схемы быстрого обогащения (make-money-fast — MMF), либо по адресу [email protected], чтобы обратить внимание на возможное уклонение спамера от уплаты налогов. Сообщения о фальсификации налоговых деклараций следует направлять непосредственно в региональный центр Налогового управления США; в настоящее время не существует адреса электронной почты Internet, специально предназначенного для приема сообщений о злостных неплательщиках налогов.

Используйте фильтры электронной почты Почтовые программы, такие как Microsoft Outlook или Eudora Pro, и Web-ориентированные почтовые узлы, такие как Hotmail или Yahoo!, позволяют осуществлять фильтрацию поступающей электронной почты на основе адресов отправителей (поле FROM), темы письма или ключевых слов. Вы можете задать правила фильтрации таким образом, чтобы сообщения проверялись на предмет присутствия в них определенных почтовых адресов спамеров, ключевых слов или тем (например, "ВОЗМОЖНОСТЬ БЫСТРОГО ЗАРАБОТКА"), а также автоматическое удаление таких сообщений или помещение их в специальную папку. К числу наиболее распространенных слов, встречающихся в спаме, относятся, в частности, следующие: "to be removed", "not mlm", "serious inquiries only", "earn $2000-$5000 weekly", "sent in compliance", "at no cost to you", "spam", "work from home", "dear friend", "to be removed",

254

Часть 4. Защита самого себя

"not multi-level marketing", "xxx" и "call now", так что пробуйте использовать сначала их. Другая возможность состоит в том, чтобы подписаться на услуги, оказываемые службами фильтрации электронной почты, например SpamCop (http:// www.spamcop.net), которые могут защищать ваш почтовый ящик от спама и направлять сомнительные сообщения в специально отведенное место, где вы их сможете просмотреть и выбрать обычные сообщения попавшие туда по ошибке. Такие программы, предназначенные для борьбы со спамом, как Spam Buster (http:// www.contactplus.com), автоматически отфильтровывают сомнительную электронную почту, анализируют заголовки сообщений и отслеживают адреса ISP спамеров, сверяя полученные электронные сообщения с базой данных, содержащей электронные почтовые адреса известных спамеров или производя поиск заданных ключевых слов (см. рис. 16.3), При обнаружении программой близкого соответствия, она перемещает подозрительные электронные сообщения в специальную папку, где вы сможете впоследствии их просмотреть и при необходимости удалить.

i с

и,.

.• eciicl '"i

-n

l->п

* \

Рис. 16.3. Для отслеживания спамеров и определения их адресов можно использовать программу Spam Buster

Определение почтовых адресов спамеров Наиболее эффективным способом борьбы со спамом является, пожалуй, определение фактического адреса электронной почты, номера телефона или обычного

Глава 16. Борьба со спамом 255 почтового адреса спамера, которые вы далее сможете использовать для своих ответных действий. Если спамер при регистрации Web-узла указал определенный адрес, войдите в реестр Network Solutions (http://www.networksolutions.com/cgi-bin/whois/ whois), введите имя домена, который вы хотите найти, и база данных Network Solutions любезно предоставит вам почтовый адрес лица, зарегистрировавшего данное доменное имя, а также информацию о сервере, на котором в настоящее время размещены соответствующие Web-страницы. Если спамер не указал Web-адрес и предоставил вам лишь свой реальный адрес электронной почты, то для определения имени домена следует изъять идентификатор спамера. Например, если адрес задан в виде [email protected], то после удаления "spammer" у вас останется имя домена ISP спамера, каковым в данном случае является isp.com. Набрав это доменное имя в реестре Network Solutions, вы узнаете, как связаться с ISP по почте или телефону, или же, добавив "www" перед именем домена, что в данном примере даст вам адрес http://www.isp.com, получите возможность посетить Web-узел ISP, где должен быть указан электронный почтовый адрес, по которому вы сможете направить свою жалобу. К сожалению, спамеры прекрасно понимают, что их Web-узлы могуг стать мишенями атак, поэтому они часто скрывают их истинные адреса посредством стороннего сервера, принадлежащего, например, ISP, который оказывает услуги по массовой рассылке сообщений. В полученном вами спаме вы обнаружите адрес, непосредственно указывающий лишь на ISP, который перенаправляет браузеры потенциальных клиентов на действительный Web-узел спамера. Благодаря описанной маскировке адреса своего фактического Web-узла и перенаправления обращений клиентов, спамер может не беспокоиться о том, что его узел будет атаковандакерами или же что жалобы пользователей на спам достигнут его ISP. Один из ISP, оказывающих услуги в области массовой рассылки сообщений, даже осмелился опубликовать объявление следующего содержания: 1Р-туннелирование — это метод, при использовании которого адресат сообщения получает доступ к вашему Web-узлу через закодированную (и неотслеживаемую) двоичную ссылку, имеющую примерно следующий вид: {

unique, в i t e . n e t . со. f r |https.am2 00 2. opt. cam: 8096)

Когда получатель выполняет щелчок на сообщении, его браузер использует для обращения к нашим серверам закодированную двоичную информацию, содержащуюся в ссылке. Далее наши серверы (работающие в скрытном режиме) связываются с вашим Web-узлом, который может быть развернут либо на вашем сервере, либо на сервере независимой стороны. Эта технология обеспечивает нашим пользователям ПОЛНУЮ защиту и анонимность.

В силу описанных выше причин, вы можете просматривать Web-узел спамера, даже не зная истинный адрес его домена, а это означает, что определить фактический адрес и номер телефона спамера вам не удастся.

256

Часть 4. Защита самого себя

Как справиться с фиктивными адресами электронной почты Если спамер открывает временную учетную запись лишь для того, чтобы наводнять "макулатурой" Internet, то с этим мало что можно сделать — спамер будет постоянно открывать все новые и новые учетные записи и впоследствии закрывать их. В то же время, если спамер подделывает обратный электронный адрес, некоторая надежда все-таки остается. Фиктивные адреса в состоянии скрыть адрес электронной почты спамера, но само электронное сообщение может предоставить возможность определить ISP спамера, если только вы знаете, как расшифровываются загадочные заголовки, в которых содержится информация о проходимом сообщением маршруте. Большинство почтовых программ скрывают заголовки электронных писем, чтобы не обременять вас излишними техническими деталями маршрутизации электронной почты. Однако путем изучения этих заголовков вы можете проследить маршрут, по которому к вам прибыла "макулатурная" почта, и не исключено, что вам удастся идентифицировать спамера. Более подробную информацию относительно способов отображения заголовков электронных сообщений при использовании целого ряда почтовых программ, в том числе Outlook, AOL, Eudora, Pegasus, Netscape и WebTV, вы можете получить, посетив Web-узел SpamCop (http://spamcop.net). Рассмотрим заголовки некоторых сообщений, присланных с действительных учетных записей электронной почты, чтобы понять их смысл. Received: from db3y-int.prodigy.net [127.0.0.1] by wflda-db3y-int.prodigy.net; Sat, 9 Dec 2000 10:38:19 0500 Received: from yorktown.stratfor.com (yorktown. stratfor.com [207.8.81.2]) bydb3y-int.prodigy.net (8.8.5/8.8.5) with ESMTP id KAA45964 for ; Sat, 9 Dec 2000 10:36:04 -0500 Received: from verdun.stratfor.com (verdun. stratfor.com [207.8.81.26]) byyorktown.stratfor.com (8.8.7/8.8.5) with SMTP id JAA07105 for ; Sat, 9 Dec 2000 09:38:25 -0600 (CST) Received: by verdun.stratfor.com with Microsoft Mail id <[email protected]>; Sat, 9 Dec 2000 09:36:39 -0600

В приведенном выше сообщении заголовки Received указывают на то, откуда поступила электронная почта, а также содержат информацию относительно времени и даты отправки. Так, из нижнего заголовка Received можно видеть, что электронное сообщение поступило от домена с именем stratfor.com и было отправлено утром в субботу 9 декабря 2000 года в 9:36.

Глава 16. Борьба со спамом 257 Следующий (в направлении снизу вверх) заголовок Received показывает, что электронное сообщение было передано в пределах домена stratfor.com (от verdun.stratfor.com к yorktown.stratfor.com) в субботу 9 декабря 2000 года в 9:38 утра. Обратите внимание на то, что домен stratfor.com идентифицируется также своим числовым (IP) адресом, указанным в квадратных скобках, [207.8.81.26]. Очередной заголовок Received показывает, что домен stratfor.com отправил электронное сообщение домену prodigy.net в субботу 9 декабря 2000 года в 10:36 утра. Как следует из верхнего заголовка Received, электронное сообщение было переправлено в пределах домена prodigy.net в почтовый ящик получателя в субботу 9 декабря 2000 года в 10:38 утра. Заметьте, что домен prodigy.net также идентифицируется своим числовым адресом, указанным в квадратных скобках, [127.0.0.1]. Из этого примера видно, каким образом в каждом из заголовков Received записывается информация о передаче электронного сообщения от одного домена к другому. В сообщениях с поддельным адресом заголовки Received, показывающие пройденный сообщением маршрут, часто отсутствуют, а если и присутствуют, то в избыточном количестве, чтобы сбить вас с толку. Ниже приведен пример спама с бросающейся в глаза подделкой, поскольку заголовки Received не отражают маршрута прохождения сообщения от домена отправителя (Sender), каковым в данном случае является домен infosonic.com, к учетной записи получателя, в данном случае — учетной записи в CompuServ. Sender: [email protected] Received: fromBlaze.cscent.net ([206.98.109.9]) by arl-img-10.compuserve.com (8.8.6/8.8.6/2.9) with ESMTP id TAA09818; Sun, 3 Dec 2000 19:52:30 -0500 (EST) Date: Sun, 3 Dec 2000 19:52:30 -0500 (EST) From: [email protected] Message-Id: <199712040052.TAA09818@arl-img~10. CompuServe.com> To: [email protected] Subject: "Earn Insane Profits At Home!"

Кроме отображения недостаточного количества заголовков Received, что должно затруднять отслеживание маршрута электронной почты, другим явным признаком того, что электронный адрес был подделан, служит тот факт, что в заголовке Received использована заглавная буква ("В"), присутствующая в адресе Blaze.csent.net. (В большинстве заголовков Received используются буквы либо только верхнего, либо только нижнего регистров, но не смешанный набор.) ПРИМЕЧАНИЕ У вас может сложиться впечатление, что для рассылки спама спамер использует либо адрес infosonic.com, либо адрес csent.net, но в обоих случаях доменные адреса могут быть поддельными. Если вы не уверены полностью в обратном, то от отправки своих жалоб по этим адресам лучше воздержаться, поскольку их владельцы могут не иметь никакого отношения к спаму.

258

Часть 4. Защита самого себя

Ниже приведен пример еще одного электронного сообщения с поддельным адресом: Return-Path: <[email protected] > Received: from relay27.mail.aol.com (relay27.mail.aol.com [172.31.109.27]) byair27.mail.aol.com (v36.0) with SMTP; Wed, 13 Dec 2000 14:09:15 -0500 Received: fromull.satlink.com (ull.satlink.com [200.0.224.2]) by relay27.mail.aol.com (8.8.5/8.8.5/AOL-4.0.0) with ESMTP id MAA21540; Tue, 12 Dec 2000 12:23:29 -0500 (EST) From: [email protected] Received: from 34lHT27yw (sdn~ts-003nynyorP15. dialsprint.net [206.133.34.66]) byull.satlink.com (8.8.8/8.8.8) with SMTP id OAA13401; Tue, 12 Dec 2000 14:23:04 -0300 (GMT-3) Received: From jldqu3plJ (sdn-ts-003nyorP04. dialsys33.net [306.203.08.10]) bycor.ibuyitnow22.net (8.8.5/8.7.3) with SMTP id JJA109; Tue, 12 Dec 2000 12:20:35 -400 (EDT)

Вы можете утверждать, что данное электронное сообщение — поддельное, поскольку нижний заголовок Received грешит тремя очевидными изъянами. Во-первых, он не дает возможности проследить цепочку маршрута от электронного почтового адреса получателя до адреса отправителя (в данном случае им является учетная запись в America Online). Три верхних заголовка Received показывают, что America Online получила сообщение с адреса ull.satlink.com, на который, в свою очередь, почта поступила от sdn-ts-003nynyorP15.dialsprint.net. Нижний заголовок Received — это просто "мусор", задача которого — сбить вас с толку, поскольку он не связан ни с одним сообщением, отправленным в адрес домена sdn-ts-003nynyorP15.dialsprint.net. Второй недостаток нижнего заголовка Received связан с доменом sdn-ts003nynyorP15.dialsprint.net, в качестве IP-адреса которого указан числовой адрес [306.203.08.10]. В числовых IP-адресах допускается лишь использование чисел, принадлежащих интервалу от 0 до 255, поэтому наличие любого числа, превышающего 255 (в данном случае — 306) сразу же выдает тот факт, что данный заголовок Received является поддельным. Третьим огрехом является то, что слово "From" начинается с заглавной буквы; в остальных заголовках Received вместо него используются слова "from". Поскольку нижний заголовок Received является откровенно поддельным, вы можете полностью игнорировать его. Изучая остальные заголовки Received, вы можете прийти к заключению, что электронная почта поступила с домена sdn-ts003nynyorP15.dialsprint.net. Для окончательной проверки того, что данное доменное имя является действительным, а не поддельным, взгляните на числовой адрес домена, содержащийся в квадратных скобках. В данном случае таковым является адрес [206.133.34.66].

Глава 16. Борьба со спамом 259

Программы просмотра DNS Установив имя и числовой адрес спамера в Internet, вы можете убедиться в существовании домена с помощью удобного онлайнового инструментального средства, которое называется Whois. Для запуска этого средства войдите в реестр Network Solutions (http://www.networksolutions.com/cgi~bin/whois/whois). Для запуска команды Whois вы также можете воспользоваться одной из программ просмотра DNS, частичный перечень которых приводится ниже: http://www.evolve.co.uk/dns http://www.nwpsw.com http://www.samspade.org

DNS Workshop NetScanTools Sam Spade

Для получения дополнительных сведений относительно методов выслеживания спамеров посетите Web-узел UXN Spam Combat (http://combat.uxn.com), где вы найдете список других средств, предназначенных для просмотра DNS, отслеживания маршрутов сообщений, тестирования DNS и т.п. (рис. 16.4). Fe li Edti Veiw Favoftes Toosl Hepl Q

васк -

,x| Z] U

/

ч

Search ^

Favorite

<£rt 0* t& Ш " e В '«t :

-

^ 1 . 1 1 «-JK3

U X f l

р | э а т combat

H oe st to r IP addre ss om f sln tiieto to tS c IraP s noear(dotheNO toTp,co onylpa thE enteerndan IP addre Q

O

u

-

j

e

r

y

1

0

.

e

r

t

0

y

0

t

s

0

h

*

.

А

0

e

0

Р

Ь

Ч

p

'

)

0

P

J

P

f

D

foOO.000.000.000

*

t

s

b

|

a

t

a

£

s

Q

b

a

«

u

s

T h *baS pam had u P rore jm ct dn ata sa e ltss sppn irfto o sp mhos o ou*tftis

^

e

r

y

|

e

1 Query |

Query tha APNIC Database 1 0 000

US Federal Judge Stanley Sporkim

SPAM COMPLAINTS ASSISTANT

Рис. 16.4. Ha Web-узле UXN Spam Combat в изобилии представлены инструментальные средства, облегчающие отслеживание неуловимых спамеров

Какую бы версию команды Whois вы ни использовали, она предоставит вам ответ-на вопрос о том, существует ли в действительности домен dialsprint.net. В нашем примере Whois сообщит следующее:

260

Часть 4. Защита самого себя

Sprint Business Operations (DIALSPRINT-DOM) 12490 Sunrise Valley Dr. Reston, VA 22090 US Domain Name: DIALSPRINT.NET Administrative Contact, Technical Contact, Zone Contact: Sprint DNS Administrator (SDA4-ORG) dns-admin@ SPRINT.NET (800)232-6895 Fax- (703)478-5471 Billing Contact: Sprint Internic Billing (SIB2-ORG) [email protected] (800)232-6895 Fax- (703)478-5471 Record last updated on 23-Jan-00. Record created on 12-Feb-96. Database last updated on 22-Dec-99 05:27:44 EDT. Domain servers in listed order: NS1. DIALSPRINT. NET 206.134.151.45' NS2.DIALSPRINT.NET 206.134.79.44 NS3.DIALSPRINT.NET 205.149.192.145

Это сообщение говорит нам о том, что dialsprint.net является действительным доменным именем, и одновременно предоставляет в наше распоряжение адрес электронной почты администратора домена. Для получения дополнительных доказательств того, что информация, указанная в заголовке Received, корректна, воспользуйтесь одной из программ просмотра DNS, например, Sam Spade или NetScanTools, которые позволят убедиться в том, что приводимый IP-адрес действительно принадлежит домену с указанным именем. В нашем примере последний из действительных заголовков Received, имеет следующий вид: from 341HT27yw (sdn-ts-003nynyorPI5.dialsprint, net [206.133.34.66])

Отсюда видно, что имя домена было замаскировано ничего не означающей последовательностью символов "34IHT27yw". Изучение других заголовков Received показывает, что в этой строке должно фигурировать то же самое доменное имя, которое появляется в скобках (sdn-ts-003nynyorP15.dialsprint.net). Поскольку спамер намеренно исказил эту информацию, вы можете быть совершенно уверены в том, что она правильно отражает адрес ISP, через которого была осуществлена отправка электронной почты. Исследование числового адреса [206.133.34.66] с помощью команды Name Server Lookup (NSLookup) подтверждает, что он действительно принадлежит домену sdnts-003nynyorP15.dialsprint.net. Таким образом, мы можем быть вполне уверены в том, что спамер использовал для отправки электронной почты домен dialsprint.net. Разу-

Глава 16. Борьба со спамом

261

меется, спамер мог открыть учетную запись на домене dialsprint.net исключительно для рассылки спама и впоследствии ее уничтожить, но у вас, по крайней мере, имеется возможность обратиться со своей жалобой к данному ISP.

Маскировка своего электронного почтового адреса на Web-узле Многие спамеры используют специальные программы для извлечения действительных электронных почтовых адресов из Web-узлов, которые считывают HTMLкод Web-страницы и осуществляют поиск адреса. Поэтому один из способов, позволяющих обмануть указанные программы и замаскировать свой электронный почтовый адрес внутри HTML-кода, состоит в замене электронного почтового адреса его эквивалентом, записанным в ASCII-коде. Обычно адрес появляется в исходном HTML-коде, будучи записанным с помощью простой латиницы. Например, если вы включаете свой электронный почтовый адрес, [email protected], в состав Web-страницы, то его эквивалент в HTML-коде будет выглядеть примерно следующим образом:

Email address: myname@isp. com< / a x /p>

В условиях, когда адрес отчетливо различим в пределах HTML-кода, его извлечение из Web-страниц не составит для специализированных программ никакого труда. Однако если вы замените каждую букву адреса ее ASCII-эквивалентом, т.е. подставите m вместо буквы "т", m вместо буквы "у" и т.д., то ваш HTML-код приобретет следующий вид:

Email address:
О9;yО;a
О9;
О1;

4;isp.com

Обе версии HTML-кода одинаковым образом отображают почтовый адрес [email protected] на Web-странице, но ASCII-версия предотвратит извлечение вашего адреса спамерами, поскольку используемые ими для этой цели специализированные программы не распознают в ASCII-коде истинный электронный почтовый адрес. Для представления каждого символа своего электронного почтового адреса в ASCII-кодировке воспользуйтесь таблицей ASCII-кодов (http://www.asciitable.com).

Дополнительные рекомендации относительно борьбы со спамом Один из ранних способов борьбы со спамом состоял в ведении базы данных электронных почтовых адресов и ISP известных спамеров. К сожалению, спамеры могут часто переходить от одного ISP к другому, делая большинство таких баз данных бесполезными. Для преодоления этой трудности в программе Kill The Spams (http:// www.zipstore.com) используется список правил, позволяющих обнаруживать в заго-

262

Часть 4. Защита самого себя

ловках поступающей электронной почты признаки спама. Если заголовок выглядит подозрительно, программа может пометить электронное сообщение как спам или автоматически уничтожить его. Для защиты электронного почтового ящика от спама такие программы, как Spam Buster (http://www.contactplus.com), SpamButcher (http://www.spambutcher.com) и SpamKiller (http://www.mcafee.com) используют методы фильтрации в сочетании с информацией об известных спамерах из базы данных. С целью повышения точности диагностики программа Spam Buster может осуществлять просмотр DNS в электронных сообщениях, что позволяет проверить действительность адресов, указанных в заголовках. Чтобы исключить возможность ошибочного отсеивания полезных сообщений, многие антиспамовые программы предоставляют возможность ведения специального списка Friends, позволяющего указать программе, какие адреса следует считать дружественными и всегда принимать соответствующие сообщения. Чтобы снизить вероятность получения спама, прежде всего следите за тем, кому вы предоставляете свой адрес электронной почты. Создайте отдельную учетную запись, воспользовавшись одной из бесплатных почтовых служб, например Hotmail, и используйте ее для размещения своих сообщений в группах новостей Usenet или для совершения покупок в онлайновом режиме (многие компании продают свои электронные почтовые адреса, если вы регистрируетесь у них). Создавая учетные записи, играющие роль ловушек, вы можете направлять спам на учетные записи, которые вы редко используете, тем самым предохраняя учетную запись, которой вы пользуетесь ежедневно, от назойливого спама.

Ресурсы, посвященные методам борьбы со спамом Несмотря на наличие соответствующих законов, а также применение в отношении спамеров угроз и мер физического воздействия, рассылка спама настолько выгодна в экономическом отношении, что она, по-видимому, будет еще долго продолжаться. Если спам по-настоящему досаждает вам, присоединитесь и примите участие в деятельности организации CAUCE (Coalition Against Unsolicited Commercial Email — Коалиция по борьбе с нежелательными коммерческими электронными почтовыми сообщениями), Web-узел которой находится по адресу http://www.cauce.org и которая состоит из пользователей, совместно выступающих за принятие новых законов, призванных навести пордцок с рассылкой непрошеных электронных сообщений. Чтобы убедиться в том, насколько эффективными могут быть действия одиночки в борьбе со спамом, посетите Web-узел Netizens Against Gratuitous Spamming (http:// www.nags.org). На этом Web-узле даются советы относительно того, как распознать спам и справиться с ним, а также предлагаются примеры различного рода "половы", представляющей собой бесполезные данные, предназначенные исключительно для того, чтобы обмануть спамеров, извлекающих адреса электронной почты из Webузлов.

Глава 16. Борьба со спамом

263

Чтобы ознакомиться с последними новостями, связанными со спамом, и узнать больше о методах борьбы с ним, посетите Web-узел Death to Spam (http:// www.mindworkshop.com), Web-узел SpamNews (http://www.petemoss.com/spam), который представляет собой электронную газету для администраторов ISP, публикующую новости о различных методах борьбы со спамом, а также Web-узел Junkbusters (http://www.junkbusters.com). С этой же целью можете ознакомиться с материалами, публикуемыми международной группой борьбы со спамом Fight Spam (http:// www. abuse. net/spam). Чтобы узнать самые последние новости о спамерах или предупредить о появлении новых спамеров других людей, посетите следующие группы новостей: alt.currentevents.net-abuse, alt.current-events.net-abuse.spam, alt.spam, alt.privacy, news.admin.netabuse.misc, news.admin.net-abuse.announce и news.admin.net-abuse.email.

Глава 17 Web-''жучки", навязчивая реклама, всплывающие рекламные окна и "шпионские" программы Технический прогресс предоставил нам лишь более эффективные средства для движения в обратном

направлении. — Алдус Хаксли (Aldous Huxley)

В МИРЕ РЕКЛАМЫ НА САМОМ ДЕЛЕ НИЧТО НЕ ЯВЛЯЕТСЯ БЕСПЛАТНЫМ. Программы, которые вы слушаете по радио, телевизионные шоу, которые вы смотрите по телевизору,— все это оплачено рекламодателями, которые взамен получают право передавать свои сообщение в любое удобное для них время. Большинство людей терпят теле- и радиорекламу лишь постольку, поскольку они уже привыкли к постоянным рекламным паузам. Однако в мире Internet уровень терпимости людей по отношению к рекламе гораздо ниже. Несмотря на то что реклама обеспечивает существование множества служб, которые бесплатно размещают на своих серверах Webстраницы, а также бесплатно или за небольшую плату оказывают Internet-услуги, грань, существующая между рекламой продукции и навязчивым вторжением рекламы в частную жизнь, оказывается весьма1 тонкой. Когда вы слушаете или смотрите рекламные ролики по радио и телевидению, вы можете просто не обращать на них внимание. К сожалению, с рекламой в Internet дела не всегда обстоят таким же образом. В идеальном случае реклама должна была бы появляться только один раз и предоставлять вам возможность убрать ее. Вместо этого рекламные объявления могут не только неожиданно появляться на экране вашего монитора (и неоднократно всплывать впоследствии), но и отслеживать, какие Web-страницы вы посещаете, с целью

Глава 17. Web-''жучки", навязчивая реклама, всплывающие рекламные окна ... 265

определения ваших предпочтений, а это все равно, как если бы радио или телевидение могли заглядывать в вашу квартиру, чтобы подсмотреть, какой сорт картофельных чипсов вы едите в данный момент. Для вторжения в вашу личную жизнь те, кто распространяет рекламные объявления в Internet, используют множество способов, включая Web-''жучки", навязчивую рекламу и безостановочный поток всплывающих рекламных окон.

Берегитесь \Л/еЬ-"жучков" Рекламодатели всегда должны знать, насколько эффективна их реклама в данный момент. Поскольку сеть Internet охватывает весь мир, почти невозможно сказать, какое количество людей и кто именно просмотрел рекламу. Для решения этих проблем те, кто публикует рекламу, создали так называемые Web-''жучки".

Отслеживание посещаемых вами Web-узлов Когда вы хотите посетить Web-узел, ваш браузер направляет серверу Web-узла запрос, чтобы тот переслал на ваш компьютер текст и изображения, формирующие Webстраницу. Таким образом, прежде чем он сможет это сделать, любой Web-сервер должен сначала определить IP-адрес вашего компьютера. При получении вашим браузером информации о Web-странице, эта информация поступает в виде кода HTML (Hypertext Markup Language — Язык разметки гипертекста), который предоставляет браузеру точные инструкции относительно того, каким именно образом следует отображать и позиционировать текст и графику. Отдельные участки HTML-кода Web-страницы, получаемой вашим браузером, определяют имя графического файла, его размер, а также имя сервера, с которого поступил этот файл. В приведенном ниже примере HTML графический файл носит имя dotclear.gif, ширина и высота изображения составляют каждая по одному пикселу, а сам файл был отправлен сервером, находящимся по адресу http://ad.doubleclick.net:
width=l height=l>

Web-''жучки" (web bugs) прячутся на обйчных Web-страницах в виде неразличимых изображений, ширина и высота которых составляют всего лишь по одному пикселу, так что вы даже не заметите, что за вами организовано наблюдение. При пересылке Web-''жучка" вашему браузеру сервер может немедленно установить следующее: > IP-адрес компьютера, который получил Web-''жучок" > Конкретную Web-страницу, в которую был внедрен Web-''жучок" > Время и дату извлечения Web-''жучка" > Тип браузера, которым был получен Web-''жучок" Простейшие Web-''жучки" позволяют издателям рекламы оценивать количество людей, посетивших определенный Web-узел и просмотревших определенную страницу. Более коварные Web-''жучки" могут работать совместно с cookie-файлами и использоваться для отслеживания того, какие Web-узлы предпочитает посещать тот или иной пользователь, чтобы в компьютерах можно было отображать рекламу, соответствующую вкусам данного индивидуума.

266

Часть 4. Защита самого себя

Использование Web-''жучков11 в спаме В некоторых случаях Web-''жучки" могут появляться в спаме (см. главу 16), будучи запрятанными внутри электронного сообщения, что дает рекламодателям возможность оценивать, сколько раз люди читали (или, по крайней мере, открывали) то или иное сообщение. Если кто-то не утруждает себя просмотром поступившего к нему по электронной почте сообщения, содержащего "жучок", то это говорит о том, что либо данный электронный почтовый адрес является фиктивным, либо его обладатель просто не читает сообщений. В любом случае, те, кто рассылает рекламу, вероятнее всего исключат этот электронный почтовый адрес из своего списка, чтобы не тратить попусту время на рассылку объявлений, которые все равцо не будут прочитаны. К числу компаний, уличенных во внедрении Web-''жучков" в свои маркетинговые электронные сообщения, относятся компании Experian (http://www.experian.com), Digital Impact (http://www.digitalimpact.com) и Responsys (http://www.responsys.com). Просмотрев Web-узлы указанных компаний, вы можете получить лучшее представление о том, как работают маркетинговые фирмы, использующие электронную почту, и каким образом в один прекрасный момент вы сами можете стать их мишенью.

Использование \Л/еЬ-"жучков" в группах новостей Кроме незаметного помещения Web-''жучков" в целевые сообщения электронной почты, существует также возможность их внедрения в сообщения групп новостей. Этот способ позволяет рекламодателям не только оценить частоту просмотра того или иного рекламного объявления, но и отследить конкретный IP-адрес каждого, кто загрузил Web-''жучок" в свой компьютер. Люди с параноидальным складом характера считают, что Web-"жyчкиff могут использоваться властями для установления личности тех, кто подписывается на неблагонадежные с точки зрения существующего политического режима группы новостей, тогда как другая, менее конспиративно настроенная категория людей допускает возможность использования Web-''жучков" государственными организациями для выявления торговцев детской порнографией или "пиратскими" копиями МРЗ-файлов. Поскольку Web-''жучки" невидимы и, вероятнее всего, вы даже не заметите их присутствия, не исключено, что ваш IP-адрес и сведения о предпочтительной тематике просматриваемых вами Web-узлов уже получены некой безликой кЬрпорацией без вашего ведома.

Способы защиты от \Л/еЬ-"жучков" Поскольку при отслеживании предпочтительных тематик Web-страниц, просматриваемых пользователями Internet, Web-''жучки" используются совместно с cookieфайлами, то первым вашим шагом должна быть настройка своего браузера на отказ от каких бы то ни было cookie. Ввиду того, что с практической точки зрения, это не всегда оправдано, особенно если вы являетесь завсегдатаем онлайновых магазинов, посетите Web-узел Bugnosis.org (http://www.bugnosis.org) и загрузите предлагаемое ими бесплатное инструментальное средство Bugnosis (рис. 17.1).

Глава 17.\Л/еЬ-"жучки", навязчивая реклама, всплывающие рекламные окна ...

аск - Ч

- 'J

f\ $

^Search

jJFavortes

^Medw

J

:^~

•

^

267

В

Popup Eiminator }( XBtockPopups f -& Use SmartSensor »* Add Current Site to Alow Ust f j f More Options... j И Popups Blocked R REGISTER NOW!

p!*c* youf ad h*f e clKfc tot з<1 г я и A into

DMNEWS The Onile New>pap*r of Record for Driect Marke»t?» -et Dirtctoiy

Classified Ads

Advertise

Subset»*

S E A R C HN E W S Miss Clco Heads for Hearing,

r j I | j \ I i

Executives Plead Guilty

Fro n P tcy ageNw A gs n to «oss /se c a o is tri/Sho 8 to В Catalog/Retail Datab«« Mktg DM of HiTech Edftorufc/Opinion Fundiaisir,g Infomerciab/DRTV International DM iMa*«tingN«wB

Yourec Ddl Harris, known on late-night television as Miss Cleo, is expected to appear before a judge today for a hearing on charges by the state of Florida that she misled consumers, two days after her former employers pleaded guilty to charges in Missouri. Mora.,,

Marketers Ready if Port Shutdown Is Brief The Sharper Image knew it needed to plan for the possibility of a West Coast port shutdown. More...

Display 1 W PopupBugnc»isvwKiowwhenaWebtxigi$found F Show TPCookie (third party cookie) values W Sort results by suspjeiousness tathet than older of appearance Г* List unsuspicious images too & Make Web bugs visible <* Use defau» image ' Г Specify image fie j

! P Play sound when aWeb bug is found I <• Ray default sound | Г Specify wave file f j Tvro days after Gruner + Jehr USA j Publishing filed e. $100 million lawsu i i t Rosie O'Donnell for leavine

1 1

u

| Bugnosis analysis of: DMNews.com (http://www.dmnews.com/cQi-bin/index.cQi)

P

^

p

А

o

М

a

R

n

Ш

t

e

e

m

n

u

i

C

I

H

n

d

|

m

S

(

e

c

«

t

o

k

to

"

P

a

n

n

o

y

r

u

p

d

a

t

e

^

w

e

d

r

a

n

t

a

B

u

g

n

e

n

t

s

b

a

s

e

o

a

s

i

t

e

s

w

v

e

'

d

v

r

.

w

a

.

t

a

b

a

s

b

u

g

n

o

i

e

a

s

|

i

i

n

s

4

d

.

c

o

^

j

h

e

c

k

g

j

d

a

y

s

j MM Highlighted images may be Web bugs. j

Properties

Contact

Image URL

1

ijjp Internet

Рис. 17.1. Бесплатное инструментальное средство Bugnosis позволяет обнаруживать узлы, использующие Web-''жучки"

При посещении вами различных Web-узлов Bugnosis сканирует каждую Web-страfl ницу и в случае обнаружения подозрительных Web-"жyчкoв подсвечивает их и выдает предупреждающий звуковой сигнал. Используя Bugnosis совместно с Internet Explorer вы сами сможете убедиться в том, насколько в действительности распростM раненными являются Web-'^y4KH , особенно если проверите это на примере GIFизображений, получаемых вами со своих излюбленных Web-узлов, таких, например, как DM News (http://www.dmnews.com), Detroit News (http://www.detnews.com) или New York Times (http://www.nytimes.com).

Навязчивая реклама — программное обеспечение со встроенными рекламными объявлениями В течение очень длительного времени существовало четыре категории программного обеспечения: коммерческие программы (commercial programs), возможность апробирования которых предоставляется только после их покупки; условно бесплатные программы (shareware), которые можно сначала опробовать, и лишь затем купить,

268

Часть 4. Защита самого себя

если они вам подходят; бесплатные программы (freeware), которые можно использовать без оплаты и общедоступные программы (public domain software), у которых отсутствует владелец, так что их можно свободно использовать и изменять по своему усмотрению. Когда программисты хотят заработать на продаже программ, они часто выпускают сначала их условно бесплатные версии, чтобы люди во всем мире могли их бесплатно опробовать. После того как программа завоюет популярность, ее обычно переводят в ранг коммерческого продукта. Хотя и можно было бы привести множество примеров, когда создатели условно бесплатных программ превратились в миллионеров, гораздо чаще такие программы приносят их разработчикам лишь скромные доходы, и от этого факта никуда не денешься. Чтобы увеличить свои шансы на успех, многие разработчики условно бесплатных программ решили превратить свои творения в новую категорию программного обеспечения, названную рекламным программным обеспечением (adware). Как следует из самого названия, рекламное программное обеспечение в процессе выполнения программы отображает рекламные объявления (см. рис. 17.2). Если вы подключены к Internet, рекламные программы могут получить доступ к серверу и отображать беспрерывно меняющиеся последовательности рекламных объявлений при каждом запуске программы.

1 need a

w i n a trip t o Scottsdale Share the WeatfterBug!

Рис. 1 7 . 2 . Пример рекламного объявления, отображаемого при каждом запуске рекламной программы

Включая рекламу в свои программы, программисты могут быть уверены в некоторой гарантированной прибыли независимо от того, сколько человек в конечном счете зарегистрируются в качестве легальных пользователей программы и внесут за

Глава 17. Web-''жучки", навязчивая реклама, всплывающие рекламные окна ...

269

нее деньги. Рекламодателям нравится использовать рекламное программное обеспечение, поскольку оно обеспечивает доступ к более широкому кругу потенциальных заказчиков рекламируемой продукции. К сожалению, единственными, кто не горит любовью к рекламному программному обеспечению, являются именно те люди, для которых оно предназначено. Хотя рекламные программы и могут вызывать раздражение, сами по себе они безвредны. В то же время, вместо того чтобы просто отображать рекламу, некоторые из подобного рода программ втайне извлекают информацию из компьютера пользователя и пересылают ее рекламодателю, что является уже свойством программ, относящихся к категории "шпионского" программного обеспечения (spyware). В качестве такой информации может выступать всего лишь тип и номер версии операционной системы, установленной на вашем компьютере, или же ваш IP-адрес вместе со списком сохраненных cookie-файлов, который рекламодатель может изучить для выявления того, какая тематика вас больше всего интересует. Если вы запустите рекламную программу, то вполне вероятно, что она будет пересылать без вашего согласия информацию о посещаемых вами Web-узлах электронных магазинов рекламодателю, а это все равно, как если бы незнакомый человек зашел на вашу кухню и начал переписывать наименования всех продуктов, которые вы купили в течение последних трех дней. Для получения более подробной информации относительно рекламного программного обеспечения различных категорий, загляните на узел Adware.info (http:// www.adware.info). Если вас интересует вопрос о том, какого типа компании оказывают поддержку разработчикам рекламного программного обеспечения, посетите Web-страницу Software Marketing Resource (http://www.softwaremarketingresource.com/ adware.html).

Защита от назойливой рекламы Поскольку идея программного обеспечения, забрасывающего пользователей рекламными объявлениями, многими людьми воспринимается, мягко говоря, без особого воодушевления, большинство рекламных программ пытаются скрыть тот факт, что в них содержится реклама. Чтобы облегчить задачу обнаружения рекламных программ, которые могли незамеченными попасть в ваш компьютер, загрузите бесплатную копию программы Ad~aware, представленной на рис. 17.3 (http://www.lavasoftusa.com). Подобно любой антивирусной программе, Ad-aware сканирует оперативную память компьютера, жесткий диск и файл системного реестра, осуществляя поиск файлов, которые могут быть однозначно соотнесены с известными рекламными программами, такими как CuteFTP, NetSonic или Go'.zilla. Обнаружив известную рекламную программу, Ad-aware предоставляет вам возможность полного ее удаления из вашей системы. Для поиска других средств, позволяющих удалить рекламное программное обеспечение, посетите Web-узел Bulletproof Software (http://www.bulletproofsoft.com) и опробуйте их программу BPS Spyware/Adware Remover. В отличие от Ad-ware, программа BPS Spyware/Adware Remover не является бесплатной, но она включает в себя средства, позволяющие обнаруживать и удалять любое "шпионское" программное

270

Часть 4. Защита самого себя

обеспечение, развернутое на вашем компьютере. (Более подробно о "шпионских" программах говорится в разделе "Обнаружение "шпионского" программного обеспечения" далее в этой главе.) Q Lavasoft Ad-aware 5.83 EJ: D J§ My Computer | D<$ Scan Memory

A d - a w a r e

В D ^ f Scan Registry i | U # Quick Scan i П g$> Deep Scan Ё1 О щ* Scan Drives f D j ? A (Removable) ) G_jC(Fixed) ! D M F (Removable)

5 , 0 release 5.83 -Build 2.930, ©6/2002-

Click this button to start scanning the sections defined in the list at the left. Expand the drives-node to select\deselct single drives to scan. Your settings will be remembered for your next session.

Backups

Manage, restore or delete formerly created backups using this option. You can change the backup folder in the configuration menu f£ u J I unYi a /i d- u >7 иг а

Configuration

This button brings up an new window where you can set additional properties and manage your exclude list, define paths and safety options.

• jJj.ryLl-yj

#Help

| •Mean now | j

jSignaturehle in use : 029-15.06.2002

Рис. 17.3. Программа Ad-aware способна обнаруживать и удалять рекламное программное обеспечение, скрытно помещенное в ваш компьютер

Еще лучше, если перед тем, как загрузить условно бесплатную или бесплатную программу, вы посетите Web-узел Spychecker (http://www.spychecker.com). Spychecker располагает базой данных, содержащей сведения обо всех известных рекламных программах, так что, прежде чем загрузить и установить ту или иную программу, вы сможете выяснить, будет ли она шпионить за вами.

Противодействие программе Ad-aware со стороны разработчиков рекламного программного обеспечения Нет ничего удивительного в том, что возможности программы Ad-aware расстроили многих рекламодателей и разработчиков рекламного программного обеспечения, которые увидели в Ad-aware угрозу своим источникам дохода. В частности, в одной рекламной программе, а именно RadLight, версия 3.03, выпуск 5.0 (http://www.radlight.net). предусмотрено сканирование жесткого диска компьютера для обнаружения установленной программы Ad-ware. Обнаружив затаившуюся в вашем компьютере программу Ad-aware, RadLight деинсталлирует ее без вашего ведома. Благодаря этому RadLight сможет и далее забрасывать ваш компьютер рекламными объявлениями и передавать ваши данные рекламодателю без каких-либо препятствий со стороны Ad-aware. В свое время Игорь Янос (Igor Janos), автор программы RadLight, заявил: "Поскольку Ad-aware вела себя враждебно по отношению к нашему пакету, я вынужден был защищаться".

Глава 17. Web-''жучки", навязчивая реклама, всплывающие рекламные окна ... 271 Эти действия немедленно вызвали обратную реакцию, направленную против RadLight, в результате чего последняя версия программы RadLight 3.03, выпуск 5.2, предоставляет вам возможность выбора, деинсталлировать Ad-aware, или нет. Чтобы дополнительно дистанцироваться от имеющего негативный оттенок ярлыка "рекламной программы", RadLight в настоящее время пропагандирует свою поддерживающую рекламу версию как консультативное программное обеспечение ("helpware"), словно реклама способна каким-либо образом оказывать помощь пользователю. Не будучи совершенно идеальным, подобный компромисс предоставляет вам как пользователю хоть какую-то возможность выбора. Естественно, гораздо более эффективно было бы просто избегать использования каких бы то ни было рекламных программ и регулярно запускать программу Ad-aware, чтобы оградить себя от возможных неприятностей.

Избавление от рекламы в AOL Instant Messenger Учитывая тот факт, что реклама успешно проникла в условно бесплатное программное обеспечение, электронную почту и на Web-страницы, ее появление в программах немедленного обмена сообщениями не может рассматриваться как неожиданное. Появилась она и в AOL Instant Messenger (AIM), одной из наиболее популярных в настоящее время служб немедленного обмена сообщениями. В результате этого в процессе вашего общения с партнерами с использованием этой службы в окне AOL Instant Messenger могут неожиданно выскакивать рекламные объявления. Если реклама начинает вас раздражать, попытайтесь удалить ее вручную, отредактировав содержимое файла "aim.odl" с помощью любого текстового редактора, например Блокнота (Notepad). Найдите в этом файле следующий код: on__group (5) {

load_ocm } on_group(ll) { load_ocm }

advert

required

advert

required

Необходимые исправления сводятся к вставке символов точки с запятой перед строками load_ocm, как показано ниже: on__group (5) {

; load_ocm } on_group(ll) { ; load_ocm }

advert

required

advert

required

Сохраните файл под именем "aim.odl" в той же папке, в которой он до этого находился, и AOL Instant Messenger больше не будет беспокоить вас рекламой. Если

272

Часть 4. Защита самого себя

вы не хотите возиться с редактированием неизвестного вам файла на жестком диске, загрузите копию программы DeadAIM (http://www.jdennis.net/index2.htm), которая автоматически избавит вас от назойливой рекламы в AOL Instant Messenger.

Всплывающая и скрытая реклама На начальном этапе развития рекламы в Internet она имела вид рекламных баннеров, размещаемых в соответствии с определенным планом на Web-страницах. Однако со временем было обнаружено, что такую рекламу обычно не замечают, и поэтому, чтобы заставить людей хотя бы осознавать наличие рекламы, были придуманы всплывающие и скрытые рекламные объявления. Всплывающие рекламные объявления (pop-up ads) всплошную покрывают экран окнами, рекламирующими все, что угодно,— от сниженных процентных залоговых ставок до дешевых круизов (см. рис. 17.4). Поскольку рекламные окна покрывают любую рассматриваемую вами страницу, вы не увидите на ней ничего до тех пор, пока не закроете эти окна. Особенно надоедливые рекламные объявления созданы разработчиками порнографической рекламы: каждый раз, когда вы закрываете одно всплывающее окно, вместо него появляется три-четыре новых.

Address Щ http://www.warez.com/

* '3 i±3 fll ^«Search GUFavorites

Ш iSS ! ^Search ^Favorites %Media Addws]:^ktp://www.forbiddenplace.com/ff/Tour/FP/Home.jsp Popup Eliminator

Рис. 1 7 . 4 . Всплывающие рекламные объявления могут появляться на вашем экране быстрее, чем вы будете от них избавляться

Глава 17. Web-''жучки", навязчивая реклама, всплывающие рекламные окна ...

273

Скрытые рекламные объявления (pop-under ads) функционируют более изощренным образом. Они также появляются в небольших окнах, покрывающих весь экран, но прячутся за отображаемой в данный момент Web-страницей, так что вы их даже не можете увидеть. Но стоит только вам закрыть браузер, как на экране, словно по мановению волшебной палочки, появится устилающая его реклама. Поскольку скрытая реклама не мешает просмотру страниц, те, кто ее применяет, надеются, что люди будут относиться к ней более благожелательно. Одной из самых крупных компаний, оказывающих почтовые и маркетинговые услуги в Internet, является DoubleClick (http://www.doubleclick.com). Эта компания предлагает желающим специальные cookie-файлы, сохранение которых защитит ваш компьютер от дальнейшего поступления в него рекламных объявлений DoubleClick. Чтобы получить эти файлы, достаточно посетить узел DoubleClick, выполнить щелчок для просмотра политики обеспечения конфиденциальности (Privacy Policy) и следовать предлагаемым инструкциям, которые позволят вам отказаться от рекламных объявлений DoubleClick. Теперь вам остается остерегаться лишь рекламы, рассылаемой другими компаниями. Даже если вы решили отказаться от рекламных объявлений компании DoubleClick, вас будет продолжать бомбардировать всплывающая и скрытая реклама. Если вы хотите узнать, что необходимо сделать для того, чтобы эта реклама не мешала вашей работе в Internet, посетите Web-узел Web Ad Blocking (http://www.ecst.csuchico.edu/ -atman/spam/adblock.shtml). Чтобы обеспечить автоматическую блокировку появления всплывающих и скрытых рекламных объявлений, вы должны обзавестись специально предназначенной для этого программой. Загляните на Web-узлы WebAttack.com (http:// www.webattack.com) или Tucows (http://www.tucows.com) и произведите поиск по ключевым словам "pop-up blocker". Оба узла предлагают множество бесплатных и условно бесплатных программ блокировки всплывающей рекламы, подобных той, которая представлена на рис. 17.5, так что у вас будет из чего выбирать. CURRENT 5ТЛТУ5. Q ,;X CONFIGURE OPTIONS

{•] Auto-cf^blc STUPziWa whenever my computer stsrts. • Display "Warning" whenever a new popup is detected. H Pisy audibfe alarm whenever a pop-up to dotcflocd. H Automatically add all detected poaups to В Ш Ж LIST. CLOG: .

ACK L£

Рис. 17.5. Программы, подобные Stopzilla, предотвращают появление в компьютере любой всплывающей рекламы, для блокировки которой они предназначены

274

Часть 4. Защита самого себя

Один из бесплатных способов блокировки всплывающей рекламы состоит в том, чтобы отказаться от использования браузеров Internet Explorer или Netscape и воспользоваться копией Mozilla (http://www.mozilla.org) или Safari (http://www.apple.com). В обоих последних браузерах предусмотрены команды, позволяющие запретить появление на вашем экране всплывающей рекламы, мешающей просмотру Web-узлов.

Обнаружение "шпионского" программного обеспечения Конечно же, мысль о невидимой рекламе, попутно собирающей сведения о ваших предпочтениях при выборе Web-узлов для просмотра, может нервировать вас, но вы будете еще больше обескуражены, если вдруг обнаружите, что кто-то из тех, кого вы хорошо знаете, например, шеф, супруг(а) или родители пытаются тайно контролировать вашу работу за компьютером, используя для этого одну из специальных мониторинговых программ, иначе называемых "шпионскими"программами (spyware). "Шпионские" программы могут делать моментальные экранные снимки, сохраняющие следы вашей деятельности за компьютером, записывать нажатие каждой клавиши, отслеживать, какие программы вы используете, и вести хронологический журнал, содержащий сведения о времени, затраченном вами на работу с той или иной программой. Начальство использует "шпионское" программное обеспечение для того, чтобы подловить сотрудников на использовании компьютеров доя своих личных нужд, родители — чтобы удостовериться в том, что их дети не посещают запрещенные узлы, хакеры — для кражи номеров кредитных карточек и паролей у ничего не подозревающих жертв, а супруги — для того, чтобы получить возможные доказательства неверности своей второй половины. Чтобы узнать, какого типа "шпионские" программы могут быть внедрены в ваш компьютер, посетите узел Top Secret Software (http://www.topsecretsoftware.com), где вы сможете почитать материалы о разносторонних способностях различных "шпионских" программ. В отличие от обычных программ, которые появляются в списке выполняющихся программ, поддерживаемом операционными системами, такими как Windows XP, "шпионские" программы прячутся от стороннего взгляда, чтобы ничего не подозревающая жертва случайно не наткнулась на программу, когда она выполняется. Если только вы не подозреваете кого-нибудь во внедрении программы такого рода в ваш компьютер и не знаете точно, где ее следует искать, то шансы того, что вы никогда ее не обнаружите, довольно велики. Некоторые компании продают "антишпионские"программы (ant-spyware), такие как Nitrous Anti-Spy (http://www.nitrousonline.com), PestPatrol (http://www.pestpatrol.com), SpyGuard (http://www.spyguard.com) или SpyCop (http://www.spycops.com). Эти программы, одна из которых представлена на рис. 17.6, могут просматривать ваш жесткий диск с целью обнаружения любых следов известных "шпионских" программ, а также программ регистрации клавиатурных нажатий, которые кто-либо мог незаметно установить на вашем компьютере.

Глава 17. Web-''жучки", навязчивая реклама, всплывающие рекламные окна ...

275

ПРЕДОСТЕРЕЖЕНИЕ "Антишпионские" программы не в состоянии обнаруживать аппаратные регистраторы клавиатурных нажатий, подключаемые между клавиатурой и компьютером.

ШЙШ Bookmarks Toosl Wnidow Hep l

0» Е * У**"

Back Reo lad ^» Home: '^| Bookm S p y

^

f

G u a r d

The Best Defense Against Internet Spies and Trojan Horses

Home Page }

F.A.Q's

Is Your

Support

Buy Now

Spy Guard Protects You By;

Spouse,

anyone «U* is i«ci «tiy spyn ig on you* computer md Intern et activity : « any o*th« spy softw#e ^* and boa jn hones instiled on your »C / Permanenytl O«lcti4( and Shreddnig ^ coftkfemMl files «n<$ pcitures that coud i b* used agsm i t you if they got tnto the wrong hands

Employer^™» C o m p l e t e Stranger Secretly Recording Everything you do on the Internet?

Cache files at the ctkk of a mou»

Find o u t n o w with

SpyGuardlO

MORE JNFO 1 BUY NOW - $49.95 SpyGuard 2.0 Special Offer: If there is private information or internet activity on your computer that you do not want$ 4 9 9 5 Did You Know... anyone else to see, you need SpyGuard. •Every Webste i You Visit • Every Keystroke You Type Rg i ht now, every keystroke you type, every web site• powerful pi. Every Етай You Send or Receive you visit, every picture you view, every chat Lestitlfor powmk* over $t produc••t!Every Chat Conversation You Have conversato i n you have and every emali you send or recevie can be intercepted, recorded and passed ao l ng to your spouse, • Every Picture You View EM Document Done (14.09 sees) Рис. 17.6. "Антишпионские" программы исключают возможность осуществления посторонними людьми контроля ваших действий за компьютером

Кроме просмотра жесткого диска для поиска файлов известных "шпионских" программ, "антишпионские" программы также могут контролировать порты вашего компьютера с целью обнаружения любых попыток несанкционированной передачи данных. Подобные случаи нелегального установления соединений почти всегда являются результатом работы либо рекламных программ или "троянских коней" (см. главу 8), либо "шпионских" программ, которые могут пересылать по электронной почте лицу, осуществляющему за вами слежку, информацию о ваших действиях за компьютером. "Антишпионские" программы в состоянии блокировать такие тайные сеансы связи и тем самым эффективно защищать неприкосновенность ваших личных данных.

276

Часть 4. Защита самого себя

Единственный надежный способ защиты личных данных Если не подключаться к Internet, то можно чувствовать себя практически полностью защищенным от всевозможных Web-''жучков", всплывающей рекламы и "шпионских" программ. Поскольку для большинства людей этот вариант вряд ли будет подходящим, вы просто должны понять, что именно и как может угрожать вторжением через компьютер в сферу вашей личной жизни, а затем использовать такое программное обеспечение, как Bugnosis, Ad-aware или "антишпионские" программы, которое способно защитить вас от подобных опасностей. Возможно, \¥еЬ-"жучки" в вашем компьютере отсутствуют и "шпионские" программы в нем никто не устанавливал. Но даже в этом случае вряд ли стоит рисковать и не предпринимать никаких мер для защиты своей личной жизни от посягательств на нее через компьютер в будущем.

Часть5

Защита своего компьютера

Глава 18 Брандмауэры, системы обнаружения вторжения и приманки Информация — это кислород современной жизни. Она способна преодолевать заборы, опутанные рядами колючей проволоки, и проходить сквозь ограды, к которым подключен электрический ток. — Рональд Рейган

ЕСЛИ ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К INTERNET, БУДЬТЕ ГОТОВЫ К ТОМУ, ЧТО ОН В ЛЮБУЮ МИНУТУ МОЖЕТ ОКАЗАТЬСЯ МИШЕНЬЮ ХАКЕРА. Хотя и маловероятно, чтобы хакеры целенаправленно охотились за вашим компьютером, но отсюда вовсе не следует, что они оставят его в покое при случайном обнаружении в Internet. Хакерам нравятся легкие мишени, и поэтому, хотя ваши письма к бабушке или уплата налогов за 2002 год их мало интересуют, они могут проникнуть в ваш компьютер просто для того, чтобы развлечься или отработать методы нападения на сравнительно безопасном компьютере, использовать жесткий диск для хранения нелегально скопированных файлов (музыкальных, программных или видео) или же внедрить программу-"зомби", которую впоследствии можно будет использовать для посылки многочисленных сообщений на определенный узел с целью переполнения буфера сервера и вызова отказа в обслуживании. Ваши данные для хакера могут не иметь никакого значения, но компьютер является для него ценным ресурсом. Если вам неприятна сама мысль о том, что кто-то может захватить контроль над вашим компьютером и в любой момент уничтожить хранящиеся в нем данные, вы должны защитить его с помощью брандмауэра.

Брандмауэры: первая линия обороны Брандмауэр (firewall) обеспечивает определенный уровень защиты, играя роль запертой двери, препятствую-

Глава 18. Брандмауэры, системы обнаружения вторжения и приманки

279

щей проникновению непрошеных гостей из Internet в ваш компьютер. Брандмауэр не гарантирует стопроцентной защиты от хакеров, но в состоянии защитить вас от большинства хакеров, сканирующих IP-адреса в некотором диапазоне в поиске уязвимых компьютеров. Как только хакеру удается найти компьютер, не защищенный брандмауэром, проникновение в него не составит для хакера никакого труда. Хотя компьютеры, подключенные к Internet через DSL или кабельные модемы (cable modems), особенно подвержены хакерским атакам, еще более уязвимыми являются компьютеры, использующие для доступа к Internet коммутируемые линии (dial-up). Принимая решение об установке брандмауэра, вы должны определить, какой тип брандмауэра вы собираетесь использовать — аппаратный или программный. Возможно совместное использование брандмауэров обоих типов, однако это вовсе не будет гарантировать усиление защиты, поскольку оба брандмауэра могут защищать (или не защищать) от одних и тех же типов вторжения. Подобно другим типам компьютерных программ и оборудования брандмауэры также имеют изъяны, и поэтому не стоит удивляться, если вскоре после установки брандмауэра хакерам удастся найти в нем лазейку и обойти защиту.

Принцип работы брандмауэров Работа брандмауэров основана на блокировании взаимодействия между клиентом и сервером. Для поиска возможных мишеней атак многие хакеры используют сканеры портов (см. главу 11), работу которых как раз и могут блокировать брандмауэры, тем самым перекрывая хакерам доступ к компьютеру. В простейших случаях брандмауэр может просто блокировать сканирование портов, что будет указывать хакеру на наличие в системе брандмауэра. В более сложных случаях брандмауэр может маскировать существование компьютера, фактически делая его невидимым для хакеров, применяющих сканеры портов. При этом хакер даже не сможет различить, обнаружил ли он компьютер, защищенный брандмауэром, или просто несуществующий IP-адрес. Как бы то ни было, хакер, вероятнее всего, оставит ваш компьютер в покое и займется поиском более легкой жертвы для атаки. Кроме того, брандмауэры выполняют и вторую функцию, состоящую в наблюдении за тем, какие действия ваш компьютер выполняет в Internet. Многие брандмауэры проверяют, какая именно программа пытается установить соединение с Internet, и предоставляют возможность выбора программ, например, браузера, почтовой программы или программы немедленного обмена сообщениями, которым вы это разрешаете. Если доступ к Internet пытается получить программа, не имеющая на это разрешения, брандмауэр блокирует ее, одновременно извещая вас об этом. Блокируя доступ к Internet программам, не обладающим соответствующими полномочиями, брандмауэры могут преграждать путь троянским программам удаленного доступа (remote access Trojans — RATs), пытающимся тайком связаться с хакером и предоставить ему возможность контролировать работу компьютера. Так как многие "шпионские" программы (см. главу 17) могут передавать записанные последовательности клавиатурных нажатий и экранные снимки используемых компьютером программ тому, кто осуществляет за ним слежку, брандмауэры помогут вам обнаружить и блокировать также и эти программы.

280

Часть 5. Защита своего компьютера

Чтобы разрешить легитимному трафику прохождение через брандмауэр, от вас, возможно, потребуются инструкции относительно того, какие именно действия являются допустимыми. Для оценки легитимности трафика брандмауэры могут анализировать используемые IP-адреса, протоколы, порты и типы программ. IP-адреса используются для идентификации отдельных компьютеров. Брандмауэр может либо блокировать трафик, поступающий с определенных адресов (например, с IP-адреса Web-узла Playboy), либо наоборот — пропускать только трафик, поступающий с определенных IP-адресов (например, от корпоративного компьютера). Брандмауэры также могут разрешать или блокировать отдельные протоколы, определяющие конкретные способы приема и передачи данных компьютерами (см. рис. 18.1). Например, брандмауэр может разрешить лишь протокол HTTP (Hypertext Transfer Protocol — протокол передачи гипертекста), который используется для передачи Web-страниц через Internet (это те самые буквы "http", которыми начинаются адреса Web-узлов). Точно так же, брандмауэр может блокировать протокол FTP (File Transfer Protocol — протокол передачи файлов), который используется для получения и передачи файлов. Другими типами протоколов, которые могут блокироваться брандмауэрами, являются следующие: UDP (User Datagram Protocol — пользовательский протокол данных). Используется для передачи информации, не требующей ответа, например, потоковой аудио- или видеоинформации. ICMP (Internet Control Message Protocol — протокол управляющих сообщений в сети Internet). Используется доя восстановления связи в случае сбоев при передаче пакетов. .•Jnjx.1 Welcome |

5

п Filtering

Internet Filtering |

Log |

Options ]

Rule Set (rules are applied from top to botom) ~ Name of the rule Description ^ m ©| 9 1 О 9 & TCP:Block Land Attack This attack tries to make your system m •3- -3 & TCP:Authorize Identifi... Some services need an identification m © • й TCP:Block WinNuke Stops access to computer internal dat & TCP:Authorize most c... Authorize web browsing, email, IRC ar © 9 & TCP:Any other packet Block all other TCP packets. й UDP Authorize name r...Authorize your computer to ask your С © • UDP Stop NetBIOS. Your computer systematicaly announc all necessary BOOTP data r. m UDP BOOTP/DHCP Authorize S tops U D P broadcasts to *. *. *. 255. m © • S UDP Stop Broadcast © 9 & UDP Any other UDP... Block all other UDP packets. о» о ft ICMP: Ping other (Req) This rule allows you to ping other com E & ICMP: Ping other (Rsp) This rule allows you to ping other com • <

I

it.,

StandardRue l sSet.rsl Mn im i zie |

Exit

±Г

Look W Stop active Appyl | Hep l

Рис. 18.1. Существует возможность задания типов протоколов, использование которых должен разрешать брандмауэр

Глава 18. Брандмауэры, системы обнаружения вторжения и приманки

281

SMTP (Simple Mail Transfer Protocol — простой протокол электронной почты). Используется для передачи и получения электронной почты. Telnet. Используется для доступа к удаленному компьютеру и управления им. Блокируя определенные протоколы, брандмауэр может защищать компьютер от атак того или иного типа. Так, при блокировании протокола Telnet хакер не сможет управлять и манипулировать вашим компьютером через Internet (хотя ничто не помешает ему воспользоваться для достижения своих целей другим протоколом). Помимо блокирования определенных протоколов брандмауэры могут блокировать определенные порты. Через порты в компьютер передается информация определенного типа, и поэтому брандмауэры обычно блокируют все порты за исключением наиболее важных, таких как порт 80 (используется для просмотра Web-страниц) или порт 25 (используется для отсылки и получения электронной почты). Закрывая определенные порты, брандмауэр предотвращает открытие хакером редко используемого порта или незаметное проникновение через порт, оставшийся открытым по забывчивости администратора. Конечно, закрытие портов лишь вынуждает хакеров направлять свои атаки через другие открытые порты, но никоим образом не ограничивает их в выборе методов, которые могут быть использованы для атаки вашего компьютера. Брандмауэры также могут разрешать доступ к Internet лишь определенным доверенным программам, например, браузеру или электронной почтовой программе. Если доступ к Internet попытается получить любая другая программа, брандмауэр блокирует эти попытки, рассматривая их как результат действий хакера или троянской программы, намеревающихся осуществить пересылку данных. Путем совместного использования фильтрации IP-адресов, протоколов, портов и даже отдельных слов или фраз брандмауэры могут блокировать большинство попыток получения несанкционированного доступа к вашему компьютеру. Для знакомства с существующими типами аппаратных брандмауэров посетите один из следующих Web-узлов: Netgear TRENDware D-Link

http://www.netgear.com http://www.trendware.com http://www.dlink.com

Для знакомства с существующими типами программных брандмауэров пользователи Windows могут обратиться на следующие Web-узлы: Tiny Personal Firewall ZoneAlarm Look V Stop Norton Internet Security Outpost Firewall Sygate Personal Firewall Personal Firewall

http://www.tjnysoftware.com http://www.zonelabs.com http://www.iooknstop.com http://www.symantec.com http://www.agnitum.com http://soho.sygate.com http://www.mcafee.com

Многие версии Unix поставляются вместе с брандмауэрами, а в Windows XP вам предлагается встроенный брандмауэр, для включения которого необходимо следовать приведенным ниже инструкциям:

282

Часть 5. Защита своего компьютера

1. Щелкните на кнопке Start (Пуск). 2. Щелкните на пункте Control Panel (Панель управления). 3. Щелкните на ярлыке Network and Internet Connections (Подключение к сети и Internet). 4. Щелкните на ярлыке Network Connections (Подключение к сети). На экране отобразится диалоговое окно Network Connections (Подключение к сети). 5. Выполните щелчок правой кнопкой на пиктограмме Local Area Connection (Локальное соединение) и при появлении всплывающего меню щелкните на пункте Properties (Свойства). На экране отобразится диалоговое окно Local Area Connection Properties (Свойства локального соединения). 6. Щелкните на вкладке Advanced (Дополнительно). 7. Установите флаговый переключатель "Protect my computer and network by limiting or preventing access to this computer from the Internet" ("Включить защиту компьютера и сети путем ограничения или предотвращения доступа к компьютеру через Internet"), о чем должно свидетельствовать появление отметки. 8. Щелкните на кнопке ОК. Пользователей компьютеров Macintosh должны заинтересовать следующие два брандмауэра: Firewalk (http://www.pliris-soft.com) и NetBarrier (http://www.intego.com). А если вы хотите приложить свои умения программиста к разработке брандмауэра для Linux, посетите Web-узел Falcon Firewall Project (http://falcon.naw.de). Изучив исходный код этого брандмауэра, вы сможете лучше понять принцип его работы и, возможно, внесете необходимые изменения, позволяющие каждому защититься от самых последних видов угроз из Internet. Характерной проблемой брандмауэров является то, что большинство новичков не имеют ни малейшего понятия о том, как оценивать их возможности. Новички вряд ли обращают внимание на что-либо еще, кроме привлекательного пользовательского интерфейса, и не в состоянии разобраться в том, на что именно способен тот или иной брандмауэр. Для более подробного ознакомления с возможностями брандмауэров и критериями выбора того из них, который вам больше всего подойдет, посетите один из перечисленных ниже Web-узлов, на которых сравниваются технические характеристики наиболее популярных брандмауэров: Home PC Firewall Guide Firewall.com Firewall.net Free-Firewall.org

http://www.firewallguide.com http://firewall.com http://www.firewall-net.com http://www.free-firewall.org

Способы преодоления защиты, обеспечиваемой брандмауэрами Самой серьезной проблемой, связанной с использованием брандмауэров, является, пожалуй, тот факт, что настройка их конфигураций требует времени и наличия определенных навыков, а это означает, что большинство новичков, вероятнее

Глава 18. Брандмауэры, системы обнаружения вторжения и приманки

283

всего, выполнят это некорректно, в результате чего они могут испытывать либо ложное чувство безопасности, поскольку в защите брандмауэра, ввиду неправильной его настройки, остались бреши, либо чувство раздражения, если брандмауэр будет запрещать работать вполне нормальным программам, таким как программы электронной почты или программы немедленного обмена сообщениями. Если брандмауэр поведет себя слишком агрессивно, без разбора запрещая программам подключаться к Internet, то пользователь может просто-напросто отключить его или вообще деинсталлировать. Еще одной проблемой является то, что брандмауэр способен обеспечивать лишь защиту входящих и исходящих соединений с Internet и не в состоянии предотвратить несанкционированный доступ к компьютеру через телефонную линию, точку беспроводного доступа, расположенную за брандмауэром (см. главу 11), или непосредственно путем использования клавиатуры, если кто-то, например, сотрудник компании или вахтер, может физически приблизиться к компьютеру. Кроме того, брандмауэр можно обмануть. Если брандмауэр разрешает подключение к Internet лишь определенным программам, то хакеру достаточно переименовать троянскую программу удаленного доступа, чтобы она имела то же имя, что и ваш Web-браузер. И если затем такая троянская программа будет пытаться получить доступ к Internet, то после проверки брандмауэром ее имени эта возможность будет ей предоставлена, что несколько напоминает ситуацию, когда вор может уйти, предъявив полицейскому фальшивое удостоверение личности. Пожалуй, самым необычным способом обхода брандмауэров является метод, известный под названием туннелирования (tunneling). Поскольку брандмауэры разрешают компьютеру использовать лишь определенные порты и протоколы, то использование именно этих портов и протоколов и было положено в основу метода туннельного прохождения брандмауэров. Это равносильно тому, как если бы охрана аэропорта пропустила угонщика самолета, переодетого в форму пилота. В качестве примера можно привести две программы., использующие туннельное прохождение брандмауэров: RemFTP (http://www.remftp.com) и HTTP-Tunnel (http:// www.http-tunnel.com). Относительно RemFTP ее разработчики самоуверенно утверждают, что она является "программой, которая обеспечит соединение с вашим домашним или служебным компьютером для передачи файлов, невзирая ни на какие брандмауэры". В рекламе второй программы говорится, что HTTP-Tunnel "открывает перед теми, чьи действия были ограничены брандмауэрами, возможность использования блокируемых до этого приложений". Благодаря использованию этих коммерчески доступных программ или лежащих в их основе методов туннелирования, хакеры могут безнаказанно обходить защиту, обеспечиваемую практически любым типом брандмауэров. Ситуация будет еще худшей, если настройку конфигурации своего брандмауэра вы произведете правильно, но "дыры" в защите все равно останутся по той простой причине, что в вашем брандмауэре не предусмотрены те или иные средства, которые вам могли бы предоставить брандмауэры других типов. До тех пор, пока вы не приобретете и не испытаете несколько различных брандмауэров, вы не сможете с достоверностью судить о том, какой из них обеспечивает наилучшую защиту. Чтобы проверить возможности своего брандмауэра, загрузите одну из перечисленных ниже

284

Часть 5. Защита своего компьютера

специализированных тестирующих программ (одна из которых представлена на рис. 18.2), с помощью которых вы сможете определить, обеспечит ли он защиту от типичной хакерской атаки: http://grc.com/lt/leaktest.htm http://keir.net/firehole.html http://www.hackbusters.net/ob.html http://www.pcflank.com http://www.portdetective.com http://www.soft4ever.com/security_test/En/index.htm http://tooleaky.zensoft.com

LeakTest FireHole OutBound PC Flank Port Detective YALTA Too Leaky U Firewall Leakage Tester vl.i

Firewall Penetrated! When you are connected to the Internet press the "Test For Leaks" button to begin. Firewall

Penetrated!

LeakTest WAS ABLE to connect to the main GRC.COM Web Server! LeakTest was not prevented from connecting to the Gibson Research web server. You either have no firewall, you have deliberately allowed LeakTest to connect outbound, or (if neither of those), LeakTest has just slipped past your firewall's outbound "protection", if any. v1:1. Copyright (с) 200Т by Gibson Research Corp.

Test For Leaks

Рис. 18.2. Специализированные тестирующие программы помогут оценить надежность защиты, обеспечиваемой тем или иным брандмауэром

Укрепление операционной системы Помимо установки брандмауэра следует также позаботиться о своевременном обновлении используемой операционной системы с помощью самых последних пакетов исправлений и установки "заплат" в системе безопасности компьютера. Хакеры быстро узнают обо всех изъянах конкретных операционных систем, и если они обнаруживают какую-нибудь лазейку, то смогут воспользоваться ею, чтобы проникнуть в компьютер независимо от того, установлен ли на нем брандмауэр. Самой безопасной операционной системой является Open BSD (http:// www.openbsd.org), но если вы используете Red Hat Linux, то знайте, что сотрудники Управления национальной безопасности любезно предлагают разработанную ими специальную версию, названную Security-Enhanced Linux (http://www.nsa.gov/selinux), которая сделает вашу версию Red Hat Linux более устойчивой к атакам хакеров.

Глава 18. Брандмауэры, системы обнаружения вторжения и приманки

285

Чтобы узнать о других способах укрепления Red Hat Linux, посетите Web-узел Bastille Linux (http://www.bastille-linux.org). Как и Security-Enhanced Linux, Bastille Linux вводит в операционную систему Linux дополнительные средства безопасности, позволяющие быть уверенным в том, что все возможные лазейки в операционной системе надежно закрыты.

Системы обнаружения вторжений Брандмауэры могут только затруднить незаконное вторжение в компьютер, но не предотвратить его. Как только хакер проникнет в ваш компьютер, брандмауэр вообще не сможет обеспечить никакой защиты против его действий. Для этого вам нужна система обнаружения вторжений (intrusion-detection system — IDS). Если брандмауэры можно сравнить с закрытыми окнами и дверями вашего компьютера, то системы обнаружения вторжений действуют наподобие сигнализации, предупреждающей вас о факте взлома, когда преступник его уже совершил. Обычно одна система IDS обслуживает несколько компьютеров отдельных пользователей, тогда как для каждого корпоративного компьютера, например сервера, в большинстве случаев используется отдельная IDS.

Принцип работы систем обнаружения вторжений Для защиты от хакерских атак известного типа IDS используют процедуру, называемую анализом сигнатур (signature analyses), что означает распознавание IDS уникальных свойств, или "сигнатур", распространенных хакерских атак, например, тех, которые характерны для начинающих хакеров. Если IDS обнаруживает сигнатуру хакерской атаки определенного типа, то она может точно определить, как остановить данную атаку. Поскольку хакеры постоянно изобретают все новые и новые стратегии незаконного проникновения в компьютеры, IDS не могут полагаться на один лишь сигнатурный анализ. Для анализа сигнатур IDS могут осуществлять мониторинг сети или компьютера с целью обнаружения подозрительной активности, например, появления трафика через редко используемый порт или многократные неудачные попытки зарегистрироваться в качестве пользователя компьютера. При обнаружении подозрительных процессов IDS связывается с системным администратором. В случае использования IDS системный администратор не должен отслеживать хакера путем просмотра системных журналов или трудоемкого мониторинга соединений с Internet вручную. Поскольку хакеры часто прибегают к замене имеющихся в компьютере программ их троянскими версиями, что позволяет им действовать незаметным образом, многие системы обнаружения вторжений включают в себя средства проверки целостности файлов. Эти средства рассчитывают некоторую математическую величину (контрольную сумму) для каждого файла на основании его размера. Если хакер заменит файл, то размер этого файла, вероятнее всего, изменится, в результате чего в ходе очередной рутинной проверки хранящихся в компьютере файлов IDS заметит соответствующее изменение и предупредит об этом администратора.

286

Часть 5. Защита своего компьютера

Для более подробного ознакомления с системами обнаружения вторжений и загрузки различных IDS-программ для операционных систем Windows и Linux посетите следующие узлы:

Internet Security Systems Snort

http://www.iss.net http://www.snort.org

Okena Talisker

http://www.okena.com http://www.networkintrusion.co.uk

Способы вызова сбоев в работе системы обнаружения вторжений IDS выполняет роль помощника системного администратора, но это вовсе не означает, что она способна заменить человека. Сама по себе IDS не в состоянии остановить хакера и может лишь уведомить об уже состоявшемся проникновении хакера в компьютер. В отличие от брандмауэров или антивирусных программ, каждое предупреждение, поступившее от IDS, предполагает дальнейшие ответные действия со стороны администратора. Если IDS слишком часто подает ложные сигналы тревоги, то системному администратору это, скорее всего, надоест, и он перестанет обращать на них внимание. Чтобы вызвать сбои в работе IDS, хакеры часто организуют атаки, приводящие к возникновению ситуации отказа в обслуживании и тем самым вынуждающие IDS вырабатывать сигналы тревоги. Заставив IDS и системного администратора сосредоточить все свое внимание на атаке, вызывающей отказ в обслуживании, хакер может попытаться проникнуть в систему незамеченным. Поскольку системы обнаружения вторжений следят за появлением сигнатур известных типов атак или признаков подозрительной активности, хакеры изменяют методы атаки, пытаясь сбить с толку IDS. Кроме того, IDS являются не более чем компьютерными программами, имеющими свои огрехи и уязвимые места, и поэтому, если хакер способен идентифицировать, какая именно IDS установлена на компьютере, он может полностью отключить ее или обойти, воспользовавшись известными брешами.

Приманки для хакеров Вместо того чтобы пытаться перекрывать пути доступа хакерам (с помощью брандмауэра) или обнаруживать их присутствие в системе (с помощью системы обнаружения вторжений), иногда предпочитают использовать более трудоемкий метод "медовых" приманок (honeypots). Приманка служит двум целям. Во-первых, она отвлекает хакера от ценных данных и тем самым уменьшает вероятность нанесения вам ущерба. Во-вторых, с помощью приманки вы можете изучить методы и приемы работы хакеров, в результате чего вы лучше узнаете, на каких принципах основываются те или иные типы атак, и сможете противостоять им в будущем.

Глава 18. Брандмауэры, системы обнаружения вторжения и приманки

287

Обычно приманки устанавливают на одном компьютере, имитирующем структуру и активность целой сети, вплоть до эмуляции характерных особенностей конкретных операционных систем, таких как Linux, Windows, Mac OS, Solaris или HP-UX. Приманки внешне выглядят и ведут себя, как самые настоящие сети, предлагая в то же время несколько легко преодолимых брешей, поощряющих хакеров затрачивать усилия на "проникновение" в фиктивную сеть. Для более подробного ознакомления с приманками для хакеров посетите Web-узел Honeynet Project (http://project.honeynet.org), на котором в течение ряда лет запускались программы-приманки и изучались хакерские методы работы. Проектом Distributed Honeypot Project (http://www.lucidic.net) предусматривается создание в Internet целой сети приманок, что позволит системным администраторам обмениваться опытом борьбы с новейшими хакерскими методиками. Список доступных приманок различного типа можно найти на узле Talisker (http://www.networkintrusion.co.uk). С целью изучения самых последних хакерских методов мобильной локации (см. главу 11), сотрудники Science Applications International Corporation (SAIC) (http:// www.saic.com) любезно развернули приманку в беспроводных сетях вблизи Вашингтона. Чтобы больше узнать о всевозможных типах приманок, используемых в настоящее время различными организациями, посетите следующие Web-узлы: Tiny Honeypot NetFacade Symantec ManTrap The Deception Toolkit

http://www.alpinista.org/thp http://www22.verizon.com/fns/netsec/ fns__netsecurity_netfacade.html http://www.symantec.com http://www.all.net/dtk/download.html

Многие приманки распространяются бесплатно вместе с исходными кодами, что позволяет изучать принципы их работы и облегчает реализацию собственных идей. Поскольку развертывание и поддержка приманок требуют затрат времени и усилий, то вряд ли большинство пользователей будут запускать программы-приманки на своих личных компьютерах. Однако не пожалейте выкроить для этого время и попытайтесь запустить приманку для троянских программ, и тогда при очередной попытке хакеров проникнуть в ваш компьютер с помощью "троянского коня" удаленного доступа приманка сможет их обмануть и заставит поверить в то, что тайный доступ ими получен, хотя в действительности они будут изолированы от ваших данных, а вы будете иметь возможность наблюдать за каждым их шагом (рис. 18.3). Частичный перечень имеющихся в настоящее время приманок для троянских программ приводится ниже: NetBuster FakeBO Tambu Dummy Server The Saint

http://surf.to/netbuster http://cvs.linux.hr/fakebo http://www.xploiter.com http://www.megasecurity.org

288 f

Часть 5. Защита своего компьютера

NetBuster 1.31 (с) Hlkan Berqstrom (Nov 17 V Main j Messages ] Various | Scan j Files

4-3fe-\*

[About]) Logfile |

NET i Homepage: htp:/surf.to/netbuster 1НЖШН1 E-Ma:li gb iby@swp inet.se

Y os utm uu seduse th ps o riga rm it/2e e0 /9M /20.02 111 :20 :5 A M La ithaeveyo dsi th was110m /9 0s021sn 1i1 :c2 :510A N eB tu se tre |verF un nsco itns C h a nge sd JnoB ud gsthe| uFsre q ue nyh ltenAskN eO dQ u e s o itn sse )rver n e a r i l r s o i N e B t u s e t r d i n t ' e f t i e r w N e B t u s w as fue nvd iwhm o yo rurorsyse tthm e res yel.arNow ueB no e ftido enn enem y igsitrc o rfmyoN tcuasn . choose if you want to be T ersm ha o sn tam bn o to geh th esri w th irneh P Ivd Th he si n s iitrudto ke iteeaw seirli a n islon fid iegolgoguetdwh nite tsipro iernum s i.be.r S itu ih t bo nr w toth ew asaveSCR Saasrere nic cu ld n iomte hepc n ere tbsusteth r.zp iatam rcg h vie tegeh tfue i usa fe liEEND toUM uP se o rde nid g. Unn istal NetBuster and QUT I

n Iacvtiate j W o 18.3. NeB tus server was o fund n i memo yr Рис.

M j ouse:

Программа NetBuster, создающая приманку для введения в заблуждение хакеров, пытающихся получить доступ к компьютеру с использованием троянской программы удаленного доступа NetBus

Отслеживание хакеров Хакеры могут атаковать любой компьютер, подключенный к сети Internet в любой точке земного шара, а это означает, что буквально в данный момент кто-то из них может зондировать ваш компьютер, выявляя слабые места в его защите. Ситуация усугубляется тем, что даже если вы и застанете хакера "на горячем", то в ту же секунду, когда он отсоединится от вашего компьютера, он станет для вас недосягаем. Поскольку хакер может появиться и исчезнуть в любое удобное для него время, ничто не удержит его от атаки на компьютер, намеченный в качестве мишени, поскольку весьма маловероятно, чтобы его смогли поймать. Чтобы лишить хакеров возможности бегства в анонимное убежище, фирмой Sharp Technology была разработана программа Hack Tracer (Ьир://\у\¥^8Ьаф1есЬпо1о§у.сот/ЬЬ-соп8.^т), которая позволяет проследить за хакером до адреса его ISP (Internet Service Provider — поставщик Internet-услуг), а в некоторых случаях — вплоть до IP-адреса самого хакера. По известному IP-адресу можно установить местонахождение хакера, но загадочные последовательности цифр, которые образуют IP-адреса, вам могут мало что говорить. Когда в следующий раз ваш брандмауэр или система IDS установят IP-адрес хакера, пропустите его через средство McAfee Visual Trace, входящее в состав программы McAfee Personal Firewall (http://www.mcafee.com), или программу Visual

Глава 18. Брандмауэры, системы обнаружения вторжения и приманки

289

Route (http://www.visualware.com), которые укажут вам примерное местонахождение хакера на карте мира (см. рис. 18.4). Проследив за достаточно большим количеством хакерских IP-адресов, вы, возможно, удивитесь, когда обнаружите, что ваш персональный компьютер, находящийся в штате Небраска, стал мишенью хакеров из Кореи, Канады, Израиля или Германии. Vs i ualRoute 7.0a Trial Versioi Fie Edti Opo tin? Toosi Hep l

Address |kometnet

>|ф

iPAdd/

2.132

Report for kornet.net [211.48.62.132]

Рис. 18.4. С помощью таких программ, как VisualRoute, вы можете установить географическое местонахождение особенно назойливых хакеров

В отслеживание хакеров вы можете внести и свой вклад, посетив Web-узел myNetWatchman (http://www.mynet-watchman.com) и поделившись информацией о хакерских атаках на свой компьютер с другими людьми. Чем больше людей будут предлагать информацию о хакерах, тем вероятнее, что myNetWatchman сможет идентифицировать конкретные типы атак и отмечать IP-адреса наиболее активных хакеров, независимо от страны их происхождения (рис. 18.5). Несмотря на то что у хакера всегда имеется возможность предпринять атаку в любой удобный для него момент, это вовсе не означает, что ваш компьютер остается беззащитным. При наличии надежного брандмауэра, системы обнаружения вторжений, своевременно обновленной операционной системы и установленных приманок вы вполне можете защитить свой компьютер и даже переиграть хакера, проследив за ним и объявив о его местонахождении широкому кругу пользователей. Если дос-

290

Часть 5. Защита своего компьютера

таточно много людей свяжутся с ISP, используемым особенно назойливым хакером, то ISP может отказать хакеру в обслуживании и вынудить его воспользоваться услугами другого ISP. Если это будет происходить довольно часто, то хакер, у которого охота к компьютерным атакам, возможно, и не будет отбита, станет, по крайней мере, испытывать затруднения, его активность будет ограничена и многие потенциальные жертвы не станут мишенями его атак. File Edti Ve iw Go Bookmarks Jods Wnidow Hep l Back ^ * Reo lad * ^ hlltl Aww^in i Btwatchrnan.com.4. •$ Home | ^ Bookmarks .£.. The МогШа Organziatbn j£ Latest Bud lis

Incident Summary jbicidentiiAgentj! Score j Count :

.':-,ч 73850 ||173jfescaiation Fending Queue] No Response 17889527~Т198]092.208.077]linternetsite.com ''81.24jluu.ne Provider Acknowledged! INo Response /

:

:

•

•••

•

• ;

i

• • , / »

l

No Response

; ! t , t -

;55

jNo Response |No Response liscaiated

xx'net

-

]Ц$250 1

•

22400

|9

11.181.208.11 б||Ьога.пе

Рис. 18.5. Web-узел myNetWatch обеспечивает идентификацию наиболее известных ISP, используемых хакерами во всем мире

Глава 19 Компьютерные расследования: восстановление и удаление данных Настоящее изобретение включает в себя устройство (далее по тексту — "шкаф"), обеспечивающее необходимые физические и биохимические условия для поддержания в живом состоянии "отчлененной" (т.е. отделенной от туловища) головы животного. - Патент США № 4666425: Устройство для поддержания отделенной от туловища головы в живом состоянии.

ПОДОБНО БОЛЬШИНСТВУ ПРЕСТУПНИКОВ САМИ ХАКЕРЫ ЧАСТО ОБЛЕГЧАЮТ СОБСТВЕННУЮ ПОИМКУ, СВОЕВРЕМЕННО НЕ ПОЗАБОТИВШИСЬ ОБ УНИЧТОЖЕНИИ ВСЕХ СЛЕДОВ СОВЕРШЕННОГО ИМИ ПРЕСТУПЛЕНИЯ. Многие хакеры не только оставляют уличающие их записи и распечатки самых последних из использованных ими средств взлома рядом с компьютерами, но и не могут устоять перед соблазном похвастаться своими "подвигами" перед другими людьми на серверах группового общения. Однако даже такое легкомысленное пренебрежение мерами предосторожности и неосмотрительность не могли бы нанести хакерам ощутимого вреда, если бы они невольно не оставляли также улики, хранящиеся в их компьютерах.

Удаление данных Особую проблему при работе с данными составляет то, что после сохранения их на магнитном носителе любого типа они остаются там навсегда. Когда вы удаляете файл, ваш компьютер выполняет эту операцию лишь частично. Вместо того чтобы полностью уничтожить файл, он просто создает впечатление, будто файла больше не существует, заменяя первую букву имени файла специальным символом (имеющим шестнадцатиричный код E5h) и в то же время оставляя нетронутым само содержимое файла. Этот процесс можно сравнить с изъятием вашей фамилии из списка жильцов дома, когда все выглядит так, будто вы здесь больше не живете, хотя на самом деле вы занимаете квартиру до тех пор, пока в нее не вселится новый жилец. Запись новых данных поверх старых будет

292

Часть 5. Защита своего компьютера

произведена лишь в том случае, если компьютеру потребуется место на диске, занимаемое удаленным файлом. Если на диске имеется достаточно много свободного места, то могут пройти недели, месяцы или даже годы, прежде чем ранее удаленные файлы будут действительно затерты. (Хотя, если вы выполните операцию дефрагментации жесткого диска, ваш компьютер, вероятнее всего, создаст новые записи поверх многих из таких "удаленных" файлов.) Если вы удалили файл, то, как правило, вам предоставляется возможность отменить операцию удаления при условии, что соответствующая служебная программа будет запущена вами сразу же после того, как файл был удален. Программы восстановления файлов просто дают удаленным файлам новые имена, чтобы компьютер мог их вновь распознавать. Вместе с тем, чем больше времени пройдет с момента удаления файлов, тем больше вероятность того, что значительная их часть, если не все они, будет затерта новыми данными, что затруднит или вообще сделает невозможным восстановление исходных файлов. Некоторые служебные программы восстановления удаленных файлов, такие как Norton Utilities, поставляются вместе с соответствующими средствами защиты, которые сохраняют любой удаляемый файл в специальной папке с тем, чтобы впоследствии его можно было в любой момент восстановить. Вполне очевидно, что это средство выручит вас в ситуациях, когда вы случайно удалите какой-либо файл, но оно же может действовать и против вас, обеспечивая сохранение файлов, которые вы считаете удаленными, в течение многих месяцев. Чтобы подыскать программу восстановления удаленных файлов, посетите один из следующих Web-узлов: Norton Utilities Active@UNDELETE Restorer2000 Undelete

http://www.symantec.com http://www.active-undelete.com http://www.bitmart.net http://www.execsoft.com

Фирма Executive Software, изготовитель программы Undelete, предлагает также бесплатную программу Deleted File Analysis Utility, с помощью которой вы можете проанализировать содержимое своего жесткого диска и увидеть, какие файлы еще могут быть восстановлены, как показано на рис. 19.1. Результаты вас могут удивить.

Программы уничтожения файлов Если вы намеренно затираете файл и записываете поверх него другую информацию, то большинство программ восстановления файлов в этом случае не смогут выполнить возложенной на них задачи. Однако если вы хотите быть действительно уверенным в том, что вообще никто не сможет восстановить удаленный вами файл, используйте уничтожители файлов (file shredders), т.е. программы, специально предназначенные для уничтожения файлов. Уничтожители файлов один или несколько раз записывают поверх удаленных файлов информацию, состоящую из последовательностей случайных символов, например, единиц и нулей. В результате этого, когда программа восстановления файлов попытается возвратить удаленный файл в исходное состояние, он будет представлять собой лишь набор случайных данных.

Глава 19. Компьютерные расследования: восстановление и удаление данных 293 I Ш О Н И Ы I * k ? ArtdtyО* №Mf

Defctedl filer» Cfcrtye С cm * y « t e m 1 А Ш Л

„.,,..,

..„У!?*-, I ;

.1 ОШё teatim I

ntvtXtmp

-АУ4ЛМР

OchWt

OB 06 06 06 06 OB 2,6.,. 06 06 06 08 *$B $418

09/13/2002 13:19 09/14/200211:15 09/14/2002 И; 17 09/24/2002 22:11 09/24/2002 22:25 09/24/2002 23:02 09/24/2002 23:15 09/24/2002 23:1$ 09/24/2002 23:1$ 09/24/200223:37 09/25/2002 23:06 09/12/2002 16:59 09/12/2002 14:03

C:\RXJNO,000\ C;\FOUNO.000\ C:\F0UfO.000\ C:\FOUNO.O0tn CVOUND.OOOX C;\FOUNO,000\ Ct\FOUN0.000\ C:\fOUN0.000\

*%=. |

EntryУГ 10 i3 14 41 45 53 55 56 S7 S6 65 2 S

Рис. 19.1. Программа Deleted File Analysis Utility от фирмы Executive Software позволяет выявить все ранее удаленные файлы, которые может восстановить и прочитать кто-либо другой

Степень надежности программ уничтожения файлов Не все программы уничтожения файлов обладают равными возможностями. В хороших программах предлагается несколько способов, различающихся между собой соотношением характеристик быстродействия и надежности (см. рис. 19.2). Для быстрого уничтожения файлов, делающего невозможным их дальнейшее восстановление при помощи обычных программ отмены удаления, программа уничтожения файлов может выполнить только однократную запись случайных данных поверх данных удаленного файла. Хотя в большинстве случаев быстрое уничтожение файлов будет вас вполне устраивать, для обезоруживания специализированных программ восстановления удаленных файлов этой меры может оказаться недостаточно. В целях повышения надежности получаемых результатов программы уничтожения файлов выполняют запись поверх удаленного файла несколько раз, причем чем больше делается таких проходов, тем больше вероятность того, что данные будут уничтожены необратимым образом. Министерство обороны (Department of Defense — DoD) даже приняло собственный стандарт под названием DoD 5220.22-М (http:// www.dss.mil/isec/nispom.html), устанавливающий государственные стандарты уничтожения компьютерных файлов.

294

Часть 5. Защита своего компьютера

i l P l i

Ц select security level

.

г

Level 1: Defeat Undeelte Software

More Info |

г

Level 2: Defeat Sector Edtiors

More Info 1

с

Level 3: DOD 52202 .2-M Compailnt

More Info j

г

Level 4: Defeat Magnecti Sensors

More Info |

г

Level 5: Defeat Ee lctron Mciroscopes

More Info |

Next

I

Back Desg inyourovm securtiy

Рис. 1 9 . 2 . Программы уничтожения файлов предлагают различные режимы выполнения этой операции, предоставляя вам возможность достижения компромисса между характеристиками быстродействия и надежности

Определенная в DoD методика подразумевает семикратное затирание файла, причем при каждом цикле записи для замещения старых данных используется другой набор случайных данных. Поскольку каждый очередной проход добавляет дополнительный слой случайных данных, скрывающий исходные данные, семи проходов оказывается достаточно для уничтожения практически всех следов первоначального файла, хотя даже и в этом случае последующее восстановление данных остается возможным, если использовать для этого магнитные датчики или электронный микроскоп (см. ниже).

Уничтожение временных файлов, файлов Web-кэша, файлов электронной почты и информации, сохраняющейся в резервном пространстве файлов При уничтожении файлов с ценной информацией не забудьте удалить также все временные файлы и файлы Web-кэша. Многие программы уничтожения файлов, такие как 12Ghosts Wash (http://www.12ghosts.com) или предназначенная для компьютеров Macintosh программа Shredit (http://www.mireth.com/pub/sime/html), могут автоматически находить и уничтожать файлы указанных типов. Программа BCWipe (http://www.jetico.com) может затирать информацию даже в резервном пространстве (slack space) указанных файлов, одновременно уничтожая временные файлы и файлы Web-кэша. В целях обеспечения дополнительной безопасности некоторые программы уничтожения файлов, такие как предназначенная для использования в компьютерах Macintosh программа NetShred (http://www.mireth.com) или ориентированная на среду Windows программа Evidence Eliminator (http://www.evidence-eliminator,com), допускают настройку их конфигурации для удаления устаревших электронных сообщений.

Глава 19. Компьютерные расследования: восстановление и удаление данных

295

Если дальнейшая судьба удаленных данных вызывает серьезные опасения, можно уничтожать файлы с помощью описанных выше специализированных программ, а затем выполнять процедуру дефрагментации жесткого диска. Чтобы вообще избавиться от каких бы то ни было следов файлов, которые не должны быть обнаружены другими людьми, вам останется далее только уничтожить информацию на оставшемся свободным пространстве жесткого диска.

Встраивание программ уничтожения файлов в операционную систему Загрузка программы уничтожения файлов всякий раз, когда в этом возникает необходимость, может вам быстро надоесть, в результате чего вы станете выполнять эту операцию не так часто, как следовало бы. К счастью, такие программы, как Shredder95/98/NT (http://www.gale-force.com), CyberScrub (http://www.cyberscrub.com) и Shred-X (http://www.bsoft.ic24.net) могут интегрироваться с операционной системой таким образом, что в процессе удаления вами файла программа автоматически уничтожит его без каких-либо дополнительных указаний с вашей стороны.

Удаление файлов подкачки Одним из особо уязвимых объектов в компьютере являются свопинг-файлы (swap files), или файлы подкачки. Файлы подкачки используют часть пространства жесткого диска для сохранения некоторых данных с тем, чтобы освободить оперативную память компьютера для других программ, которые могут на нем выполняться. Всякий раз, когда вы запускаете какую-либо программу, например текстовый процессор, операционная система может использовать файлы подкачки для временного хранения данных. Когда вы сохраняете или удаляете документ, значительная часть информации из него все еще остается в файле подкачки, где ее может просмотреть любой человек. Чтобы обеспечить полную защиту, регулярно уничтожайте файлы подкачки (в идеале это следует делать перед каждым выключением компьютера) с помощью программы уничтожения файлов, например AbsoluteShieldFileShredder (http://www.sys-shield.com).

Режим жаренного уничтожения файлов Ваша программа-уничтожитель файлов может прекрасно справляться со своей задачей, если вы методически удаляете файлы, способные послужить против вас уликой. Но представьте себе такую картину: вы спокойно работаете за компьютером, и вдруг в ваш дом неожиданно нагрянула полиция. На случай подобных ситуаций в некоторых программах уничтожения файлов предусмотрен экстренный режим (panic mode). Чтобы настроить этот режим, вы должны заранее определить, какие файлы и каталоги должны быть уничтожены в случае крайней необходимости, и назначить уникальное сочетание клавиш, нажатие которых будет активизировать режим экстренного уничтожения (рис. 19.3).

296

Часть 5. Защита своего компьютера

Еш

fj panic system options

Am r panc i sequence? Yes f* No (• Select keystrokes to be used to initiate Panic System: Enter the name of a file or directory and then click add:

Info

P |

Select Files and Directories, in order of priority Info Move U p j Move Down! Remove j Browse 1 Next

Back

Рис. 19.3. Многие программы уничтожения файлов предусматривают экстренный режим, обеспечивающий немедленное выполнение этой операции в случае крайней необходимости

При неожиданном появлении полиции (или иных нежелательных представителей власти) вам останется только нажать свою волшебную комбинацию клавиш, и ценные файлы, которые были вами заранее определены, будут немедленно уничтожены.

Парольная защита программ уничтожения файлов Поскольку программы-уничтожители файлов делают процесс восстановление файлов и практически неосуществимым, оказавшись в руках людей с недобрыми намерениями, они могут превратиться в мощное оружие. Достаточно, чтобы кто-то запустил уничтожитель файлов на компьютере своего врага, и в течение считанных минут содержимое жесткого диска будет безвозвратно затерто. Особенно обидно, если это не будет сделано намеренно кем-то из посторонних людей, а вы сами случайно уничтожите те файлы, которые в действительности вам нужны. В качестве меры защиты от злоумышленных действий посторонних людей или ваших собственных необдуманных действий в некоторых программах уничтожения файлов предусмотрено средство парольной защиты. Прежде чем вы сможете уничтожить какие-либо файлы, вам придется ввести пароль. Это не только исключает вероятность удаления вами файлов по ошибке, но и не дает вашим врагам возможности обратить программу-уничтожитель файлов против вас. ПРЕДОСТЕРЕЖЕНИЕ Парольная защита предотвращает случайное уничтожение любых файлов, но активизация этого средства может быть нежелательна, если вы допускаете, что вам в любой момент может потребоваться удаление файлов в экстренном режиме.

Глава 19. Компьютерные расследования: восстановление и удаление данных

297

Написание собственной программы уничтожения файлов Если вы хотите детально разобраться в том, как работают программы уничтожения файлов, загрузите исходный код программы Eraser (http://www.tolvanen.com/ eraser), написанной Сэми Толваненом (Sami Tolvanen). Эта программа не только может использоваться совершенно бесплатно, но и предоставляется вместе с исходным кодом на языке Microsoft Visual C++, так что у вас будет возможность изучить принцип ее работы и даже приспособить ее для собственных нужд. Пользователи Linux могут загрузить программу под названием Wipe (http:// wwwgsu.linux.orgtr/wipe). Как и программа Eraser, программа Wipe бесплатна и включает исходный код на языке С, что позволяет вам изучить программу и расширить ее возможности в соответствии со своими потребностями.

Самоуничтожающиеся электронные сообщения Сообщения электронной почты могут послужить источником длинного списка свидетельствующих против вас улик, в связи с чем может потребоваться регулярное удаление и уничтожение каталогов электронной почты. Поскольку такое занятие может очень быстро надоесть, несколько компаний предлагают возможность использования самоуничтожающихся электронных сообщений. Суть идеи заключается в том, что по истечении определенного промежутка времени электронные сообщения либо уничтожаются без вашего вмешательства (с использованием одного из надежных методов уничтожения файлов, исключающих возможность их последующего восстановления), либо зашифровываются таким образом, чтобы с наступлением определенной даты их невозможно было прочесть. Компания Omniva (http://www.disappearing.com) предлагает уникальную версию самоуничтожающейся электронной почты. Если при посылке какого-либо сообщения вы запустите программу Omniva Policy Manager, то получите от сервера Omniva Access уникальный ключ шифрования. Используя этот ключ, вы можете зашифровать свое сообщение и отправить его через Internet. Если кто-либо захочет прочесть ваше электронное письмо, то он должен будет получить ключ шифрования с сервера Omniva Access, который откроет это письмо. В то же время, по истечении срока действия данного сообщения сервер Omniva Access уничтожает ключ шифрования, без которого данное сообщение открыть нельзя, что, в конечном счете, делает безрезультатными всякие дальнейшие попытки его прочтения. В этом случае, хотя сообщение физически и не уничтожается, но с практической точки зрения оно становится бесполезным. Другая возможность, касающаяся самоуничтожения сообщений электронной почты, предоставляется компании Infraworks (http://www.infraworks.com), которая предлагает программу под названием InTether. Программа InTether состоит из двух модулей — Receiver и Packager. Перед отсылкой файла (текста, видео, аудио и т.п.) вы шифруете его с помощью программы Packager. Чтобы прочитать, просмотреть или прослушать сообщение его получателю потребуется программа Receiver. По наступлению определенной даты или после того, как файл будет открыт определенное количество раз, пакет Receiver может удалить и уничтожить файл.

298

Часть 5. Защита своего компьютера

Хотя технология самоуничтожающихся электронных сообщений и в состоянии обеспечить безопасность вашей информации в процессе ее передачи и во время ее нахождения в конечном пункте назначения, она не способна защитить ее от любопытных глаз того, кто имеет возможность поискать следы ваших данных в резервном пространстве файлов, временных файлах и файлах подкачки непосредственно в компьютере, с помощью которого создавалось сообщение. Самоуничтожающаяся электронная почта может использоваться лишь как часть комплекса защитных мер, и не следует рассчитывать, что одной этой меры будет достаточно, чтобы защитить неприкосновенность ваших личных данных.

Поиск удаленных данных Независимо от того, сколько раз вы удаляли файл или какие методы при этом были использованы, всегда существует возможность обратного восстановления файла. И хотя для извлечения данных файла, поверх которого осуществлялась запись, можно было бы привлечь анализ их магнитных следов, оставшихся на жестком диске (см. ниже), гораздо эффективнее поискать их электронные следы.

Буфер клавиатуры В большинстве операционных систем вся информация, которую вы вводите с помощью клавиатуры, сохраняется в области памяти, называемой буфером клавиатуры (keyboard buffer). По этой причине, когда вы создаете текстовый документ (содержащий, например, план подрывной деятельности, которую вы намерены осуществлять против правительства), вся информация временно сохраняется в памяти компьютера в буфере клавиатуры. При закрытии файла компьютер очищает буфер клавиатуры, сбрасывая его содержимое в виде временной копии данного файла, которую впоследствии можно просмотреть с помощью специализированных средств, предназначенных для расследования компьютерных преступлений (см. ниже). Поэтому, если вам необходимо избавиться от данных, способных служить уликами против вас, одного шифрования или удаления файла будет недостаточно. Обе эти меры защищают лишь конечный файл, но ничего не дают в отношении скрытия или уничтожения сброшенной информации, хранящейся в созданных в процессе работы временных файлах. Получить уверенность в том, что остатки клавиатурного буфера не содержат никаких улик против вас, можно лишь удалив все временные файлы, хранящиеся на жестком диске, воспользовавшись для этого своей любимой программой уничтожения файлов.

Очистка кэш-памяти Web-браузера В процессе поиска информации в Internet Web-браузер сохраняет (кэширует) посещаемые вами Web-страницы на жестком диске в каталоге (папке), который называется кэш-каталогом (cash directory). Поскольку по умолчанию в кэш-каталоге записывается информация обо всех Web-узлах, посещенных вами в течение последних двух недель, он содержит и признаки посещения вами тех Web-узлов, которые вы не должны были бы просматривать.

Глава 19. Компьютерные расследования: восстановление и удаление данных

299

Если вас интересует, какого типа информацию можно обнаружить в кэше Web-браузера, запустите одну из таких программ, как Cache Auditor (http://www.webknacks.com), которая может использоваться совместно с браузером Internet Explorer, или Cache, Cookie & Windows Cleaner (http://www.molecule-soft.com), пригодную как для Internet Explorer, так и для Netscape. Программа Cache, Cookie & Windows Cleaner отображает содержимое файлов вашего кэша, так что любой человек может определить, какие Web-страницы вы просмотрели за последние несколько дней. К числу других программ очистки кэша относятся программы Cache and Cookie Washer (http://www.webroot.com), а также IEClean или NSClean (http://www.nsclean.com), которые могут очищать кэш в Internet Explorer и Netscape. Пользователи компьютеров Macintosh могут воспользоваться программой MacWasher (http:// www.webroot.com). Если вы работаете в среде Windows и используете AOL, Internet Explorer, Netscape или же Opera, можете воспользоваться для очистки кэша от хранящихся в нем файлов программой Complete Cleanup (http://www.members.aol.com/ softdd). Необходимо лишь помнить о том, что в процессе очистки кэша файлы только удаляются, а не физически уничтожаются, и поэтому впоследствии файлы, хранящиеся в кэш-каталоге, могут быть легко восстановлены. (Для большей надежности следует использовать программы уничтожения файлов, описанные ранее в этой главе.) Если вы думаете, что очистка кэша, удаление устаревших сообщений электронной почты, удаление временных файлов или уничтожение критических файлов лишь доставляют вам дополнительные заботы, то знайте, что именно на такое отношение пользователей к выполнению перечисленных операций и рассчитывают следователи, занимающиеся компьютерными преступлениями, когда изучают содержимое подозрительного компьютера.

Инструментальные средства для расследования компьютерных преступлений В зависимости от серьезности преступления и способностей преступника следственные эксперты, как правило, для поиска улик используют четыре основных средства: программы восстановления удаленных фгшлов, редакторы шестнадцатиричных кодов, магнитные датчики и электронные микроскопы.

Программы восстановления удаленных файлов Программы восстановления удаленных файлов, предоставляемые такими служебными программами, как, например, Norton Utilities, во многих случаях могут не оправдать надежд новичков, не знакомых с тем, как работают компьютеры. Как ранее уже отмечалось, такие программы лишь переименовывают восстанавливаемые файлы (если поверх них не была записана другая информация), чтобы ваша система могла

300

Часть 5. Защита своего компьютера

вновь их распознавать. Эти программы могут работать лишь в том случае, если файлы на жестком диске не были затерты другими данными, так что программы восстановления удаленных файлов являются довольно слабым следственным инструментом.

Шестнадцатиричные редакторы Если подозреваемый удалил файлы и записал поверх них другую информацию, то для просмотра любых данных, сохраненных в файлах и секторах диска (или удаленных из них), можно использовать редакторы шестнадцатиричных кодов (hex editors). С их помощью можно просматривать физическое содержимое, сохраненное на диске, независимо от границ файлов, папок или разделов. Шестнадцатиричные редакторы часто используют для взлома защиты программного обеспечения от копирования, а также с целью изучения работы компьютерных вирусов и в процессе проведения следственных действий и идентификации и восстановления информации, доступ к которой операционной системе обычно закрыт. Чтобы понять принцип работы шестнадцатиричного редактора, вы должны знать, что вся информация, сохраняемая на жестком диске, записывается на дорожках (tracks), которые имеют вид концентрических колец, расположенных на пластинах жесткого диска наподобие колец в стволах деревьях. Каждая дорожка разделена на секторы, каждый из которых обычно способен хранить 512 байт данных. Особое значение для нас имеют секторы жестких дисков, поскольку именно в них сохраняется информация из буфера клавиатуры. Пример работающего шестнадцатиричного редактора представлен на рис. 19.4. Шестнадцатиричные редакторы читают данные непосредственно с физического носителя и не нуждаются для этого в услугах операционной системы. < ПРИМЕЧАНИЕ О том, как работает персональный компьютер, прекрасно рассказано в руководстве "The PC Guide" (http://www.pcguide.com), подготовленном Чарльзом Козероком (Charles Kozierok).

Следственными экспертами шестнадцатиричные редакторы обычно используются лишь для поиска улик в определенных областях жесткого диска, поскольку их применение для изучения содержимого всего жесткого диска было бы подобно попыткам снятия отпечатков пальцев, оставленных в пределах всего небоскреба. И все же, с помощью шестнадцатиричных редакторов часто удается восстановить некоторые или даже все данные из удаленного файла, доступ к которым иными средствами был бы невозможен. Чтобы ближе познакомиться с тем, как шестнадцатиричные редакторы используются для поиска данных на жестком диске, воспользуйтесь одной из следующих программ: Hex Workshop Ultra Edit VEDIT

http://www.bpsoft.com http://www.idmcomp.com http://www.vedif.com

Глава 19. Компьютерные расследования: восстановление и удаление данных

C:\Program Files\Mutilate File Wiper\m C:\Program Files\Mutilate File Wiper\M

301

[ 4 _ H w /4 / i rsl91 ljlslyl~l"l«l^lelilfilolurc2 / 2g2A2R2W2A2f262t2u2 b3 *«3«30363A3H3X3h3p3u3{3 Л Л Л ; о;\;У.;3; :;H;Q; ; f ; t ; } ; < ; ' ; ;©; • ; ^ ; i ; 6 ; & ; 6 ; 0; А< о<г<$<-<;<В<Р<У<д<п< }<„<"<§<'< Л 303А313§3«3531)4г4Н4п4б42404ё4\5В555|5-15«5'к6 г 686\666ё677>7Т7{7П7О7ё7аВ8]8 Л IM ; р ; \ ; (; 1;7; <;Uj i ; ; J;x;5;4< : >&><>8>>>>>З>0>«>>>>У????Е?Р????

676U6e6~6i6!6-i6±6A6B6g6fl6^7tt7+74797?7D7m7A7£7 >>>Р>К>>¥>'>1>>д>????$?0?[?1??5?? 6о6 j 6 \ ^ 7 , 1 ; 8 U 8 8 Л Л А ; »; ; Z ; + ; l ; F ; N ; X ; e ; u ; , ; § ; • ; - . ; у; %i; 0; с< тСг< Л ?Х?>?Р?О?Ы?]?(Е?-?*?р?й?«? ? ? ? ? ? ? ] ? ? ? ? р ? ? ? ? ???6?1зГ\Ч\ГсЧй ? 1 Г \ Ч \ Ч ААЧ+ Ч Л у й 0 \ 9 89\9tt9 : 9B9G9Р9т9»9i 9a9 o gq9g9Q9693 : 8: - : ji: ё : у : "г; 8 -8 8; 8N8«B8V8-I8JJ8°Вй8Я808а8й8\9B A x a 3«3.373K3m3u3..3-3A3E3o3&363 a4'y4&4<4D4N4a4i4-4V4E4a4U4t5'-5;5C505Z5 5F5u515 5Q5 > > 3 > 8 > » С > >ф ф > >? °>Ч>>? ? ??? ??? > ? ? ?F ??O ? Up? ??? ? V ? S n 6 V r 4 V 0 0 > 8 G 0 L 0 Л A : Z : m : l : S : : ± : i : с; ; x; д ; . „ ; » ; A ; E ; i ; 6; U;6;U; f A =-,=) =Ы=и= =*=о=<г,=й=ё= > (>->6>; >ft>G>H>g>o>x>}>»>< > >->«>. >«>0>a>\? r?+ A l r 1 l ) l W l x l a l * m 6 l 0 l y l < C R > 2 z 2 / 2 I 2 c 2 } 2 - 2 ± 2 e 2 U 2 u 2 ' h 3 I 3 c 3 I 3 w 3 3 > 3 3 {З-^ЗдЗ Л Л 6 6^6»66066666!б6 6£66ё6<СН>7^7)7в7Н7М7и77П77»7г7Й7 8±8088\9 ? < ? ? ? ? O ? \ V \ ^ \ V / y A 3h3m3t3y3 '3R3"303u3~R4Z4/484=4D4I4a4n4x4"4e4a454y4Bs55 r5~v515>5H ftV§ ? ] , g J Л Л 3 : » : Ы : х : 5 : 6 : о ; 1 » ; « ; . ; 4 ; = ; B ; H ; N ; ] ; b ; h ; n ; t ; « ; ' J V; ; » ; В ; д ; У ; $ Х 3»3+30393OЗtЗeЗ^ЗЙЗ"З a З < IЗгЗ+3'u4K4Q4X4]4c4i4y4€4"4V4ф4©4~4^l4A4E4a4l4л4й4' > p555A5 8 л х888Е8Ь8 И 8'8~8й8 л в9 (9< : H: $ : j I ; z < S < ' <-*=>=> Ум >*->$>*>/>S>a>* >A>«>U>ft>0>"?M?q?4a : § : : ! :^:ff : Y : * : 0;H;M; M ; > ; « ; • ; й ; Ё; В; б ; t ; 5;-v
QpenjFdv

1 Rec j Proj j Xplor

/

}

w

y

A A o ? A s?\?!?'? / ?]?j?P?}?t? o ?6?Q?o?\eV 6%\\1)00 % ^ 1 01^PeY0b0g0m0r0£0-.0y0o8A0fi0i A f i 4L R 0 x03 M 323<3r3,3-3~3g3"4>4b4t4fi4*4V4"4-4 8 4 1 4!4&4Y4U445P5t5~5 2 5E50596B6K6t6 w 6 l '6S6^6

Fi=Help

Рис. 19.4.

Шестнадцатиричные редакторы наподобие VEDIT могут отображать скрытое содержимое любого сектора диска или файла

Магнитные датчики и электронные микроскопы Каждый сохраняемый вами файл оставляет магнитные следы на диске, используемом для его сохранения. Проводя измерения магнитных полей на диске, следственные эксперты с помощью магнитных датчиков (magnetic sensors) могут частично или полностью реконструировать удаленный файл, а если это не удается, то они используют электронный микроскоп (дорогой, но доступный для многих государственных организаций прибор). Электронные микроскопы (electronic microscopes) позволяют измерять ничтожно малые изменения магнитных полей, которые не удается полностью уничтожить даже записью поверх файла другой информации. Поскольку при каждой перезаписи информации положение головок диска не может быть точно воспроизведено, после повторной записи поверх удаленного файла некоторые его фрагменты всегда остаются, и их можно обнаружить с помощью электронного микроскопа.

"Склеивание11 дисков Независимо от того, сколько раз вы осуществляли запись поверх файла, выполняли форматирование жесткого диска или переустанавливали его разделы, следы

302

Часть 5. Защита своего компьютера

исходной информации всегда остаются. В результате многократного применения программ уничтожения файлов процесс восстановления файлов становится лишь более дорогостоящим и затруднительным, но не невозможным. Находясь под влиянием иллюзии, будто тем самым они могут полностью себя обезопасить, многие в определенных обстоятельствах сжигают гибкие или жесткие диски, крошат их и терзают, разрезают на куски, выливают на них кислоту или оказывают иного рода физическое воздействие с единственной целью — не допустить их возможного повторного использования на любом другом компьютере. К сожалению, физическое разрушение гибких или жестких дисков еще не дает гарантии того, что данные при этом будут надежно уничтожены, поскольку такие государственные организации, как ФБР или ЦРУ применяют специальную технику, получившую название "склеивания"дисков (disk slicing). При использовании этой техники отдельные фрагменты гибкого или жесткого диска физически размещают таким образом, чтобы как можно точнее воспроизводилась первоначальная форма диска. После этого с помощью магнитных датчиков или электронного микроскопа можно считать информацию, которая все еще остается записанной на поверхности диска. Совершенно очевидно, что "склеивание" дисков — кропотливая и дорогостоящая процедура, поэтому не следует рассчитывать на то, что полицейские из вашего местного отделения будут обладать достаточными знаниями, навыками или оборудованием, чтобы выполнить ее. Но если вы уничтожили свидетельства, в которых заинтересованы такие мощные государственные организации, как Управление национальной безопасности, ЦРУ или ФБР, то не надейтесь, что, изуродовав диск, вы сможете скрыть свои секреты также и от проницательных электронных глаз этих могущественных и располагающих богатыми финансовыми возможностями агентств. В действительности, американское правительство даже содержит специальную лабораторию компьютерной следственной экспертизы (Computer Forensics Laboratory) (http://www.dcfl.gov), расположенную в городе Линтикуме (Linthicum), штат Мэриленд, которая специализируется на извлечении информации из компьютеров независимо от состояния, в котором находится их аппаратная часть или жесткие диски. Окончательный вывод, который из этого следует извлечь, состоит в том, что если вы не хотите подвергать себя риску того, что некоторая информация впоследствии сможет быть считана с вашего жесткого или гибкого диска несмотря на все мыслимые меры предосторожности с вашей стороны, то эту информацию вообще не следует хранить в компьютере.

Эксперименты с компьютерным следственным инструментарием С учетом того, насколько разнообразны способы отслеживания улик, вам, вероятно, захочется исследовать свой жесткий диск, чтобы выяснить, насколько просто будет кому-то использовать против вас ваши же данные.

Глава 19. Компьютерные расследования: восстановление и удаление данных /

303

Бесплатные компьютерные следственные инструментальные средства Если вы хотите поэкспериментировать с бесплатными инструментальными средствами, предназначенными для извлечения скрытых данных, посетите Web-узлы AntiOnline (http://www.antionline.com) и New Technologies (http://www.forensicsintl.com/download.html). Например, программа dirsnp может восстанавливать ранее удаленные файлы, программа dd — считывать отдельные секторы диска и отображать их содержимое, а программа read it —- отыскивать файлы по содержащимся в них отдельным словам или словосочетаниям, например, "ядерная ракета", "нервнопаралитический газ" или имя жены вашего директора,. Поскольку восстановленные файлы могут содержать символы, не являющиеся буквенно-цифровыми (например, улыбающиеся рожицы, треугольники или необычные математические символы), такие бесполезные символы можно отсекать программными фильтрами, что позволяет представить скрытые внугри файла фактические данные в более понятной форме. Можно также отключить клавиатуру с помощью специальной блокирующей программы, чтобы не допустить изменения содержимого файла.

Коммерческие компьютерные следственные инструментальные средства Чтобы ближе познакомиться с некоторыми инструментальными средствами, которые могут быть использованы против вас, посетите Web-узел Digital Intelligence Inc. (http://www.digitalintel.com), где можно купить уникальную программу под названием Drivespy. Эта программа получает доступ к физическим дискам, используя исключительно вызовы BIOS (Intl3 или Int 13x). Благодаря этому Drivespy не только получает возможность доступа как к DOS-разделам жесткого диска, так и к разделам другого типа, но и гарантированно исключает риск того, что операционная система модифицирует или сотрет данные, осуществляя доступ к ним обычными способами. Программа DriveSpace обеспечивает выполнение следующих операций: > Исследование разделов жесткого диска с использованием программы просмотра секторов и кластеров в шестнадцатиричных кодах > Копирование файлов в указанную рабочую область без изменения файловой структуры или модификации данных > Восстановление удаленных файлов без изменения файловой структуры или модификации данных > Осуществление поиска текстовых строк или последовательностей цифровых данных в пространствах дисков, разделов и файлов > Сохранение неиспользованного пространства всего раздела в файл для его последующего изучения > Сохранение и восстановление одного или более смежных секторов в файл или из файла

304

Часть 5. Защита своего компьютера

Для тех, кому возможностей программы Drivespy окажется мало, компания Digital Intelligence предлагает к продаже специализированную рабочую станцию следователя по компьютерным преступлениям (хитроумно названную FRED, от Forensic Recovery of Evidence Device) и ее портативный вариант под названием FREDDIE (от Forensic Recovery of Evidence Device Diminutive Interrogation Equipment). Если вам когда-либо доведется увидеть, как полицейские вносят в вашу компьютерную комнату FRED'a или FREDDY, то знайте, что с их помощью они смогут скопировать данные с жесткого диска или любого другого сменного устройства хранения данных, например диска ZIP, создать образ всего вашего жесткого диска, непосредственно подключиться к вашему компьютеру и контролировать любую информацию, которую ваши друзья могут передавать вам, исследовать данные, хранящиеся в любых видимых и скрытых разделах жесткого диска и делать с помощью видеокамеры снимки, запечатлевающие внешний вид и расположение оборудования на месте преступления. Кроме того, вы можете посетить Web-узел Guidance Software (http:// www.guidancesoftware.com), где найдете описание их программы EnCase. Программа EnCase позволяет обследовать не только компьютеры MS-DOS/Windows, но и компьютеры, работающие под управлением операционных систем Macintosh и Linux. EnCase может подключиться к целевому компьютеру и осуществить сканирование его жесткого диска с целью поиска графических файлов (полезное средство при охоте на тех, кто распространяет детскую порнографию). После извлечения всех графических файлов и их копирования на другой компьютер программа может отобразить их содержимое на экране или вывести на печать. В то время как поиск графических файлов может быть полезным при поиске детской порнографии, для нахождения улик против обычных преступников и террористов требуется проводить поиск текстовых и других файлов. Поскольку подобного рода информация, вероятнее всего, хранится в документах, подготовленных с помощью текстовых процессоров, или в виде сообщений электронной почты, EnCase может осуществлять поиск всех файлов, содержащих определенные слова или словосочетания. Обнаружив файл, содержащий искомое слово или словосочетание, EnCase может вывести список соответствующих файлов или скопировать их для дальнейшего изучения. Чтобы более подробно ознакомиться с тем, каким образом правительства США и Великобритании используют следственные компьютерные инструментальные средства для поимки преступников, посетите Web-узлы Electronic Crimes Task Force (http:// www.ectaskforce.org) (США) и National Hi-Tech Crime Unit (http://www.nhtcu.org/ nhtcu.htm).

Как обеспечить собственную защиту Даже если вы регулярно применяете программы уничтожения файлов, представители правоохранительных органов всегда могут воспользоваться целым рядом разнообразных инструментальных средств, предназначенных для расследования компьютерных преступлений, с помощью которых они могут узнать любые ваши секреты, скрытые в удаленных файлах. В связи с этим возникает вопрос о том, как все-таки защитить свой компьютер от их любопытствующего взгляда? По существу,

Глава 19. Компьютерные расследования: восстановление и удаление данных

305

такой защиты не существует. Хотя вы и можете затруднить восстановление данных путем периодической очистки кэш-каталога и сохранения файлов лишь на сменных дисках (гибких, ZIP), которые при необходимости можно уничтожить, все равно знайте, что все, что все ваши действия за компьютером впоследствии могут быть восстановлены и изучены. Ну, а что если использовать шифрование? Любая зашифрованная вами информация может оставаться сохраненной в резервных (неиспользуемых) областях пространства жесткого диска или во временных файлах, а это означает, что экспертам ваши зашифрованные файлы могут даже не потребоваться, и они будут в состоянии восстановить информацию, найдя исходные версии файлов, от которых всегда остаются какие-нибудь следы на вашем жестком диске. Если вы не хотите, чтобы ваш компьютер был использован против вас в качестве улики, тщательно изучите методы, используемые следственными экспертами для восстановления данных. Экспериментируйте с доступными вам бесплатными и коммерческими версиями соответствующих программных средств, выясняя, насколько эффективно вам удается находить скрытую информацию в компьютерах других людей. С этой целью попытайтесь незаметно исследовать компьютер своего коллеги по работе. Это научит вас тому, как лучше защитить собственные данные.

Глава 20 Защита собственного компьютера

Я полагала, что еврейское государство будет свободно от пороков, разъедающих другие общества: воровства, убийств, проституции... Однако то же самое происходит сейчас и у нас. И это причиняет боль, пронзающую до глубины сердца. — Голда Мейер

ВОЗМОЖНО, НАИБОЛЬШУЮ ЦЕННОСТЬ ДЛЯ ВАС ПРЕДСТАВЛЯЕТ НЕ САМ КОМПЬЮТЕР, А ХРАНЯЩИЕСЯ В НЕМ ДАННЫЕ, ОДНАКО ИЗ ЭТОГО ВОВСЕ НЕ СЛЕДУЕТ, ЧТО ВЫ МОЖЕТЕ ПОЗВОЛИТЬ СЕБЕ ПОТЕРЮ КОМПЬЮТЕРА. Никто не захочет покупать себе второй компьютер, если можно сохранить имеющийся, какой бы низкой ни была его стоимость. Если вы не хотите, чтобы ваш компьютер внезапно исчез, затратьте немного времени и денег, и тогда он не ускользнет из ваших рук и не очутится в руках вора. Не говоря уже о том, что следует придерживаться правил, диктуемых здравым смыслом, в соответствии с которыми, в частности, не рекомендуется оставлять портативный компьютер без присмотра, вы можете предпринять некоторые дополнительные меры предосторожности, например, предотвратить возможность его перемещения или установить сигнализацию. Если кто-то вдруг стащит у вас компьютер, оборудованный датчиком слежения, то вам удастся его вернуть. Чтобы еще более стеснить потенциальных воров в их действиях, вы можете раскошелиться на биометрическое устройство, которое будет допускать к пользованию компьютером только вас или группу людей, которых вы сами выберете.

Закрепление компьютера на рабочем месте Простейшим способом, позволяющим избежать внезапного исчезновения компьютера, является закрепление его на рабочем месте с помощью шнура или тросика. В большинстве компьютеров предусмотрено специальное

Глава 20. Защита собственного компьютера

307

гнездо для закрепления конца такого шнура, тогда как для настольных компьютеров часто требуются специальные пластины, которые прикрепляются к боковой части компьютера или монитора и к столу (см. рис. 20.1) с помощью клея.

Рис. 2 0 . 1 . Прикрепление компьютера с помощью шнура к неподвижному объекту, например к столу

Подобно велосипедным замкам крепежные шнуры могут помешать ворам-новичкам и, возможно, замедлить действия тех, кто просто не прочь воспользоваться подвернувшимся случаем, но не остановят решительно настроенного вора. При наличии достаточно большого запаса времени вор, используя обычное средство для снятия лака с ногтей, растворит клей, которым конец шнура закреплен на компьютере, а крепежные замки портативного компьютера легко собьет несколькими точными ударами молотка. Чтобы еще быстрее справиться со своей задачей, вор может просто перекусить кусачками крепежный шнур, которым компьютер привязан к столу. Кроме физического закрепления компьютера на рабочем месте, в первую очередь позаботьтесь о том, чтобы были закрыты окна и двери, через которые в комнату, где находится компьютер, могут проникнуть посторонние люди. Чем больше преград (датчики движения, сигнализация, сторожевые собаки, прочные дверные замки и оконные затворы) вы поставите на пути вора, тем меньше вероятность того, что ему захочется их преодолевать. В качестве дополнительной меры предосторожности запишите номер модели, название фирмы-изготовителя и серийный номер компьютера и сохраните эту информацию в безопасном месте. Тогда в случае кражи компьютера вы сможете ввести информацию о нем в реестр украденных компьютеров, обратившись в бесплатную службу Stolen Computer Registry (http://www.stolencomputer.org), которая сопровождает соответствующую базу данных. Если ваш компьютер будет кем-то обнаружен, то служба Stolen Computer Registry поможет вам вернуть его обратно.

308

Часть 5. Защита своего компьютера

В качестве дополнительной защитной меры нацарапайте номер своего водительского удостоверения или иные личные идентификационные данные внутри корпуса компьютера (чтобы вор не смог их заметить) или снаружи (чтобы сделать оборудование менее ценным для вора, поскольку ему придется удалить эти данные, прежде чем он сможет продать украденный компьютер).

Защита отдельных частей компьютера В некоторых случаях кража целого компьютера может сразу бросаться в глаза или быть затрудненной, и вору будет гораздо проще украсть отдельные компоненты. В конце концов, любой человек немедленно обратит внимание на внезапное исчезновение компьютера со своего рабочего стола, но никто не заметит пропажи жесткого диска, видеокарты, внешнего привода для Zip-накопителей, шарового манипулятора или карты памяти до тех пор, пока не включит компьютер. Чтобы никто не смог унести с собой внешнее компьютерное оборудование, например, внешний жесткий диск или громкоговорители, можно приклеить к каждому из устройств металлическую пластинку и протянуть через эти пластинки шнур, в результате чего все устройства окажутся скрепленными с компьютером.

Защитные кожухи Конечно, закрепление компьютера на рабочем столе при помощи шнура остановит некоторых воров, но оно не помешает им открыть корпус компьютера и украсть то, что находится внутри него. Во избежание этого вы можете купить специальный металлический защитный кожух, который надевается на компьютер и закрывается на замок. Такой кожух способен защитить от кражи не только сам компьютер, но и его внешние компоненты. Некоторые считают, что подобный защитный корпус выглядит слишком уродливо и занимает место. Вместо того чтобы накрывать металлическим колпаком весь компьютер, можно предусмотреть лишь запорное приспособление, которое крепится на задней стенке компьютера и не позволяет снять его корпус (но при этом не мешает украсть компьютер целиком). В качестве альтернативы металлическому кожуху вы можете использовать защитную подставку, прикрепляемую к неподвижному объекту (например, столу), на которой затем фиксируете компьютер (или иное устройство, представляющее ценность, например, копировальную машину или лазерный принтер) с помощью клея. Хотя многие опасаются взлома компьютера и уничтожения данных лишь со стороны внешних хакеров, в действительности хакерские атаки часто совершаются теми, кто имеет вполне легальный доступ к компьютеру: сотрудниками, консультантами, техническими специалистами. Чтобы лишить внутренних злоумышленников возможности доступа к компьютеру с целью кражи данных или внедрения вирусов или "троянских коней", можно блокировать доступ к приводам дисков. Для осуществления такой блокировки годятся специальные крышки, закрывающие приводы и исключающие возможность использования гибких дисков, компакт-дисков (CD) и дисков ZIP.

Глава 20. Защита собственного компьютера

309

Чтобы подробнее познакомиться с существующими средствами физической защиты компьютеров, такими как привязные шнуры, запорные приспособления или защитные кожухи, посетите Web-узлы компаний, перечень которых приводится ниже: Compucage Compu-Gard Computer Security Products FMJ/PAD.LOCK Kensington PC Guardian Secure-It Security Solutions

http://www.compucage.com http://www.compu-gard.com http://www.computersecurity.com http://www.fmjpadlock.com http://www.kensington.com http://www.pcguardian.com http://www.secure-it.com http://www.securirysolutioins.ca

Устройства сигнализации Аварийная сигнализация способна помешать совершению кражи любого типа, поскольку вор меньше всего заинтересован в создании шума, способного привлечь к нему внимание. Многие компании выпускают датчики движения, которые вставляются в обычные гнезда расширения компьютера и снабжены собственным источником питания, что позволяет им находиться в рабочем состоянии независимо от того, включен или выключен компьютер. При обнаружении таким датчиком признаков необычного движения, указывающих на возможные попытки перемещения компьютера, срабатывает сигнализация, пронзительный вой которой спугнет любого неудачливого воришку. Если защита компьютера является для вас вопросом первостепенного значения, подумайте о приобретении выпускаемого фирмой Barracuda Security Devices (http:// www.barracudasecurity.com) уникального продукта, подобного взрывающимся капсулам с красителем, которые используются в банках с целью помешать ограблению. (Такие капсулы сначала издают предупреждающий сигнал и лишь затем взрываются и разбрызгивают чернила, оставляя метки на деньгах и на грабителе, что обеспечивает полиции возможность распознать вора впоследствии или проследить за его попытками запустить украденные деньги в оборот.) Устройство Barracuda Anti Theft Device вставляется в гнездо расширения внутри настольного компьютера и отслеживает любые изменения внутренней освещенности, подавая соответствующий сигнал в случае открытия корпуса. Если корпус компьютера открывается без отключения устройства посредством ввода PIN-кода, оно издает звуковой сигнал и разбрызгивает несмываемые чернила по всем внутренним компонентам компьютера, что упрощает их последующую идентификацию как краденых и затрудняет вору их сбыт.

Защита портативного компьютера По оценкам компании Safeware (http://www.safeware,com/losscharts.htm) количество краж портативных компьютеров в 2001 году составило свыше 500000, тогда как настольных компьютеров было украдено всего лишь 15000. Небольшие размеры, малый вес и высокая цена делают портативный компьютер наиболее очевидной и

310

Часть 5. Защита своего компьютера

притягательной мишенью, и поэтому, если вы передвигаетесь вместе с ним в общественных местах, сделайте все возможное, чтобы он не был у всех на виду. Пройдитесь по любому аэропорту, и вы увидите множество людей с портативными компьютерами в характерных черных чемоданчиках, которые вору легко распознать, но которые после кражи становятся почти незаметными у него в руках. Вместо того чтобы нести портативный компьютер в чемоданчике, который так и просится, чтобы его украли, поместите его в обычный портфель, рюкзак или даже обычный бумажный кулек из универсама, чтобы казалось, будто вы несете сувенир, купленный в аэропорту в качестве подарка. Если вам суждено лишиться своего портативного компьютера в аэропорту, то наиболее вероятным местом, где это может произойти, являются детекторы металла. Один из воров становится перед вами предварительно набив карманы различными металлическими предметами (ключами, монетами и т.п.) и выжидает, пока вы не положите свой компьютер на ленту транспортера, перемещающую вещи пассажиров перед рентгеновским аппаратом. После этого, пока вор никак "не может" благополучно миновать детектор металла, постоянно издающий предупреждающие сигналы, и тем самым задерживает остальных пассажиров (в том числе и вас), его сообщник, который уже находится у другого конца транспортера, снимает с ленты ваш компьютер. К тому моменту, когда вы, наконец, пройдете проверку, ваш компьютер — в своем неразличимом черном чемоданчике — уже успеет исчезнуть. Поэтому рекомендуется проходить через пункты проверки в аэропорту с кемнибудь вдвоем. Пусть сначала пройдет проверку ваш товарищ, который сможет забрать компьютер вслед за тем, как он будет просвечен рентгеновским аппаратом. Это не даст возможному вору оказаться у компьютера первым и скрыться вместе с ним.

Сигнализация для портативных компьютеров Но как быть в том случае, если, несмотря на все меры предосторожности, ваш портативный компьютер все-таки украли? Одним из возможных выходов является использование специальной сигнализации, например, той, которую продает компания Trackit (http://www.trackitcorp.com) или компания Caveo (http://www.caveo.com). Устройства сигнализации этого типа, в отличие от сигнализации для настольных компьютеров, состоят из двух частей: датчика, закрепляемого на портативном компьютере, и другого чувствительного элемента, который остается у вас (например, на брелке или в вашем кармане). Как только компьютер окажется от вас на удалении, превышающем заранее определенное расстояние (например, 15 футов), сигнализация сработает и издаст звуковой сигнал. Даже если это и не заставит вора тут же оставить ваш компьютер в покое, то, по крайней мере, привлечет ваше внимание, и вы, ориентируясь на призывный вой сигнализации, сможете броситься в погоню за похитителем. Если вору удастся убежать вместе с компьютером, аварийный детектор движения сможет защитить паролем и зашифровать хранящиеся на жестком диске данные. В этом случае, даже если вор и попытается воспользоваться компьютером, парольная защита обеспечит закрытие доступа, а шифрование данных, хранящихся на диске, сделает невозможным копирование его содержимого.

Глава 20. Защита собственного компьютера

311

Службы дистанционного слежения Сутью другого защитного механизма является использование программы слежения (наблюдения), размещенной на жестком диске компьютера. При каждом подключении компьютера к Internet эта программа связывается со специализированным сервером и посылает ему IP-адрес текущего местоположения компьютера. После получения от вас заявления о краже компьютера сервер начинает отслеживать, когда ваш компьютер вновь выйдет на связь. Сразу же после получения IP-адреса подключившегося к сети компьютера компания связывается с властями, к чьей юрисдикции относится соответствующая территория, и те организуют поимку похитителей. Некоторые программы дистанционного слежения предоставляют еще более широкие возможности. Получив текущий IP-адрес украденного компьютера, сервер посылает программе слежения команду отключить громкоговоритель и произвести поиск телефонного соединения. После этого портативный компьютер в скрытом режиме набирает номер телефона, по которому сервер может дополнительно уточнить текущее местонахождение компьютера. Для обеспечения дополнительной безопасности сервер также может послать программе дистанционного слежения команду зашифровать жесткий диск, чтобы не дать вору возможности воспользоваться захваченными данным. Благодаря этому, даже если вам и не удастся вернуть компьютер, вы, по крайней мере, будете уверены в том, что никто не сможет воспользоваться данными, которые хранятся в нем. Для получения более подробной информации о различных типах доступных программ дистанционного слежения для портативных компьютеров посетите перечисленные ниже Web-узлы:

Absolute Protect Absolute Software CyberAngel Security Solutions zTrace Technologies

http://www.absolute-protect.com http://www.computrace.com http://www.sentryinc.com http://www.ztrace.com

Блокировка доступа к компьютеру с помощью биометрических устройств Замки могут быть сломаны, а сигнализация отключена, поэтому в качестве одного из альтернативных способов блокировки доступа к компьютеру используется биометрический контроль (biometrics), с помощью которого можно однозначно идентифицировать авторизованных пользователей по их отпечаткам пальцев, рисунку радужной оболочки глаз или голосу. Основным преимуществом биометрического контроля является то, что обмануть его гораздо сложнее, чем, скажем, парольную защиту. Если хакеры иногда добиваются успеха, начиная свои попытки угадывания пароля с таких слов, как SEX или PASSWORD, то подделать чьи-то отпечатки пальцев и характеристики радужной оболочки глаз или голоса намного труднее. В основе принципа работы средств биометрического контроля лежит тот факт, что каждый человек обладает свойственными только ему уникальными характеристиками, которые

312

Часть 5. Защита своего компьютера

невозможно воспроизвести; так, например, отпечатки пальцев различны даже у близнецов. Типичное биометрическое устройство работает следующим образом. Прежде всего, вы должны сохранить в устройстве биометрические данные каждого из авторизованных пользователей, полученные, например, снятием отпечатков пальцев или сканированием радужной оболочки глаз. Тем самым создается база данных, которую устройство биометрического контроля может использовать для принятия решений относительно того, кому предоставлять доступ к компьютеру, а кому отказывать в нем. После ввода в биометрическое устройство нескольких образцов данных каждого пользователя необходимо убедиться в том, что оно в состоянии осуществлять безошибочную идентификацию соответствующих лиц. Наибольшей проблемой, с которой приходится сталкиваться при разрешении доступа с использованием биометрического контроля, является отыскание подходящего баланса между количеством ложных разрешений и ложных отказов. Как говорит само название, термин ложный допуск относится к ситуации, в которой критерии приемлемости, установленные для устройства, допускают разброс контролируемых характеристик в чрезмерно широких пределах, и поэтому каждый пользователь, отпечатки которого лишь незначительно отличаются от контрольных, сможет получить доступ к компьютеру. Аналогичным образом, термин ложный отказ относится к ситуации, в которой диапазон возможных отклонений характеристик от контрольного критерия оказался слишком узким, так что даже у пользователей, имеющих право доступа к компьютеру, могут возникнуть проблемы, поскольку в результате биометрического контроля они будут признаны недействительными пользователями.

Биометрические устройства Поскольку большинство людей выбирают простые пароли или вообще забывают их, многие совсем не пользуются паролями, полагаясь вместо этого на смарт-карты. Смарт-карта (smart card) содержит информацию, закодированную магнитным способом на пластиковой карточке. Если вставить такую карточку в считывающее устройство, то компьютер сможет определить, разрешен ли доступ ее владельцу. Разумеется, если кто-то украдет вашу карточку, то он сможет получить доступ к компьютеру, одновременно заблокировав его для вас. Поскольку пароль можно разгадать, а смарт-карту украсть, многие возлагают надежды на использование биометрических устройств для ограничения доступа к компьютерам. Наиболее распространенным средством биометрического контроля, к тому же самым простым в реализации, являются сканеры отпечатков пальцев. Такие сканеры могут поставляться либо в виде независимых блоков, подключаемых к портативному компьютеру посредством кабеля, либо в виде плат PCMCIA, вставляемых в компьютер. Для получения более подробной информации об устройствах биометрического контроля, считывающих отпечатки пальцев, посетите следующие Web-узлы:

Глава 20. Защита собственного компьютера Digital Persona KeyTronicEMS Precise Biometrics Siemens Utimaco Safeware

313

http://www.digitalpersona.com http://www.keytronic.com http://www.precisebiometrics.com http://www.siemensidmouse.com http://www.utimaco.com

He говоря об отпечатках пальцев, не найдется также двух людей, подписи которых были бы совершенно одинаковыми. В связи с этим некоторые компании продвигают на рынке устройства для распознавания подписей. Более подробную информацию по этому вопросу вы найдете на Web-узлах Communication Intelligence Corporation (http://www.cic.com) и Cyber-SIGN (http://wvw.cybersign.com). Закрепите на своем компьютере видеокамеру — и с помощью соответствующего программного обеспечения вы сможете идентифицировать авторизованных пользователей по их внешности. Пользователям останется лишь взглянуть в объектив камеры, и как только компьютер признает их законными пользователями, они получают доступ к нему. Одной из компаний, торгующих программами для распознавания внешности, является компания Identix (http://www.identix.com). Чтобы больше узнать о возможностях программ этого типа, познакомьтесь с демонстрационным алгоритмом, предлагаемым на узле Robotics Institute (http://vasc.ri.cmu/edu/cgi-bin/demos/ findface.cgi). Достаточно загрузить на сервер различные фотографии нескольких людей, и вы сможете убедиться в том, насколько точно алгоритм идентифицирует одно и то же лицо в разных положениях на разном фоне. В качестве уникального средства биометрического контроля компания Real User (http://www.realuser.com) предлагает программу под названием PassFaces. Вместо того чтобы заставлять пользователей запоминать таинственные пароли и правильно их произносить, PassFaces предоставляет им возможность выбрать в качестве пароля определенного персонажа. При попытке пользователя получить доступ к компьютеру на экране появляется несколько различных персонажей, из которых необходимо выбрать нужного. Компания Iridian Technologies (http://www.iridiantech.com) предлагает еще более экзотическое биометрическое устройство, в котором для определения авторизованных пользователей осуществляется сканирование радужных оболочек глаз. Не ограничиваясь только одним биометрическим показателем, компания SAFlink (http:// www.saflink.com) предлагает идентифицировать пользователей одновременно по их голосу и отпечаткам пальцев, привлекая для этого обычный цифровой фотоаппарат, микрофон и дактилоскопический сканер. Еще одна компания, BioID (http:// www.bioid.com), для идентификации легитимных пользователей предлагает использовать их внешность, голос и движения губ. Если кому-то и удастся обмануть одно устройство, то вряд ли это у него получится со вторым или третьим устройством. Более подробную информацию, касающуюся вопросов безопасности в целом — от защиты своей собственности до самообороны на улице, — вы найдете на узлах Ardent Security Solutions (http://www.security-solutions.com) и National Security Institute (http://nsi.org). Для получения конкретной информации, относящейся к защите компьютеров и хранящихся в них данных, посетите узел Computer Security Institute (http:// www.gocsi.com).

314

Часть 5. Защита своего компьютера

Способы обхода биометрической защиты Теоретически, никто не может точно подделать отпечатки пальцев, подпись или сканированное изображение лица другого человека, так что биометрические средства контроля должны были бы дать ответы на все вопросы, касающиеся защиты доступа к компьютеру, не так ли? К сожалению, это не так. Биометрический контроль можно обойти. Помимо грубых методов, когда авторизованного пользователя под угрозой применения оружия вынуждают подставить свои глаза для сканирования или просто отрезают ему палец, который будет использован в процессе проверки легитимности доступа с помощью сканера отпечатков пальцев, существует целый ряд ненасильственных методов, позволяющих обмануть биометрические устройства. После того как авторизованный пользователь приложил свои пальцы к датчику и возможность его доступа к компьютеру была подтверждена, он отходит от устройства. Разумеется, в течение некоторого времени его отпечатки пальцев продолжают оставаться на датчике. Чтобы обмануть большинство дактилоскопических сканеров, достаточно сложить ладони рупором и подышать над прибором до образования влаги, в результате чего на поверхности пластины вновь появятся предыдущие отпечатки пальцев действительного пользователя. Считав их, сканер и на этот раз признает их действительными и тем самым разрешит вам доступ к компьютеру. Чтобы сохранить отпечатки пальцев для повторного использования, рассейте на считывающей поверхности дактилоскопического сканера графитовый порошок, а затем наклейте на нее кусочек обычной целлофановой ленты для переноса отпечатка пальца на клейкую сторону ленты. Тогда, если вы опять наклеите этот кусочек ленты на сканер, тот примет его за отпечаток пальца действительного пользователя. Обмануть устройства для распознавания внешности еще проще. Для этого достаточно раздобыть фотографию авторизованного пользователя, приложить ее к объективу, через который изображение поступает в камеру, и тогда шансы, что устройство подумает, будто это и есть действительный пользователь, будут довольно велики. Точно так же легко обмануть и голосовое контрольное устройство. Включите диктофон на запись и станьте позади действительного пользователя, когда тот будет говорить в микрофон. После этого вы сможете воспроизвести эту запись, и полученный вами голосовой пропуск будет признан устройством как действительный. Аналогичным образом можно обмануть и устройства, сканирующие радужную оболочку глаз, если только вам удастся получить ее фотографию, соответствующую действительному пользователю. Подержите эту фотографию перед объективом, и вполне вероятно, что этот трюк вам удастся. Пожалуй, наилучший способ обмануть биометрическое устройство любого типа заключается в том, чтобы перехватить данные в процессе их прохождения от биометрического датчика к компьютеру. Если вам удастся незаметно подключить такое устройство, как USB Agent (http://www.hitex.demon.co.uk), между устройством биометрического контроля и компьютером, то вы будете в состоянии перехватывать данные, соответствующие действительным пользователям. После этого вы можете вообще не обращать на биометрические устройства никакого внимания и исполь-

Глава 20. Защита собственного компьютера

315

зовать USB Agent для передачи в компьютер данных, ожидаемых от действительного пользователя (рис. 20.2). Fe li Edti V e iw Favorte is Tods Hep l _^- ,_J Ф « В а с к ' ^ » ($ [ £ ) ^ } '• a cb hagen» itF |h am Address J£3 r*tpv :/wwr.*exc .Jeronc .o u^ ku /S se bu /rs tvolrties

HiUghts h an Fnde tN frnwa fft tool o lr

U S B A g e n t Explores Ko fws t anJ - ara .v i'7> i5 U>B l«0k rsns) the secrets of fffi desko tp PC* .• ii «fltwied h ifcuch USB Agent - the eficient USB bus it protocol anay izeT ННвЛU>BMftrtt - tbe <-?f;ti!.'!)t UbS fciu s> pntenC н ф я • wiil Ьашшш

yout ргеГ-гтг!>с с)«?-л->!пргт d is.mvet'iiHe-'ii! Hw dm :;r. iheeaw-t

any

Рис. 20.2. Устройство USB Agent обеспечивает перехват и анализ данных, передаваемых по USB-кабелю

К числу других средств, позволяющих перехватывать данные, передаваемые по USB-кабелю, относятся USB Sniffer for Windows (http://usbsnoop.sourceforge.net) и USB Snoopy (http://home.jps.net/~koma). Обе программы могут перехватывать данные для последующего их анализа с целью выяснения того, какие из биометрических данных, передаваемых в компьютер, принадлежат действительным пользователям. Какими бы совершенными ни были устройства биометрического контроля, всегда найдется способ их обмануть. Средства биометрического контроля могут использоваться в качестве дополнения к мерам безопасности, но не способны полностью их заменить. Чтобы никому не удалось обмануть биометрический прибор, вы должны нанять охрану, которая держала бы его под постоянным наблюдением. Однако если вы можете позволить себе держать охранника рядом с компьютером, то биометрические средства контроля доступа к нему вам будут на самом деле не нужны. Любая известная защитная блокировка, сигнализация или биометрическое устройство могут отпугнуть лишь случайного воришку и замедлить действия опытного

316

Часть 5. Защита своего компьютера

злоумышленника, но вам никогда не удастся обеспечить абсолютно полной безопасности своего компьютера. Помня о том, что все защитные устройства являются лишь средствами отпугивания, вы сможете достигнуть разумного компромисса между безопасностью компьютера и своим бюджетом. Но стоит вам решить, что безопасность можно купить, если использовать новейшие технологии, как вы тут же разочаруетесь и, возможно, даже лишитесь своего портативного компьютера.

Часть 6

Приложения

Приложение А

Программное обеспечение ЧТОБЫ ВАМ БЫЛО ЛЕГЧЕ ЗАЩИТИТЬ СВОЙ КОМПЬЮТЕР ОТ МНОЖЕСТВА ОПАСНОСТЕЙ, ПОДСТЕРЕГАЮЩИХ В INTERNET, ВОСПОЛЬЗУЙТЕСЬ ПРИВЕДЕННЫМ НИЖЕ ПЕРЕЧНЕМ ПРОГРАММ, КОТОРЫЕ ПОМОГУТ ОБЕСПЕЧИТЬ НЕОБХОДИМУЮ СТЕПЕНЬ БЕЗОПАСНОСТИ. В число этих программ включено бесплатное и условно бесплатное программное обеспечение, а также бесплатные пробные и демонстрационные версии программ. Там, где это возможно, указывается основной сетевой узел программы, посетив который, вы сможете получить сведения относительно самой последней версии соответствующего программного обеспечения.

Типы программ > Бесплатные (freeware) программы можно бесплатно использовать, копировать и распространять без каких-либо лицензионных ограничений. (В некоторых случаях такие программы предоставляются вместе с исходным кодом, который вы можете изучить и модифицировать.) > Условно бесплатные (shareware) программы предоставляются на условиях "сначала испытайте, а затем купите". Вы сразу получаете полную версию программы, но если захотите использовать ее и в дальнейшем, то обязаны за это заплатить. > Демонстрационные (demoware) и пробные (trialware) программы представляют собой либо ограниченные по времени действия, либо "урезанные" версии программного обеспечения. Если программа вам понравилась и вы хотите ее использовать и в дальнейшем, то за полную ее версию необходимо заплатить. Чтобы сэкономить деньги, сначала испытайте как можно больше различных программ. Многие бесплатные программы предлагают ту же (а иногда и более высокую) степень защиты, что и их условно бесплатные или коммерческие аналоги. Например, несмотря на то что программа BlacklCE по праву заслужила славу превосходного брандмауэра, аналогичная ей программа ZoneAlarm предлагает те же возможности защиты, но бесплатно.

Поддержка инсталляции Поскольку инсталляция многих из рассматриваемых программ не во всех случаях достаточно проста, мы не касаемся в данной книге процессов инсталляции и ус-

Приложение А. Программное обеспечение

319

транения неполадок. Прежде чем инсталлировать ту или иную программу, посетите ее Web-узел (указан для каждой программы) и следуйте инструкциям по инсталляции, предоставляемым изготовителем программного обеспечения.

Развертывание, разархивация, распаковка и т.п. Многие программы, которые вы найдете в Internet, предлагаются в виде заархивированных файлов, которые можно легко узнать по расширениям имен: > .zip-файлы — файлы Windows, которые можно "раззиповать" с помощью программ Stuff Expander или WmZip. > .ехе-файлы — файлы программ; двойной щелчок на таком файле в Windows приводит к извлечению программ и запуску приложений. > .sit- и .sea-файлы — файлы Macintosh, упакованные с помощью программы Stuffit, которые можно распаковать с помощью программы Stuff Expander. > .gz- и .tar-файлы — файлы Linux, архивированные соответственно программами gzip и tar; для их разархивации используются программы Linzip и tar. Прежде чем архивированную программу можно будет запустить, ее необходимо извлечь из архива, или разархивировать. Ниже перечислен ряд полезных инструментальных средств, предназначенных для этой цели.

Вспомогательные программы Программы, предназначенные для разархивирования файлов.

Windows Aladdin Expander. Разархивирует, декодирует и конвертирует файлы, а также предоставляет доступ к большинству популярных форматов архивации, включая Stuffit (.sit), ZIP (.zip), UUencode (.uu), MacBinary (.bin), BinHex (.hqx) и многие другие. Бесплатная программа, (http://www.aladdinsys.com) WinZip. Предназначена непосредственно для архивации и разархивации файлов с использованием Zip-формата. Бесплатная программа, (http://www.winzip.com)

Macintosh Aladdin Expander, Разархивирует, декодирует и конвертирует файлы, а также предоставляет доступ к большинству популярных сжатых форматов архивации, включая Stuffit (.sit), ZIP (.zip), UUencode (.uu), MacBinary (.bin), BinHex (.hqx) и многие другие. Бесплатная программа, (http://www.aladdinsys.com). Aladdin DropStuff. Сжимает и зашифровывает файлы, а также создает саморазворачивающиеся архивы. Условно бесплатная программа, (http://www.aladdinsys.com)

Linux LinZip. Средство сжатия файлов, предоставляющее полный набор соответствующих функций. Условно бесплатная программа, (http://www.linzip.com)

320

Часть 6. Приложения

tar. Программа архивации и манипулирования tar-архивами. Условно бесплатная программа.

Анонимность Программы этой категории используются для скрытия идентификационных данных пользователя.

Windows No Referrer. Облегчает анонимный серфинг в Web, не допуская посылки компьютером ваших идентификационных данных, как это делается обычно. Бесплатная программа. (Поддержка инсталляции не предоставляется.) Privacy Companion. Защищает ваши идентификационные данные, выводя предупреждение, если какой-либо Web-узел пытается записать вам cookie-файл, который впоследствии может быть использован для сбора информации о вашем компьютере. Работает только с Internet Explorer. Бесплатная программа. (http://www. idcide. com/) Private Idaho. Вспомогательная программа электронной почты, позволяющая зашифровывать электронные сообщения с использованием протокола PGP и серверов анонимной пересылки электронной почты. Бесплатная программа. (http://www.eskimo.com/~joelm/pi.html)

Macintosh Cone of Silence. Предотвращает запись информации, которую вы вводите с помощью клавиатуры, программами регистрации клавиатурных нажатий. Условно бесплатная программа, (http://www.parkbenchsoftware.com/) Ftee Guard. Скрывает файлы и папки. Бесплатная программа. (http://www.msrwerks.com/applications.html) VSE My Privacy. Зашифровывает информацию частного характера, например, номера кредитных карточек, пароли, конфиденциальные имена и адреса и т.п., делая ее недоступной для любопытных посторонних глаз. (http://www.vse-online.com)

Антимошеннические программы Программы этой категории защищают вас, чтобы вы не попались на удочку мошенникам в Internet. MegaHack. Взламывает сетевую пирамидальную схему Mega$Nets.

Антишпионские программы Программы этой категории блокируют или отключают спонсируемые рекламодателями программы, которые могут тайком передавать информацию о вашем компьютере через Internet.

Приложение А. Программное обеспечение 321 Windows Ad-Aware. Позволяет обнаруживать программное обеспечение, спонсируемое рекламодателями ("шпионские" программы), и блокировать попытки извлечения информации с вашего жесткого диска, (http://www.lavasoft.com) Aureate/Radiate Remover. Удаляет из компьютера DLL-файлы "шпионских" программ Radiate/Aureate, чтобы не допустить извлечения информации, хранящейся на жестком диске. Бесплатная программа, поддерживаемая рекламодателями. (http ://www. radiate. com/privacy/remover, html) Flow Protector. Блокирует cookie-файлы, "шпионские" программы и соединения с Internet, которые могут быть использованы для пересылки данных из компьютера без вашего ведома, (http://www.flowprotector.com/usa) OptOut. Удаляет DLL-файлы Aureate/Radiate, превращающие условно бесплатные программы в разновидность "шпионского" программного обеспечения. Бесплатная программа, (http://grc.com/optout.htm) Silencer. Блокирует соединения между "шпионской" программой и сервером, на который пытается пересылать данные шпионское программное обеспечение. (http://radsoft.net/bloat-busters)

Антитроянские программы Программы этой категории помогут вам обнаружить, блокировать и удалить троянские программы удаленного доступа.

Windows BODetect. Многофункциональное средство обнаружения и удаления троянских программ/Условно бесплатная программа, (http://www.cbsoftsolutions.com) The Cleaner. Осуществляет сканирование системы с целью обнаружения троянских программ, (http://www.moosoft.com) Jammer. Защищает от троянских программ NetBus, Back Orifice 1.x и В02К. (http://www.agnitum.com/products/jammer/) NetBus Remover. Находит и удаляет троянские программы NetBus, действующие в операционных системах Windows 95/98/NT. Бесплатная программа. (Поддержка инсталляции не предоставляется.) NetBuster. Обнаруживает и удаляет троянскую программу NetBus. Также способна создавать ложное соединение, чтобы ввести в заблуждение хакеров, пытающихся посредством NetBus получить доступ к вашему компьютеру. Бесплатная программа, (http://surf.to/netbuster) StartupMonitor. Осуществляет мониторинг программ, автоматически запускающихся при загрузке Windows. Используется для обнаружения троянских программ, которые могут тайком от вас запускаться при каждой загрузке операционной системы. Бесплатная программа. (http://www.mlin.net/StartupMonitor.shtml)

322

Часть 6. Приложения Sub-Net 2.0. Троянская программа поиска открытых портов, которую можно с пользой для себя применять для анализа и обеспечения безопасности Internet-cdединений. Бесплатная программа, (http://www.sub-seven.com/freeware.shtml) SubSeven Server Sniper. Обнаруживает и удаляет троянскую программу SubSeven; также способна отслеживать тех, кто атакует вас через Internet. Бесплатная программа. (http://subseven.slak.org) Tauscan. Обнаруживает и удаляет троянские программы удаленного доступа, установленные на вашем жестком диске. Предоставляется пробная версия программы. (http://www.agnitum.com/products/tauscan) TDS: TVojan Defence Suite. Способна обнаружить и удалить из вашего компьютера сотни различных троянских программ. Предоставляется пробная версия программы. (http://www.diamondcs.com.au) Trojans Database. База данных по наиболее распространенным троянским програймам, включая их возможности и порты, используемые для атаки компьютера. Бесплатная программа. (Поддержка инсталляции не предоставляется.) TVojans First Aid Kit. Обнаруживает и удаляет сотни разновидностей троянских программ. Бесплатная программа, (http://www.snake-basket.de/) Win Шпоо Server Sniper. Обнаруживает и уд&пяет троянскую программу Trinoo, которая может использовать ваш компьютер для распределенной DoS-атаки, направленной против другого компьютера. Бесплатная программа. (http://www.diamondcs.com.au)

Антивирусные программы Это программы, которые способны обнаруживать, удалять и блокировать вирусы, инфицирующие компьютеры.

Windows eSafe. Многоцелевая программа, способная выполнять функции программы фильтрации содержимого (выборочно блокировать доступ пользователей к определенным Web-узлам), антивирусной программы, программы блокирования компьютера (предотвращения несанкционированного доступа к нему) и программы защиты компьютера от хулиганских действий, предотвращающей атаки злоумышленников, которые направлены на порчу вашего жесткого диска и осуществляются с помощью вирусов и червей. Цредоставляется пробная версия программы. (http://www.ealaddin.com) F-Prot. Антивирусная программа для DOS. Бесплатная программа. (http://www.f-secure.com/) Mail Cleaner. Проверяет электронную почту программ Outlook и Outlook Express на наличие вирусов, скрытых во вложениях. В случае обнаружения вируса программа удаляет подозрительное электронное сообщение и уведомляет вас о предпринятых ею действиях. Бесплатная программа, (http://www.mailcleaner.com)

Приложение А. Программное обеспечение

323

Norton Antivirus 2000. Лидер среди антивирусных программ. Предоставляется пробная версия программы, (http://symantec.com) ScripTrap. Блокирует выполнение вредоносных сценариев, например вирусов, написанных на языке VBScript. Бесплатная программа. (http://www.keir.net/scriptrap.html) Script Defender. Обеспечивает защиту от всех разновидностей вредоносных кодов (например, макровирусов), в которых используются такие языки написания сценариев, как VBScript или JavaScript. Бесплатная программа. (http://www.analogx.com) SurfinGuard. Следит за проявлениями необычного поведения программ; в случае обнаружения злонамеренных действий какой-либо программы SurfinGuard прекращает ее выполнение. Бесплатная программа, (http://www.finjan.com) Virus Trap. Позволяет обнаруживать и завлекать в ловушку вирусы, предлагая им для инфицирования файлы, специально подготовленные в качестве "наживки". Сразу же после заражения файла-наживки, программа предупреждает вас об этом, после чего вы можете послать пойманный вирус в антивирусную компанию для последующего анализа его свойств. Бесплатная программа. (http://www.diamondcs.com.au/)

Macintosh Agax. Бесплатная антивирусная программа с расширяемыми возможностями, предлагающая как стандартную процедуру поиска вирусов, так и более совершенную процедуру защиты, выполняющуюся в фоновом режиме. Бесплатная программа. (http://www.defyne.org/agax/) Disinfectant. Обеспечивает простейшую защиту от вирусов, проверяя файлы при их открытии и осуществляя мониторинг необычных видов активности в вашей системе. Бесплатная программа. (http://macinfo.its.queensu.ca/MacSDistribution/ Disinfectant.html) McAfee VirusScan. Одна из самых популярных антивирусных программ в мире. Условно бесплатная программа, (http://www.mcafee.com)

Массовая рассылка сообщений электронной почты К этой категории относятся типичные программы, используемые спамерами для заполнения учетных записей электронной почты своей рекламой. i W i n d o w s

Express Mail Server. Программа массовой рассылки сообщений электронной почты. Наше отношение к программам этого типа столь же отрицательное, как и ваше, однако, возможно, вы захотите изучить работу этой программы в качестве примера. Предоставляется демонстрационная версия программы. (http://www.homeuniverse.com)

324

Часть 6. Приложения

Очистка кэша и удаление cookie-файлов Используйте эти программы для очистки кэша браузера и уничтожения cookieфайлов.

Windows AdSubtract SE. Обеспечивает селективную блокировку нежелательной рекламы и cookie-файлов. Предоставляется бесплатно для персонального пользования, (http ://www. adsubt ract. com) Complete Cleanup. Удаляет временные файлы, а также файлы cookie и Web-кэша с целью защиты ваших идентификационных данных. Предоставляется пробная версия программы, (http://www.softdd.com) Cookie Crusher. Автоматически принимает или отвергает запись cookie-файлов. Предоставляется пробная версия программы, (http://www.thelimitsoft.com) Cookie Pal. Предоставляет средства управления cookie-файлами. Условно бесплатная программа, (http://www.kburra.com) CyberClean. Удаляет cookie-файлы, а также файлы журналов предыстории, закладки, файлы кэша и записи списка недавно посещенных Web-узлов. Предоставляется пробная версия программы, (http://www.thelimitsoft.com) SurfSecret. Удаляет cookie-файлы и различный "мусор", остающийся после работы в Internet. Предоставляется пробная версия программы. (http://www.surfsecret.com) Window Washer. Очищает систему от таких создаваемых браузером файлов, как файлы cookie или списки недавно посещенных Web-узлов, чтобы не допустить сбора посторонними людьми информации о том, какие узлы вы предпочитаете посещать. Предоставляется пробная версия программы, (http://www.webroot.com)

Macintosh MacWasher. Очищает систему от файлов cookie и списков недавно посещенных вами Web-узлов с целью недопущения сбора другими людьми информации о том, какие узлы вы предпочитаете посещать. Предоставляется пробная версия программы. (http://www.webroot.com)

Защита настольных компьютеров Программы этой категории генерируют пароли и обеспечивают защиту вашего компьютера на тот период времени, когда он ост&ется без присмотра.

Windows Password Generator. Генерирует случайные пароли. Бесплатная программа. (http://benjaminsoftware.hypermart.net/)

Приложение А. Программное обеспечение

325

ISS Complock II. Обеспечивает парольную защиту компьютера, исключает возможность загрузки операционной системы без вашего ведома. Условно бесплатная программа, (http://www.techniclabs.com/) Magic Folders. Блокирует отображение файлов и папок, не давая вору возможности их увидеть. Условно бесплатная программа, (http://www.pc-majic.com/) Quicky Password Generator. Позволяет создавать уникальные, с трудом поддающиеся разгадыванию пароли (которые также могут оказаться не менее трудными для запоминания). Бесплатная программа, (http://www.quickysoftware.com) PGP Desktop Security. Препятствует доступу посторонних к вашим данным через локальную сеть или Internet, защищая сообщения электронной почты, информацию на жестком диске, а также многие другие виды информации. Предоставляется испытательная версия программы, (http://www.mcafee.com) Security Officer. Кроме мониторинга программ, выполняющихся на вашем компьютере, эта программа способна защищать ваши файлы от модификации и удаления. Условно бесплатная программа, (http://www.compelson.com) WinGuardian. Ведет журнал регистрации всех выполняющихся программ, а также записывает все клавиатурные нажатия, использованные для ввода информации в программы, (http://www.webroot.com)

Дизассемблеры Эти программы позволяют расчленять исследуемую программу на части и получать ее исходный код на языке ассемблера для анализа принципов ее работы.

Windows IDA Pro Disassembler. Отображает исходный код исполняемого файла на языке ассемблера. Предоставляется демонстрационная версия программы. (http://www.datarescue.com) Letun Disassembler. Дизассемблирует исполняемые файлы Windows. Условно бесплатная программа.

Просмотр DNS Используйте эти средства для проверки существования доменов. Cyberkit. Несложная в применении программа, объединяющая в себе возможности средств Ping, TraceRoute, Whols, Finger и многих других. "Открыточная" ("postcardwareM)nporpaMMa (автор которой просит внести по почте лишь символическую плату), (http://www.cyberkit.net) DNS Workshop. Осуществляет взаимные преобразования IP-адресов и имен хостов в Internet. Предоставляется пробная версия программы. (http://www.evolve.co.uk/dns) Domain Searcher. Предназначена для поиска и исследования доменных имен. Предоставляется пробная версия программы. (http://www.igsnet.com/igs/dsearch.html)

326

Часть 6. Приложения

Взлом зашифрованных файлов Взлом файлов, зашифрованных с использованием алгоритмов DNS. BrydDES. Программа взлома файлов, зашифрованных с использованием алгоритма DNS, "в лоб".

Шифрование файлов Предназначенные для обеспечения безопасности файлов, программы этой категории зашифровывают данные с использованием целого ряда различных алгоритмов.

Windows Absolute Security. Обеспечивает конфиденциальность ценной информации. Условно бесплатная программа, (http://www.pepsoft.com) Blowfish-C. Исходный код реализации алгоритма шифрования Blowfish на языке С. Бесплатная программа, (http://www.counterpane.com) Blowfish-Java. Исходный ход реализации алгоритма шифрования Blowfish на языке Java. Бесплатная программа, (http://www.counterpane.com) CuteZip. Программа сжатия файлов, включающая 128-битовое шифрование с использованием алгоритма Twofish. Предоставляется пробная версия программы. (http://www.cuteftp.com/products/cutezip/) Encrypted Magic Folders. Скрывает файлы и папки из поля зрения, одновременно защищая их шифрованием. Условно бесплатная программа. (http://pc-magic.com/) GNU Privacy Guard. В полной мере обеспечивает те же возможности, что и программа PGP. Бесплатная программа, (http://www.gnupg.org) Kryptel Lite. Бесплатная версия программы Kryptel, предназначенной для шифрования файлов. Бесплатная программа, (http://inv.co.nz) PC-Encrypt. Зашифровывает и сжимает файлы любого типа, используемые в Windows 95/98/NT. Условно бесплатная программа, (http://www.pc-encrypt.com) PGP. Популярная программа PGP-шифрования, предназначенная для защиты файлов. Бесплатная программа, (http://www.pgpi.org) PGP Personal Privacy. Совмещает в одном программном продукте средства защиты электронной почты, файлов, папок, дискового пространства и сетевых соединений от любопытных посторонних глаз. Предоставляется пробная версия программы. (http://www.mcafee.com) ScramDisk. Защищает жесткий диск шифрованием с использованием самых разных алгоритмов, включая IDEA, Blowfish, DES и Square. Бесплатная программа. (http://www.scramdisk.clara.net/)

Приложение А. Программное обеспечение

327

Twofish-C. Исходный код программы, реализующей алгоритм шифрования Twofish на языке С. Бесплатная программа. (Ьир://\\^ушсоип1ефапехотД1\¥оГ15Ь.Ь1т1) Twofish-Java. Исходный код программы, реализующей алгоритм шифрования Twofish на языке Java. Бесплатная программа, (http://www.counterpane.com) Twofish-VB. ИСХОДНЫЙ КОД программы, реализующей алгоритм шифрования Twofish на языке Visual Basic. Бесплатная программа. (http://wwwxounteфane.com/twoflsh.html)

Macintosh PGP. Популярная программа PGP-шифрования для защиты файлов. Бесплатная программа, (http://www.pgpi.org) Tresor. Программа шифрования файлов для защиты отдельных файлов и папок, в которой используется алгоритм шифрования IDEA. Условно бесплатная программа. (http://www.warlord.li/) VSE My Privacy. Зашифровывает информацию частного характера, например, номера кредитных карточек, пароли, конфиденциальные имена и адреса и т.п., чтобы сделать ее недоступной для посторонних людей. Бесплатная программа. (http://www.vse-online.com)

Linux GNU Privacy Guard. Полностью обеспечивает те же возможности, что и программа PGP. Бесплатная прбграмма. (http://www.gnupg.org) PGP. Популярная программа PGP-шифрования, предназначенная для защиты файлов. Бесплатная программа, (http://www.pgpi.org)

Проверка целостности файлов Программы этой категории позволяют обнаруживать изменения в файлах, указывающие на возможное проникновение хакера в систему.

Windows Veracity. Средство обнаружения сетевых вторжений, в котором для выявления случаев несанкционированного внесения изменений в файлы привлекаются криптографические методы. Предоставляется пробная версия программы. (http://www.veracity.com)

Macintosh Veracity. Средство обнаружения сетевых вторжений, в котором для выявления случаев несанкционированного внесения изменений в файлы привлекаются криптографические методы. Предоставляется пробная версия программы. (http://www.veracity.com)

328

Часть 6. Приложения Linux

IWpwire. Осуществляет мониторинг и защиту данных от изменений. Бесплатная программа, (http://www.tripware.com) Veracity. Средство обнаружения сетевых вторжений, в котором для выявления случаев несанкционированного внесения изменений в файлы привлекаются криптографические методы. Предоставляется пробная версия программы. (http://www.veracity.com)

Уничтожение файлов Программы этой категории обеспечивают безопасное удаление файлов, исключающее возможность их восстановления с использованием любых алгоритмов, кроме наиболее дорогостоящих.

Windows BCWipe. Разрушает файлы и информацию на дисках с целью уничтожения любых следов данных. Бесплатна для некоммерческого использования. (http://www.jetico.com) CyberScrub. Надежно разрушает и удаляет конфиденциальные файлы, исключая возможность их последующего восстановления, (http://www.cyberscrub.com) Eraser. Программа уничтожения файлов, предоставляемая вместе с исходным кодом, написанным на языке Visual C++. Бесплатная программа. (http://www.tolvanen.com/eraser) Evidence Eliminator. Надежно разрушает файлы и информацию на дисках. Способна противостоять программам анализа данных, восстанавливаемых из уничтоженных файлов. Предоставляется пробная версия программы. (http://www.evidence-eliminator.com) Shredder 95/98/NT. Полностью уничтожает информацию в файлах и на свободном дисковом пространстве, не оставляя малейших шансов на их восстановление. Условно бесплатная программа, (http://www.gale-force.com/shredder) Shred-It. Разрушает файлы и папки без возможности их дальнейшего восстановления. (http://www.mireth.com) Shred-X. Удаляет все следы ваших файлов. Условно бесплатная программа. (http://www.bsoft.ic24.net)

Macintosh Burn. Программа уничтожения файлов, исключающая возможность восстановления удаленных файлов. Бесплатная программа. (http://www.thenextwave.com/burnHP.html) NetShred. Уничтожает Web-кэш вместе с другими аналогичными файлами, чтобы исключить возможность контроля над тем, какие Web-узлы вы посещаете, посторонним людьми. Условно бесплатная программа, (http://www.arccom.bc.ca)

Приложение А. Программное обеспечение

329

Shred-It. Уничтожает файлы и папки без возможности их дальнейшего восстановления. Условно бесплатная программа, (http://www.mireth.com)

Linux Wipe. Включает исходный код на языке С. Бесплатная программа. (http://gsu.linux.org.tr/wipe)

Восстановление удаленных файлов С помощью этих программ можно извлекать информацию из удаленных файлов и форматированных дисков.

Windows Directory Snoop. Восстанавливает удаленные файлы и данные из отдельных кластеров. Кроме того, может уничтожать важные данные на диске способом, препятствующим их восстановлению. Условно бесплатная программа. (http://www.briggsoft.com/dsnoop.htm) File Scavenger. Просматривает диск в поиске ранее удаленных файлов, которые могут быть восстановлены. Условно бесплатная программа. (http://www.quetek.com/) NTIDoc. Выводит список файлов, хранящихся в определенном каталоге, вместе с датой и временем их создания. Бесплатная программа. (http://www.secure-data.com) Omniquad Detective. Осуществляет поиск и анализ информации на жестком диске. Условно бесплатная программа, (http://www.oinniquad.com)

Редакторы шестнадцатиричных кодов Программы этой категории обеспечивают непосредственный просмотр содержимого файлов и секторов дисков с целью его изучения или изменения.

Windows FRHED. Редактор шестнадцатиричных кодов для Windows с исходным кодом, написанным на языке Microsoft Visual C++. Бесплатная программа. (http://www.kibria.de) Freeware Hex Editor. Редактор шестнадцатиричных кодов, позволяющий просматривать содержимое файлов и кластеров на дисках.. Бесплатная программа. (http://www.chmaas.handshake.de/delphi/freeware/x\i32/xvi32.htm) Hex Workshop. Мощный редактор шестнадцатиричных кодов, предназначенный для исследования содержимого файлов и кластеров на диске. Условно бесплатная программа, (http://www.bpsoft.com)

330

Часть 6. Приложения

UltraEdit. Редактор шестнадцатиричных кодов, снабженный словарем для проверки орфографии. Предоставляется пробная версия программы. (http://www.idmcomp.com) VEDIT. Редактор шестнадцатиричных кодов, позволяющий редактировать файлы размером вплоть до 2 Гб. Сопровождается руководством, сохраненным в формате Acrobat PDF. Предоставляется испытательная версия программы. (http://www.vedit.com)

Программы-приманки Программы, позволяющие обнаружить и контратаковать хакера.

Windows NetBuster. Обнаруживает и удаляет троянскую программу NetBus. Также способна создавать ложное соединение, чтобы обмануть хакеров, пытающихся посредством NetBus получить доступ к вашему компьютеру. Бесплатная программа. (http://surf.to/netbuster) Tambu UDP Scvrambler. Следит за попытками зондирования портов хакерами, а также за атаками, целью которых является вызов отказа в обслуживании путем посылки на компьютер многочисленных сообщений. Бесплатная программа. (http://www.xploiter.com/tambu)

Обнаружение вторжений Программы этой категории обеспечивают блокирование или мониторинг портов компьютера с целью обнаружения попыток злонамеренных хакеров получить доступ к компьютеру или осуществить его зондирование.

Windows Anti-Hack. Следит за портами компьютера с целью обнаружения попыток получения несанкционированного доступа к компьютеру. Условно бесплатная программа. (http://www.carbosoft.com/anti-hack.htm) AntiShift. Обнаруживает попытки прослушивания порта в сети. Бесплатная программа. (http://www.atstake.com/) Attacker. Осуществляет мониторинг портов компьютера с целью обнаружения признаков необычной активности и предупреждает о попытках посторонних соединиться с вашим компьютером с помощью "троянского коня". Бесплатная программа. (http://www.keir.net/) BlacklCE Defender. Программа обнаружения вторжений и персональный брандмауэр. Предоставляется демонстрационная версия, (http://www.networkice.com/) Jammer. Осуществляет мониторинг портов компьютера с целью обнаружения попыток взлома. Условно бесплатная программа, (http://www.agnitum.com/jammer)

Приложение А. Программное обеспечение

331

McAfee Personal Firewall. Обеспечивает защиту компьютера от хакеров. Предоставляется пробная версия программы, (http://www.mcafee.com) Netmon. Осуществляет мониторинг портов компьютера для выявления признаков подозрительной активности и обнаружения наиболее распространенных троянских программ. Бесплатная программа, (http://members.tripod.com/circlet) NukeNubber. Осуществляет мониторинг портов компьютера и уведомляет о попытках получить несанкционированный доступ к нему с помощью троянских программ. Бесплатная программа, (http://www.dynamsol.com/) Port Blocker. Блокирует открытые порты компьютера для предотвращения возможности их использования хакерами или троянскими программами. Бесплатная программа. (Поддержка инсталляции не предоставляется). ProtectX. Осуществляет мониторинг портов компьютера с целью обнаружения и удаления любых троянских программ, которые могут быть использованы для получения доступа к вашему компьютеру. Условно бесплатная программа. (http://www.archimedean.com/) Rainbow Diamond Intrusion Detection. Обнаруживает признаки подозрительной активности, затрагивающей порты вашего компьютера. Предоставляется демонстрационная версия программы, (http://www.brd.ie/) SuperScan. Сканер портов, осуществляющий тестирование компьютера с целью обнаружения открытых портов, которые могут быть подвергнуты удаленной атаке, например, с использованием троянских программ. Бесплатная программа. (http://www.keir.net/) ZoneAlarm. Брандмауэр, обеспечивающий защиту компьютера от сканеров портов и троянских программ удаленного доступа. Бесплатная программа. (http://www.zonelabs.com/)

Macintosh TrashScan. Осуществляет мониторинг портов компьютеров Macintosh для предотвращения попыток вторжения с целью получения тайного доступа к компьютеру через локальную сеть или Internet. Бесплатная программа. (http://trashscan.hypermart.net)

IRC-клиенты С помощью этих программ вы можете подключаться к серверам разговоров (серверам группового общения) Internet Relay Chat (IRC), обеспечивающим возможность общения между собой людей, разбросанных по всему миру, в режиме реального времени.

Windows mIRC. Чрезвычайно популярный IRC-клиент для Windows. Условно бесплатная программа, (http://www.mirc.co.uk/)

332

Часть 6. Приложения

Pirch98. Условно бесплатная программа, (http://www.pirchat.com) Visual IRC. Простая в использовании программа IRC. Предоставляется бесплатно для неограниченного использования, (http://www.visualirc.net/)

Macintosh Ircle. Популярный IRC-клиент для компьютеров Macintosh. Условно бесплатная программа, (http://www.ircle.com) ShadowIRC. IRC-клиент с открытым исходным кодом. Условно бесплатная программа. (http://www.shadowirc.com)

Linux Bitch-X. Самый популярный IRC-клиент для Linux. Предоставляется бесплатно (GPL). (http://www.bitchx.com/) Ircit. IRCIT (от IRCfor Information Terrorist) является современным полнофункциональным IRC-клиентом, который работает в текстовом режиме и допускает использование макрорасширений. Предоставляется бесплатно (GPL). (http://www.asymmetrica.com/software/ircit/)

Регистрация клавиатурных нажатий Программы этой категории позволяют контролировать действия других людей за компьютером во время вашего отсутствия.

Windows 2Spy. Регистрирует деятельность других людей за вашим компьютером, что дает вам возможность получить представление о том, какие операции выполнялись на нем во время вашего отсутствия. Условно бесплатная программа. (http://www.zoranjuric.com) Appslraka. Регистрирует запуски любых программ и записывает информацию обо всех клавиатурных нажатиях, что облегчает обнаружение несанкционированного использования компьютера другими пользователями. Условно бесплатная программа. (http://appstraka.hypermart.net) Ghost Keylogger. В секретном режиме записывает информацию обо всех клавишах, нажатых за время вашего отсутствия, что позволяет судить о характере операций, выполненных другими людьми на вашем компьютере. Предоставляется демонстрационная версия программы, (http://www.keylogger.net) IOpus STARR. Ведет наблюдение за использованием и попытками незаконной эксплуатации вашего ПК. Условно бесплатная программа, (http://www.iopus.com/) Key Interceptor. Регистрирует любые нажатия клавиш. Бесплатная программа. (http://www.ultrasoft.ro/)

Приложение А. Программное обеспечение

333

КеуКеу. Записывает клавиатурные нажатия, выполненные при работе в Windows или окне DOS. Условно бесплатная программа, (http://mikkoaj.hypermart.net) Omniquad Desktop Surveillance. Выполняется как невидимый клиент, незаметно регистрирующий клавиатурные нажатия и записывающий содержимое экрана для последующего отображения. Кроме того, программа ведет журнал, занося в него информацию о действиях пользователя за компьютером: посещений им Web-узлов, серверов разговоров, групп новостей, запусках игр, использовании файлов и папок. Предоставляется пробная версия программы, (http://www.omniquad.com) PC Activity Monitor. Записывает нажатия клавиш, предоставляя вам возможность контролировать действия других людей за компьютером, осуществляемые без вашего ведома. Условно бесплатная программа, (http://www.keyloggers.com) RedHand. Ведет скрытное наблюдение за компьютером с целью определения того, какие программы использовались другими людьми без вашего ведома или разрешения. Также позволяет ограничивать круг действий, которые разрешено выполнять за вашим компьютером другим пользователям. Условно бесплатная программа. (http://www.harddrivesoftware.com) Security Setup II. Ограничивает доступ других пользователей к тем или иным средствам, например панели Control Panel (Панель управления), и позволяет им запускать лишь определенные программы. Условно бесплатная программа. (http://www.security-setup.dk) WinWhatWhere Investigator. Осуществляет скрытное наблюдение за компьютером, записывая даты и время запуска и окончания работы программ, их названия, а также клавиатурные нажатия. Условно бесплатная программа. (http://www.winwhatwhere.com)

Macintosh Cone of Silence. Препятствует записи информации о нажатых вами клавишах программами регистрации клавиатурных нажатий. Условно бесплатная программа. (http://www.parkbenchsoftware.com) Free Guard. Скрывает файлы и папки. Бесплатная программа. (http://wwwmsrwerks.com/applications.html) Keystroke Recorder. Осуществляет запись информации о каждой нажатой клавише в файл для последующего.просмотра. Условно бесплатная программа. (http://www. campsoftware. com/camp) SuperLock Pro. Предотвращает несанкционированный доступ к компьютерам Macintosh путем регистрации любых попыток взлома компьютера, подачи звукового оповещающего сигнала и перевода компьютера в ждущий режим без возможности его перезагрузки посторонними людьми. Условно бесплатная программа. (http://www.trivectus.com)

334

Часть 6. Приложения

Инструментальные средства для работы с МРЗ-файлами Программы этой категории позволяют воспроизводить и записывать МРЗ-файлы.

Windows Audiograbber. Считывает в цифровом режиме музыкальные файлы с компакт-дисков. Бесплатная программа, (http://www.audiograbber.com~us.net) AudioCatalyst. Преобразует файлы, записанные на компакт-диске, в формат МРЗ. Условно бесплатная программа, (http://www.xingtech.com/mp3/audiocatalyst/) CD'n'Go. Извлекает и кодирует цифровые МРЗ-файлы. Бесплатная программа. (http://www.cdngo.com) HyCD Play & Record. Позволяет создавать собственные компакт-диски с файлами в формате МРЗ. Предоставляется демонстрационная версия. (http://www.hyc4.com) МРЗ JumpGate. Позволяет воспроизводить, создавать, декодировать и смешивать МРЗ-файлы. Бесплатная программа. (http://www.worldusa.com/mp3/mp3studio.shtml) MusicMan. Обеспечивает организацию и воспроизведение МРЗ-файлов. Условно бесплатная программа, (http://www.musicman.com) Rosoft CD Extractor. Создает файлы в форматах WAV и МРЗ. Бесплатная программа, поддерживаемая рекламодателями, (http://www.theripper.com-us.net) Winamp. Популярный МРЗ-проигрыватель. Бесплатная программа. (http://www.winamp.com)

Macintosh Macast Lite. Воспроизводит МРЗ-файлы на компьютерах Macintosh. Условно бесплатная программа, (http://www.macast.com/lite/) Sound Jam MP БУее. МРЗ-проигрыватель (средства кодирования имеют ограниченное действие во времени). Условно бесплатная программа. (http://www.soundjam.com)

Linux cdparanoia. Программа взлома МРЗ-файлов. Бесплатная программа. (http://www.xiph.org/paranoia) MPG123. Аудиопроигрыватель файлов MPEG, работающий в режиме реального времени. Бесплатная программа, (http://www.mpgl23.de/)

Приложение А. Программное обеспечение

335

ripperX. Извлекает музыкальные файлы, записанные на звуковых компакт-дисках, и осуществляет их перекодировку в формат МРЗ. Бесплатная программа. (http://ripperx.sourceforge.net/)

Анализаторы пакетов Программы этой категории позволяют осуществлять анализ пакетов, передаваемых по сети.

Windows Sniffer. Перехватывает и анализирует пакеты, передаваемые по сети. К программе Sniffer можно подключать дополнительные модули, предназначенные для работы с различными протоколами, включая IP, TCP и UDP. Условно бесплатная программа, (http://www.ufasoft.com/) TVaceWoIf Packet Sniffer. Открывает все пакеты, проходящие через ваш модем или карту Ethernet, а также отображает поля заголовков и данных. Предоставляется демонстрационная версия программы.

Родительский контроль Программы этой категории ограничивают и контролируют доступ к Internet и использование программ на вашем компьютере.

Windows ENUFF. Ограничивает и контролирует использование компьютера. Условно бесплатная программа, (http://www.akrontech.com) IamBigBrother. Осуществляет фильтрацию информации, к которой детям разрешен доступ в Internet. Предоставляется демонстрационная версия программы, (http ://www. chatnanny. com)

Извлечение паролей Эти программы помогут вам восстановить забытые пароли доступа к защищенным файлам.

Windows 007 Password Recovery. Извлекает пароли, скрытые за символами звездочки, выводимыми на экран. Бесплатная программа, (http://www.iopus.com) Advanced Zip Password Recovery. Извлекает пароли из ZIP-файлов с парольной защитой, используя атаки методом "грубой силы", словарные атаки и простой перебор различных вариантов паролей. Условно бесплатная программа. (http://www.elcomsoft.com/azpr.html)

336

Часть 6. Приложения

Fast Zip Cracker. Методом "грубой силы" извлекает пароли из защищенных паролями ZIP-файлов. (http://www.netgate.com.uy/-fpapa/) John the Ripper. Программа взлома паролей, позволяющая обнаруживать слабые места в парольной защите систем UNIX. Бесплатная программа. (http://www.openwall.com/john) Password Recovery Toolkit. Помогает восстанавливать пароли из файлов с парольной защитой, созданных с использованием целого ряда популярных программ, включая Quicken, Lotus 1-2-3, WordPerfect и Outlook. Предоставляется демонстрационная версия программы, (http://www.lostpassword.com) Passware Kit. Восстанавливает пароли из файлов с парольной защитой, созданных с помощью таких программ, как Quattro Pro, Microsoft Money, Excel и Windows NT. Предоставляется демонстрационная версия программы. (http://www.accessdata.com) Peek-a-Boo. Извлекает пароли, скрываемые символами звездочки. Бесплатная программа, (http://www.corteksoft.com) Revelation. Отображает пароли, скрываемые символами звездочки. Бесплатная программа, (http://www.snadboy.com) The Ultimate Zip Cracker. Извлекает пароль для любого из защищенных паролями файлов в форматах ZIP, ARJ, Excel и Word. Условно бесплатная программа. (http://www.vdgsoftware.com/uzc.html)

Unix/Linux John the Ripper. Программа взлома паролей для обнаружения слабых мест парольной защиты в системах UNIX. Бесплатная программа. (http://www.openwall.com/john)

Сканеры портов С помощью этих программ вы можете анализировать порты в своей сети и обнаруживать ее уязвимые места.

Windows AATools. Сканирует сеть в поиске уязвимых компьютеров и открытых портов. Условно бесплатная программа, (http://www.glocksoft.com) AntiSniff. Обнаруживает попытки осуществления анализа пакетов, передаваемых через порты в сети. Бесплатная программа, (http://www.10pht.com/antisniff) NetBrute. Осуществляет поиск разделяемых ресурсов, обнаруживает открытые порты в компьютере или сети и тестирует парольную защиту Web-узлов. Бесплатная программа, (http://www.rawlogic.com/products.html) PortBlocker. Блокирует открытые порты компьютера, чтобы не допустить их использования хакерами или троянскими программами. Бесплатная программа. (http://www.analogx.com)

Приложение А. Программное обеспечение

337

SATAN (Security Administrator Tool for Analyzing Networks). Способна обнаруживать наличие брешей известных типов, связанных с безопасностью сети, и сообщать об этом, не предпринимая никаких попыток воспользоваться указанными брешами. Бесплатная программа, (http://www.fish.com/satan/) TJ Ping. Программа тестового опроса, трассировки и просмотра портов. Бесплатная программа, (http://www.topjimmy.net/tjs)

Linux Nmap. Сканер портов для систем Linux, который считается одним из самых совершенных на сегодняшний день. Бесплатная программа, (http://www.insecure.org) Snort. Упрощенная система обнаружения вторжений из сети, способная в реальном времени выполнять анализ трафика и вести журнал пакетного обмена в IPсетях. Доступен исходный код на языке C++. Бесплатная программа. (http://www.snort.org)

Программы чтения текстов Программы этой категории облегчают маскирование читаемого вами текста путем вывода на экран ASCII-документа большими буквами по одному слову за один раз со скоростью до 1000 слов в минуту, так что посторонние люди, бросающие взгляды на ваш экран, практически не будут иметь возможности определить, что именно вы читаете. AceReader. Предназначена для чтения или беглого просмотра текста за компьютером. Предоставляется демонстрационная версия программы. (http://www.stepware.com)

Дистанционный мониторинг компьютеров С помощью программ этой категории вы сможете вести удаленное наблюдение за компьютером (таким же, как и ваш) незаметно для пользователя.

Windows SpectorPro. Программа удаленного доступа, лишенная своих прошлых "троянских" корней. Текущая версия программы позволяет управлять другим компьютером из удаленной точки. Условно бесплатная программа, (http://www.netbus.org) PC Spy. Эта программа сохраняет снимки экрану, позволяя контролировать компьютер в отсутствие его хозяина. Условно бесплатная программа. (http://www.softdd.com) Q-Peek. Позволяет просматривать рабочий стол компьютера из любой точки Internet или локальной сети с помощью стандартного Web-браузера. Условно бесплатная программа, (http://www.qpeek.com)

338

Часть 6. Приложения

Возврат к предыдущему состоянию Программы этой категории дают возможность возвратить компьютер в его предыдущее состояние, что позволяет избавиться от пагубных последствий злонамеренной атаки любого типа, например, атаки вируса, троянской программы или хакера.

Windows Aladdin FlashBack. Сохраняет предыдущие версии файлов, что позволяет в любой момент восстановить ранее созданные или удаленные данные. Предоставляется испытательная версия программы, (http://www.aladdinsys.com) ConfigSafe. Следит за изменениями, происходящими в компьютере, что позволяет в любой момент восстановить его предыдущее состояние. (http://www.imagine-lan.com)

Macintosh Aladdin FlashBack. Сохраняет предыдущие версии файлов, что позволяет в любой момент восстановить ранее созданные или удаленные данные. Предоставляется испытательная версия программы, (http://www.aladdinsys.com)

Фильтрация спама Программы этой категории позволяют блокировать или фильтровать электронные сообщения с целью уменьшения объема почты или полного избавления от нежелательных сообщений, "забивающих" почтовый ящик. Spam Buster. Бесплатная программа, поддерживаемая рекламодателями. Осуществляет фильтрацию электронной почты с целью избавления от спама. (http://www.contactplus.com/) SpamKiller. Фильтрует электронную почту, отсекая сообщения, приходящие от спамеров с известными адресами, и в то же время пропуская электронную почту с разрешенными адресами отправителей, которые вы заранее указали. Условно бесплатная программа, (http://www.spamkiller.com/) SpammerSlammer. Помечает подозрительный спам, предоставляя вам возможность самостоятельного принятия решения о его прочтении или удалении. Бесплатная программа, (http://www.n2plus.com/) WebCrypt. Уникальная программа, которая шифрует HTML-код Web-страниц, лишая спамеров возможности извлечь ваш электронный почтовый адрес с Webузла. Условно бесплатная программа, (http://www.moonlight-software.com)

Стеганография С помощью этих программ можно скрывать данные в графических или звуковых файлах.

Приложение А. Программное обеспечение 339 Windows dc-Steganograph. Небольшая DOS-программа, скрывающая данные в PCX изображениях. Бесплатная программа. (http://members.tripod.com/~Nikola__lnjac/ stegano/) Gif-It-Up. Скрывает данные в файлах формата GIF. (Поддержка инсталляции не предоставляется.) Hide and Seek. Зашифровывает данные с помощью алгоритма Blowfish, а затем скрывает их в GIF-файлах. Бесплатная программа. Hide4PGP. В сочетании с программой PGP используется для шифрования и скрытия данных в файлах растровых изображений или звуковых файлах. Бесплатная программа. (http://www.heinz-repp.onlinehome.de/Hide4PGP.htm) Hide in Picture. Скрывает и зашифровывает данные, пряча их в файлах растровых изображений. Бесплатная программа, (http://wwwl6.brinkster.com/davitf/hip/) Invisible Secrets. Использует для скрытия файлов другие файлы, в частности файлы форматов JPEG, PNG и BMP, которые обычно трудно заподозрить в том, что они могут скрывать зашифрованную информацию, (http://www.invisiblesecrets.com/) MP3Stego. Скрывает информацию в звуковых файлах формата МРЗ. (Включает исходный код на языке С.) Бесплатная программа, (http://www.cl.cam.ac.uk/ ~fapp2/steganography/mp3stego/) S-Tools. Скрывает данные в растровых изображениях, а также файлах форматов GIF или WAV. Бесплатная программа, (http://members.tripod.com/steganography/ stego/s-tools4.html) Steganos Security Suite. Зашифровывает сообщения электронной почты методами обычного шифрования или стеганографии, чтобы скрыть их от посторонних глаз, или уничтожает сообщения без возможности их последующего восстановления. Предоставляется пробная версия программы, (http://www.steganos.com) wbStego. Скрывает данные в графических файлах, а также в файлах форматов ASCII, HTML и Adobe Acrobat, (http://wbstego.wbailer.com/)

Java Stego. Скрывает и восстанавливает данные, зашифрованные с использованием GIF-файлов, (http://www.stego.com/)

Блокирование системы Программы этой категории помогут вам предотвратить несанкционированный доступ к компьютеру в ваше отсутствие.

Windows DesktopShield 2000. Обеспечивает безопасность вашего ПК при его простоях. Бесплатная программа, (http://www.dilawri.com/software/sysprotect/)

340

Часть 6. Приложения

Workstation Lock. Обеспечивает парольную защиту вашей системы в тех случаях, когда не используется хранитель экрана. Условно бесплатная программа. (http://posum.com)

Macintosh SuperLock Pro и SuperLock Lite. Предотвращает несанкционированный доступ к компьютерам Macintosh путем регистрации любых попыток взлома, подачи звукового сигнала оповещения и перевода компьютера в ждущий режим без возможности его перезагрузки посторонними людьми. Условно бесплатная программа. (http://www.trivectus.com/)

Восстановление системы Эта программа облегчает восстановление компьютера после аварий, сбоев и атак злоумышленников.

Windows System Safe. Автоматически обнаруживает и исправляет поврежденные файлы, что позволяет восстанавливать компьютеры после аварий, действий хакеров, атак вирусов и троянских программ. Условно бесплатная программа. (http://systemsafe. now. nu/)

Шифрование речевых сигналов Вы можете использовать эти программы для шифрования речевых сообщений, передаваемых через Internet или другие сети.

Windows PGPFone. Зашифровывает речевые сообщения, передаваемые через Internet и другие сети. (Включает исходный код на языках C/C++.) Бесплатная программа. (http://www.pgpi.org/)

Macintosh PGPFone. Зашифровывает речевые сообщения, передаваемые через Internet и другие сети. (Включает исходный код на языках C/C++.) Бесплатная программа. (http://www.pgpi.org/)

Обнаружение уязвимых мест в компьютере Сканеры точек уязвимости в компьютерах представляют собой сочетание обычного сканера с базой данных известных брешей, которые обычно используются хакерами. Сканер выводит список уязвимых мест, обнаруженных им в сети, и предлагает свои рекомендации относительно закрытия возможных брешей.

Приложение А. Программное обеспечение

341

Windows

KaneSecurity Analyst. Инструментальное средство оценки надежности сетевых систем безопасности, позволяющее в короткие сроки произвести тщательный анализ безопасности сетей, работающих под управлением Windows NT и Novell NetWare. Предоставляется пробная версия программы, (http://www.intrusion.com) Retina. Осуществляет сканирование, мониторинг и устранение неисправностей в сетях, соединенных с Internet, а также в интра- и экстрасетях. Ориентирована на Windows NT. Предоставляется пробная версия программы, (http://www.eeye.com)

Linux The Security Administrator's Integrated Network Tool (SAINT). Обновленная и улуч-

шенная версия программы SATAN, предназначенная для оценки надежности систем безопасности компьютерных сетей. Бесплатная программа. (http://www.saintcoфoration.com/products/saint_engine.html)

Защита Web-узла Программы этой категории облегчают защиту Web-узлов от атак хакеров и попыток нарушения нормального режима работы. WebAgain. Автоматически исправляет Web-страницы, получившие повреждения в результате хулиганских действий. Предоставляется испытательная версия программы. (http://www.lockstep.com) WebCrypt. Препятствует попыткам истощить ресурсы полосы пропускания Webузла путем многочисленных обращений к его страницам и блокирует работу программ-"пауков", запускаемых спамерами для извлечения из Web-узла адресов электронной почты. Предоставляется пробная версия программы. (http://www.moonlight-software.com/)

Приложение Б

Хакерская галерея нестандартных инструментальных средств ПРИ ВСЕМ ТОМ МНОГООБРАЗИИ ВСЕВОЗМОЖНЫХ ХАКЕРСКИХ ИНСТРУМЕНТОВ, КОТОРЫЕ СЕГОДНЯ МОЖНО НАЙТИ В INTERNET, HE БУДЕТ НИЧЕГО УДИВИТЕЛЬНОГО, ЕСЛИ В ОДИН ПРЕКРАСНЫЙ ДЕНЬ И ВАШ КОМПЬЮТЕР СТАНЕТ ОБЪЕКТОМ АТАКИ ОДНОЙ ИЗ РАСПРОСТРАНЕННЫХ ХАКЕРСКИХ ПРОГРАММ. Поскольку большинство людей ранее никогда не сталкивались с этими программами и, тем более, не использовали их, в этом приложении представлены экранные снимки хакерских программ, получивших распространение в настоящее время или пользовавшихся популярностью в недавнем прошлом. Благодаря этому перед вами в исторической перспективе предстанут инструментальные средства, используемые хакерами для атак в Internet, которые, в частности, могут быть направлены и против вас.

Хакерские инструментальные средства, используемые для атак вInternet В большинстве своем хакеры — интеллектуалы с ленцой, т.е. они никогда не будут заниматься рутинной работой, если ее можно запрограммировать так, чтобы компьютер выполнил ее за них. По этой причине хакерами разработано множество инструментальных средств, облегчающих им жизнь (но делающих жизнь их жертв еще более несчастной). В число этих средств входят сканеры (предназначенные для поиска открытых портов в уязвимых компьютерах), троянские программы удаленного доступа (позволяющие захватить контроль над компьютером через Internet) и программы взлома паролей (осуществляющие простой перебор множества различных вариантов символьных комбинаций до тех пор, пока не будет найден тот, который сработает). Приведенный ниже материал поможет вам получить представление о том, какого типа инструменты хакеры могут использовать против вас.

AOHell Выпущенная примерно в 1995 году, программа AOHell (см. рис. Б.1) по сути дела определила стандарт для программ, ведущих себя агрессивно в сети (harassment

Приложение Б. Хакерская галерея нестандартных инструментальных средств

343

programs). Расплодившись за весьма короткое время, эти программы начали доставлять беспокойство пользователям таких онлайновых служб, как CompuServe, Prodigy или Microsoft Network. Будучи написанной на языке Visual Basic 3.0, AOHell являлась сравнительно несложной программой, которая позволяла хакерам рассылать сообщения с ложными адресами электронной почты, создавать поддельные номера кредитных карточек для получения подложных учетных записей AOL, выуживать у пользователей AOL их пароли и номера кредитных карточек или рассылать оскорбительные сообщения другим людям через серверы разговоров.

Рис. Б.1. AOHell - первое оригинальное онлайновое средство, предназначенное для причинения беспокойства пользователей сети

Несмотря на то что программа AOHell в свое время доставила немало неприятностей пользователям службы America Online, сейчас она забыта. В настоящее время лишь немногие хакеры занимаются разработкой программ, имитирующих AOHell, предпочитая направлять свою энергию на создание более сложных хакерских инструментов для Internet, например, сканеров портов или средств, способных вызвать наступление хаоса в таких сетях, как IRC или ICQ.

В02К - Back Orifice Программа Back Orifice, сознательно названная так в насмешку над программой Back Office корпорации Microsoft, произвела сенсацию, появившись в 1998 году в качестве одной из первых троянских программ удаленного доступа, позволяющих дистанционно управлять чужим компьютером по телефонной линии или через Internet (см. рис. Б.2). Разработанная группой хакеров, называвшейся "The Cult of Dead Cow", программа Back Orifice (www.bo2k.corn) вновь заставила говорить о себе в 1999 году, когда на конференции DefCon 7.0 был представлен ее усовершенствованный вариант, обеспечивающий расширение возможностей программы за счет подключаемых модулей, написанных другими программистами, вместе с исходным кодом на языке C/C++, чтобы каждый мог изучить и модифицировать программу. По иронии судьбы, при

344

Часть 6. Приложения

представлении программы на DefCon выяснилось, что компакт-диск с Back Orifice 2000 заражен вирусом Chernobyl (CIH). Fe i Edti V e iw Pu lgn is Hep l E do tid se ac ie serverapppro tte is to m y fithce th etyB se rvk erO fist.rfc Ch rop pe a rire c o tio noseand ao un thneen c ttiin ao tin.pe, encrypo

ЬЗ Simple |p System Q] Key Logging Щ GUI Ш

T

p

p

|TCRO: Back Orifice TCP 10 Module v1.0 Default Encryption:

M

|

C

P

$

P

r

o

R

e

g

/

I

N

c

i

e

e

s

t

P

t

w

s

s

r

y

o

r

k

i

n

C

o

n

t

r

g

o

l

Ш Multimedia P Fie/Directory | 1 Compression

jX0R:B02K Simple XOR E Authentication: Welcome to the В 0 Ж Configuration Wizard!

This ward will help you instafl components into your B02K server and configure them. Fist, youl be asked to choose a B02K. server, then we'» walk you through the process of configuring the server with a new password When you're done, you B02K server will be ready for installation. Note that this wizard does not allow for full configuration flexibility. It is meant only to simplify the process of configuration.

Server List M Show Details У Allow Docking

\м

Г \TCP C o n n e o c n i t .....'• ? * 9 !Р П *O °'R:B .e «l_rH tX e crito ^R firt Ency O I: Back O cife ri T C P 10 M o d u L.У X 0 2 KS m iA p O ro pin t TCPIO: Back Orifice TCP 10 ModuL XOR: ВО Ж Simple XOR Encryption

NULIAUTH: Single User /Encrypt .

Рис. Б.2. Back Orifice 2000 является самым последним воплощением широко известной троянской программы удаленного доступа, побившей все рекорды популярности

Хотя Back Orifice по-прежнему представляет угрозу для компьютеров, разговоры вокруг ВО2К постепенно затихли. Появились многочисленные аналоги этой программы, обладающие улучшенными характеристиками по сравнению с их прототипом, но Back Orifice, несмотря на свой возраст, все еще остается излюбленным инструментом хакеров, используемым ими для зондирования компьютеров, подключенных к кабельным или DSL-модемам. Crack W h o r e Являясь одним из представителей нового поколения программ для взлома Webузлов, программа Crack Whore атакует Web-узлы "в лоб" с применением словаря, подбирая пароли к легитимным учетным записям (см. рис. Б.З). Поскольку многие люди используют простые пароли, легко поддающиеся разгадыванию, программы наподобие Crack Whore приводят к успеху на удивление гораздо чаще, чем этого можно было бы ожидать.

Приложение Б. Хакерская галерея нестандартных инструментальных средств

3>>Ont0P JLl Configj ^[ 9 Passes)-;j j j

345

Attack

Wordlist ) Connection C:\PfogramFiles\SubRea%\CrackWl^re\wordlists\ulfimateJ Username length Min. | 4 Max. | 10

Fixed: |

Password length Min.f 4 Max.[ 10

Fixed:

Browse

Г Make lower case • Make upper case (• Don't change

{Using proxy 12.0.251,67:8080

Рис. Б.З. Программа Crack Whore зондирует Web-узлы с целью обнаружения легко разгадываемых паролей, открывающих хакерам доступ в систему

Получив доступ к легальной учетной записи, хакер может либо непосредственно . модифицировать Web-страницы и другие данные, либо "покопаться" в системе, чтобы получить доступ к другим учетным записям или расширить права текущей учетной записи для получения доступа к остальным разделам компьютера, на котором развернут данный Web-узел.

D e a t h f n Destruction Принцип работы одного из простейших хакерских инструментальных средств, вызывающих отказ в обслуживании (Denial of Service — DoS), заключается в направлении нескончаемого потока ничего не значащей информации в порт компьютера жертвы (обычно порт 139), чтобы, в конечном счете, вызвать его перегрузку, приводящую к краху системы или отключению компьютера от Internet (см. рис. Б.4).

ICQ W a r 2 0 0 0 С ростом популярности служб немедленной доставки сообщений (которому сопутствовало падение популярности онлайновых служб) хакеры быстро охладели к написанию онлайновых атакующих программ наподобие AOHell и вместо них принялись за разработку соответствующих программ, ориентированных на службу ICQ (рис. Б.5). ICQ War 2000 является одним из представителей многочисленного семейства программ, нарушающих нормальный порядок использования службы ICQ, и позволя-

346

Часть 6. Приложения

ет забрасывать жертву сообщениями, отслеживать личные IP-адреса и возмущать спокойствие в комнатах для разговоров в Internet оскорблениями и непристойностями. Т his listens in on a poi

ike you.

Port to listen on: Status

IP To Resolve:

Result; Close

Activate

Resolve

Close

• Death n Destruction: DoS This is a s: ual of Service] lool that connects to someone through their IP at any port (usually port 139, as this is most" commonly open) sends a stung of data, disconnects, : IP to attack:

j

Port to attack'

Язд"

v|

Data to attack with: p"~blah blah blah flooding you blah blah"" Note: the more data, the more effective the attack. Attack j

Stop

tt of attacks so far: 0 Status Exit

|

Port Pjotector I

j

I

Рис. Б.4. В качестве простого, но эффективного приема, вызывающего отказ в обслуживании, программа Death 'n Destruction использует перегрузку компьютера бесполезной информацией John t h e Ripper

Являясь одной из наиболее популярных программ для взлома парольной защиты, John the Ripper выполняется под управлением операционных систем UNIX и MSDOS и предназначена для взлома слабых паролей в системе UNIX, а также в ряде других систем, таких как Linux, FreeBSD, OpenBSD, Solaris, Digital UNIX, AIX, HPUX и IRIX. John the Ripper автоматически обнаруживает пароли UNIX, зашифрованные с помощью алгоритмов DES, MD5 и Blowfish, и в качестве метода раскрытия легких паролей использует атаку "в лоб" (рис. Б.6). Определив пароль, хакер может зарегистрироваться в системе как действительный пользователь и подготовить для себя плацдарм для дальнейших действий.

Приложение Б. Хакерская галерея нестандартных инструментальных средств

347

"P2uni • scan IPs for C I Q usets Based on roprog 1.03 by Thsi port is sti prety buggy:•)

Рис. Б.5. В программе ICQ War 2000 предоставляются многочисленные средства, предназначенные для совершения агрессивных действий в отношении других пользователей (и, в то же время, позволяющие защитить собственный компьютер) при работе в сети ICQ John the Ripper Version 1.6 Copyright (с) 1996-98 by Solar Designer Usage: //E/TEMP/JOHN-16/RUN/John [OPTIONS] [PASSWORD-FILES] -single "single crack" mode -wot-dfile: FILE -stdin wordlist mode, read words from FILE or stdin -rules enable rules for wordlist mode -incremental[:MODE] incremental mode [using section MODE] -external:MODE external mode or word filter ~stdout[:LENGTH] no cracking, just write words to stdout -restore[:FILE] restore an interrupted session [from FILE] -session:FILE set session file name to FILE -status[:FILE] print status of a session [from FILE] -makeohars:FILE make a charset. FILE will be overwritten -show show cracked passwords -test perform a benchmark -users: [ - ] LOGIN IUID [, . .] load this (these) user(s) only -groups:[-]GID[,..] load users of this (these) group(s) only -shells:[-]SHELL[,..] load users with this (these) shell(s) only -salts:[-]COUNT load salts with at least COUNT passwords only -format: NAME force ciphertext format NAME (DES/BSDI/MD5/BF/APS/LM) - savemem: LEVEL enable memory saving, at LEVEL 1..3

Рис. Б.6. John the Ripper - запускаемая из командной строки программа, которая позволяет находить слабые пароли в системах на основе Unix

348

Часть 6. Приложения

NetBus

Разработанная первоначально в качестве троянской программы удаленного доступа, аналогичной Back Orifice, новейшая версия программы NetBus в настоящее время позиционируется на рынке как легальное инструментальное средство удаленного администрирования. Несмотря на изменение направления своей деятельности программистами NetBus, хакеры продолжают использовать ранние версии этой программы (см. рис. Б.7) для получения тайного доступа к другим компьютерам. В дополнение к этому многие хакерские Web-узлы предоставляют исходный код программы, написанный на языке Delphi, так что теперь каждый может внести в него свои изменения и создать новую версию NetBus или написать собственный вариант троянской программы удаленного доступа.

t* Г С Г Г

ОК. OK/Cancd Retty/Cancel Yes/No Yes/No/Cancei

Host.Qontfol Hep l (Y) I Server admni j s|p Message manager n i ato i rd i? i Fe li manager MW nidow manager U*lj Regsitry manager S& Sound syse tm f§[ Wug ni manager Port redriect JP Appcilao tin redriect Й В ™j ^ ^

^Record [

r^S^o 1

Keyboard listen Capture screen image Capture camera video Record sound

Рис. Б.7. NetBus принадлежит к числу наиболее популярных троянских программ удаленного доступа Nmap

Считающаяся одним из наилучших инструментальных средств сканирования компьютерных систем для зондирования их портов, Nmap воплощает в единой программе практически все известные методики сканирования (см. рис. Б.8). В зависимости от выбора метода сканирования Nmap может предложить вам варианты с приоритетами быстродействия или "невидимости" (чтобы компьютер-мишень не мог

Приложение Б. Хакерская галерея нестандартных инструментальных средств

349

обнаружить факта его зондирования), используя для этого целый ряд различных протоколов (ICMP, UDP, TCP и т.п.). Можно с полной уверенностью утверждать, что при наличии достаточно большого времени Nmap способна обнаружить брешь практически в любом компьютере. JJLLU Help

File Output Host(s): jxanadu vectra playground Scan Options: r connectQ k SYN Stealth r Ping Sweep r UDP Port Scan r FIN Stealth r Bounce Scan:

J Don't Resovle v TCP Ping J Fast Scan A TCP&C I MP J Range of Ports: v C I MP Pn ig v Dont Pn ig Г Use Decoy(s): | jantionline.com

J Input File:

j Fragmentation J Get Identd Info j Resolve All Ш OS Detection J S e n d on Device:

Dutput from: nmap -sS - 0 -Dantionline.com xanadu vectra playground Interesting ports on vectra.yuma,net (192Д68.0.5): State Protocol Serv i ce 13 open daytime tcp ftp 21 open tcp 22 open tcp ssh open tcp 23 telnet open tcp 37 time tcp 73 open finger tcp 111 open sunrpc tcp 113 open auth tcp 513 open login tcp open 514 shell ГСР Sequence Prediction: Class=random positive increments Difficulty=14943 (Worthy challenge) Remote operating system guess: OpenBSD 2,2 - 2*3 Interesting ports on playground«yuma*net (192.168 t 0.1>:

Рис. Б.8. Программа Nmap предоставляет в ваше распоряжение самые различные методики сканирования, позволяющие зондировать компьютеры с целью обнаружения их уязвимых мест

Nmap выполняется под управлением UNIX-подобных систем, таких как Linux или FreeBSD, и поставляется вместе с полным исходным кодом программы на языках C/C++, который вы можете изучить и модифицировать. Поскольку программа пользуется активной поддержкой сообщества программистов, существует вероятность того, что в течение некоторого времени Nmap будет продолжать оставаться самым мощным из имеющихся инструментом сканирования как для системных администраторов, так и для хакеров.

SubSeven В то время как темпы разработки Back Orifice замедлились до скорости черепашьего шага, новая троянская программа под названием SubSeven уверенно заняла ее место в качестве наиболее популярных из всех используемых в настоящее время троянских программ (см. рис. Б.9). Программисты, написавшие SubSeven, продолжают расширять возможности программы за счет включения в нее новых средств, таких как модуль озвучивания текста, шпионская программа для извлечения паролей и других данных, используемых программами немедленного обмена сообщениями, или средство, позволяющее извлекать из инфицированных компьютеров ин-

350

Часть 6. Приложения

формацию самого различного характера, в том числе имена пользователей, адреса и даже ключи компакт-дисков.

Рис. Б.9. По своим возможностям SubSeven в настоящее время превзошла программу BackOrifice и заняла ее место лидирующей троянской программы удаленного доступа

Чтобы не терять контакта с остальными пользователями, программисты, написавшие программу SubSeven, предложили даже свой список рассылки и комнату для разговоров в службе IRC. Учитывая популярность SubSeven, можно предположить, что по числу поражаемых ею компьютеров она будет опережать любую другую троянскую программу удаленного доступа.

UpYours Одно время наблюдался резкий всплеск популярности программ, бомбардирующих жертву электронными сообщениями (email bombs). Идея этих программ заключается в перегрузке отдельных учетных записей электронной почты многочисленными сообщениями или насильственной подписке жертвы на множество списков рассылки, тематика которых, как правило, имеет отношение к детской порнографии, садо-мазохизму или некрофилии. В 1996 году хакер по прозвищу "johny xchaotic" заставил говорить о себе все газеты после того, как по двум независимым поводам подверг бомбардировке электрон-

Приложение Б. Хакерская галерея нестандартных инструментальных средств

351

ными сообщениями целый ряд организаций и знаменитостей, в том числе Билла Гейтса, Ку-Клукс-Клан, Пэта Бучанана (Pat Buchanan), Билла Клинтона, церковь The Church of Scientology и Ньюта Джингрича (Newt Gingrich). Бомбардировка электронными сообщениями быстро пошла на убыль, когда поставщики Internet-услуг закрыли свои службы пересылки сообщений и убрали Web-узлы, предлагающие программы для осуществления такой бомбардировки. Несмотря на всю свою эффективность, программы бомбардировки электронными сообщениями наподобие Up Yours могут выдать IP-адрес атакующего компьютера, что дополнительно отбивает у хакеров охоту к широкомасштабным атакам подобного рода (рис. Б. 10).

Взлом телефонных сетей На заре компьютерной эры, еще до развития сети Internet, для поддержания между собой связи хакерам приходилось использовать телефонные линии. Поскольку длительные междугородные телефонные соединения стоят дорого, хакеры очень быстро научились манипулировать компьютерами телефонных станций таким образом, чтобы можно было делать свои звонки бесплатными или уничтожать данные счетов, выставляемых им телефонными компаниями.

momma's got no fingers talking 'bout ь©Setting; Message:Yo' with the Pointer sisters! rockYo momma's: looked out the window and got arrested U mooning! readYo' momma's so fat, she clin one stepfdeadYo' momma got two woode on backward! kilft'o1 momma's so nasty, e* paid her to leave!-plugYo" momma's so sti

Mvers or

~,*d\o

K'S. sent oul by you is : at the bottom of Ш

atlanta.com cornell.edu electriciti.com iglou.com

www.acc.af.mil ohio.net

rainbow.rmii.com internic.net

xiifiabie

space.net server.com sor(house, com

vers to append to mail I

Рис. Б. 10. UpYours была одной из первых программ, способных предложить на выбор целый ряд различных вариантов бомбардировки жертвы электронными сообщениями

352

Часть 6. Приложения

Те давние хакеры, получившие прозвище телефонных фрикеров (phone phreakers), т.е. взломщиков телефонных линий, также разработали инструментальные средства, обеспечивающие им возможности контроля и вольготную жизнь в телефонных сетях. Хотя большая часть хакеров перешла к разработке инструментальных средств, ориентированных на Internet, немногочисленные телефонные взломщики все еще действуют, и многие хакеры по-прежнему привлекают средства телефонного взлома для проникновения в чужие компьютеры через телефонные линии в тех случаях, когда соединения с Internet основательно защищены брандмауэрами и системами обнаружения вторжений.

M a s t e r Credit Card Generator Программа Master Credit Card Generator (рис. Б. 11) создавала номера кредитных карточек, похожие на настоящие, пользуясь для этого той же формулой, что и кредитные компании. С помощью программ наподобие Master Credit Card Generator хакеры могли создавать номера фиктивных кредитных карточек, позволяющих им открывать учетные записи в Internet через такие онлайновые службы, как America Online. Как только сотрудники службы убеждались в том, что карточка является фиктивной, они закрывали данную учетную запись, но хакер, располагая несколькими десятками других аналогичных номеров, мог легко создавать все новые и новые учетные записи. • Master Credit Card Generator bY : PhreaK

Master Credit Card Generator bY: PhreaK i ? Visa Card

4037 4037 4037 4037 4037

! Generate More !

1983 6583 1988 5702 1928 1012 19112917 1947 6202

ШШШ 6320 8410 2642 1571 0535

Г Master Card

400013 - Security VISA * 4013 - Bank of Baltimore 401376-Chevy Chase 401901 - Bank of America 402402 - Bank of America Premium 402408 - BancAmericard / Bank of NY -Delaware S 4027 - Rockwell Federal Credit Union 4032 - Household Bank

Card Prefix: 403719 Bank Name: Valid Card: 40371966 66061341 1341

|

403950 - USE Credit Union 404096-Wells Fargo 4052 - First Cincinatti 4060 - Navy Federal Credit Union 406030 - Associates National Bank

Рис. Б.11. Программа Master Credit Card Generator, с помощью которой хакеры моги бесплатно открывать учетные записи в Internet CyberPhreak

Когда телефонные сети еще только развивались, АТС связывались между собой, направляя друг другу сигналы определенного тона. Зная, какие тона при этом используются, можно было просто направлять звуки соответствующих тонов в обыч-

Приложение Б. Хакерская галерея нестандартных инструментальных средств

353

ную телефонную трубку и в буквальном смысле слова перепрограммировать компьютер компании. Хотя в современных телефонных сетях эти тона больше не применяются, программа CyberPhreak может представлять некоторый интерес в качестве типичного примера генераторов тонального набора, созданных телефонными взломщиками. Два цветных окна программы CyberPhreak (см. рис. Б. 12) имитируют два популярных когда-то блока, которые в свое время использовались телефонными взломщиками для манипулирования телефонными сетями: синий и красный. Синий блок выдавал сигнал частотой 2600 Гц (именно отсюда взял свое название хакерский журнал "2600"), в то время как частоты сигналов, генерируемых красным блоком, позволяли обманывать телефоны-автоматы, заставляя их поверить в то, что вы вбросили в них, например, 5-, 10- или 25-центовую монет)/; Shit Talker Являясь, скорее, средством возмущения спокойствия других людей, чем хакерским инструментом, программа Shit Та1кег(см. рис. Б. 13) использует звуковые возможности компьютера для генерации обычного человеческого голоса, отпускающего по телефону оскорбительные замечания в чей-то адрес, что может служить превосходным средством против торговых агентов, досаждающих вас по телефону рекламой своего товара.

£

Thsi «as *it«i> top 11111 l i i i J I i l

Рис. Б.12. Программа CyberPhreak, с помощью которой компьютер может генерировать тональные сигналы, позволяющие путем введения в заблуждение компьютеров телефонных компаний получать бесплатные телефонные услуги

354

Часть 6. Приложения By: jaundice H E 13

Shit talker v1.0 About

-Questions:

г Statements/responses" Yes I No i I don't know

I will be over soon.

I need to talk lo you.

Please ca!m down. Please do not shout. Please don't do that Please! say something:

Monkey lace So what?

have about 6 mysel

What did you call me? What did you say? I have another question. Like todosomething lhi«; wpekend? Oh it is just a figure of speech. was wondering if you could help me will call back tomorrow. I'm returning your phone call Haa ha^haaaa. that is funny jRobots are very strong:

What time are you open until? s "random name* there?

Send me some parts: There is a reason for all of this I'm not joking around anymore-

РИС. Б.13. Программа Shit Talker способна превратить ваш компьютер в машину, изрекающую всевозможные гадости человеческим голосом ToneLoc

Будучи устаревшей программой автоматического перебора телефонных номеров, рассчитанной еще на работу в системе MS-DOS, однако все еще используемой хакерами и в наши дни, ToneLoc предоставляет целый ряд возможностей для охоты за модемами (см. рис. Б. 14). Несмотря на постоянный рост количества пользователей Internet, многие корпорации и организации для подключения к своим сетям по-прежнему предоставляют телефонные модемы; в частности, это необходимо торговым агентам, которым приходится получать доступ к компьютерам по телефонным линиям с помощью таких программ удаленного доступа, как PCAnywhere или Carbon Сору. Если хакеру удается обнаружить подключенный к модему компьютер, доступный для атаки, то последней линией обороны, которую ему остается преодолеть, является пароль, но его во многих случаях можно просто угадать. Как следствие, программы перебора телефонных номеров используются многими хакерами для подключения к сетям в обход брандмауэров, стоящих у них на пути.

Приложение Б. Хакерская галерея нестандартных инструментальных средств

355

ToneLoc 1.10 by Minor Threat & Mucho Maas (Sep 29 1994) ToneLoc is a dual purpose wardialer. It dials phone numbers using a mask that you give it. It can look for either dialtones or modem carriers. It is useful for finding PBX's, Loops, LD carriers, and other modems. It works well with the USRobotics series of modems, and most hayes-compatible modems. ToneLoc [DataFile] /M:[Mask] /R:[Range] /X:[ExMask] /D:[ExRange] /C:[Config] /#:[Number] /S:[StartTime] /E:[EndTime] /H:[Hours] /T /K [DataFile] [Mask] [Range] [ExMask] [ExRange] [Config] [Number] [StartTime] [EndTime] [Hours]

-

File to store data in, may also so be a mask To use for phone numbers Format: 555-XXXX Range of numbers to dial Format: 5000-6999 Format: 1XXX Mask to exclude from scan Format: 2500-2699 Range to exclude from scan Configuration file to use Format: 250 Number of dials to make Format: 9:30p Time to begin scanning Format: 6:45a Time to end scanning Max # of hours to scan Format: 5:30 Overrides [EndTime] /T = Tones, /K = Carriers (Override config filer •- inverts)

Required Optional Optional Optional Optional Optional Optional Optional Optional Optional Optional

Рис. Б.14. ToneLoc - это DOS-программа перебора телефонных номеров, которая может исследовать некоторый их диапазон для того, чтобы определить, какой из них соединен с модемом

Вирусы В силу самой своей природы большинство вирусов атакуют компьютер без его хозяина. Однако некоторые вирусы отображают на экране причудливые картинки или сообщения, которые могут быть либо забавными, либо предупреждать о том, что только что были уничтожены все данные. Поскольку лишь немногие люди представляют себе, как работают вирусы, ниже приведены описания некоторых наиболее интересных вирусов, инфицировавших компьютеры в прошлом.

Вирус AIDS Хотя большинство вирусов стараются скрыть свое присутствие в компьютере, вирус AIDS (см. рис. Б. 15), нагло заявляет о себе выводом на экран поддразнивающего сообщения. Несмотря на угрожающее содержание этого сообщения, вирус AIDS можно встретить довольно редко, и, если только вы не продолжаете использовать любую из версий DOS, шансы того, что ваш компьютер никогда не будет заражен вирусом данного типа, довольно велики.

Вирус Ambulance Не все вирусы преднамеренно уничтожают файлы. Некоторые из них ведут себя подобно вирусу Ambulance (см. рис. Б. 16), который просто инфицирует компьютер таким образом, чтобы на экран выводилось анимационное изображение перемещающейся по экрану машины скорой помощи, дополняемое воем сирены. Не пред-

356

Часть 6. Приложения

ставляя никакой опасности, вирус Ambulance, тем не менее, демонстрирует, что даже безобидные вирусы способны создавать неудобства для пользователей. 9 0 0 0 0 Q 0

ATTENTION: 0 1 haue been elected to inform you that throughout your process of Q collecting and executing files, you haue accidentally WUCKZt 0 yourself ouer; again, that's PHUCKED yourself ouer. No, it cannot 8 be; VES, it CAN be, a JITUS has infected your system. Nou uhat do 0 you haue to say about that? HAHAHAHA. Haue Wlifi uith this one and В remember, there is HO cure for ©

I CBBEOs№fca^:ia^№^ Рис. Б.15. Инфицировав компьютер, вирус AIDS пытается немедленно запугать пользователя pLIMT WHIP POP SYSIHI PRINTERS

323Q0 WAU 6806 WAU 4486 WAU UK I 50496 37760 WRI 23168 uiiimi WRI NETWORKS WRI 22528 EXCEL XLB 267 32352 F-EXCEL ~EX F-COREL "EX 32736 p-WORB 32736 ~EX 32352 JF-AMIPRD ~EX 32352 F~WP ~EX 489888 GDW SCR 4667 ^DWREAD TXT F-PKQT 454 ВПК HOSAIC