[image]

Как воруют пароли почты и ICQ

 

V.T.

опытный


Газета.Ru | Как воруют пароли почты и ICQ

О людях и технологиях. Как люди покупают компьютеры, средства связи, аудио, видео и т.п. Как эти технологии влияют на жизнь людей. Аналитика и обзоры рынка. Личный опыт пользователей и его обсуждение читаттелями. Ежедневные новости из мира IT

// www.gazeta.ru
 



Недавно я столкнулся с неприятностью. Кто-то украл мой номер ICQ (UIN), для этого украв сначала доступ к моему почтовому ящику на сервере mail.ru. О том, как нужно упрашивать и уговаривать службу техподдержки помочь вернуть ящик, – это другая история. А сейчас о том, как ещё можно увести виртуальное имущество, виртуальную "личность" человека в сети.



На моем компьютере поставлены все мыслимые и немыслимые заплатки, стоят, пашут и обновляются лицензионные антивирус с файрволлом. Влезть в мой компьютер (без моего ведома) невозможно. Как же в таком случае могут вас виртуально ограбить, спросит читатель? А вот так, перехватив информацию, "вынюхав" её уже из сети.



Сразу скажу, что такая напасть, главным образом, грозит пользователям локальных сетей, то есть офисных или сетей, объединяющих дома в районе (что сейчас становится всё более и более популярным).


Да, охотой на информацию занимаются и в большой сети (в интернете, например, целью становятся крупные компании, банки и т. п.), но это дело – сложное и кропотливое, тем более что крупные компании пользуются сетью только как медиумом, а их информация пересылается практически "точечно", в закодированном виде (VPN).

Другое дело – локальные сети с ограниченным числом пользователей. Злоумышленник устанавливает и запускает на своем компьютере программу-сниффер, которая, грубо говоря, умеет получать сетевой TCP/IP-трафик, не предназначенный для этого компьютера.



Раньше считалось, что "вынюхивать" информацию можно только в сетях, построенных на хабах.


Поэтому самым простым решением было бы заменить такие простые концентраторы на свитчи, которые делят сеть на сегменты и фильтруют трафик, не отправляя его в сегменты, для которых они не предназначены. Но на каждую сами знаете что есть свой болт с хитрой нарезкой, и вот они – программы, засыпающие свитчи ARP (Address Resolution Protocol) запросами, заставляющими коммутатор работать как простой хаб, грубо говоря, путаясь в своих таблицах маршрутизации. А если у злоумышленника голова на плечах, то он может вообще заставить свитч пересылать себе информацию напрямую.



Чем это опасно? В первую очередь, потерей паролей. Эти коротенькие словечки в большинстве случаев пересылаются открытым текстом.


Да-да. Перехватив и проанализировав ваш трафик, злоумышленник увидит не "звездочки", а ваши пароли к SMTP/POP-серверам, бесплатным почтовым ящикам, конференциям, TELNET- и FTP-серверам, IRC и т. д., и т. п. Можно утянуть и коммерческую информацию – но, слава богу, номера кредиток передаются в защищенном режиме…

Выявить сниффер очень сложно. Особенно если сниффером пользуется не 13-тилетний "кул хацкер", оставляющий свою машину следить за сетью все 24 часа, а некто, выходящий "в эфир" чтобы поймать определенную жертву.

Как защищают снифферы от обнаружения? Обрывают передающий провод кабеля, включают карту в режим "стелс" – не дают ей IP адрес, изменяют операционку (Open Source), пользуются операционками, не поддерживающими широковещательные пакеты, специально пишут программы, не реагирующие на ARP-запросы. На наше счастье, "кул хацкеры" пользуются как раз программами, скачанными из интернета, ставят на свои домашние Windows машины – и вперед…



Теперь от слов к делу. У меня нет доступа к другим компьютерам, у меня стоит Windows 2000, поэтому утилиты "Линукса" мне не годятся.


Чем воспользовался я? Бесплатной версией (0,27) программного обеспечения PromiScan от SecurityFriday. PromiScan рассылает по всей сети веер продуманных ARP-запросов, на которые сетевые карты, не работающие в promiscuous-режиме, просто не реагируют. Но сетевая карта машины со сниффером, скорее всего, ответит. Коммерческая версия (хотя и условно-бесплатная) работает в "бесплатном" режиме только с адресами в зоне 192.168.0.1-255, а моя сеть имеет другую адресацию. Поэтому облегченная версия мне подходит больше. Загружаем WinPCAP – драйвер, умеющий захватывать "сырые" (raw) данные от сетевой карты, фильтровать их и буферизировать. Ставим PromiScan, запускаем – вот они, голубчики! 32-й и 62-й не проходят по всем тестам! Звоним админу: так и так, у вас что там, на 32-м и 62-м адресах, – рутеры? Принт-сервера? Старые компы мы исключаем сразу, так как на них стоят новые сетевые карточки... – Нет, отвечает админ, обычные пользователи, а что такое? – Да так, "нюхают" нас… Смотрите лог… – Ах, вот как? Будем разбираться…



Читатель спросит: а как же защищаться? А никак, отвечу я вам. Если админу наплевать на то, что стоит у его пользователей на машинах, – спасение утопающих становится личным делом утопающих.


Вот некоторые мои рекомендации:

- В домашних сетях регулярно проверять (тем же PromiScan'ом) наличие компьютеров со "всеслышащими" сетевыми картами. Поставить одну "Линукс"-машину и смотреть, а не появилось ли в последнее время подозрительно много ARP-запросов?
- На своем компьютере отказаться от входа в бесплатную почту через незащищенные соединения. Например, на Мейл.Ру можно войти через https://secure.mail.ru – и хотя бы ваш пароль будет передан на сервер в закодированном виде.
- Завести ключ PGP.
- Поискать: а может, существует уже программное обеспечение вашего TELNET- или FTP-сервера, оснащенное "Кербером" (Kerberos).
- Если вы (не дай боже в такой ситуации) работаете из дома с компьютером на работе, заставьте вашего админа с работы устроить вам персональный VPN-канал.
- В офисных сетях не давать пользователям прав администраторов (чтобы не устанавливалось несанкционированное программное обеспечение).

На 100% все равно не спасет, но помочь может.


18 АВГУСТА 2004 15:08
   
+
-
edit
 

Balancer

администратор
★★★★★
Ещё лучше поставить Jabber и включить шифрование связи с сервером. И никто ничего уже не перехватит :) Вот мой пароль ICQ при всём желании не перехватить. Но у меня его упёрли другим способом :-/
   
?? Дух Бетельгейзе #23.08.2004 14:22
+
-
edit
 
Рома не надо быть таким наивным, твой пароль к ICQ каждая собака знает, это *********

Я прав ? :)
   
+
-
edit
 

Balancer

администратор
★★★★★
Д.Б.>это *********

Не-а :)
   
?? -exec- #23.08.2004 21:11  @Дух Бетельгейзе#23.08.2004 14:22
+
-
edit
 

-exec-

опытный

Д.Б.>Рома не надо быть таким наивным, твой пароль к ICQ каждая собака знает, это *********
Д.Б.>Я прав ? :)[»]
Д.Б.>Рома не надо быть таким наивным, твой пароль к ICQ каждая собака знает, это *********
Д.Б.>Я прав ? :)[»]

чуть один из моих паролей не угадал :rolleyes:
   
RU Alesandro #25.08.2004 19:57
+
-
edit
 

Alesandro
Серокой

координатор
★★★★
А вот в ХР есть такая мощная (на первый взгляд) вещь, как "политики безопасности". И они позволяют шифровать трафик. А можно ли, настроив IPSec, смотреть почту по защищённому каналу?
   

au

   
★★☆
Крон, в аське 4886816 — это уже ты или не ты?
   

Balancer

администратор
★★★★★
au>Крон, в аське 4886816 — это уже ты или не ты?[»]

Я. Правда, сейчас ася не запущена.
   

в начало страницы | новое
 
1935: Открытие московского метро (84 года).
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru