Как воруют пароли почты и ICQ
Недавно я столкнулся с неприятностью. Кто-то украл мой номер ICQ (UIN), для этого украв сначала доступ к моему почтовому ящику на сервере mail.ru. О том, как нужно упрашивать и уговаривать службу техподдержки помочь вернуть ящик, – это другая история. А сейчас о том, как ещё можно увести виртуальное имущество, виртуальную "личность" человека в сети.
На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть на мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, "вынюхав" её уже из сети. Сразу скажу, что такая напасть главным образом грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).
Да, охотой на информацию занимаются и в "большой" Сети (в Интернете, например, целью становятся крупные компании, банки и т.п.), но это дело – сложное и кропотливое, тем более, что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически "точечно", в закодированном виде (VPN).
Другое дело – локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-"сниффер", которая, грубо говоря, умеет получать сетевой TCP/IP трафик, не предназначенный для этого компьютера.
Раньше считалось, что "вынюхивать" информацию можно только в сетях, построенных на хабах.
Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую, сами знаете что, есть свой болт с хитрой нарезкой, и вот они – программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.
Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.
Да, да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не "звездочки", а ваши пароли к SMTP/POP серверам, бесплатным почтовым ящикам, конференциям, TELNET и FTP серверам, IRC и т.д. и т.п. Можно утянуть и коммерческую информацию – но, слава богу, номера кредиток передаются в защищенном режиме…
Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний "кул хацкер", оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий "в эфир" чтобы поймать определенную жертву.
Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим "стелс" – не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP запросы. На наше счастье, "кул хацкеры" пользуются как раз программами, скачанными из Интернета, ставят на свои домашние Windows машины, – и вперед…
Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты Линукса мне не годятся. Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP запросов, на которых сетевые карты, не работающие в promiscuous режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в "бесплатном" режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP – драйвер, умеющий захватывать "сырые" (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем – вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу – так и так, у вас что там на 32-м и 62-м адресах – рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... Нет, отвечает админ, обычные пользователи, а что такое? Да так, "нюхают" нас… Смотрите лог… Ах, вот как? Будем разбираться…
Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, – спасение утопающих становится личным делом утопающих.
Вот некоторые мои рекомендации:
- В домашних сетях регулярно проверять (тем же PromiScan-ом) наличие компьютеров со "всеслышащими" сетевыми картами. Поставить одну Линукс машину и смотреть, а не появилось ли в последнее время подозрительно много ARP запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru – и хотя бы ваш пароль будет передан на сервер в закодированном виде.
- Завести ключ PGP.
- Поискать, а, может, существует уже программное обеспечение вашего TELNET или FTP сервера, оснащенное Кербером (Kerberos).
- Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось насанкционированное программное обеспечение).
На 100% все равно не спасет, но помочь сможет.
На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть на мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, "вынюхав" её уже из сети. Сразу скажу, что такая напасть главным образом грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).
Да, охотой на информацию занимаются и в "большой" Сети (в Интернете, например, целью становятся крупные компании, банки и т.п.), но это дело – сложное и кропотливое, тем более, что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически "точечно", в закодированном виде (VPN).
Другое дело – локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-"сниффер", которая, грубо говоря, умеет получать сетевой TCP/IP трафик, не предназначенный для этого компьютера.
Раньше считалось, что "вынюхивать" информацию можно только в сетях, построенных на хабах.
Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую, сами знаете что, есть свой болт с хитрой нарезкой, и вот они – программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.
Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.
Да, да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не "звездочки", а ваши пароли к SMTP/POP серверам, бесплатным почтовым ящикам, конференциям, TELNET и FTP серверам, IRC и т.д. и т.п. Можно утянуть и коммерческую информацию – но, слава богу, номера кредиток передаются в защищенном режиме…
Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний "кул хацкер", оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий "в эфир" чтобы поймать определенную жертву.
Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим "стелс" – не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP запросы. На наше счастье, "кул хацкеры" пользуются как раз программами, скачанными из Интернета, ставят на свои домашние Windows машины, – и вперед…
Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты Линукса мне не годятся. Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP запросов, на которых сетевые карты, не работающие в promiscuous режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в "бесплатном" режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP – драйвер, умеющий захватывать "сырые" (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем – вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу – так и так, у вас что там на 32-м и 62-м адресах – рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... Нет, отвечает админ, обычные пользователи, а что такое? Да так, "нюхают" нас… Смотрите лог… Ах, вот как? Будем разбираться…
Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, – спасение утопающих становится личным делом утопающих.
Вот некоторые мои рекомендации:
- В домашних сетях регулярно проверять (тем же PromiScan-ом) наличие компьютеров со "всеслышащими" сетевыми картами. Поставить одну Линукс машину и смотреть, а не появилось ли в последнее время подозрительно много ARP запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru – и хотя бы ваш пароль будет передан на сервер в закодированном виде.
- Завести ключ PGP.
- Поискать, а, может, существует уже программное обеспечение вашего TELNET или FTP сервера, оснащенное Кербером (Kerberos).
- Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось насанкционированное программное обеспечение).
На 100% все равно не спасет, но помочь сможет.
Ещё новости по теме:
18:20