[]
Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Как воруют пароли почты и ICQ

Недавно я столкнулся с неприятностью. Кто-то украл мой номер ICQ (UIN), для этого украв сначала доступ к моему почтовому ящику на сервере mail.ru. О том, как нужно упрашивать и уговаривать службу техподдержки помочь вернуть ящик, — это другая история. А сейчас о том, как ещё можно увести виртуальное имущество, виртуальную «личность» человека в сети.

На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть в мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, «вынюхав» её уже из сети.

Сразу скажу, что такая напасть, главным образом, грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).

Да, охотой на информацию занимаются и в большой сети (в интернете, например, целью становятся крупные компании, банки и т. п.), но это дело — сложное и кропотливое, тем более что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически «точечно», в закодированном виде (VPN).

Другое дело — локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-сниффер, которая, грубо говоря, умеет получать сетевой TCP/IP-трафик, не предназначенный для этого компьютера.

Раньше считалось, что «вынюхивать» информацию можно только в сетях, построенных на хабах.

Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую сами знаете что есть свой болт с хитрой нарезкой, и вот они — программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.

Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.

Да-да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не «звездочки», а ваши пароли к SMTP/POP-серверам, бесплатным почтовым ящикам, конференциям, TELNET- и FTP-серверам, IRC и т. д., и т. п. Можно утянуть и коммерческую информацию — но, слава богу, номера кредиток передаются в защищенном режиме…

Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний «кул хацкер», оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий «в эфир» чтобы поймать определенную жертву.

Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим «стелс» — не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP-запросы. На наше счастье, «кул хацкеры» пользуются как раз программами, скачанными из интернета, ставят на свои домашние Windows машины — и вперед…

Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты «Линукса» мне не годятся.

Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP-запросов, на которые сетевые карты, не работающие в promiscuous-режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в «бесплатном» режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP — драйвер, умеющий захватывать «сырые» (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем — вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу: так и так, у вас что там, на 32-м и 62-м адресах, — рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... — Нет, отвечает админ, обычные пользователи, а что такое? — Да так, «нюхают» нас… Смотрите лог… — Ах, вот как? Будем разбираться…

Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, — спасение утопающих становится личным делом утопающих.

Вот некоторые мои рекомендации:

- В домашних сетях регулярно проверять (тем же PromiScan'ом) наличие компьютеров со «всеслышащими» сетевыми картами. Поставить одну «Линукс»-машину и смотреть, а не появилось ли в последнее время подозрительно много ARP-запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru — и хотя бы ваш пароль будет передан на сервер в закодированном виде.
 - Завести ключ PGP.
 - Поискать: а может, существует уже программное обеспечение вашего TELNET- или FTP-сервера, оснащенное «Кербером» (Kerberos).
 - Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN-канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось несанкционированное программное обеспечение).

На 100% все равно не спасет, но помочь может.

Смерть пришла в Крым: число погибших продолжает растиВ рядах ВСУ скандал: женщин не просто так зазывают на фронтСтало известно о попытке силового захвата власти в РоссииМакрону прилетел такой ответ от РФ, которого ещё не видели СМИТолько теперь Трамп выдал, что хочет получить от РоссииИзвестный в РФ ведущий теперь работает на ЗеленскогоЖенатым не смотреть! Фото Ани Лорак без одежды сразили наповалОдесса и Харьков все-таки вернутся? В Киеве схватились за головуКуда исчезла любимая россиянами Ирада Зейналова«Свинья»: такого от фон дер Ляйен мало кто ждал в ЕвропеВот и все: Ургант зарегистрировался в ПарижеЖест Путина в отношении Ксении Собчак был увиден всемиПоявились подробности об ультиматуме Путина по ОдессеЗеленский «разменял» Харьков и Одессу: что получил взамен? – СМИНе кофе, а помои: эти марки не берите даже по акцииВ Раде сделали заявление об аресте Зеленского спецназомВ море обнаружено судно с тысячами людей, потерявших стыдСМИ обнародовали ультиматум Путина насчёт ОдессыПутин уже подписал указ относительно ЛавроваПредательство Алексея Кравченко обсуждает вся Россия
Новости и материалы
Стало известно о потере рычагов давления Мерца на партнеров по коалиции
Молодежная сборная РФ по футболу из-за-проблем с самолетом задерживается в Колумбии
Ученые нашли дешевый способ улучшить успеваемость по математике в школах
В Раде назвали наиболее вероятного победителя президентских выборов
Стала известна судьба портрета, вызвавшего недовольство Трампа
Родителей предупредили об опасности недосыпа у ребенка
Психолог рассказала, кто чаще всего становится жертвой мошенников
В Белом доме рассказали о переговорах делегаций России, Украины и США в Эр-Рияде
Россиянам ускорят возможность улучшить жилищные условия
Стюардессы американской авиакомпании потребовали снять с инвалида аппарат ИВЛ
Астероид размером с пирамиду Хеопса максимально сблизится с Землей 26 марта
Россиян предупредили о мошенничестве с дипфейками
Делегации Москвы и Вашингтона не общались с прессой после переговоров в Саудовской Аравии
Пропавшая в Дагестане спортсменка объявлена в розыск по линии Интерпола
Инженерные навыки шимпанзе поразили ученых
Италия обвинила Запад в ухудшении отношений с Россией
В Госдуме рассказали о нововведениях, которые с 1 апреля изменят «жизнь миллионов людей»
Названо английское слово, которое больше всего бесит россиян
Все новости