Атака из сети
Речь идет всего лишь о том, что когда компьютер подключен к сети, он становится ее частью. К сожалению, большинство пользователей забывает об этой совершенно тривиальной истине.
🕛 14.02.2008, 17:13
Во-первых, пусть название статьи вас не пугает... или пугает, но не очень сильно. Речь идет всего лишь о том, что когда компьютер подключен к сети, он становится ее частью. К сожалению, большинство пользователей забывает об этой совершенно тривиальной истине. Меж тем забывать о ней не стоит, ибо несколько практических выводов, которые из нее следуют, таковы:* Вы имеете доступ к миллионам компьютеров Интернета, а миллионы компьютеров Интеренета зачастую имеют доступ к вашему компьютеру. * Загружая программы из сети, вы можете заполучить на свой диск программу-троянца или вирус. * Любой компьютер в сети подвержен различным техническим атакам, которые могут привести к его зависанию, потере данных и прочим прелестям.
Ну а теперь рассмотрим все это подробнее, спокойно и без истерик. Разговор пойдет о компьютерах, работающих под Windows 95/98/NT. Знатоки (опытные пользователи, гуру, хакеры ) могут удалиться, начинающие (неопытные пользователи, женщины, дети, военные) могут остаться.
Доступ к компьютеру
Примерно к четверти или трети всех компьютеров под Windows в сети можно получить доступ за пару минут. Этот печальный факт объясняется тем, что сами пользователи (или глупые системные администраторы) конфигурирую компьютер таким образом, что его папки или целые диски становятся доступными для чтения и записи с удаленных компьютеров. Формально это называется File and Print Sharing. Если вы щелкните по иконке Network в Control Panel, то увидите эту кнопку. И если флажок I want to be able to give others access to my files включен, то стоит задуматься.
Почему пользователи дают доступ к своим файлам - наверное понятно. Самая распространенная ситуация - в доме два компьютера, соединенных в маленькую сеть. Скрывать друг от друга нечего, поэтому дается свободный доступ сразу ко всему. Или человеку нужно переписать данные с десктопа на ноутбук. Или в небольшой фирме стоит локалная сеть. Или вы просто любите на разные незнакомые кнопки нажимать ... Короче говоря, придумайте что-нибудь сами :-). Ну а где доступ с соседнего компьютера, там и доступ из Интернета. Как это делается, я рассказывать не буду: секрета здесь никакого нет, просто об этом написаны мегабайты статей на разных сайтах и тысячи постингов в Usenet. Если кому-нибудь интересно - поищите информацию в DejaNews, ключевыми словами могут быть access remote share* Windows.
Я же остановлюсь на том, к чему могут привести путешествия других людей по вашим дискам, и как этого избежать. Во-первых, у вас могут украсть приватную информацию, что крайне неприятно. Файлы могут также вообще стереть, что, пожалуй, еще неприятнее. Но как правило крадут другое, особенно если крадут русские: пароли. Особенности национального менталитета ("Халява!!!!!!!!!") приводят к тому, что масса малолетних бездельников только и занимаются тем, что крадут пароли доступа к Интернету с чужих компьютеров, благо устройство Windows 95/98 и большинства программ к этому располагает. Пароли хранятся просто по всему диску, обычно в слабо зашифрованном виде. Dial-Up пароли - в файлах .PWL, почтовые пароли к Outlook - в реестре, к Eudora - в eudora.ini, к FTP сайтам (включаю вашу персональную страничку) - в разных файлах FTP-клиентов, пароли NT - в файлах SAM, и т.д. и т.п. Появилось множество программ, которые способны эти пароли извлекать, и целые коллекции таких программ, например на сайте Russian Password Crackers есть несколько программ для работы с .PWL файлами. Так что пусть звездочки в окне ввода пароля вас не обнадеживают, а вот свободный доступ к файлам своего компьюьера лучше ограничить.
Как это сделать? Windows 95/98 и NT по-разному обеспечивают удаленный доступ. В первом случае, как правило, используется share-access control (доступ на основании только пароля), во втором - user-access control (на основании пары имя-пароль). На особенностях безопасности NT я останавливаться не хочу, потому что это очень большая тема, да и не место ей на этом сайте. Вы можете сами найти много полезной информации на эту тему на сайтах, посвященных безопасности NT или просто прочесть какой-нибудь FAQ. Для пользователей же Windows 95/98 cамое простое решение - отключить File and Print Sharing, если он вам уже не нужен. Можно также убрать привязку File and Print Sharing к протоколу TCP/IP (Control Panel=>Networl=>TCP/IP=>Properties=>Bindings), что эффективно заблокирует доступ к общим ресурсам из Интернета. Если же доступ нужен, но то ставьте пароли на общие папки и диски, причем желательно сложные пароли. Имейте также ввиду, что существует возможность "взобраться вверх по дереву", то есть если на диске C: есть папка SomeStuff с открытым доступом, то до корня C: тоже могут добраться. Ну а вообще Windows 95/98 - ОС слабо защищенная, и никакой гарантии безопасности дать, увы, не может.
В качестве развлекательной программы можно установить NetWatcherPro (245K, freeware), которые включает сирену каждый раз, когда кто-то ломится в компьютер. При этом показыватся IP адрес атакующего и те файлы и папки, котрые визитер просматривает. Очень познавательно! Если доступ хоты бы к одной папке открыт, сирену будете слышать как минимум раз в час.
А кони все скачут и скачут...
Какие кони? Троянские! Троянцами называют программы, которые на первый взгляд выполняют некие полезные фунции, но на самом деле либо разрушают систему, либо отдают контроль в руки другого человека. Пород троянцев множество: некоторые из них вообще не выполняют полезных функций, а просто скрытно "живут" на диске и делают разные гадости, а некоторые, наоборот, совершенно не скрываются от пользователя, при этом производя некоторые манипуляции, о которых никто не подозревает (или не должен подозревать). Пример первой породы - всем известный Back Orifice, дающий врагу почти полный контроль над вашим компьютером и для вас невидимый. Пример второй породы - MS Internet Explorer, который при соединении с сайтом Майкрософт развивает совершенно бешенную активность по пересылке данных с компьютера на сервер Майкрософт, объем которых явно превосходит простой запорос HTML документа.
Попасть троянец на компьютер может двумя основными способами: либо вам его "положат" на диск, либо вы его сами себе скачаете. Ну очень нетривиальная мысль :-) Меж тем множество людей получают подобные программы себе на диск каждый день. Со вторым способом все более-менее ясно: не стоит скачивать программы с неизвестных сайтов, поддавшись на обещания авторов дать вам "сУпЕр КрУТУю МочИлкУ против /\аммер0в" или классный вьюер для бесплатной порнухи. Не надо также открывать attachments, пришедшие с почтой от незнакомых людей. С первым же способом все немного сложней. Во-первых, в ваше остутствие какая-нибудь добрая душа может этого троянца просто переписать на компьютер с дискеты (не оставляйте компьютеры без присмотра!). Во-вторых,троянца могут положить из сети прямо на диск пока вы, ничего не подозревая, мило беседуете в IRC или гуляете по сайту Netscape. Как с этим бороться, я рассказал выше. Да, и еще один важный момент. Кто-то меня недавно удивил, сказав, что положить-то файл из сети на локальный диск можно, но как его локально запустить? Да очень просто, из строки Run в win.ini, ведь этот файл подправить дистанционно тоже легко. Так что timeo Danaos et dona ferentes! О целом табуне троянев подробно рассказано на сайте Trojan Games. Некторых особенно распространенных троянцев способны обнаруживать антивирусные программы, например AntiViral Toolkit Pro. Имейте ввиду, что всех троянцев ни одна программа обнаружить не может, и можно спокойно рассмеяться в лицо тому производителю софта, который пытается убедить вас в обратном.
Хочу также рассказать о том, как реальные и вымышленные факты, касающиеся доступа к компьютеру из Интернета, могут использоваться против доверчивых пользователей. Есть один московский провайдер, выведем его под псевдонимом "2-Конь". Так, средненький провайдер, довольно дешевый, только вот одним плох - постоянно ворует ( я бы даже сказал, нагло прет) у клиентов время. Смотришь сатистику, ба! Оказывается просидел пользователь в сети всю вчерашнюю ночь, хотя на самом деле мирно посапывал в кровати. Клиенть звонит провайдеру, тот, натурально, заявляет, что невиновен, и что пароль доступа у клиента украли. Клиент верит, меняет пароль, через неделю все повторяется. Клиент звереет. Провайдер официально на своем сайте заявляет, что в связи с огромным числом троянцев претензии по поводу неправомерного доступа к аккаунту не принимаются. Если клиент верит в мифы, то он будет продолжать потокать ворам, полагая, что пароль у него действительно воруют. Если же он в мифы не верит, а доверяет своим собственным знаниям, то он досконально проанализирует уязвимость своего компьютера и, возможно, придет к выводу, что пароль крадут все же не с его компьютера.
Технические атаки
На самом деле термин "Технические атаки" не очень точен. Все атаки, по сути, технические. Здесь имеются ввиду атаки из сети, направленные на технический вывод из строя компьютера, как правило на короткое время, нужное для перезагрузки. По-английски такие атаки называются Denial of service (DOS) attacks. К privacy это прямого отношения не имеет, но раз уж зашел разговор об атаках, то я решил кратко упомянуть и о них.
Cимптомы "болезни" таковы: неожиданно компьютер, подключенный к сети, зависает, либо появляется голубой "экран смерти" - сообщение об ошибке. Лечение простое - Alt-Ctrl-Del. Инструментарий для таких атак водится в сети в большом количестве, не меньше и недоумков, которые получают наслаждение от того, что заваливают чей-то компьютер. Cамый известный представитель славного семейства - Winnuke, уложивший в свое время миллионы компьютеров под управлением Windows. Менее известны bonk, smurf, ping of death ... несть им числа. Почти от всех подобных атак можно защититься, регулярно скачивая патчи с сайта Майкрософт.