24.09.2011
Вы думаете, что вашей системе ничто не угрожает? Ошибаетесь!
Хакеры способны взломать любой ПК, обходя установленные защитные программы. Лишь тот, кто осведомлен об их хитростях, сможет вовремя принять меры предосторожности.
Преодолевая самую надежную защиту, хакеры незаметно проникают в систему и берутся за дело. Они становятся все более дерзкими и находят новые способы заражать компьютеры своими вредоносными программами. Те, кто думает, что последние обновления, актуальные антивирусы и мощные брандмауэры гарантируют безопасность, к сожалению, заблуждаются. Изощренные методы интернет-мафии способны поставить в тупик даже опытных профессионалов по защите компьютеров. Однако риск можно по крайней мере уменьшить.
В этой статье:
- как хакерам удается перехитрить защитные программы;
- сетевой принтер как фактор риска;
- о чем говорят цифровые фотографии;
- секретные методы компьютерной полиции;
1. Дыры в защитных программах
На компьютере с операционной системой семейства Windows должны быть установлены брандмауэр, антивирус и программа, блокирующая спам. Однако далеко не каждый пользователь знает, что зачастую именно эти программы становятся мишенью интернет-мафии. Как и остальной софт, брандмауэры и антивирусы часто содержат программные ошибки, которые можно использовать, например, при выходе в Интернет за обновлениями. Весьма поучительная история произошла с брандмауэром Black ice. В этом межсетевом экране хакеры нашли лазейку и менее чем за час внедрили червя Witty в эти брандмауэры по всему миру. Результаты были плачевными: на зараженных компьютерах исчезли все данные.
Сталкиваться с подобными проблемами приходится даже таким прогрессивным компаниям как Symantec. Один хакер показал нам, как он использует ошибку в программе Symantec Antivirus Corporate Edition. Быстро и без особых усилий он проник в компьютер, который, казалось бы, был надежно защищен.
Как с этим бороться. Вопрос прежде всего касается защитных программ. Их разработчики должны быстро реагировать на подобные угрозы и регулярно «латать дыры». Пользователям ни в коем случае не следует отключать функцию онлайнового обновления своих защитных программ. Между прочим, Symantec уже устранила вышеупомянутую ошибку. И все же следует понимать: стопроцентно гарантированной защиты не существует.
2. Опасность в сетевых принтерах
Хакеры постоянно ищут лазейки для проникновения в локальные компьютерные сети. Поэтому опытные администраторы заботятся о том, чтобы защитить не только серверы и брандмауэры, но и пользовательские ПК. Но одно слабое место часто остается незамеченным. Это всего-навсего обыкновенный принтер. Все дело в том, что доступные в сети принтеры являются своего рода серверами. Злоумышленник может проникнуть в настройки принтера и даже получить полный контроль над его операционной системой. Для этого используется специальный софт. Одну такую программу пять лет назад опубликовал в сети член хакерской группы Phenoelit. С ее помощью можно было манипулировать принтерами HP. Трудно представить, сколько человек получили к ней доступ.
В этом году еще один хакер показал нам модифицированный принт-сервер, на котором работали хакерские программы. Принтер, подконтрольный хакеру, поставляет своему «хозяину» такую конфиденциальную информацию, как номера банковских счетов, содержание расчетных листов и даже пароли. Это происходит каждый раз, когда ничего не подозревающий пользователь распечатывает соответствующую информацию.
Как с этим бороться. Методы защиты достаточно просты. Обычно хватает надежных паролей и строгих прав доступа к принтеру. Иногда не мешает внимательнее присмотреться к другим устройствам, подключенным к локальной сети. Мишенью хакеров также могут стать веб-камеры или беспроводные маршрутизаторы.
3. USB флеш-накопители для контроля над компьютером
Эксперты по безопасности знают: если хакер хоть раз подошел к компьютеру, никакая защита уже не поможет. Именно поэтому терминалы с общим доступом, например в библиотеках или супермаркетах, заперты. Пользователю доступны лишь клавиатура, мышь и монитор. При этом на первый взгляд воспользоваться можно только браузером или локальным поисковиком. Но хакерам достаточно и этого. В каждой программе есть нигде не учтенные и не документированные комбинации клавиш. Одна из них позволяет открыть в Windows окно «Выполнить», другая запускает командную строку, в результате чего злоумышленник может подчинить себе операционную систему терминала.
Еще более серьезной опасностью является переполнение буфера в драйверах устройств Plug&Play.
На хакерской конференции DefCon, проходившей в Лас-Вегасе, был продемонстрирован пример атаки на ноутбук. Демонстрация продолжалась всего несколько секунд. Хакер вставил в компьютер самодельное USB-устройство. В то же мгновение замигал светодиод, система вылетела в синий «экран смерти» и более не загружалась. Точно так же в операционную систему может быть загружен «троян», который будет незаметно для пользователя передавать информацию своему создателю...
Как с этим бороться. Эффективной защитой является отключение тех портов USB, которые не используются в данный момент. Это, конечно, не помешает хакеру на короткое время незаметно отсоединить USB-клавиатуру. Но в таком случае можно воспользоваться программой Device Wall производства Centennial Software, которая контролирует порты USB.
4. Идеальное хакерское укрытие на жестком диске
Хакеры умеют использовать slack-space — пустоты в кластерах файловой системы. Это место на жестком диске, которое обычно не используется. Если файл занимает не весь кластер, а лишь его часть, оставшееся пространство остается свободным. С помощью специальных программ хакеры могут записывать в него свои данные, а затем, при необходимости, извлекать их оттуда. Правда, в slackspace нельзя внести исполняемые файлы или программы, зато эти места являются идеальным укрытием для протоколов и логов, которые ведут всевозможные «трояны», например кейлоггеры. Для хакера slackspace является особенно надежным местом хранения инструментов — но только в том случае, если его данные зашифрованы.
Мы провели небольшой тест, используя программу Slacker (www.metasploit.com) и редактор жесткого диска. Сначала мы спрятали в slackspace незашифрованный текстовый файл, потом взялись за редактор жесткого диска, который распознал крупные фрагменты скрытых данных. Изменив параметры, мы извлекли из slackspace неповрежденный файл. Теоретически пользователи могли бы сами использовать slackspace, чтобы прятать от хакеров наиболее важную информацию. Однако этот способ весьма ненадежен: хранимые в slackspace данные легко потерять — например, при удалении того файла, из-за которого появилась дыра в файловой системе. Если операционная система запишет на том же месте файл большего размера, то файл, который находится в slackspace, тоже будет поврежден.
Как с этим бороться. Если данные зашифрованы, обнаружить их в slackspace почти невозможно. Но там они постоянно подвергаются опасности быть переписанными или поврежденными. Если пользователь закроет хакерам доступ к своему компьютеру, информация в slackspace превратится в безвредный цифровой мусор.
5. Как цифровые фотографии выдают своего автора
По пуле, выпущенной из пистолета, находят преступника. Цифровая фотография тоже может выдать того, кто ее сделал. На пуле остаются следы ствола, а на снимке — информация о камере. В этом «виноваты» сенсоры: поскольку не все пиксели одинаковы, а некоторые даже имеют мелкие дефекты, каждая камера имеет уникальные «отпечатки пальцев». Джессика Фридрих, профессор Университета штата Нью-Йорк, разработала программу, распознающую такие следы. Сначала Фридрих работала над признаками фальсификации цифровых фотографий. Теперь ее технология угрожает разоблачением работникам фирм, которые выдают в своих блогах закрытую информацию.
Как с этим бороться. Достаточно обработать фотографии размывающим фильтром. «Отпечатки пальцев» фотокамеры при этом теряются. То же самое происходит при сильном уменьшении снимков для онлайновых фотогалерей. Однако некоторые исследователи уже выясняют, как, несмотря на все изменения, получить из фотографий исходную информацию.
6. Прокси-серверы манипулируют веб-сайтами
Те, кто хочет спрятаться от спамеров и прочих интернет-мошенников, охотно пользуются прокси-серверами. Есть специальные программы, например Steganos Internet Anonym 2006, которые находят общедоступные прокси. Многие полагают, что это обеспечивает безопасность и анонимность. Но вот о чем знают не все: хитроумные хакеры тоже создают общедоступные прокси-серверы и заманивают ничего не подозревающих пользователей в свои ловушки. Хакеру легко узнать, какие страницы посещает его жертва. Но это еще не все. Хакерский прокси-сервер может манипулировать любыми сайтами, превращая их в фактор риска. Если «прокси-хакер» зарабатывает деньги только на рекламе, считайте, что вы легко отделались. В этом случае он просто подменяет оригинальные рекламные баннеры поддельными. Но чаще всего через такие серверы распространяются вредоносные скрипты и модули ActiveX. На «обработанных» веб-страницах появляются кейлоггеры, которые передают хакеру все вводимые с клавиатуры данные. Вместе с главной страницей такого ресурса на ПК может загрузиться «троян» — инструмент для DoS-атаки.
Чтобы понять, как это работает, мы установили «гибкий» прокси-сервер Privoxy применяемый для защиты от рекламы. Первая же стандартная настройка Adventuresome изменила на веб-сайте Microsoft название компании на MicroSuck. Но это еще не все. С помощью «лишней» программной строки в веб-страницы добавляется скрипт Java, который выдает файлы cookie. Будь на нашем месте хакер, он бы, пожалуй, просто переадресовал их к себе.
Как с этим бороться. Лучше вообще не пользоваться чужими прокси-серверами. Steganos Internet Anonym VPN, например, предлагает собственный сервер. Эффективной и бесплатной альтернативой являются анонимайзеры вроде TOR и JAP.
(вставка) Секретные методы управления «Р»
Хакеры постоянно совершенствуют свои методы, но и охотники за хакерами тоже не отстают. Новая дисциплина, изучающая методы преследования цифровых взломщиков, называется «компьютерное следствие».
Радиотюрьма для мобильных телефонов. При обысках в домах людей, подозреваемых в преступлении, серьезной проблемой становится нежелательная радиосвязь, а также автоматические процессы, которые могут уничтожить следы хакеров. Мобильные телефоны, изъятые при обыске, нельзя выключать, чтобы не потерять данные из памяти. Чтобы злоумышленник не послал «SMS-киллера» и не уничтожил важные доказательства, изъятый мобильный телефон упаковывают в специальный пакет, который блокирует радиосигналы в обоих направлениях.
Данные в перечнице. Еще одна проблема компьютерной полиции может показаться странной, но именно она вызывает все больше осложнений. Миниатюризация цифровых устройств позволяет злоумышленникам все более надежно прятать свои данные. Объем карт microSD, размер которых чуть больше копеечной монеты, сегодня достигает 1 Гбайт. Стоит ли удивляться, что важные доказательства могут оказаться даже в маленькой перечнице?
Информация, скрытая в изображениях. Для того чтобы изобличить преступника, не всегда требуются «отпечатки пальцев» цифровых фотографий. Бывает достаточно той информации, которую дают метаданные EXIF (Exchangeable image File format). Наряду с типом камеры, в них содержится точное время сохранения снимка, которое иногда может подтвердить или опровергнуть те или иные показания. В недалеком будущем для тех же целей можно будет использовать данные GPS-навигаторов. Компания Sony уже продает GPS-надстройку для цифровых камер серии Cybershot.
Вторая жизнь удаленных данных. Классическим методом компьютерного следствия было и остается восстановление данных. В фантастических фильмах героические полицейские разлагают на части и бит за битом восстанавливают даже сожженные жесткие диски. В реальности эту работу выполняют специальные программы, например PhotoRescue от компании Datarescue. He все знают о том, что такие программы восстанавливают данные не только с жестких дисков, но и с карт памяти SD, ММС и USB флеш-накопителей.
7. Новое шифрование WLAN взламывается за секунды
Старое шифрование WLAN, которое называется WEP, взломает даже новичок, имеющий подходящее ПО. Поэтому новые устройства оснащаются более надежными версиями — WPA и WPA2. Однако хакеры уже научились справляться с ними. Как ни странно, виноваты в этом сами пользователи.
WPA позволяет задавать в качестве ключей слова. Часто пользователи выбирают очень простые слова, названия предметов, собственные имена и имена своих подруг. Путем атаки Brute Force хакеры подбирают такие пароли почти так же быстро, как и ключи WEP, — за 10–20 минут. Хакерская группа Church of WiFi собрала даже специальный компьютер стоимостью в несколько тысяч долларов, который днем и ночью взламывает такие ключи. Главная хитрость состоит в том, что ключи не приходится вычислять каждый раз заново. Они сохраняются в огромной базе данных. Результатами работы этого суперкомпьютера может воспользоваться любой хакер, не тратя денег на дорогое «железо».
Как с этим бороться. Используйте только сложные ключи WPA. Ни в коем случае не берите слова, которые можно найти в словаре. Лучше всего — бессмысленные сочетания букв, цифр и специальных символов длиной не менее восьми знаков.
8. Вредоносные MMS заражают смартфоны
Среди современных мобильных телефонов «умные» смартфоны выделяются разнообразием функций. Именно эти мини-компьютеры становятся излюбленной мишенью хакеров.
В мобильных операционных системах Symbian OS и Windows Mobile могут работать не только полезные программы, но и «трояны» — так же, как и на обычных ПК. Подвергнуться атаке могут даже те пользователи, которые ничего не скачивают из Интернета и очень редко включают Bluetooth. Достаточно одного зараженного MMS-сообщения. Стоит его открыть, как «троян» тут же установится на смартфон. Кстати, существуют хакерские демоверсии, которые не содержат вредоносных программных кодов.
Техническую возможность реализации этого метода продемонстрировал на конференции DefCon его первооткрыватель Коллин Муллинер, приславший сообщение на карманный ПК под управлением Windows Mobile 5.0, содержащее текст «You are owned», после чего на устройстве был произвольно выполнен вредоносный код.
Сегодня таким способом взламывается только Windows Mobile. Но скоро придет очередь и других ОС.
Как с этим бороться. К сожалению, возможностей здесь немного. В любом случае рекомендуется устанавливать на мобильные телефоны только самые последние версии программного обеспечения. Для многих моделей смартфонов недавно были выпущены обновления, закрывающие дыры в протоколе Bluetooth. Эти обновления, а также инструкции по их использованию, опубликованы на веб-сайтах производителей. Кроме того, уже есть антивирусы и брандмауэры для Windows Mobile.
9. Анонимность пользователей Интернета под вопросом
Анонимности пользователей Интернета угрожает новая технология Traffic Analysis.
До недавнего времени службы анонимизации TOR и JAP считались совершенно безопасными. Эти популярные сети шифруют и разбивают на части пакеты данных, так что проследить их путь обычными средствами практически невозможно. Но дискуссия, состоявшаяся на конференции DefCon с участием PGP-хакера Джона Каллоса, вызвала серьезные опасения. Алгоритмы, исследумые в Университете Техаса, определяют происхождение данных по такой скудной информации, как время, интервал и объем передачи. Серьезность подобных намерений демонстрирует известный пример: сетевой протокол SSH использует очень эффективное шифрование, но хакерам все равно удается узнать, что именно пользователь ввел в командной строке. Зная, например, что временной интервал между вводом букв а и f больше, чем между а и s, можно угадать слово. Похожим способом можно идентифицировать и любителей анонимности в Интернете.
Как с этим бороться. Эти технологии пока не так совершенны, чтобы серьезно беспокоиться. Кроме того, по словам одного из разработчиков системы TOR, хакеры опасаются, что вместе с новыми стратегиями атак улучшатся и алгоритмы защиты.
10. Серверы доменных имен парализуют Интернет
Некоторые дыры в безопасности не закроются никогда, и из-за них будет парализовано еще немало компьютеров. Наглядный пример: один из старейших видов атаки на серверы эволюционировал благодаря интернет-службе серверов доменных имен DNS (Domain Name Service). Прежде DoS-атака проходила так: хакер загружал «троян» на прокси-сервер или главную страницу какого-либо сайта и ждал, когда заразится достаточное количество компьютеров. Набрав тысячную «армию», хакер давал команду, и все зараженные компьютеры одновременно начинали посылать запросы на сервер-жертву. Сервер, пытаясь их обработать, выходил из строя.
Сравнительно недавно появился более эффективный метод. Армия ботов может быть гораздо меньше и посылать запросы не напрямую, а на DNS-серверы, которые, в свою очередь, отвечают не отправителю, а серверу-жертве большими пакетами данных.
Все дело в том, что, в отличие от HTTP с протоколом TCP, требующим подтверждения для каждого пакета, DNS работает по протоколу UDP, который не проверяет адрес отправителя. Это означает, что хакер может воспользоваться любым поддельным адресом и направить ответ сервера на атакуемый компьютер. При ответе DNS-сервера размер пакетов намного больше, чем при запросе. DNS-пакеты наряду с информацией об IP-адресах и именах доменов имеют поле для комментариев, где содержатся такие данные, как местонахождение компьютера (если администратор вносит таковые). Поэтому DNS-серверы могут отвечать пакетами, объем которых в сотни раз превосходит первоначальный запрос.
Если DoS-атаку осуществляемую напрямую, можно остановить, блокируя IP-адреса, то отклонить запросы DNS-серверов гораздо труднее.
Как с этим бороться. У самой жертвы шансов почти нет. Сделать что-либо могут только владельцы DNS-серверов. Однако маловероятно, что все серверы Интернета когда-нибудь будут защищены от такого вида атак.
|