FAQ Матушка Лень (MLen@mail.ru) Спецвыпуск Xakep, номер #023, стр. 023-006-4 Что такое Fairwall? Это такая программа, которая следит за состоянием портов. То есть это охранник магазина, который приглядывает за продавщицами, чтобы к ним никто особо не приставал. Иногда огненная стена сильно обламывает хакерские затеи по сканированию портов. Порты, прикрытые файрволлом, могут вообще не отвечать на ping и другие хакерские попытки соединиться. Подробнее об этих замечательных программах и о том, как с ними бороться, читай в следующем номере! Что такое сигнатура? Это цифровой отпечаток данных. Что-то типа отпечатков пальцев. Чтобы узнать человека, не нужно изучать его целиком, достаточно маленького отпечатка пальца. Так же и с данными. Каждый кусок цифровой инфы может иметь свою уникальную сигнатуру в несколько байт. При этом неважно, сколько этот кусок весит: гигабайт или 64 байта. Какой это кусок: кусок текста, кусок звукового файла, кусок картинки или кусок кода, тоже неважно. Обычно с живого вируса снимают отпечатки пальцев (сигнатуру) и сохраняют их в вирусной базе. Сигнатуры очень маленькие, поэтому в один файл вирусной базы влезает информация о тысячах новых вирусов. Этот файл легко рассылать через Интернет из-за небольших размеров. Очень удобно то, что даже если вирус встроился в какую-то программу, антивирус все равно быстро узнает его сигнатуру. Но вирусы тоже не идиоты (особенно трояны): они мутируют, перестраивают свой код или рождаются новые - науке не известные. Поэтому свежих троянов антивирус может пропустить! Что такое NetBIOS? Network Basic Input/Output System - базовая сетевая система ввода-вывода. Это достаточно древний протокол, придуманный IBM. Его поддерживает Novell и Microsoft. Фактически это протокол удаленного администрирования, потому что он позволяет сделать твои диски и твои принтеры общими для всех пользователей сети. Этот протокол используется во многих локальных сетях для того чтобы можно было легко обмениваться файлами и печатать на чужом принтере. Он крайне прост и очень слабо защищен, пароли доступа к чужому диску подбираются влегкую. Поэтому всем администраторам советуют отключать этот протокол на машинах, подключенных к Инету. Что такое NetBIOS via TCP/IP А вот здесь кроется самая главная прелесть. Дело в том, что с NetBIOS можно работать через TCP/IP. То есть тисипи умеет передавать пакеты нетбиоса. Представляешь, какое западло? В Windows 95, 98, NT модуль NetBIOS висит на 135-139 портах, а в Windows2000 на 445-м. Многим пользователям этот протокол не нужен, просто виндовс включает его по умолчанию, а некоторым любителям локалки без него просто не обойтись (чтобы юзать чужие принтеры и файлы). Поэтому хакеры прежде всего сканируют компьютер на наличие NetBIOS. Для этого они сначала пингуют нетбиосовские порты, а потом пытаются установить нетбиосовскую сессию. Это значит, что скоро хакер будет удаленно администрировать чей-то компьютер даже без помощи трояна. |