13 лет назад 1 июля 2005 в 19:26 93

Несколько лет назад один мальчик, назовем его Вася Чайников, искренне обрадовался, когда папа подарил ему на день рождения широкополосный доступ в интернет через локальную сеть, и немедленно решил стать хакером. Раздобыл где-то сканер портов, забил туда диапазон IP-адресов в добрых пол-интернета и пошел спать, дабы утром на славу покопаться на жестких дисках своих потенциальных жертв.

Продрав рано утром глаза, Вася Чайников очень удивился – интернет у него перестал работать. Об этом он сказал своему папе, а тот, соответственно, стал звонить в техническую поддержку того провайдера, к которому он подключил компьютер накануне. Выяснилось, что отключили компьютер Васи Чайникова от глобальной сети за превышение лимита трафика.

Но самое страшное во всей этой истории заключается в том, что превышение трафика составило несколько гигабайт! Как такое могло произойти, спросите вы? Очень просто: компьютер у Васи Чайникова был производительным, и сканер портов работал на нем довольно быстро, потребляя при этом какое-то немыслимое количество входящего и исходящего трафика.

И все бы ничего, но у провайдера Васи Чайникова биллинговая система была настроена таким образом, что проверяла состояние баланса абонента не в реальном времени, а два раза в сутки.
В результате семье Чайниковых выставили счет на сумму тысячи в полторы американских долларов.
Что же в итоге? Вася получил от папы внушение и был пожизненно сослан на диалап, а провайдер перестроил свою биллинговую систему для расчетов интернет-активности абонентов в реальном времени.

О том, как сегодня обстоят дела с такими хакерами в локальных сетях, мы попросили рассказать Евгения Калуцкого, главного инженера ООО “Инфотелеком СП” (г. Сергиев Посад, Московская область). Наш собеседник по долгу службы каждый день стоит на страже своей локальной сети, поэтому может рассказать много интересного по этому вопросу.

В любой более-менее крупной локальной сети есть пользователи, решившие, что они крутые хакеры. Как часто приходится сталкиваться с таким явлением?
Такие пользователи есть, и их число, к сожалению, растет. Сталкиваться с ними мне приходится достаточно часто, потому что эти люди не желают жить по законам сети, к которой они подключены: они не хотят платить за трафик, который качают из интерента, и мешают работать добросовестным пользователям.

Подобные атаки стоит разделить на две группы. Первая – атаки, направленные непосредственно на клиентов локальной сети. Вторая – атаки, целью которых является оборудование провайдера (маршрутизаторы, коммутаторы и т. д.).

Атаки первой группы – самые распространенные. Но зато атаки второй группы несут большую опасность для нормального функционирования всей сети. К счастью, происходят они довольно редко, потому что если из строя выходит какое-либо оборудование провайдера, то это автоматически приковывает внимание администратора. Следовательно, все силы направляются на решение проблемы и выявление причин, вследствие которых возникла внештатная ситуация – ведь все действия на оборудовании логируются. Хакеры это понимают и вряд ли будут лишний раз рисковать.

Воровство трафика для вас больная тема?
Да, это как раз атаки первой группы. Но, что самое интересное, они очень легко обнаруживаются. Для этого нужно всего лишь одно: пользователь должен следить за своим балансом! И если вдруг он замечает что-то необычное, то об этом следует тут же сообщить провайдеру. Последний сразу отреагирует и начнет наблюдать за пользователем и его аккаунтом. Администратору локальной сети легко подтвердить факт завладения чужими логином и паролем, а также сам факт подключения к интернету.

К сожалению, очень часто пользователи не следят за своими счетами, и поэтому хакер вскоре обнаруживает, что остается незамеченным. Это приводит к тому, что его аппетиты растут и он начинает наглеть, выкачивая из жертвы приличное количество трафика. Но как раз жадность и губит хакера, так как его активность в конце концов становится видимой для администрации локальной сети.

Большинство провайдеров, предоставляющих доступ в интернет через локальные сети, используют для подключения пользователей к интернету VPN. Случаи взлома этого протокола вроде бы не зафиксированы. Это правда?
Дело в том, что данные по протоколу VPN могут передаваться как в зашифрованном, так и в незашифрованном виде. Шифрование VPN, конечно же, более безопасно, но передача данных по такому туннелю идет довольно медленно.

Что касается передачи незашифрованного трафика через VPN, то его достаточно просто отснифферить. Вот и приходится выбирать между быстрым незашифрованным VPN-туннелем и относительно безопасным VPN-туннелем с медленным шифрованием трафика. В современных сетях стоят коммутаторы, которые уже сами по себе являются защитой от сниффинга. Но “подслушать” чужой трафик на коммутаторах вполне возможно.

Давайте все же сосредоточимся на атаках первой группы. Ведь оборудование провайдера, при всем к нему уважении, беспокоит наших читателей куда меньше, чем их собственные ПК.
Это самые распространенные и практически не контролируемые атаки. Широко распространены они в том числе и потому, что сейчас очень много специализированных печатных изданий, в которых не только освещаются “дыры” и уязвимые места операционных систем, но даже прилагаются эксплоиты для использования этих уязвимостей. Вот некоторые пользователи начитаются таких журналов, возомнят себя суперхакерами и атакуют незащищенные машины добропорядочных граждан. Последние, конечно же, отчасти сами в этом виноваты, но предохранять их от подобных неприятностей – долг администрации сети.

Если говорить конкретнее, то, например, очень часто подсовывают троянов, кейлоггеры, просто удаляют файлы, запускают приложения, которые мешают работе – одним словом, всячески измываются над беззащитными жертвами.

В том случае, если пользователь это замечает и быстро реагирует, то вычислить умника легко. Мы просто устанавливаем наблюдение за подозреваемым и логируем все его действия в сети.
Но есть пользователи, которые просто не реагируют на это. Был случай, когда хакеры получили удаленный доступ к компьютеру жертвы и всячески мешали несчастному пользователю работать за ПК (двигали мышку, запускали приложения и т. д.). В результате этот бедолага открыл “Блокнот” и написал в нем: “Перестаньте, пожалуйста, я хочу поиграть в игру”. Потом он закрыл “Блокнот” и загрузил игру.

А какое конкретно уязвимое место использовали хакеры в вышеупомянутом случае? Вполне возможно, что эти сведения помогут кому-то из наших читателей избежать ненужных проблем.
Всему виной была включенная служба удаленного управления реестром, которая, кстати говоря, включена по умолчанию на многих машинах под управлением Windows. Чтобы ее отключить, правой клавишей мыши нажимаем на значке “Мой компьютер”, открываем вкладку “Управление”, внизу будет оснастка “Службы и приложения”. В разделе “Службы” выбираем сервис “Удаленный реестр” и отключаем его, дабы он не загружался при старте системы и был остановлен в данный момент. Вот и все.

А если установлен брандмауэр, пользователю что-нибудь угрожает?
Если речь идет именно о службе “Удаленный реестр”, то она позволяет менять записи в реестре Windows с удаленного компьютера. Какие порты использует эта служба, я не помню, но если порт этого сервиса закрыт файерволлом, то ничего страшного. Но лучше все равно отключить эту службу по той простой причине, что не каждый файерволл по умолчанию блокирует ее порты.

А какие еще сервисы вы бы посоветовали отключить нашим читателям?
Ну, например, “Сервер”. Эта служба отвечает за удаленный доступ к файлам и принтерам. В локальной сети хакеры могут с помощью этого сервиса что-нибудь распечатать на чужом принтере без разрешения. “Службу сообщений” желательно также отключить, дабы над вами не шутили. “Удаленное управление Рабочим столом” тоже, как правило, простаивает без дела. В общем, лучше отключить все, что не нужно для нормальной работы с компьютером. В вышеупомянутом разделе консоли управления “Службы” имеются комментарии к сервисам, также их описания можно без труда найти в интернете. Также есть специальные утилиты от Microsoft, которые проверяют систему на предмет наличия “дыр” и генерируют подробные отчеты.

В общем, рекомендации таковы:
1 Отключить все ненужные сервисы (еще раз обратим на это внимание).
2 Поставить патчи, закрывающие все известные “дыры” Windows (в идеале).
3 Ну и, само собой, установить файерволл. Правда, его еще нужно правильно настроить (по этому вопросу в Сети есть масса информации). В печатных изданиях тоже. Так что пользователю, не имеющему опыта самостоятельной настройки и конфигурирования файерволла, я могу посоветовать только одно – учить матчасть.

Итак, мы разобрали атаки на компьютеры пользователей LAN, основанные на их уязвимостях и применение к ним эксплоитов. Давайте теперь поговорим о троянах.
О, это серьезная проблема для пользователей. Я бы даже сказал – настоящее бедствие. Сейчас созданы такие трояны, которые позволяют злоумышленникам даже файерволлы отключать на компьютерах своих жертв. Есть и такие, которые обеспечивают доступ ко всем ресурсам системы. То есть позволяют полностью контролировать компьютер со всеми вытекающими последствиями.
Более того, среди троянов попадаются своего рода технологические шедевры. Я вот тут недавно столкнулся с трояном-прокси. Работал он следующим образом: хакеры подкидывали его жертве, в результате троян настраивал на его компьютере прокси-сервер, и его хозяева могли пользоваться интернетом за счет жертвы в то время, пока несчастный тоже работал в Сети и ничего не подозревал.


Какие меры вы посоветуете принять пользователю для того, чтобы не стать жертвой трояна?

Троян – это программа. Чтобы она не заработала у тебя, достаточно ее просто не запускать. Но как определить, что именно скрыто за милым названием файла prikol.exe? Антивирусные пакеты вам в помощь, уважаемые пользователи. Более того, антивирус просто не даст выполнить вредоносный код трояна еще на этапе заражения. Но это при условии, что включен постоянный мониторинг системы.
Ну а если пользователю уже закинули троян, то на помощь опять-таки придет антивирусный пакет или утилиты из разряда Trojan Remover.

Что касается файерволлов, то они также являются хорошим препятствием для работы таких программ, но при условии, что в брандмауэре есть контроль сетевой активности всех приложений.
Ведь по своей сути троян – это приложение типа клиент-сервер. При его работе на компьютере жертвы открыты порты для прослушивания, клиент коннектится с ним и получает управление. Если файерволл правильно настроен, он заблокирует порты и выдаст сообщение о попытке соединения такого-то приложения с таким-то удаленным компьютером.

Однако неграмотная настройка брандмауэра может повлечь за собой и большие проблемы. В основном пользователи блокируют самим себе доступ к разным сервисам и данным как на своей машине, так и на удаленных компьютерах. Это как раз тот случай, когда “ничего не работает”. Что касается контроля приложений, то можно создать ряд правил и чувствовать, что ты в безопасности, но на самом деле это окажется иллюзией. Например, на компьютере пользователя может стоять прокси-сервер, обеспечивающий выход в интернет другим компьютерам дома или в офисе. С помощью брандмауэра создается ряд правил, направленных на предотвращение доступа к прокси-серверу извне. Но в настройки этих правил может попасть ошибка, в результате которой нежелательные личности смогут воспользоваться услугами прокси и получить трафик на халяву.

А эффективны ли кейлоггеры? Есть ли что у нас кейлоггить? Пароль на VPN, к примеру, сохранен в настройках подключения и никогда не вводится…

Согласен, в этом случае его проще украсть, чем подкейлоггить. Ведь этот пароль в файле закодирован. Так что файл утащат – и все. А кейлоггеры являются незаменимыми помощниками хакеров в тех случаях, если ты, например, администратор какого-нибудь форума в интернете (для того чтобы получить пароль от форума и от твоего имени сотворить там какое-нибудь беззаконие).

Это я к тому, что у хакеров куча методов, которые они применяют в зависимости от выбранной жертвы. К сожалению, нередки случаи, когда хакеры звонят от имени провайдера или пишут письма пользователям с просьбой назвать пароль, так как якобы провайдер его потерял. Это уже из разряда своеобразной “социальной инженерии”. Никогда не попадайтесь на подобные уловки, мы даже на сайте своей сети повесили уведомление о том, что наша компания никогда не просит высылать пароли.

Вот вам напоследок еще один способ подбрасывания троянов. В любой крупной локальной сети есть пользователи, хранящие на своих компьютерах тонны разнообразного софта, обновлений программ, баз данных и прочего. Соответственно, они пользуются определенным доверием со стороны остальных. В результате им ничто не мешает положить в дистрибутив какой-нибудь программы троян, так что стоит быть осторожными и не терять бдительности: весь полученный такими путями софт в обязательном порядке надо проверять антивирусом.