Утечка данных

ЗАРАЗА

Спецвыпуск: Хакер, номер #058, стр. 058-062-2

Received: from [83.239.x.y] (port=41101 helo=kpnc)

by mx2.mail.ru with smtp

id 1Ds1ou-0002q6-00

for 3APA3A@SECURITY.NNOV.RU; Mon, 11 Jul 2005 21:11:52 +0400

Снова видно имя компьютера (в SMTP команде HELO, что лишний раз подтверждает, что это Outlook Express). 83.239.x.y – реальный IP-адрес устройства, выполняющего трансляцию адреса или проброс порта. Может насторожить номер клиентского порта (41101). Он необычно высокий. Если порты назначаются с 1024 по порядку, то либо прошло очень большое количество соединений, либо мы имеем дело с не совсем стандартным поведением. Чтобы выяснить это, затянем переписку, получим еще несколько писем и посмотрим, что делается с данным полем во времени:

Видно, что клиентские порты явно идут не подряд, но в то же время их последовательность - не случайность, а некая функция от текущего времени суток (после перехода за 24 часа приращение становится отрицательным) и, возможно, числа соединений. Такое поведение почти 100% свидетельствует о трансляции адресов и портов (NAT/PAT) на каком-нибудь аппаратном маршрутизаторе типа D-Link. Протестировав различные модели подобных устройств, можно хотя бы примерно установить семейство маршрутизатора, так как данная функция является весьма характерной.

Таким образом, не анализируя содержимое самого письма, а пользуясь только "протокольными" данными, ты можешь установить ОС, наличие последних обновлений, иногда наличие брандмауэра, способ подключения к сети, топологию сети и оборудование маршрутизатора.

Утечка информации от http-клиента

И http-клиент течет.

Есть следующий заголовок http-запроса:

Находим, что:

Система: Windows NT 4.0

Браузер: Microsoft Internet Explorer 5.5

Другие установленные приложения: Microsoft Office (не Professional-версия)

Используемый брандмауэр: Microsoft ISA Server

Режим брандмауэра: HTTP прокси-сервер указан в настройках Internet Explorer

Язык пользователя: английский

Попробуй сам определить, откуда и какие параметры взялись. Для решения задачи рекомендуется использовать Ethereal (www.ethereal.org), любой прокси-сервер, например 3proxy (www.security.nnov.ru/soft/3proxy), и Proxomitron (www.proxomitron.info) или что-то похожее.