Любой пользователь Интернета рано или поздно сталкивается с проблемами безопасности.     Например, получает огромный счет за пользование dial-up или находит свою веб-страничку     искаженной. Или же резко замедляется скорость работы его компьютера.

Начнем по порядку. Наиболее опасно, пожалуй, воровство конфиденциальной информации. Это, в     первую очередь, ваш логин и пароль на доступ в Интернет. Каким образом подобная информация может стать доступной? Неинтересный вариант утаскивания пароля на дискетке мы не рассматриваем.

Простейший и наиболее часто используемый способ - это троянцы. Внедрившись в ваш компьютер, троянская программа получает над ним полную власть.

Здесь необходим небольшой исторический экскурс. Хотя троянские программы существуют довольно давно и отличаются большим разнообразием, но наиболее громкие события в этой области связаны с программой, называемой BackOrifice (англ. задний проход). Информация о BO впервые была опубликована 21 июля 1998 года. Группа хакеров, называющая себя "Культ мертвой коровы" – "Cult of the Dead Cow", создала троянца для Windows 95/98. Установленный на машине жертвы, BO позволял любому, знающему номер порта и пароль, выполнять на машине жертвы некие привилегированные операции: выполнять команды операционной системы, просматривать файлы, скачивать и закачивать любые файлы, манипулировать регистром (registry), получать список активных процессов, завершать произвольный процесс, незаметно порождать новый процесс путем запуска сервиса, получать полную копию клавиатурного ввода и многое другое. Графический клиент BO был способен, кроме того, получать содержимое экрана жертвы. Попросту говоря, используя BO, можно делать с компьютером все. И даже более того, производить такие операции, о возможности которых обычный пользователь и не подозревает. Собственно, программа состоит из двух частей: сервера и клиента. Серверная часть внедряется на компьютер жертвы. После этого подключиться к компьютеру-жертве можно, используя клиентскую программу. Всю вторую половину 98 года Сеть испытывала повальное увлечение BO. Пожалуй, количество взломанных с помощью BO компьютеров и сетей превышает число жертв всех остальных широко известных атак и диверсий. Популярность BO породила волну клонов, из которых наиболее известны NetBus, NetSphere, GirlFriend, GateCrasher и др.

Какие способы защиты здесь можно посоветовать? Ровно такие, как для защиты от вирусов. В первую очередь - предохранение. Не стоит запускать неизвестно откуда взявшиеся программы, а особенно пришедшие к вам по почте или полученные в чате. В качестве защиты рекомендуется также установить себе на компьютер современную антивирусную программу, например, AVP. Другой подход: установка специализированной программы, выполняющей функции файрволла. Здесь можно посоветовать @Guard, правда он вовсе не бесплатный.

Помимо осмысленных атак, атак с целью получить какую-либо информацию, существуют и диверсии по типу мелких пакостей. Хотя, справедливости ради заметим, что пакости могут быть не такими уж и мелкими. Обычно это атаки, вызывающие повисание или перезагрузку компьютера, иначе говоря D.O.S.-атаки (не путать с MS-DOS, D.O.S. расшифровывается как Denial of Service, т.е. отказ в обслуживании). Практической пользы D.O.S.-атаки для атакующего не несут, это нечто вроде вандализма – разрушил и хорошо. Здесь опять же уместен исторический экскурс.

7 мая 1997 года был обнародован принцип самой, пожалуй, нашумевшей DOS-атаки под названием WinNuke. Ее жертвами становились Windows-системы. Автор метода поместил его описание и исходный текст программы в несколько news-конференций. Ввиду его крайней простоты практически каждый человек мог вооружиться этим новейшим оружием. Очевидной первой жертвой стал www.microsoft.com. Данный сервер находился в состоянии нестояния более двух суток. Microsoft.com прекратил откликаться в пятницу вечером (9 мая) и только к обеду понедельника вновь обрел устойчивость. Приходится только пожалеть его администраторов, которые на протяжении уикэнда были вынуждены регулярно нажимать волшебную комбинацию из трех клавиш, после чего реанимированный сервер падал вновь. Конечно же, наряду с жертвой номер один, в мае 97 пали многие серверы. К чести Microsoft следует заметить, что заплатки появились и стали доступны достаточно быстро.

Далее, в том же 1997 году, DOS-атаки стали появляться с завидной регулярностью. Teardrop, SSping, Land, Ping of Death и многие другие возникали буквально каждую неделю. Где-то в середине лета www.microsoft.com прикрыли каким-то очень хитрым файрволлом. С тех пор прошло много времени, но подобного бума DOS-атак больше не случалось.

Итак, что же могут сделать ваши недруги, используя DOS-атаки? Обычная атака выглядит как программа. Написанная непонятно кем и где, она предоставляет возможность ввода IP-адреса атакуемой машины: нажимаем кнопку и жертва умерает, не мучаясь (или мучаясь). В случае успешной атаки компьютер-жертва повисает или перезагружается – и то и другое может привести к потери информации. Иногда компьютер может просто отсоединиться от Сети.

Предвидя популярный вопрос, адреса, по которым доступны такие программы, указывать не будем. Лучше коснемся другого вопроса. Ведь для того, чтобы осуществить такого рода атаку, злоумышленник обязан знать ваш IP-адрес (а также TCP-порт, но это уже тонкости). Как же он может его узнать? Чаще всего злодею и не нужно искать адрес. Ведь его цель - просто разрушение. Атака ведется на адреса, угаданные случайно. От такого подхода не скрыться. Но если все-таки ваш адрес был вычислен целенаправленно, то как это было сделано? Очень легко это осуществить через ICQ. ICQ может показать ваш IP-адрес. ICQ может показать ваш IP адрес. Обязательно установите флажок, запрещающий показывать IP адрес. Правда, в этом случае остается возможность подсмотреть адрес посредством стандартной утилиты netstat. Это возможно в случае, если соединение осуществляется напрямую - побороть это можно посредством настройки работы ICQ через анонимный прокси-сервер.

DIGITA.ru: Hi-End аудио и видео техника. Домашние кинотеатры. VIP-обслуживание.

Кроме ICQ ваш IP адрес может быть получен через IRC. Если вы пользуетесь IRC, то вся информация об адресе становится доступной посредством стандартной команды whois.

Если ваш недруг находится в одной локальной сети с вами, то он может узнать ваш IP адрес по сетевому имени Вашей машины, посредством стандартных утилит типа ping, tracert и др. Сделать здесь нельзя ничего, радует лишь то, что злоумышленик находится в пределах прямой досягаемости и можно воздействовать на него административными или физическими методами.

 Если вам жизненно необходимо показывать свой IP- адрес, как все же защитить себя от кибервандалов? Самый главный совет - это своевременно устанавливать все исправления к вашей операционной системе. Что касается Windows, - Microsoft регулярно находит и исправляет ошибки. Исправления (патчи) становятся доступны практически сразу. Для Windows NT основные исправления называются сервис-паками (service pack). Для Windows 95/98 выпускается просто масса отдельных заплаток. Настоятельно рекомендуется периодически заходить на сайт Microsoft и скачивать свежие патчи.

Другой совет - это установка файрволла. Такая программа сможет защитить от некоторых атак (не от всех, поскольку работа файрволла базируется на стандартном TCP/IP стеке). Еще раз порекомендую @Guard.

Будьте бдительны и постарайтесь сделать все, чтобы вас не укусил серенький волчок. Пусть даже за бочок.

  В качестве яркого и убидительного примера того, идентификация IP является делом техники,  хочу привести статью из более чем известного в специфических кругах  авторитетного журнала:

Как узнать IP ламера в чате Отвечаем на самый-самый Ча.Во.

Шутов (shutov@xakep.ru)

Xakep, номер #050, стр. 050-052-1

Тебе не кажется, что этот вопрос стал риторическим? Его всегда задавали и будут задавать. А сколько появляется все новых и новых решений... в ТОР FAQ нашего горячо любимого журнала это один из лидирующих вопросов. Задают же его чаще всего те, кто только встает на "хакерский", как говорится, путь, и пытается "взломать" различные чаты. Но знаний, как правило, не хватает. А тем, у кого хватает, это уже неинтересно: высокий уровень - высокие интересы, хотя это уже философия. Так что вернемся к нашей теме.

HTML обделка

Сейчас я хочу продемонстрировать один из способов решения вышеозначенной задачи. Итак, как обычно, понадобятся мозги, прямые руки, а также кое-какие знания HTML'а и Delphi. Сразу отмечу, что не придется лезть на сервак и изучать внутренности чата, а просто будет применена хитрость, немного социальной инженерии и, естественно, знания. Итак, начнем. Прежде всего необходимо завести себе сайт (страницу в интернете) на любом хостинге. Здесь самое важное - наличие "правильного" адреса. Под этим я подразумеваю лишь одно: он должен нести небольшую смысловую нагрузку, но не более того (что-нибудь вроде in-zone.net.ru). В принципе, придумать его не составит особого труда.

Теперь необходимо подготовить страницу для закачки на сервер. Главное, чтобы страница содержала фреймы, причем один из них должен быть скрытым! В принципе неважно, каким способом это осуществить, просто через фрейм, на мой взгляд, удобнее. Итак, надо сделать фреймы таким образом: простой фрейм должен грузиться со страницы, которая находится на том же сервере, а скрытый должен грузиться "с домашнего компа" :). Сейчас объясню в чем тут фишка: пользователь, загрузив такую пагу с сервера, на самом деле незаметно для себя запросит страницу к нашей IP-шке, то есть соединится с нами! А если он это сделает, то просто засветит свой IP. Вот в чем весь смысл этого способа определения IP чела из чата! Я тут накатал необходимую хтмлку (т.е. index.htm):

<html>

<head>

<title>Site_Name</title>

</head>

<frameset cols=100%,*">

<frame src="next_page.htm" noresize>

<frame src="http://your_ip/" noresize>

</frameset>

</html>

На месте your_ip необходимо ввести свой IP-адрес, чтобы браузер пользователя запросил страницу. Если же выход в интернет происходит через dialup, то в таком случае придется туговато: каждый раз придется менять IP-адрес в форме и опять заливать это на сервер. А все из-за того, что большинство провайдеров при каждом новом соединении выдают новый IP. Потом следует закачать next_page.htm, иначе у пользователя возникнут ненужные подозрения. В этот файл можно повесить все что угодно, допустим, надпись "сайт на реконструкции", или вообще сделать редирект на нормально работающий сервер.

Написание спецсофта

Теперь, как можно догадаться, нужен сам софт. Написан он на родных дельфях. Берется Delphi (не ниже 6.0). Суть данной программы будет сводиться к тому, чтобы отловить запрос на 80-ый порт, куда и будет коннектиться браузер жертвы. Создается новый проект: File->New->Application. Кидается на Form'у: ListBox, MainMenu, PopupMenu, StatusBar (с закладки Win32), IdHTTPServer (c закладки IndyServers). Сразу же оговорюсь, что не обязательно юзать IdHTTPServer, данный пример можно легко переделать под ServerSocket, просто показательнее и проще будет продемонстрировать программу именно с этим компонентом. Но вернемся к программе и поменяем имена компонентов следующим образом:

ListBox = lbAddConnect

MainMenu = MMenu

PopupMenu = ClickMenu

StatusBar = Status

IdHTTPServer = Server

Теперь небольшие изменения для создания удобного интерфейса:

1) В Align у lbAddConnect стоит установить alClient;

2) В MMenu создается менюшка, можно обозвать ее 'Мониторинг'. В нее надо добавить три ниспадающие Item с Caption'ами:

- 'Старт' (имя mStart);

- 'Стоп' (имя mStop и отрубить в Disabled);

- 'Выход' (mExit, также прописать код - строчку: Close;).

3) В ClickMenu создается две Item: одна с названием cmCopy и Caption'ом 'Копировать', а вторая с cmClearAll и 'Очистить все';

4) В lbAddConnect в настройке PopupMenu необходимо выбрать ClickMenu (таким образом произошла привязка ClickMenu к lbAddConnect);

5) У Status в Panels добавить новую (Add New);

6) В Uses добавить ClipBrd - это понадобится в дальнейшем для копирования в буфер обмена строк.

С формами все, можно приступать к написанию самого кода. Далее щелчок мыши по Старту в главном Меню (MMenu) и дальнейшее прописывание кода:

procedure TForm1.mStartClick(Sender: TObject);

begin

Server.Active:=True; //запускаем "сервер"

lbAddConnect.Items.Add('Сервер активирован:

'+FormatDateTime('hh.nn.ss',now));

Status.Panels[0].Text:='Монитор работает'; //вывод инфы пользователю, что сервер работает

mStart.Enabled:=False;

mStop.Enabled:=True;

end;

Теперь в MMenu надо выбирать 'Стоп' и прописать:

procedure TForm1.mStopClick(Sender: TObject);

begin

Server.Active:=False; //вырубаем "сервер"

lbAddConnect.Items.Add('Сервер остановлен:

'+FormatDateTime('hh.nn.ss',now));

Status.Panels[0].Text:='Монитор не работает';

mStart.Enabled:=True;

mStop.Enabled:=False;

end;

А сейчас самое интересное. В Events server'a выбирается событие OnConnect и пишется к нему такой код:

procedure TForm1.ServerConnect(AThread: TIdPeerThread);

begin

lbAddConnect.Items.Add('Внимание, обнаружен коннект:');

lbAddConnect.Items.Add(AThread.Connection.Binding.PeerIP); // определение IP подсоединившегося

end;

Теперь написание обработчика события для Items в ClickMenu:

1) Для cmCopy ('Копировать'):

procedure TForm1.cmCopyClick(Sender: TObject);

var Bo: TClipboard;

begin

{Копируем в буфер обмена}

Bo:=TClipboard.Create; //создается объект клипборда

Bo.SetTextBuf(pchar(lbAddConnect.Items.Strings[lbAddConnect.ItemIndex])); //копируется

Bo.Free; //уничтожается созданный ранее объект

end;

2) Для cmClearAll ('Очистить все'):

procedure TForm1.cmClearAllClick(Sender: TObject);

begin

lbAddConnect.Items.Clear;

end;

Вот и все с написанием. Осталось только это скомпилировать. Ну, а для особых лентяев могу предложить зайти на www.xakep.ru и взять готовый вариант там.

Приглашение на сеанс

Теперь осталась последняя задача - заставить пользователя зайти на такую страничку. Что, в принципе, не очень трудно, но встречаются личности, которых очень проблематично пробить на клик по ссылке. Например, если чат, в котором находится человек, не поддерживает открытие ссылок, то такому пользователю просто будет влом копировать линк и заходить на него. Правда, для таких есть набор готовых мессаг, дабы привлечь их на твой сайт. И запомни вот что: разговаривать с жертвой необходимо только в привате! Так как, если говорить в общем чате, то любой желающий может загрузить страницу-ловушку, и в итоге будут получены левые IP-шки.

1. Прямая просьба:

Осуществляется без предварительного разговора, то есть это простая прямая фраза, обращенная к кому-либо в привате. Например:

- Cмотри, http://your_site

- Это вот не про тебя написано? http://your_site его_ник - это же твой настоящий ник?

- Тут на http://your_site как раз на эту же тему, что ты с _чей-то_ник_ говоришь.

2. Разговор:

Здесь необходимо сначала познакомиться с жертвой, а затем дать ссылку на сайт для посещения. В большинстве случаев такое знакомство необходимо делать из-под "левого" ника. (см. пример ниже).

3. Разговор из-под противоположного по полу ника:

Сначала необходимо определить пол человека, который скрывается за ником. Конечно, иногда это достаточно сложно. Вообще, в идеале можно брать нейтральный ник, а затем уже действовать по обстоятельствам. Итак, мужчину можно заинтересовать тем, что ты необычная девушка, ищущая знакомства в инете (хотя в реале такое вряд ли может быть :)). И пошли куда подальше всех, кто против таких способов добычи инфы (IP), так как есть определенная цель! Адрес сайта можно дать как месторасположение своих откровенных фотографий ;).

- женщину же намного легче пробить на посещения паги. Конкретных примеров я привести не могу, так как во всех моих экспериментах девушки практически сразу посещали урл моего сайта ;).

А вот пример привлечения одного собеседника. Коннекчусь по диалапу. Прежде всего смотрю свой IP в настройках сети. Сразу же забиваю его в HTML. Пускаю свеженаписанную прогу, жму Мониторинг->Старт. Набиваю в ослике IE адрес бесплатного хостера, я выбрал narod.ru. Регю у него сайт koplot.narod.ru. Затем по FTP закачиваю index.htm и next_page.htm. Захожу в чат на http://www.xakep.ru, там всегда кто-нибудь зависает "не из мира сего" ;). Ввожу ник Kipling и начинаю разговор:

17:49 Kipling: Привет всем

17:50 Red: Есть креды, давай меняться?

< Опа, есть разговор, причем жертва сама лезет ;) >

17:51 Kipling лично Red: Давай, вот тут на моем сайте расценки koplot.narod.ru

17:53 Red лично вам: Давай. Базу на базу. Я на сайт пока не заходил, но сейчас буду.

< Терпеливо жду, когда он посмотрит сайт...

Есть коннект. Копирую IP-шку ;) >

17:53 Kipling лично Red: Ну что, голубчик, попался?

17:54 Red лично вам: Вообще сколько у тебя штук есть? (в смысле мастеркард и виза)

< Он все еще витает в своих облаках :) >

17:54 Kipling лично Red: 62.76.169.62 твое? ;)

< В это время сканю IP-шку LANguard NetWork Scanner'ом... >

Результат. Это Unix-система, открыто два порта: 22 и 3128. Ясно, парень сидит через прокси. Развести чела не удастся :(. Конечно, были и более удачные разговоры, не но всегда же везти будет. Поэтому пиши софт, компиль, и в чат - набираться опыта! :)

На этом я с тобой прощаюсь. Надеюсь, теперь у тебя не будет больших запарок при выяснении IP-адреса чела. Успехов :).

  http://www.emedia.ru/Автор: Максим Степин

На главную boyscout@hotmail.ru