На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть в мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, «вынюхав» её уже из сети.

Сразу скажу, что такая напасть, главным образом, грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).

Да, охотой на информацию занимаются и в большой сети (в интернете, например, целью становятся крупные компании, банки и т. п.), но это дело — сложное и кропотливое, тем более что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически «точечно», в закодированном виде (VPN).

Другое дело — локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-сниффер, которая, грубо говоря, умеет получать сетевой TCP/IP-трафик, не предназначенный для этого компьютера.

Раньше считалось, что «вынюхивать» информацию можно только в сетях, построенных на хабах.

Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую сами знаете что есть свой болт с хитрой нарезкой, и вот они — программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.

Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.

Да-да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не «звездочки», а ваши пароли к SMTP/POP-серверам, бесплатным почтовым ящикам, конференциям, TELNET- и FTP-серверам, IRC и т. д., и т. п. Можно утянуть и коммерческую информацию — но, слава богу, номера кредиток передаются в защищенном режиме…

Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний «кул хацкер», оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий «в эфир» чтобы поймать определенную жертву.

Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим «стелс» — не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP-запросы. На наше счастье, «кул хацкеры» пользуются как раз программами, скачанными из интернета, ставят на свои домашние Windows машины — и вперед…

Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты «Линукса» мне не годятся.

Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP-запросов, на которые сетевые карты, не работающие в promiscuous-режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в «бесплатном» режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP — драйвер, умеющий захватывать «сырые» (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем — вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу: так и так, у вас что там, на 32-м и 62-м адресах, — рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... — Нет, отвечает админ, обычные пользователи, а что такое? — Да так, «нюхают» нас… Смотрите лог… — Ах, вот как? Будем разбираться…

Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, — спасение утопающих становится личным делом утопающих.

Вот некоторые мои рекомендации:

- В домашних сетях регулярно проверять (тем же PromiScan'ом) наличие компьютеров со «всеслышащими» сетевыми картами. Поставить одну «Линукс»-машину и смотреть, а не появилось ли в последнее время подозрительно много ARP-запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru — и хотя бы ваш пароль будет передан на сервер в закодированном виде.
 - Завести ключ PGP.
 - Поискать: а может, существует уже программное обеспечение вашего TELNET- или FTP-сервера, оснащенное «Кербером» (Kerberos).
 - Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN-канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось несанкционированное программное обеспечение).

На 100% все равно не спасет, но помочь может.