Безопасный взлом через GPRS Крис Касперски ака мыщъх Спецвыпуск: Хакер, номер #056, стр. 056-074-1 (no e-mail) Наглядные примеры из практики Сезон охоты на хакеров уже открыт! Нас разыскивают спецслужбы всего мира. Если ты релизишь варез, дизассмишь программы, отламываешь защиты, разводишь вирусы или атакуешь Сеть, тебя сажают в тюрьму. Чтобы остаться на свободе, достаточно иметь сотовый телефон с GPRS-протоколом, паяльник, дизассемблер и немного смекалки. Почему не стоит использовать анонимные proxy е расследование традиционно начинается с извечных вопросов: кому это выгодно и кто бы мог сделать это? Многие хакеры прокалываются на том, что оставляют за собой текстовые строки (так называемые "граффити") с указанием своего ника, города проживания, названия кафедры или другой информации подобного типа. Это существенно сужает круг поиска, поэтому спецслужбам остается всего лишь перешерстить компьютерную тусовку. Реальных хакеров очень немного, и все о них знают. Вот она - цена известности! В этом мире выживает только тот, кто отрезает себя от внешнего мира, отказывается от общения и, забившись в глухую нору одиночества, хакерствует в свое удовольствие. Основным источником информации, демаскирующим атакующего, становится его IP-адрес. С точки зрения сетевых протоколов это всего лишь 32-битное число в заголовке пакета, которое ничего не стоит подделать или исказить. Но толку от этого будет немного. Пакеты с левыми IP-адресами сдохнут на первом же маршрутизаторе, а если не сдохнут, никакого ответа отправитель все равно не получит, а значит, не сможет установить TCP-соединение. Для обеспечения собственной анонимности проще всего воспользоваться proxy-сервером, расположенным в какой-нибудь отсталой стране, не симпатизирующей ни России, ни Америке. Таких серверов достаточно много, но далеко не все они анонимны. Существует множество служб, проверяющих proxy на "вшивость", к примеру www.showmyip.com. Служба www.showmyip.com проверяет японский proxy-сервер bi.ikenobo-c.ac.jp. Proxy успешно скрыл мой IP и даже попытался замаскировать континент (Asia), но позволил определить город проживания (Krasnodar) и название компании провайдера (Southern Telecommunication Company), а также часовой пояс, который, кстати говоря, определяется с помощью Java-скриптов, так что proxy тут ни при чем. Чтобы не погореть на первом же взломе, хакер должен сменить сервер и отключить скрипты. Но даже если proxy выглядит вполне благонадежным, он может скрытно коллекционировать трафик, предоставляя эту информацию по первому требованию спецслужб. По слухам, самые быстрые анонимные proxy установлены как раз спецслужбами. Но проблема даже не в этом. Каждый из нас может поставить честный proxy, который гарантированно не собирал бы никакой информации о пользователях, и отдать его в коллективное распоряжение - пускай хакерствуют (это характерно для институтов и других некоммерческих организаций с трафиком, оплачиваемым государством). Но где гарантия, что информацию о входящих/исходящих соединениях не собирает наш провайдер или провайдер провайдера? А, как показывает практика, большинство провайдеров ее все-таки собирают, сохраняя логи на жестких дисках в течение нескольких дней или даже недель. К тому же не стоит забывать про СОРМ, который, как известно, не дремлет. |