На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»
I2R » Хакеры и безопасность » Хакеры

Из грязи – в штази

«Троянские программы могут также
использоваться в целях разведки.»
Н.Н. Безруков «Компьютерная вирусология», 1991 г.

В цитируемой монографии Безрукова троянским коням уделено в аккурат две странички из четырехсот, да и разведка подразумевалась вовсе не того типа, что парой строчек выше. Но бурное развитие Интернет обеспечило разновидности любопытного софта обширную экологическую нишу, и в настоящее время троянцы, наряду с вирусами, превратились в фактор глобального подрыва IT-экономики. Классические разработки, как то Back Orifice (BO) и NetBus завоевали такой авторитет, что по слухам отдельные западные производители антивирусов решились было исключить диагностику последнего, присвоив ему статус мирной лошадки — легального инструмента удаленного доступа. Как тут не порадоваться за наших разработчиков: тот же AVP опознает в качестве троянцев очень многие, с виду такие безобидные, средства внешнего управления.

Какое там удаленное управление! Исходные коды BO, любезно предоставляемые адептами дохлой коровы (cDc), привнесли высокое хакерское искусство в широкие, и от того интеллектуально недоразвитые массы. Редкий вирус теперь не содержит элементы троянского кода: слямзить пароли, разослать файлы из какой-нибудь канцелярии, превратить безобидного пользователя в спамера или разрекламировать наркоту — вот популярные достижения последних месяцев.

Ну, куда рак с клешней, туда и конь с копытом. Что, скажите, должна делать цитадель демократии и свободы, если:

  • в Сети безнаказанно обретаются педофилы (с них почему-то всегда начинают перечислять пороки новой цивилизации);
  • террористы раздают указания своим сообщникам по e-mail и через Web-сайты;
  • промышленные шпионы воруют секреты прямо на рабочем месте из-под носа работодателя;
  • в Сети процветает торговля нелицензионным программным обеспечением (ПО), аудио, видео и т.п.;
  • компьютерные технологии используются для отмывания денег, продажи наркотиков, шпионажа, информационных войн (наш любимый черный PR), мошенничества, торговых войн, махинаций с акциями, развращения несовершеннолетних и даже для подделки личности (sic!);
  • а подозреваемые могут в любой момент уничтожить «цифровые улики», да еще имеют наглость применять криптографию и не хотят добровольно сдавать ключи в депозитарий ФБР?!
  • и все это происходит на фоне упорного нежелания населения «виртуальной деревни» перегружать своим посещением сайты земных представителей небесной канцелярии. Ломится несознательный народишко совсем в другие места. В мае 2000 г. бюллетень антивирусного центра Symantec сообщил, что 62% посещений X-сайтов происходят в бизнес-время. В этом году порнобизесом от безденежья начали заниматься крупнейшие провайдеры и Web-порталы. Последние убежище экономического роста.

Вышеприведенный, более чем неполный список составлен в основном по материалам якобы секретной в Америке презентации и еженедельника «US News & World Report» от 28-08-2000. Вот тебе и высокие технологии. Выход один — использовать троянский код, но не простой, а, как полагается государству, «революционный». И пока в «посттоталитарных странах» с переменным успехом идет борьба за внедрение различных версий СОРМ, светоч прав человека уже три года втихаря ведет свою войну с ушастыми Windows-юзерами при помощи весьма грязного средства (D.I.R.T — Data Interception by Remote Transmission). Так утверждает его производитель — корпорация Codex Data Systems Inc. из Нью-Йорка, позиционирующая себя в качестве ведущего разработчика средств «удаленного наблюдения» для военных, правительственных и правоохранительных организаций.

В Рунете информации о Codex и DIRT оказалось странно маловато. Поиск в Яndex и Google выдал многочисленные повторяющиеся ссылки на несколько материалов Киви Берда, один перевод весьма древней по IT-меркам статьи из PC World, да пару строк из обзоров новостей. В сравнении с информацией о любом другом трояне — это просто вакуум. Удивительно, у любого бюрократа стоит персоналка, некоторые перед телекамерой даже пальцем в клаву тычут, разгоняя Microsoft'овские облака, но никто, как говорится, ни ухом, ни рылом шевелить не желает. Подумали хотя бы о том, что дядя Сэм в погоне за террористами может заодно проверить насколько честно они приторговывают служебным положением. Тем более, что борьба с коррупцией за пределами США всеми возможными средствами — это теперь официальная позиция Вашингтона. Опять же, вспомните историю Иванова и Горшкова — пока сидят-с.

Патентованные компьютерные санитары тоже не спешат разбираться, поскольку не видели чудище своими глазами. Дело в том, что во всех антивирусных системах функции распознавания новых вредоносных кодов остались за человеком. Вот, чтобы не осрамиться, они и ждут сигнальный экземпляр. Без того в Сети достаточно любителей рассылать письма-предупреждения о несуществующей опасности (чтоб им, Enter заклинило). Плюс-минус один троян никакой роли не играет при 150-200 новых добавлений за неделю

Заявки же для грязно-мусорного перехватчика сделаны неслабые: запись всех скан-кодов клавиатуры, неограниченный доступ к файлам, увод паролей, внесение информации на пораженный компьютер, вся почта, доступ к криминальным графическим файлам, обход систем шифрования, съем экрана и аудио и видео при наличии подключенных к PC микрофона и телекамеры. А на закуску — трепещите — уникальная технология AntiSec для уничтожения межсетевых экранов (firewall) и последующей имитации их работы. Списочек прилагается. Прямо абсолютное оружие.

«Мощно задвинули, внушает»,- говорит Хрюн Моржов в таких случаях. Поэтому присмотримся внимательнее к производителю. Заходим на сайт Codex и видим куцый список продуктов с названиями-акронимами, сопровождаемыми сверхкороткими аннотациями. Хотя, за исключением DIRT, все они «продаются без ограничений», но для получения любой дополнительной информации нужно заполнить анкету on-line или отправить по e-почте. В главную страницу для чего-то вмонтирован дебильнейший Java-скрипт, сообщающий в строке статуса окна, что кто-то там может удаленно исследовать ваш диск и скопировать файлы. Для остроты ощущений выскакивают фразы «А сейчас удаляю…» и «Форматирование диска завершено…». Ну что ж, с юмором в «голубом отряде» все в ажуре. А больше ничего нет.

Хоть и не хотелось, а пришлось таки лезть в англоязычный поисковик. Как все замечательно в кино: не успел набрать слово и пару раз матюгнуться, и тут же получай полную информацию — что, где и когда — вот тебе сатана, вот его свора, а вот и рецепты победы. А тут, обратите внимание, возникла маленькая заморочка. Че искать-то? DIRT — конечно, название оригинальное, но не для поискового движка — он тут же заваливает настоящим мусором. В переведенной статейке «о плохих парнях» было упоминание о «конфликте» между cDc и Codex. Это тоже не помогло — слишком живо в последние годы обсуждались проблемы крупного рогатого скота, да и Codex — крайне популярное слово.

Ok, буду искать по науке. Набираю полностью Codex Data Systems. Ну-у, тут ссылок уже поменьше. И на самом верху красуется Codex Data Systems LLC, т.е. ООО по нашему, из Аризоны (Flagstaff). Производит оно ПО для бизнеса, образования и науки. Примеры успешных реализаций приведены из школ штата Нью-Йорк и Бостонского университета. М-м-да, вроде близнец, но какой-то разнояйцевый.

А вот каким-то ветром занесло в страницу результатов Codex Security Solutions Inc. из North York, Онтарио, Канада. (Ох, не случайный был ветерок.) Гляди-ка, ПО и оборудование для (домашних) систем безопасности. Клиенты перечислены солидные, и тот же B.A.I.T. для слежки за несанкционированным доступом к электронным документам присутствует. Ба, средство защиты PC от краж — PC PhoneHome — тоже тут.

Еще какой-то сайт Codex, (потом выяснилось, что в 1998 г. он также рекламировал DIRT), связанный с оборудованием для систем безопасности. В общем, вполне вероятно, что этот нью-йоркский грязный Codex выглядел бы очень скромно и затерялся среди других ссылок, если бы не… Но cначала одно замечание.

Что-то с маркетингом явно неладно. По торговой марке информацию о продукте не найдешь, по фирме — тоже череда накладок. Искать же ее босса (CEO) Фрэнка Джонса в англоязычной среде можно с тем же успехом, что Петра Иванова в России. Вот вы взгляните на троянец, который по-русски стыдливо называют Coced. Поиск по его настоящему имени дает на первой же странице доступ к самому трояну, инструкции по эксплуатации, методические указания и средства борьбы. А в случае с DIRT мечемся между горами мусора и павшего скота, да биржевыми котировками, прикрытыми сверху сеткой маскирующих фирм. Неужели это и задумывалось?

Так вот, потерялся бы «король шпионажа», если бы не британский The Register. Судите сами. Взяли Англию в Echelon — красней теперь перед континентальной Европой, теперь требуют совместно бороться к коррупцией и организованной преступностью, а такой мелочью как DIRT делится не хотят. Приходится воевать с местными педофилами дедовскими, вернее бабовскими, способами (статья взята из рассылки «Самые скандальные сайты», код inet.review.skandal на Subscribe.Ru). Сидит, понимаешь, в чате старушка с чином полицейского сержанта, выдает себя за малолетку и завлекает всевозможных «извращенцев» от слесарей до профессоров, за что их потом сажают в тюрягу. Получают, понимаешь, удовольствие по анекдоту: «Лопатку-то верни». Да ведь бабулькины возможности не резиновые и в выходные дни маньяки (за исключением 138 уже сидящих — ай, да бабка) могут расслабиться, а коварный союзник зажучил такое могучее средство профилактики.

Короче, взялись туманные альбионцы за мистера Джонса так основательно, что самую цитируемую статью я почему-то сразу не смог найти. Ссылок на нее сколько угодно, а текст не закачивается. Даже Google не хочет отдавать свой сохраненный вариант! Доходит до красной полосы, где должен размещаться баннер The Register, и стоп. Заодно стопорятся и все параллельные Google-окна. Но стоит закрыть окно раздора, как остальные резво показывают запрошенный материал. Информация же с любых других сайтов приходит без проблем.

На одном из них нашелся какой-то материальчик от того же автора с рекомендациями особо опасающимся регулярно переформатировать диск для профилактики и мочить все подозрительные файлы без разбору. Черти что. Я столько сил потратил на концепцию жизни Windows без переустановки и, тем более, форматирования, а тут какой-то паникер ставит на ней крест — форматируйте, мол, для профилактики заражения!? «Оно конечно, Александр Македонский герой, но зачем же стулья ломать? — от этого убыток казне».

Обеспокоенная часть западного Internet-сообщества активно обсуждает DIRT, увязывая использование этого троянца на государственном уровне с нарушением прав личности. Ну нарушения-то власть и Codex переживут, а вот разглашение содержания «конфиденциальной презентации» уже якобы чревато для болтунов уголовным преследованием «с помощью Secret Service».

Правозащитники и примкнувшие к ним хакеры особо подчеркивают, что DIRT — средство для фабрикации доказательств, дающее обвиняемым непробиваемое алиби того, что власти сами подбросили улики. Выходит за что боролись, на то и напоролись?

Но вот среди кучи ссылок объявилась и упорно не загружающаяся статья The Register. Держитесь крепче — руководитель корпорации Codex сейчас сам отбывает условное наказание… за незаконное владение «шпионскими штучками». Поначалу обвинения были более серьезные, но потом как-то договорились. «Чеснягу» Джонса приговорили в 1999 г. (по другим данным в 1997) к 300-м часам общественных работ и пяти годам условно. Главным аргументом в пользу мягкости наказания стала его «mental defect», по-русски придурковатость. «Грозу компьютерного преступного мира» обязали также пройти «mental-health program», т.е. курс психотерапии (учтите, это наверняка не лечение в Кащенко, поскольку психотерапевт в Америке — не врач). В общем, по данным журналистского расследования «суперхакером» оказался обычный жулик со сдвигом по фазе, узурпировавший титул «короля шпионов».

Ну, а сам DIRT, — продолжает британский проныра, — представляет из себя банальный троян (хотя, как некоторые выражаются «накачанный стероидами»). Не обнаруживается он поскольку его живьем никто из борцов с вирусами не видел, но по слухам, сей зверь («секретный, фигуры не имеет») обитает в двух файлах DESKTOP.EXE и DESKTOP.DLL папки C:\Windows и ссылки на них естественным образом находятся в Реестре. С межсетевыми экранами тоже не все так мрачно, да и переформатировать диск нужно не всегда, но все-таки желательно. Вывод приблизительно такой: «DIRT — это инструмент удаленного администрирования, который в значительной степени аналогичен бесплатным троянцам SubSeven и B2OK и продается, — дискредитированным бывшим полицейским, а в настоящее время уголовником и умственно больным, — за тысячи долларов [по другим слухам от нескольких тысяч до 200 тыс. USD] ужасным правительствам в тех странах, где обычны злоупотребления такого рода и где жертвы не могут оспорить их в суде.» Успокоил называется. Ты на чье правительство намекаешь?

Но окончательно меня добила заметка еще 1999 г., в которой обсуждалась история мошеннических проделок Фрэнка Джонса. Правительственные учреждения получали шиш (не готово мол еще), а вот всякие малоквалифицированные шпионы-любители, попавшиеся на приманку «поставщика двора» его величества оплота свободы и демократии, служили дойной коровой. Купили без лицензии — теперь платите за молчание. Покупали, как оказывалось, туфту, а платили зелененькими наличными.

Похоже история повторяется и пришла очередь платить соседям из Канады. В подборке материалов «THE DIRT ON BIG BROTHER» рассказывается о работе Джонса на территории Канады, упомянут его бывший агент по продажам и назван автор DIRT — Eric Schneider, — покинувший Codex по этическим соображениям после того как его антипедофильную программу продали иностранцам (в тексте упоминаются Перу и ЮАР). По утверждению автора программы возможности DIRT не сильно отличаются от классических троянцев. Указывается также, что Джонс подал 20-миллионный иск на «клеветников, унизивших его и DIRT на пространствах Web.»

И еще. Тяжелая артиллерия Forbes еще в 2000г. вдребезги разнесла по всем пунктам передовицу «The Wall Street Journal» о шпионской технологии TEMPEST (удаленный съем информации с монитора по его излучению), прихватив заодно примазавшихся к ней Codex и ее преподобного руководителя. «Человек с дурной репутацией», «болтающий о несуществующей продукции», «он только создает трудности для настоящих производителей», «у него нет никакого опыта в TEMPEST» и вообще это не шпионская технология, а акроним для обозначения правительственных стандартов защиты от удаленного съема. После таких рекомендаций «остается одно из двух: или немедленно, вернувшись домой, застрелиться, или же… поехать в городские бани выкупаться, а после бань зайти в винный погребок…». «Матерый разведчик Джонс», как и майор-аудитор из похождений Швейка, явно предпочел второе.

В общем так, если кто-то в этом деле разберется поглубже, прошу покорно изложить свои выводы. Судебные материалы на «супервзломщика» также доступны в Сети. Лично у меня что-то этот шарик-… э-э-э, пардон, кубик Рубика, не складывается. Предлагаю на выбор помимо жульничества еще несколько версий вспышки интереса к DIRT:

  • с помощью шума вокруг Codex и DIRT прикрывается реально используемый троянский код или какие-то скрываемые от публики особенности операционных систем (ОС) Windows, поскольку к ним уже близко подобрались длинноносые исследователи;
  • спецслужбы пытаются напугать преступный мир, освоивший Сеть с феноменальной скоростью. Неуверенность должна заставить криминальные элементы активизироваться в реальном мире, где их прищучить гораздо легче;
  • происходит компрометация разработок Microsoft на весьма солидном уровне;

В пользу этих вариантов говорит странная живучесть заурядного мошенника и мягкость судебных властей. Либо:

  • ведется хитрая атака на попытки государственного вмешательства в частную жизнь через Интернет. Глобальная сеть и частная жизнь совмещаются подозрительно туго. Если сейчас суд примет решение о запрете использования DIRT, то прецедентное право Америки позволит блокировать и другие, несомненно осуществляемые, разработки. В рассылке Inroad от 13-08-2001 сообщается о происходящем в штате Нью-Йорк суде над неким гангстером, в ходе которого судья под давлением адвокатов потребовал от ФБР раскрыть подробности получения компьютерных доказательств. Не для укрепления позиции обвинения стараются адвокаты. А коли так, то скоро американским педоборцам и шпиенам для ведения презентаций в M.I.T. возможно придется вызывать вместо SpyKing'а старую добрую бабулю из Англии, а то и вовсе переехать в Австралию или Новую Зеландию, где законодатель уже разрешил государственный хакинг.

Либо:

  • ведется компрометация конкурирующих антивирусных средств, а может наоборот
  • в разгаре мощная рекламная компания средств защиты от несанкционированного доступа. Так или иначе, но вскоре следует ожидать заявлений «<Имярек антивирус> вычистит любую ГРЯЗЬ».

Очевидно, что заинтересованные субъекты будут и впредь использовать средства удаленного доступа для получения информации по своим потребностям. Антивирусникам и консультантам по безопасности любая шумиха впрок. Получается, что при любом раскладе пострадавшей оказывается… Microsoft (не будем размениваться на пользователей — их забота платить, платить и платить). Имея все возможности одним плевком распылить афериста, крупнейшая software-корпорация мира почему-то молчит. Нет, вы вдумайтесь, редчайший случай, бездоказательно дискредитируется вся ее продукция: Win9x, Office, присутствуют даже грязные намеки на NT! А в ответ — ни гу-гу, или где-то что-то шептали?

Стратегия умолчания в предположении существования DIRT в заявленном объеме подводит к весьма неприятным выводам. Для Win9x все вышеперечисленные функции этого троянца никакой сенсации не содержат. Даже вызвавший панику AntiSec. В примере для статьи «Кто хозяйничает в моем компьютере?» содержится он весь. Нужно только знать название исполняемых модулей межсетевого экрана и удавить их сможет любая программа. А если настройки firewall помещаются в Реестр без шифрования, то экран можно тихонечко отключить и будет полная видимость ажура.

Но Microsoft сегодня галопом торопится распрощаться с Win9x. Так тем более покушение на честь NT без ответа оставлять нельзя. Пока что общественность клеймит позором правительство, но когда оное добьется своего (будьте уверены, добьется!), начнется поиск виноватых. Ежели допустить (подчеркиваю, допустить) вероятность полномасштабной работы такого троянца без привилегий администратора или возможность их несанкционированного получения, то все сертификаты безопасности этой ОС можно повесить рядом со сливным бачком. (А кстати, NT-шники, вы уверены в команде RUNAS?) Для лиц пиратской национальности проблем не возникает, но были же наивные народности, заплатившие денежку. Лицензирование страхует производителей от причинения неумышленного ущерба, а ссылочка Codex на правительство как раз и обеспечивает железное доказательство преднамеренности. Тут уж богатенькие Буратино из Редмонда и Вашингтона общественным порицанием не отделаются. «На все есть закон, господин ефрейтор.»

Александр Захарченко
СофтТерра

Другие разделы
Прочие опасности
Вирусы
Хакеры
Киберпреступность
Уязвимость ПО
Новое в разделе
Защита данных
I2R-Журналы
I2R Business
I2R Web Creation
I2R Computer
рассылки библиотеки +
И2Р Программы
Всё о Windows
Программирование
Софт
Мир Linux
Галерея Попова
Каталог I2R
Партнеры
Amicus Studio
NunDesign
Горящие путевки, идеи путешествийMegaTIS.Ru

2000-2008 г.   
Все авторские права соблюдены.
Rambler's Top100