Текст: Тимофей Осин. Фото: CI.
Недавно я столкнулся с неприятностью. Кто-то украл мой номер ICQ (UIN), для этого украв сначала доступ к моему почтовому ящику на сервере mail.ru. О том, как нужно упрашивать и уговаривать службу техподдержки помочь вернуть ящик, – это другая история. А сейчас о том, как ещё можно увести виртуальное имущество, виртуальную "личность" человека в сети.
На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть в мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, "вынюхав" её уже из сети.
Сразу скажу, что такая напасть, главным образом, грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).
Да, охотой на информацию занимаются и в большой сети (в интернете, например, целью становятся крупные компании, банки и т. п.), но это дело – сложное и кропотливое, тем более что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически "точечно", в закодированном виде (VPN).
Другое дело – локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-сниффер, которая, грубо говоря, умеет получать сетевой TCP/IP-трафик, не предназначенный для этого компьютера.
Раньше считалось, что "вынюхивать" информацию можно только в сетях, построенных на хабах.
Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую сами знаете что есть свой болт с хитрой нарезкой, и вот они – программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.
Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.
Да-да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не "звездочки", а ваши пароли к SMTP/POP-серверам, бесплатным почтовым ящикам, конференциям, TELNET- и FTP-серверам, IRC и т. д., и т. п. Можно утянуть и коммерческую информацию – но, слава богу, номера кредиток передаются в защищенном режиме…
Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний "кул хацкер", оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий "в эфир" чтобы поймать определенную жертву.
Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим "стелс" – не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP-запросы. На наше счастье, "кул хацкеры" пользуются как раз программами, скачанными из интернета, ставят на свои домашние Windows машины – и вперед…
Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты "Линукса" мне не годятся.
Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP-запросов, на которые сетевые карты, не работающие в promiscuous-режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в "бесплатном" режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP – драйвер, умеющий захватывать "сырые" (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем – вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу: так и так, у вас что там, на 32-м и 62-м адресах, – рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... – Нет, отвечает админ, обычные пользователи, а что такое? – Да так, "нюхают" нас… Смотрите лог… – Ах, вот как? Будем разбираться…
Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, – спасение утопающих становится личным делом утопающих.
Вот некоторые мои рекомендации:
- В домашних сетях регулярно проверять (тем же PromiScan'ом) наличие компьютеров со "всеслышащими" сетевыми картами. Поставить одну "Линукс"-машину и смотреть, а не появилось ли в последнее время подозрительно много ARP-запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через
https://secure.mail.ru – и хотя бы ваш пароль будет передан на сервер в закодированном виде.
- Завести ключ PGP.
- Поискать: а может, существует уже программное обеспечение вашего TELNET- или FTP-сервера, оснащенное "Кербером" (Kerberos).
- Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN-канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось несанкционированное программное обеспечение).
На 100% все равно не спасет, но помочь может.
18 АВГУСТА 2004 15:08
http://www.gazeta.ru/techzone/2004/08/18_a_150680.shtml
Вход
Регистрация
FAQ
Поиск
проверено в IE и FireFox'е.