WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 | 5 |

«УДК 621.39 Максим Левин ББК 32.884.1 Л27 Левин М. ...»

-- [ Страница 3 ] --

Fri, 30 Jan 1998 08:14:07 +0300 (MSK) на Россию. В результате вместо ответа каждую неделю у меня в ящике от From: 93890998@ix.netcom.com стой.

Received: from mail.aaanetworks.net (sdn ts 002flmelbP04.

Итак, как бороться.

dialsprint.net [206.133.70.39]) by linux.aaanetworks.net (8.8.5/8.8.5) with SMTP id BAA24025;

В борьбе со спамом юзер предоставлен сам себе. Тут он должен Fri, 30 Jan 1998 01:04:51 полагаться в основном только на себя.

Received: from В целях профилактики лучше не светить свой реальный адрес. До mailhost.ix.netcom.com(alt1.ix.netcom.com(246.2.92.63.9) by статочно сервисов, предоставляющих форвард адресы. Я пользуюсь уже ix.netcom.com (8.8.5/8.6.5) with SMTP id GAA давно usa.net. И благодаря их фильтрам все новые колеса и xoom.com’ы for ;

Thu, 29 Jan 1998 23:20:10 сразу уходят в мусор и не доходят до моего реального ящика. Фильтры (EST) своего почтового клиента я не использую вообще. Но! Этот способ рабо Date: Thu, 29 Jan 98 23:20:10 EST тает только против тех, кто не меняет от рассылки к рассылки своих об To: JuDa1635@ix.netcom.com ратных адресов, инициалов и т.д.

Subject: Mail Your Message to Millions Message ID: Профессиональные спаммеры используют разного рода про Reply To: JuDa1635@ix.netcom.com граммки, позволяющие постоянно менять им адреса отправки, фальси X PMFLAGS: 128 фицировать тексты заголовков. И если появляется подозрение, что вы Comments: Authenticated sender is стали жертвой профессионального спаммера — обращайтесь за помо X UIDL: 126op9623er9987ghty6322wee698tl щью к своему провайдеру. Опишите проблему и приложите исходник со Во первых, все, что находится ниже поля Date:, можно смело иг общения спаммера. Не надо начинать бомбить его письмами — они уй норировать. Для почтовых серверов — это тело сообщения, а не заголов дут в никуда. Никогда не отвечайте спаммеру сообщением вроде того, ки. Поэтому отправитель может проставить в этих полях все, что его ду что вас там нет, что он дурак или чем нибудь в этом духе. Для спаммера ше угодно. Просто не обращайте на это внимания. Заголовки From: тоже это означает зеленый свет.

легко подделываются, поэтому обращать большого внимания на них то Существует масса программок, которые могут имитировать ответ же не стоит.

робота о неправильном адресе, просматривать и удалять ненужные сооб Нам важны заголовки Received:. Рассмотрим первый из них. На щения прямо на сервере.

самом деле он является последним, поскольку каждый почтовый сервер, И, наконец, самым любопытным небольшая лекция о том, как оп через который проходит ваше сообщение, добавляет свой «штамп» в на ределить автора ненужного или оскорбительного письма.

чало. Таким образом, первый из вышеприведенных заголовков Received:

добавлен почтовым сервером вашего провайдера. Поэтому он соответст вует действительности.

Безопасность E mail 119 120 Безопасность E mail Received: from linux.aaanetworks.net (linux.aaanetworks.net Следующий заголовок фальшивый. Чтобы понять это, нам не по [38.229.249.252]) требуется никаких вспомогательных процедур. Во первых, время в нем by pinochet.cityline.ru (8.8.8/t/97 Nov 22) with ESMTP id проставлено «марсианское». Аббревиатура EST расшифровывается как IAA Eastern Standard Time, которое отстает от Гринвича на пять часов, а не на for ;

Fri, 30 Jan 1998 08:14:07 +0300 (MSK) шесть, как указано в заголовке. Во вторых, идентификатор сообщения начинается буквами GAA. Само по себе это ни о чем не говорит, но в со О чем он нам говорит? «Перевод» будет звучать примерно так:

четании с часовым поясом 0600 (EST) однозначно указывает на то, что почтовый сервер pinochet.cityline.ru получил в пятницу, 30 января, в заголовок вставлен программой массовой рассылки StealthMail. Сочета 8:14:07 по московскому времени сообщение для адресата uptoroad@city ние GAA и 0600 (EST) — визитная карточка этой программы. Может line.ru от почтового сервера linux.aaanetworks.net с IP адресом также встречаться другое сочетание: идентификатор ХАА и время 38.229.249.252.

(EST).

Скорее всего, указанный адрес действительно присвоен компью Такое сочетание характерно для более поздних версий этой же теру, одно из имен которого linux.aaanetworks.net. Проверить это можно программы.

при помощи множества программ, позволяющих по IP адресу опреде лить имя машины и наоборот: по имени — IP адрес. Можно воспользо Наконец, обратите внимание на формат заголовка. Вторая и по ваться и более быстрым подручным средством. Например, запустить по следующие его строки начинаются с первой позиции, так же как и пер этому IP адресу стандартный ping. Сами результаты работы этой проце вая. В RFC822 есть требование: вторая и последующие строки заголовков дуры нас сейчас мало интересуют, однако первое, что сообщает процеду должны начинаться по крайней мере с одного «пустого» символа (пробе ра, это имя машины, адрес которой вы указали в качестве ее параметра ла или табулятора).

(однако если оно не совпадет с указанным в заголовке, то это еще ниче Вот, собственно, и все. Мы установили, что перед нами письмо го не значит, поскольку любому IP адресу может быть поставлено в соот с фальшивым заголовком и что спам был отправлен пользователем Sprint ветствие несколько имен или не поставлено ни одного).

или кем то, кто воспользовался его почтовым сервером. Поэтому свою Следующее поле, From:, тоже можно смело игнорировать. А вот жалобу направим именно туда.

дальше начинается детектив. Последовательность заголовков Received: в Вы спросите, кому же писать? Все почтовые серверы обязаны «честном» сообщении прерываться не должна. У нас же она прерывает иметь адрес postmaster, поэтому смело направляйте свою жалобу туда.

ся, что свидетельствует о вмешательстве спаммера. Более того, время, Кроме того, крупные провайдеры обычно имеют специальный адрес для указанное в каждом следующем из них, сильно отличается от времени, жалоб. Обычно он выглядит так: abuse@someprovider.com.

указанном в предыдущем, чего тоже быть не должно: маловероятно, что бы письмо гуляло между машинами так долго.

Если вы не уверены, куда посылать жалобу, зайдите на сайт Received: from mail.aaanetworks.net (sdn ts 002flmelbP04.

Internic (www.internic.net) и воспользуйтесь процедурой whois, которая по dialsprint.net [206.133.70.39]) адресу домена (someprovider.com) сообщит вам всю информацию о доме by linux.aaanetworks.net (8.8.5/8.8.5) with SMTP id BAA24025;

не и его владельцах, лежащую в базе данных. Там же будет указан и адрес Fri, 30 Jan 1998 01:04:51 для административных контактов. Он же иногда называется zone contact.

Вот по этому адресу и отошлите свою претензию. Только, пожалуйста, Этот заголовок похож на истинный. Тем не менее проверим. Об будьте вежливы. Эти люди пострадали от спаммера не в меньшей степе ратите внимание, имя получателя указано дважды: как mail.aaanet ни, чем вы.

works.net (это то, что ввел спаммер) и sdn ts 002flmelbP04.dialsprint.net — это то имя, которое почтовый сервер «вычислил» по IP адресу, приве Если же вы получили спам с национального домена, например.ru, денному в квадратных скобках (информации, которая заключена в квад то поиск на сайте Internic может и не дать результатов. В этом случае ратные скобки, как правило, можно доверять).

можно обратиться в соответствующие национальные службы.

Если мы проверим соответствие цифрового IP адреса и имени ма Другим весьма эффективным средством идентификации спамме шины, наши опасения наверняка подтвердятся: точка входа спаммера ра является служба DejaNews (www.dejanews.com), которая является «па в Интернет действительно была.

Безопасность E mail 121 122 Безопасность E mail мятью всей Usenet». Эта система индексирует и заносит в свою базу дан рез анонимные серверы. Так что когда вы читаете мою почту, поступив ных практически все сообщения, появляющиеся в Usenet. шую через Freedom, или обнаруживаете меня на своем сайте, то никаких сетевых следов не получаете.

Дело в том, что сообщения о полученном спаме и принятых про тив этого мерах публикуются в Usenet. Поэтому если ваш спаммер хоть Итак, «Web жучки» — незаметные фрагменты программного тек раз «засветился» в телеконференциях (а он, скорее всего, «засветился»), ста, встроенные в послания электронной почты. Обычно это делают все то, зная хоть какую то информацию о нем, можно попытаться отыскать возможные распространители «макулатурной почты» тогда, когда хотят его «следы». Если повезет, то вы сможете узнать реальный адрес спамме просто удостовериться, что имеют в своем распоряжении реальные элек ра и даже номер его телефона. тронные адреса. Стоит вам только просмотреть или раскрыть подобное послание ловушку, как скрытое уведомление о вручении сразу же вер нется к отправителю. «Жучок» также позволяет отправителям опреде Глава 3.

лять адрес вашей электронной почты и отслеживать, посещаете ли вы их сайт. Чтобы увидеть «Web жучка» в действии, отправляйтесь по адресу:

Не подпускайте к себе Web шпионов www.mackraz.com/trickybit/readreceipt, но приготовьтесь к неприятному сюрпризу. Потом загрузите пробную версию Freedom из раздела Предположим, вы пригласили меня на обед, и пока хлопотали на Downloads сайта PCWorld.com, повторите все еще раз и тогда увидите, кухне, я установил подслушивающие устройства рядом с телевизором, что «жучок» будет заблокирован.

возле почтового ящика и под кроватью. Теперь из своего дома я могу без всякого ведома с вашей стороны следить за тем, что у вас происходит.

Конфиденциальность — как у открытки Вам, должно быть, покажется, что это несколько чересчур, не Если вы считаете, что Сеть затрудняет хищение персональных фи правда ли?

нансовых и других данных, то посетите специальный сайт Федеральной Так вот, вполне возможно, нечто похожее происходит с вами пря комиссии по торговле (ФКТ), посвященный краже идентификационных мо сейчас при посредстве вашего ПК. Когда я распишу, как и большие номеров (www.consumer. gov/idtheft).

компании, и отдельные лица попирают личную неприкосновенность, то Мы снабжаем посещаемые нами Web сайты многочисленными в вас закипит гнев. Успокойтесь, есть несколько изящных инструментов, подробностями о себе и вносим немало сведений в отправляемую элек позволяющих противостоять различным вторжениям.

тронную почту. С помощью надлежащих инструментов хакеры могут за Поднимите руки: кто из вас использует программы GoZilla, просто просматривать хранящиеся на Web узлах данные личного харак PkZip for Windows, GetRight или часто обращается к разделу Download тера и читать нашу электронную почту так же просто, как утреннюю сайта RealPlayer? Спонсируемые за счет рекламы версии этих и им по газету.

добных продуктов иногда называют «программами шпионами» — spy Я не считаю такой уж приватной всю отправляемую мною элек ware. Они помещают на ваш компьютер следящие аплеты (tracking тронную информацию, однако полагаю священными и неприкосновен applets), которые управляют размещением там рекламы. Впрочем, даже ными послания своему лечащему врачу, бухгалтеру аудитору, брокеру и если вы удалите эти программы, то аплеты могут где нибудь «застрять» парикмахеру, хранящему секреты моей шевелюры. Поэтому я работаю с и передавать данные о ваших «компьютерных привычках» обратно на программой Sigaba, которая шифрует электронную почту и вставляет свои серверы.

уникальный ключ, позволяющий идентифицировать меня. Прочесть мои послания могут только те, кому я их адресовал. Sigaba бесплатна, Анонимные Web браузеры проста в использовании и, будучи раз настроена, не вызывает хлопот.

Я знаю простой способ стать невидимым для Web сайтов и защи Она интегрируется с используемым мною пакетом электронной почты.

титься от мерзопакостных «Web жучков». Воспользовавшись 50 долла Когда я посылаю ответ или новое послание, то могу зашифровать его, ровой программой Freedom компании Zero Knowledge, я соорудил за сделав один щелчок на значке Sigaba.

слон, и теперь мои электронная почта, путешествия по Web, участие в Чтобы читать зашифрованную почту, нужно зарегистрироваться тематических конференциях и сетевые разговоры — все это проходит че на сайте www.sigaba.com. Можно не устанавливать эту программу на свой Безопасность E mail 123 124 Безопасность E mail ПК, а получать всю зашифрованную почту на Web узел компании. При Я считаю такие «пирожки» достаточно благонамеренными, по этом можно использовать существующую учетную запись электронной скольку они помогают Web узлу запоминать, какие DVD я брал напрокат почты и вложения, а также вводить ограничения, определяющие, когда и какой корм заказывал для своего песика. Однако существуют и злона другие прочтут отправляемые мною сообщения. Компания поддержива меренные «пирожки», используемые третьими сторонами, например ет большинство почтовых программ. рекламными компаниями типа DoubleClick или Avenue A, которые без моего ведома отслеживают все путешествия по Сети. Эти «пирожки» со общают обо мне (и даже о моей собаке) следующему посещаемому сайту, Глава 4.

так что тот может встретить меня баннерной рекламой DVD про Лэсси.

(А вы подумали, будто это сайты способны к экстрасенсорному воспри Борьба за сетевую неприкосновенность ятию?) Сеть угодила в скрытую ловушку. Все чаще происходит утечка Чтобы узнавать о всяких новинках в области использования «пи конфиденциальной информации, а вмешательство в личную сферу по рожков», я посещаю два специализированных сайта.

требителей и компаний стало обыденностью. Ребята, у вас за спиной Первый из них, www.cookiecentral.com, предлагает потрясающий прокручиваются всякие делишки, а вы об этом даже и не подозреваете.

обзор существующих «пирожков», а второй, www.privacy.net, демонстри Слышится, как вы спрашиваете меня: «Насколько плохи дела?» рует, как рекламные сети наподобие DoubleClick собирают информацию Вы, вероятно, уже знаете, что компании отслеживают переписываемые личного характера.

вами файлы, посещаемые сайты и вещи, которые покупаете. Возможно, вы осведомлены и о том, что бесплатные, спонсируемые рекламодателя Как расправиться с «пирожком» ми программы типа PKZip для Windows и GoZilla размещают на жестких Данные файлы блокируются множеством различных программ, дисках ПК некие скрытые файлы. Видимо, это можно считать частью но я лично предпочитаю три, причем в разделе Downloads сайта журнала платы за возможность работать в Сети, но вполне ли вы осознаете, на PC World все они бесплатные и легкодоступные.

сколько действительно велика опасность проникновения в вашу личную сферу, по английски называемую privacy, всяческих коллекционеров Программа IDcide становится частью браузера и вклинивается информации.

между вами и рекламными «пирожками», пропуская только благонаме ренные. Эту утилиту перед заходом на неблагонадежные сайты можно на Я встревожен, разгневан и полон решимости рассказать, как вы ходу так перенастроить, что она будет блокировать все «пирожки». Или, можете защитить себя.

если вам это любопытно, IDcide может снабдить вас подробными сведе ниями, позволяющими во всех деталях узнать, кто отслеживает ваши пу Из Web тени на свет тешествия по Сети.

Проблема неприкосновенности личной сферы — это, по сути, Доволен я также и системой AdSubtract, которая одновременно проблема информационного соглашения. Сообщайте мне о своих пла блокирует и «пирожки», и утомительные рекламные сообщения. (А в ее нах еще до того, как начнете претворять их в жизнь, и я, возможно, не бу 15 долларовой версии есть неограниченные возможности для пользова ду возражать против них. Но попробуйте сделать что нибудь тайком, тельских настроек, позволяющих различать рекламные «пирожки» у меня за спиной, — и уж тут то разразится форменный скандал.

и «пирожки», поступающие с заслуживающих доверия сайтов.) Самыми распространенными нарушителями такой неприкосно Однако самая интригующая из этих трех программ — Naviscope.

венности являются «пирожки» (cookies), и их же легче всего держать под Подобно AdSubtract, она блокирует «пирожки» и рекламные вторжения, контролем. Когда я впервые посещаю какой нибудь сайт, то он помеща а также добавляет десяток изящных инструментов, способных устранять ет эти файлы на ПК, что позволяет в дальнейшем опознать меня вместе прочие раздражающие Web факторы наподобие звуковых эффектов, со всеми Web пристрастиями и, по видимому, покупательской истори всплывающих окон и мерцающего текста. А еще эта программа ускоряет ей, если появляюсь там вновь.

загрузку Web страниц.

Безопасность E mail 125 126 Безопасность E mail 1. Письмо направляется к anon.penet.fi, который постоянно рас В дверь стучится вовсе не удача полагается где то в окрестностях Espoo в Финляндии.

В то время как вы усердно обрабатываете конфиденциальную ин формацию для своего босса, всякие халтурщики обшаривают Сеть в по 2. Вступают в действие размещенные на anon.penet.fi программы.

исках уязвимых ПК. Меня они проверяют десятки раз на дню, и вовсе не Сначала penet просматривает email адрес отправителя в базе данных, за из за моей особой приветливости. Так что сделайте свой ПК «невиди тем заменяет его на числовой код. Остальная информация об отправите мым» с помощью ZoneAlarm — превосходного брандмауэра, бесплатно ле удаляется.

го для индивидуального пользователя. Он прост в установке, хотя при 3. Затем penet в той же базе данных ищет номер адресата и заменя первом входе в Интернет и задает сбивающие с толку вопросы. С вашего ет его на фактический e mail адрес.

разрешения этот брандмауэр обеспечивает беспрепятственный доступ в Сеть вашей электронной почте, браузеру, программе обновления данных 4. И, наконец, письмо отправляется по фактическому e mail адре о вирусах и другому выбранному вами ПО. Однако он же останавливает су получателя.

всякого рода подозрительные входящие запросы, обращаясь при этом В этой схеме возможны варианты (к примеру, при регистрации к вам за советом.

в Usenet третий шаг опускается), но в целом это базисная последователь Помните, что из вашего ПК во время путешествий по Сети утека ность.

ет еще много всяческой информации.

Если anon.penet.fi обращается к своей секретной базе данных для согласования анонимных ID с фактическими e mail адресами, то cypher Глава 5. punks remailers используют для маскировки фактических тождеств крип тографию. Скажем, я хочу послать e mail по реальному e mail адресу или Анонимный remailer в Usenet и при этом сохранить инкогнито.

Анонимный remailer — это система в Интернет, которая позволя Вот что произойдет при проходе сообщения через remailer:

ет анонимно отправить электронную почту или зарегистрировать сооб 1. Я шифрую сообщение и адрес получателя, используя public key щения в Usenet.

выбранного мною remailer'а.

Широко распространены два вида remailer. Первый стиль — 2. Я посылаю e mail по адресу remailer'а.

anon.penet.fi, второй — cypherpunk. Remailer стиля anon.penet.fi очень по пулярен, за все время его существования им воспользовались более 3. При получении remailer раскодирует письмо, используя свой 160 000 человек, посылая десятки тысяч сообщений в день. Его главное private key, показывая сообщение и адрес получателя как открытый текст достоинство — это простота в использовании. Cypherpunks mailer, обес (plaintext).

печивающий гораздо лучшую защиту, сейчас становится все более попу 4. Вся информация об авторе письма удаляются.

лярным, чему способствует быстрое распространение информации о нем.

5. В конце концов, письмо отправляется по e mail адресу получа теля.

Пользователь anon.penet.fi системы для начала должен получить анонимный ID.

Если вы доверяете оператору remailer'а, это хорошо. Однако ос новной момент в деятельности cypherpunks remailer — это недоверие по Это можно сделать, отправив сообщение кому то, кто уже имеет отношении к любому человеку или системе. Итак, тот, кто хочет обеспе анонимный ID один (к примеру, отвечая на пришедшую из Usenet поч чить реальную защиту своей корреспонденции, использует цепочку ту), или послав письмо по адресу ping@anon. penet.fi. В любом случае remailer'ов. Если все remailer'ы в цепочке действительно заслуживают до penet отправит обратно новый анонимный ID (что то вроде an верия, то секретность сообщения гарантирована.

anon.penet.fi). Если затем an123456 пошлет письмо другому пользователю системы, то получится следующее:

Чтобы использовать цепочку remailer'ов, необходимо сначала приготовить сообщение, которое будет себя уютно чувствовать под гне Безопасность E mail 127 128 Безопасность E mail том множества уровней шифрования, подобно матрешке. Подготовка та ющих remailer'ов и постоянно его обновлять. Выбрав надежных remail кого сообщения — это утомительная работа, в которой практически не er'ов, вы можете быть спокойны: ваши письма доберутся до своих почто избежны ошибки. Поэтому многие используют автоматизированный ре вых ящиков.

дактор типа пакета premail.

Адреса некоторых анонимных remailer'ов В любом случае, после того как сообщение готово, оно посыла Самый популярный и надежный анонимный remailer — это ется первому remailer'у в цепочке, что соответствует самому высокому anon.penet.fi, (оператор Johan Helsingus). Чтобы получить анонимный уровню шифрования. Каждый следующий remailer удаляет еще один ID, отправьте письмо по адресу ping@anon.penet.fi.

слой шифра и посылает сообщение следующему до тех пор, пока пись мо не достигнет последнего remailer'а. Здесь снимаются остатки шиф Сервер anon.penet.fi делает все возможное, удаляя все заголовки рования. Когда этот уровень пройден, сообщения приобретает вид от или любую другую информацию об источнике сообщения. Но и вы, со крытого текста (plaintext) и отправляется к своему фактическому своей стороны, должны отследить все, что так или иначе может открыть адресату.

авторство письма. К примеру, достаточно часто случается, что в e mail'е сохраняется подпись (сигнатура), начинающаяся отнюдь не с « »;

это, Remailer'ы расположены в различных частях земного шара. Сред конечно, не может радовать. Свои письма вы можете посылать по адре нестатистическое письмо, прежде чем оказаться в руках адресата, может су: anXXX@anon.penet.fi.

побывать в Канаде, Голландии, Беркли и Финляндии.

Вы можете адресовать свое письмо еще одному анонимному поль Кроме трудностей при подготовке шифрованных сообщений всех зователю, и ваше сообщение также будет обработано на anon.penet.fi:

типов, другой недостаток cypherpunk remailer'ов состоит в том, что они не alt.security@anon.penet.fi.

позволяют свободно отвечать на анонимные послания. Вся информация об отправителе, включая обратный адрес, удалена от получателя как в Если вы хотите анонимно зарегистрироваться в целой группе на физическом, так и в виртуальном отношении. Впрочем, новые alias сер Usenet, также обращайтесь к alt.security, который зарегистрирует письмо веры обещают устранить этот недостаток. Для того, чтобы использовать на локальном сайте (в данном случае в Финляндии): ping@anon. penet.fi.

alias сервер, надо создать новый email адрес (например, raph@al Если пошлете сообщение по этому адресу, то вам будет назначен pha.c2.org). Корреспонденция, приходящая сюда, будет отослала на ваш ID (подразумевается, что у вас его еще нет). Здесь же вы должны подтвер реальный адрес. Чтобы установить это, сначала зашифруйте ваш дить свой ID.

e mail адрес, используя несколько уровней шифрования. Затем, исполь зуя шифрованный канал, пошлите зашифрованный адрес и прозвище Вы также можете установить пароль, который поможет идентифи (nickname) на alias сервер, который внесет ваш шифрованный адрес в ба цировать все исходящие от вас сообщения (этот пароль включается в со зу данных. Ответные послания обрабатываются alias сервером в целом став пересылаемого письма). Чтобы установить пароль, свяжитесь с pass так же, как на anon.penet.fi, за исключением того, что почта пересылает word@anon.penet.fi;

текст послания — ваш пароль, например:

ся по цепочке из анонимных remailer'ов.

To: password@anon.penet.fi В целях максимальной защиты переписки можно упорядочить це Subject:

почку таким образом, что каждое ее звено (remailer) будет добавляет еще TN0_rUlEz один уровень шифрования к тексту сообщения, одновременно удаляя Анонимная регистрация в Usenet другими пользователями один уровень шифра с e mail адреса. Когда адресат, наконец, получит Usenet групп встречается крайне неодобрительно. Они заявляют, что к e mail, письмо будет многократно зашифровано. Так же, как маленькая их мнению никто не прислушивается. Это происходит потому, что они матрешка помещается в нескольких большего размера, так и текст пись считают, что анонимность используется для маскировки и причинения ма скрыт за слоями шифра.

людям всяких неприятностей, в то время как анонимность может ис пользоваться для защиты от какого нибудь социального предрассудка Необходимо отметить, что remailer'ы должны быть во всех отно (или из опасения, что высказываемые суждения могут быть сообщены шениях абсолютно надежны. Это особенно важно, когда используется начальству). Кстати, если вы думаете, что анонимность — это инстру цепочка remailer'ов: если хоть один из них не работает, то сообщение не мент, который возможно использовать для резкой критики существу дойдет до адресата. Поэтому советуем составить список реально работа Безопасность E mail 129 130 Безопасность E mail ющих властей, то подумайте еще раз и вспомните известный случай, ког между подключенными к сети компьютерами. Идентификация этих да администратор сервера был принужден постановлением суда рас компьютеров осуществляется с помощью так называемых IP адресов, крыть анонимный ID. каждый из которых представляет собой уникальный 32 битный иденти фикатор, обычно записываемый в виде четырех десятичных чисел, на пример, 192.168.0.1. И с точки зрения адресации сервер, обрабатываю Глава 6.

щий ежесекундно тысячи запросов, практически ничем не отличается от вашего компьютера, подключаемого к сети по dial up. Единственная Подмена IP адреса при отправке e mail разница — домашний пользователь, как правило, получает так называе мый динамический IP адрес, меняющийся от подключения к подклю Если взять пришедшее электронное письмо, то очень легко мож чению.

но узнать, кто это письмо отправил. Для этого нужно лишь взглянуть в тело письма (служебную информацию).

В то время как адрес сервера должен быть доступен всем клиен From test@hacksoft.ru там, желающим воспользоваться его услугами, клиент вовсе не обязан Tue Jul 04 01:00:48 2000 афишировать свой адрес на каждом углу. Более того, обнародование Received: from [212.34.50.173] (helo=01) by smtp3.mail.ru with IP адреса может привести к весьма серьезным последствиям.

smtp (Exim 3.14 #4) id 139DKf 000HDa 00;

Что можно сделать с человеком, зная его IP адрес? Ну, например, Tue, 04 Jul 2000 01:00:45 +0400 Message ID:

если на его машине с Windows’95 живет NetBIOS over IP и разделены для 001301bfe531$df0a0fc0$ad3222d4@01:

доступа по сети, да еще и без паролей, некоторые диски, то довольно...и т.д. Нас интересует только эта часть письма. Рассмотрим много (для заинтересовавшихся — помочь здесь могут nbtstat, lmhosts и строчку Received: вот как раз 212.34.50.173 и есть IP адрес отправившего net use). Правда, это не слишком часто встречается у dial up пользовате вам письмо. Чуть ниже мы можем найти и время, в которое этот IP адрес лей. Другой пример — в прошлом году были найдены дыры в IE и NN, был в Интернет: Tue, 04 Jul 2000 01:00:45 +0400.

позволяющие получить доступ к файлам клиента. Дырки те, правда, уже прикрыли, но кто знает, сколько их еще осталось.

Следовательно, при определенных действиях можно узнать и те лефон этого человека. Я думаю, человек, который постоянно спамит ва До сих пор пользуются популярностью в определенных кругах шу почту, будет наказан, если вы обратитесь к его провайдеру с просьбой программы, объединяемые общим названием (восходящего к первой помочь вам и отправите ему присланный вам спам в качестве доказатель программе этого класса — Winnuke), которые осуществляют атаки типа ства.

Denial of Service, приводящие к зависанию или отключению от сети ата куемого компьютера.

Но мы отвлеклись, нас интересует вопрос подмены реального IP.

При отправке электронного письма с помощью почтового клиента Посмотрим, какие действия можно предпринять для определения подменить IP практически невозможно, а вот при отправке почты через и сокрытия IP адреса.

web интерфейс (из браузера), например, таких почтовых служб, как Абсолютных рецептов, конечно, не существует, можно говорить mail.ru или hotmail.com, такая возможность существует. Мы просто лишь о наиболее распространенных случаях. Вообще говоря, ваш IP ад заходим на почтовую службу через анонимный прокси сервер, и тогда рес может засветиться в огромном количестве мест. Другое дело — как в теле письма будет IP адрес прокси.

его потом оттуда вытащить. Скажем, ваш любимый браузер при заходе на любую страницу сообщает о себе достаточно много информации.

Глава 7.

В качестве простой демонстрации приведу скрипт на Perl, выводя IP адрес: определение, сокрытие, щий основную информацию о посетителе страницы:

последствия Листинг 1. showuser.pl #!/usr/bin/perl Как известно, Интернет основана на семействе протоколов print ("Content type: text/html\n\n");

tcp/ip, определяющих, каким образом осуществляется взаимодействие Безопасность E mail 131 132 Безопасность E mail @ee=( Способ применения очень прост — вы вставляете в свое сообще "CHARSET", ние текст наподобие следующего:

"HTTP_USER_AGENT", "HTTP_REFERER", где id — идентификатор канала (помогает не запутаться при использова "REMOTE_ADDR", нии скрипта на разных чатах разными людьми).

"REMOTE_HOST" );

Если этот чат поддерживает вставку html тегов, то скорее всего вы foreach $e(@ee) увидите анимированный логотип HackZone. Все, что теперь осталось, — { просмотреть лог (http://www.hackzone.ru/ files/snifflog.txt), в который пи print "$e: $ENV{$e}
\n";

шется дата обращения к скрипту, IP адрес и идентификатор id.

} Поскольку речь идет о демонстрации, в логе хранятся только Вообще то это самый безобидный случай обнародования последних записей.

IP адреса (разве что если допустить злой умысел web мастера, устано вившего скрипт, атакующий посетителя, но вероятность целенаправлен Листинг 2. sniffer.pl ной атаки ничтожно мала).

#!/usr/bin/perl $log = "/local/path/on/your/server/snifflog.txt";

IP адрес отправителя можно вытащить из заголовка полученной $now_string = localtime;

электронной почты (скорее всего, он будет лежать в последнем поле @thetime = split(/ +/,$now_string);

Received:;

в отличие от поля From:, его подделать чуть сложнее). Если у @theclock = split(/:/,$thetime[3]);

вас динамически выделяемый адрес, то подобная ситуация не слиш $ampm = 'am';

ком опасна. Хуже, если адрес постоянный, что, правда, встречается if ($theclock[0] > 11) пореже.

{ $ampm = 'pm';

} Самыми опасными с точки зрения обнародования IP адреса ока if ($theclock[0] == 0) зываются всевозможные системы для интерактивного общения — IRC { $theclock[0] = 12;

} (командой /whois), InternetPhone, ICQ и т.д. Справедливости ради надо if ($theclock[0] > 12) заметить, что некоторые из них пытаются прикрыть адрес пользователя { $theclock[0] = 12;

} (скажем, в MS Comic Chat показывается только часть адреса, в ICQ’ else появилась возможность сокрытия своего адреса, не слишком, правда, хо { $theclock[0] += 0;

} рошо работающая при общении со старыми версиями), но в большин $lnum=$ENV{'QUERY_STRING'};

стве систем адрес лежит совершенно открыто. Что же касается html ча open (DB, "$log") || die "Can't Open $log: $!\n";

тов, здесь все зависит от желания разработчика, принципиальная flock(DB, 2);

возможность показа IP адреса существует, как это было продемонстри @line=;

ровано чуть выше.

flock(DB, 8);

close(DB);

Идея следующая: если в чате разрешен ввод тэгов html, никто не $line0="[$thetime[0] $theclock[0]\:$theclock[1]$ampm] (".$lnum.") помешает вставить в свое сообщение что то типа:

". $ENV{REMOTE_ADDR}." ".$ENV{REMOTE_HOST};

$maxline=@line;

В итоге все присутствующие в чате (даже не зарегистрировавшие $maxline=30 if ($maxline>30);

ся) будут, сами того не ведая, вызывать скрипт sniffer.cgi. Ну, а остальное open (DB, ">$log") || die "Can't Open $log: $!\n";

уже дело техники, реализация подобного скрипта на Perl, ведущего лог flock(DB, 2);

всех обращений, займет несколько строчек.

print DB ("$line0\n");

for ($i=0;

$i<$maxline;

$i++) { Безопасность E mail 133 134 Безопасность E mail print DB ("$line[$i]");

Перед тем, как приступать к каким либо действиям, узнайте адре } са сайтов интересующих вас провайдеров, максимум информации ни flock(DB, 8);

когда не помешает в критических ситуациях. Вам нужно определить себе close(DB);

подходящего провайдера, как, например: где пускают больше одного че print "Location:

ловека по одному логину, где нет автоопределителей номеров, где канал http://www.hackzone.ru/images/hz_animated.gif\n\n";

необъятных размеров, где много народу и т.п. В общем, выбираем самое лучшее и безопасное. Если есть из чего выбрать, то лучше выберите па Теперь немного о том, как же защититься от всего этого безобра рочку серверов.

зия. Самый простой способ прикрыться при прогулках по Web — вос пользоваться proxy либо службой наподобие Anonymizer, Inc. Принцип Итак, к примеру, у вас в городе CITY есть интересующий вас про их работы аналогичен — вы напрямую общаетесь только с proxy серве вайдер PROVIDER. Лезем в Интернет, заходим на сайт PROVIDER, пы ром, а черную работу по заходу на сайты он делает за вас.

таемся получить список пользователей. То есть логины, через которые, собственно, все мы и выходим в Интернет. Способов много, самый про Если вас все таки волнует проблема с обнаружением своего IP ад стой и традиционный — это последовательно заходить на странички реса при использовании e mail, вы можете воспользоваться службой то всех пользователей и копировать в отдельный файл почтовые адреса со го же Anonymizer’а для отправления писем через web либо каким нибудь здателей этих страничек (к примеру, Kati@PROVIDER). Даже если их анонимным ремэйлером.

будет не больше 10–15, дело можно считать успешно завершенным. Но Хуже всего дело обстоит с чатами. Проблема в том, что если най бывает, что провайдеры отказываются размещать странички пользова ти какой нибудь левый прокси для www достаточно легко, подобный телей. Тогда берем любой сканер портов и смотрим, чего у них там есть.

сервис для irc, icq и иже с ними встречается, мягко говоря, очень редко Если вы нашли 79 порт, вам крупно повезло! Вводим строку типа: «finger и для простого dialup пользователя практически недоступен. Именно @PROVIDER», должен вывестись список пользователей, находящихся поэтому большая часть средств для атаки по IP заточена под всевозмож на данный момент на линии. Все это копируем в файл со списком поль ные irc клиенты. Так что бороться тут можно лишь двумя способами.

зователей. Список пользователей можно вытащить и другими способа Самый надежный — не использовать их вообще. Более реалистичный — ми, такими как список личных папок на FTP, форумы на сайте провай бороться не с причиной, а со следствиями — разыскать свежайшие за дера, разделы статистики для пользователей. Можно подсоединяться на платы и надеяться, что против вашей брони еще не изобрели подходя IP адреса и смотреть название машины, которое часто совпадает с логи щей пушки.

ном пользователя. Остальные методы основаны на уязвимости различ ных сервисов: дырки в CGI скриптах, стандартные неприкрытые ссыл ки, глупые FTP, POP3, SMTP, TELNET серверы, выдающие Глава 8.

информацию о несуществовании того или иного логина и т.п. Как вы Чужое мыло — путь к паролям! поняли, у нас получился файл с e mail адресами и логинами. E mail ад реса оставляем как есть, к логинам добавляем @PROVIDER. Иными Все достаточно просто, и при дальнейшем рассмотрении вы сами словами, делаем список почтовых ящиков пользователей данного в этом убедитесь. Самое главное — это логины, через которые осуще PROVIDER’a.

ствляется вход по dial up, в них вся соль, пароли придут позже… К со К примеру:

жалению, для реализации этой затеи необходимо иметь выход в Kary@moscow.mru.ru Интернет. Если у вас нет его вовсе, то можно пойти в какой нибудь иг vova@moscow.mru.ru ровой клуб, где можно выходить в Интернет, или в библиотеку в раздел Demos@moscow.mru.ru иностранной литературы, где под видом поиска редких книг вы будете aha34@moscow.mru.ru искать не менее редкий халявный Интернет. Для этого также сойдут:

соседи, друзья, знакомые, учреждения, в общем, все, кто имеет доступ и так далее… к Интернет. Цель одна — получить на час два компьютер, подключен Существенный этап пройден, но дел еще много… Теперь нам нуж ный к Интернет.

но определиться, каким образом пароли будут к нам приходить: написа Безопасность E mail 135 136 Безопасность E mail нием обычного письма под видом администратора с просьбой выслать ют почту после того, как побывают в Интернет. Именно поэтому такой утерянный пароль;

отсылкой самостоятельного трояна или же умного способ не всегда работает… backdoor’a? Выбор за вами, может, вы что то свое придумаете… Метод отсылки активных троянов сложнее и менее безопасен, но Написание письма под видом администратора очень неэффектив зато очень эффективен. Если у вас есть Интернет, пусть даже платный, то но, но все же иногда срабатывает, если пользователь — полный ламер. лучше отсылать именно таких троянов. После запуска они постоянно Берем любую почтовую программу, в ней указываем обратный адрес ти «висят» в памяти компьютера, и как только жертва выходит в Интернет, па VASIA_ADMIN@IP адрес сервера на который придет ответ. Почему троян посылает уведомление об этом на определенный почтовый ящик, Вася и почему админ, ясно, так как зарегистрироваться с таким именем например, такой как ящик № 2. Само собой, перед этим нужно выбрать, на том же mail.ru будет проще, чем root@mail.ru. Но писать в конце какой троян подходит именно вам, сейчас их достаточно много, прове mail.ru достаточно рискованно и глупо, лучше написать IP, обычно жерт ренные есть на www.ginteam.org, или же, если хотите экзотики, найдите ва от ужаса и страха верит цифрам с первого взгляда. Можно также напи по поиску на neworder.box.sk. После того, как троян выбран, его нужно сать письмо типа: «Я — админ, у нас авария, помогите восстановить базу настроить. То есть покопаться в настроечной части, которая обычно к пользователей, за это вам будет начислено 50 Интернет часов бесплат нему прилагается. Самые основные настройки — это номер порта, по ко но». Дальше просто ждем… торому вы планируете подключаться к жертве, пароль на этот порт, в слу чае, если вы не один такой умный, и, конечно, на какой почтовый ящик Отсылка ленивых троянов — достаточно хороший способ атаки отправлять уведомление о том, что жертва находится в Интернет.

на жертву, однако он работает только в том случае, если жертва после прочтения письма и запуска нашего файла будет находиться в Теперь о тактике: обычно пользователи выходят в Интернет с Интернет, но зато этот способ самый безопасный и не требующий до 23, в это время вам нужно будет находиться в Интернет и постоянно практически никаких усилий. Для начала вам нужно завести два поч проверять почтовый ящик № 2. Как только вам пришло письмо, в нем товых ящика, с поддержкой POP3 и SMTP сервисов, причем ящики будет IP адрес жертвы, вам нужно будет запустить клиентскую часть тро должны быть на разных серверах, плюс вам понадобится TheBat. За яна (серверная часть запускается у жертвы, а вы, как клиент, используе чем? А вот зачем: TheBat позволяет самостоятельно указывать ваше те сервер в своих целях. Клиент также используется для предварительной имя и обратный адрес, то есть тут вы можете написать все что угодно, настройки серверной части трояна), которая подключится к серверной письмо успешно придет с любым адресом (BillGates@microsoft.com). части, и вы получите полный контроль над жертвой! А это список всех Ящик № 1 будет служить для анонимной отсылки почты при помощи паролей, и полный доступ к жесткому диску, и многое другое.

TheBat’a. Все остальное пишется как обычно. К примеру, регистриру Еще раз напоминаю, не забудьте указать в свойствах серверной ча ем почтовый ящик trojanspamwork@ mail.ru. В TheBat’e указываем имя сти пароль при входе, иначе любой человек сможет сделать с вашей жерт John Smith, обратный адрес Vasia@ friends.nirvana.ru, в поле smtp сервер вой то же самое, что и вы. И вы не сможете каждый месяц получать об пишем SMTP.MAIL.RU, в поле POP3 сервер указываем новленные версии паролей к этому логину. Рекомендую заботиться о POP.MAIL.RU, в поле LOGIN указываем trojanspamwork, в поле паро свой жертве, чистить ей реестр от кривых программ, проверять на виру ля — выбранный вами пароль. Второй ящик лучше делать на другом сы — и тогда ваше взаимодействие станет полезно вам обоим.

сервере, например, на chat.ru, туда будут приходить письма с паролями к логинам. Теперь о безопасности при использовании чужих логинов. Входи те в то время, когда владелец обычно не посещает Интернет, не наглей Теперь вам нужно составить текст письма, тут фантазия не имеет те, если человек юзает по почасовой оплате, имейте совесть, не оставляй границ, пишите что угодно, главное — чтобы вам поверили и запустили те его без штанов. Если вдруг вас не пускают по этому логину, не враждебный файл. Файлом является троян, который мгновенно отпра старайтесь делать это более 3 х раз, иначе это вызовет подозрения у ад вит всю информацию о жертве на указанный вами почтовый ящик. Вот министратора. Лучше попробуйте сделать это на следующий день. Если как указывать трояну, куда слать почту: обычно идут два файла, сам тро вам звонят домой и говорят, что вы попались, вас засекли и скоро поса ян и его модификатор. Модификатор задает размер, иконку, сценарии дят, плюньте им в трубку! Вас должны поймать за руку в то время, когда при запуске и еще много чего… После подобной рассылки троянов вам вы чатитесь со своим другом из Занзибара по ворованному логину. Авто нужно всего лишь периодически заглядывать на ящик № 2 и забирать определенный телефонный номер, по крайней мере у нас в России, не новые пароли… Но недостаток заключается в том, что иногда люди чита Безопасность E mail 137 138 Безопасность E mail считается веской уликой, так как при нашей связи техника может легко программу хрен сыщешь. Раньше она лежала на mirabu.da.ru (может, и ошибиться… Наверняка каждый из вас попадал не на тот номер, на кото сейчас лежит). Я ее уже давно не юзал и совсем не уверен, что дырку не рый звонил… Не храните свои данные в открытом тексте, при изъятии закрыли.

компа в нем покопаются основательно, так что шифруйтесь! Давить бу Стащить аську можно и другими способами. Если есть доступ дут основательно, так что легенду про добрых хакеров в чате, раздающих к вражеской машине, то надо стащить номер_аси.dat и номер_аси.idx. Ле логины, лучше придумать сразу… В общем, отмазки катят, если вы в них жат они в каталоге db, который лежит в каталоге аси. Можно заслать на сами верите!

чужой комп граббер. Некоторые юЗвери пишут в графе e mail адрес несу ществующего сервака.

Глава 9.

Если ты наткнешься на такое, то тебе надо будет зарегистрировать такой домен. То есть если он там прописал lamazZ@mustdie.fu, то тебе на Защита ICQ до купить (по сгенеренной кредитке) домен www.mustdie.fu. Я для этих целей всегда использую службы AWC.Net и Namesecure.com. Только до Приветик! В этой главе я тебе расскажу почти все про тетю Асю.

мен *.ru/nu/cc/fu или подобный зарегистрировать нельзя. Надо исполь Для начала разберемся со взломом. Сначала тебе надо узнать IP’шник.

зовать русские службы. Но я тебе этого делать не советую. На сегодня Его можно посмотреть в инфе о пользователе (если его там нет, надо хватит. А вот и список софта:

уйти в оффлайн). Если там написана обламывающая фраза N/A, то на до запустить NETSTAT (она находится в папке с виндами). Мне он не очень нравится, но если ты все таки хочешь использовать его, то тебе ICQ Flooder надо загружать из сеанса MS DOS. Программа досовская, и поэтому Очень простой и эффективный флудер. Указываешь IP, если запускать ее через RUN или Explorer, то окно с результатами тут ICQ порт, и вперед… же исчезает.

ICQ Ip Sniffer Вместо NETSTAT’а можно использовать почти любую програм му, отслеживающую соединения по твоему хосту. Но легче всего исполь Самый обычный сниффер. Приятна на физиномордию и проста зовать специальные патчи или снифферы. Список софта подобного типа в обращении.

ты найдешь в конце этой главы. Дальше надо узнать порт вражеской аси.

Для этого лучше всего использовать PortScan (их несколько. Лучший — ICQ ShutDown от седьмой сферы).

По одному только IP’шнику отключит «клиента» от ICQ.

Аськин порт находится в диапазоне от 1000 до 1100. Узнав порт и IP, можно браться за флудер. Дальше ты и сам сообразишь. А теперь HiJack!

поговорим о защите. Во первых, выставь в Security&Privacy, чтобы твой Позволяет без пароля войти в чужую аську.

IP не показывался, установи авторизацию при добавлении в кон такт лист, выставь удаление сообщений, поступающих с липовых юинов и от WWPager’ов. Можно также подменить свой IP. Для этого в настрой Глава 10.

ках соединения установи, что ты сидишь через локалку с 4 сокетным фа Как найти расшаренные ресурсы в сети ервалл прокси сервером (во загнул то). А вместо IP прокси подсунь свой новый IP. Тогда никакой сниффер не поможет. Но тут тоже есть с помощью ICQ и ISOAQ свои минусы. Тому, кто будет слать тебе мессадж, придется слать его не напрямую, а через Мирабилис, что гораздо дольше.

Вот ты поставил себе эту замечательную программу ISOAQ. Те перь мы будем использовать Асю и эту суперштуку для поиска расшарен Есть еще такая программа, HiJackназывается. Она позволяет вво ных ресурсов.

дить пароли неограниченной длины. То есть ты можешь ввести от балды пароль в асю и спокойно ей пользоваться как своей. Только теперь эту Все по порядку.

Безопасность E mail 139 140 Безопасность E mail Берем тетю Асю, естественно, предварительно пропатчив ее с по адреса admin@provider.com и support@provider. com. Так вот… Пишешь мощью ISOAQ патчера. Мы будем искать юзеров, находящихся в онлай письмо (очень желательно через www браузер, например, от не в данный момент, и пытаться законнектиться с их ресурсами. Для это www.mail.ru или www.hotmail.com) и через анонимную проксю. Это для го мы должны найти побольше юзеров. Берем в Асе поиск по нику того, чтоб в заголовке пакета был IP прокси. Так… для секьюрити… Так (nickname). Здесь как уж у тебя фантазия сыграет… Я брал nickname вот. В теле письма пишешь, что так и так… Злобные хакеры украли у те «Lena». Не забудь поставить фишку, чтобы юзеры были в онлайне! Я уве бя мыло, а тебе очень нравится их служба, сервис, скорость работы, рен, ты найдешь тысячи таких юзеров. Далее проводим исследования. безглючность и все такое… Что ты никогда не променяешь ихний сер Наша цель — найти подсети, в которых тусуются юзеры. Обычно провай вис и что они вообще самые крутые мыльщики! Указываешь ИМЯ, ФА деры выделяют некоторую подсеть для своих клиентов или мы будем ска МИЛИЮ, ЗИП, ГОРОД, Телефон (от балды) или что они там еще про нировать подсети иных крупных организаций. сят… Естественно, назад придет письмо, что «Информация не совпадает с введенной при регистрации и все такое…». Но ты будь на Если ты нашел такую подсеть — ты нашел золотую жилу для ис стойчивей! Пиши назад, что «то, что ты им выдаешь, — единственная следований.

верная информация о твоем аккаунте»! И повторяешь им ту же инфу, что и первый раз. И так, пока админ не сломится… но не забывай каж Так вот в чем заключается система: мы нашли некоего юзера с за дый раз расхваливать их сервис! Обычно раз на 7–10 прокатывает… У данным ником, добавили его в контакт лист и узнали его IP с помощью Твикера ISOAQ. Далее мы юзаем любой сканер для поиска шаренных ре меня был даже раз случай, когда один буржуйский админ «отдал» мне сурсов. мыло, где (как потом оказалось) инфа, прописанная в мыле, ВООБЩЕ не соответствовала той, что я ему ВЫДАВАЛ якобы за владельца акка Пример. Мы нашли юзера с ником Vovan, смотрим его IP (допус унта!

тим, IP=195.146.10.120), запускаем сканер на подсеть 195.146.10. Так что дерзайте, тут, главное, БОЛЬШЕ фантазии и упорства! Но 195.146.10.255, я уверен, что ты найдешь кучу других юзеров, у которых и о безопасности не забывайте!

ресурсы будут расшарены (я брал сканер NetTools 2.2).

2. Второй способ. Посложнее, но все равно общедоступный. Поч Я не буду сейчас рассказывать, как париться с запароленными ре ти в каждом мыльном сервисе есть служба что то типа «Forgot сурсами, ты найдешь кучу хостов без пароля.

Password?» Так вот… Заходим туда (предварительно не забыв изменить Вот, в принципе, и вся система! Далее все происходит заново, т.е.

атрибуты файла cookie_для_этой_службы на ReadOnly). Там обычно ты берешь «следующего» Vovan’a и тем же макаром исследуешь.

ОЧЕНЬ простые вопросы… Если повезет, то вопрос будет (к примеру, на мыло.ру) «В каком городе ты родился?» В первом способе описано, Несколько самых простейших способов «взлома» как узнавать город юзверя по мылу, так что на этом не будем останавли мыла ваться. Ну, и вопросы бывают «кустомайзские» типа «2000», ответ обыч но такой же… А вот если что нибудь типа «Как зовут мою собаку?», то 1. Один из самых простых. Пишите владельцу мыла какое ни читай ниже… будь письмо, все равно с каким содержанием, но лишь бы хозяин мыла ответил. Если это какой нибудь «чудо крутой хакер», то что нибудь ти Открываем эту страницу и там в HTML просмотре ищем строчку па: «Слушай, а ты, в натуре, можешь сайт сломать??? http://www.micro типа:

soft.com — не твоя работа???» и так далее в этом духе… Если web мастер, form action="/cgi bin/3970.dll?secquest" то что нибудь типа: «Мне так нравится, как ты пишешь! А у тебя Так вот… Если URL мыла http://www.mail.ru, то полный URL мес JAVA скрипта нету, чтоб он там что то делал???» По фигу ЧТО, главное та, куда отправляется «секретный ответ», будет http://www.mail.ru/cgi чтоб от него назад ответ пришел. В принципе, эта вся процедура была bin/3970.dll?secquest. Этот URL вводишь вместе с идентификатором Во только для того, чтоб узнать ИМЯ_ФАМИЛИЮ (или ник) и место рас проса в программу типа WebCrack 2.0. Идентификатор вопроса положения «клиента».То бишь, если по этому мылу находится аська, то находится там же, где и form action=/cgi bin/3970.dll?secquest, только чуть смотрим инфу в аське, город (если не прописан в аське, то по IP), имя, дальше. Потом в эту программу или загружаешь встроенный wordlist c возраст и зип. Потом пишешь админу мыльного сервака (у любой мыльной системы есть админ, и у 99% www шные сервера), обычно это Безопасность E mail 141 142 Безопасность E mail паролями или пишешь свой по конкретной тематике, это зависит от во Принципиальные недостатки безопасности проса. И вперед! Запускаешь и ждешь… WWW почты Так что тут тоже нужно терпение и хоть базовые знания HTML.

Ненадежность обычной почтовой программы определяется без грамотностью ее написания.

Вы, наверное, замечали, что на некоторых сайтах при попытке нажать правую кнопку мыши, например, для того, чтобы сохранить по Браузер же как система прочтения почты изначально недостаточ нравившийся фон или рисунок, выскакивала надпись типа: «Фигуш но безопасен, поэтому создатели почты вынуждены налагать ограниче ки!!!» или «Вход воспрещен». Вы не знаете, как это обойти? Я скажу вам ния на тэги, используемые в письмах ( службы рассылки писем.

Защититься от этой атаки, как всегда, просто. Отключить Java, а лучше отказаться от использования Web интерфейсов. Тот же mail.ru Письмо можно сформировать просто присоединением (attach) предлагает и форвардинг, и pop сервера. Экономия на настройке прино HTML файла (в Netscape Messenger, например), содержащего необходи сит проблемы с безопасностью не только администраторам больших се мые тэги. Присоединенный в Messenger’е HTML файл mail.ru откроет тей, поверьте.

автоматически.

Как только абонент попытается прочитать письмо, выполнится Составляем список абонентов сервера апплет, и через несколько секунд форма будет отослана от имени Заветной мечтой всех спаммеров мира является список (база) або жертвы.

нентов. Недаром в их среде постоянно ходят слухи о каких то почтовых Вот, в принципе, и все. Пользователю присвоен новый пароль.

серверах, поддерживающих команду finger. Часто на форуме можно ви Если мы хотим «просто подслушивать» пользователя, в значение полей деть крик души:

Password необходимо внести 16 звездочек, а в поле Forward — куда отсы "Нужна база е мейлов по заграничным и Московским сайтам $$$ — лать копии. Это довольно рискованный вариант: пользователь может Вася 02:53:36 06/1/2000 (0)" случайно заглянуть в настройки и заметить адрес.

Нередко почтовые Web сервера могут «бесплатно» предоставить подобную информацию. Метод ее получения довольно прост. При ле гальной работе с почтовым ящиком запоминаем адреса CGI скриптов,

value="****************"> Потом вызываем их без параметров (форм). Вполне вероятны ошибки в скриптах, при которых они отработают с последними занесен ными (или использующимися в текущий момент) именами пользовате лей.

Безопасность E mail 147 148 Безопасность E mail Конечно, шансы на то, что параметры можно изменить, нулевые, Вызовы команд вида (в среде JDK):

а вот сообщение об ошибке доступа вполне может содержать имя пользо :javac getname.java — компилируем файл вателя, как это происходит на mail.ru. При обращении к тому же :java getname > userlist.txt http://koi.mail.ru/cgi bin/modifyuser?modify выдается сообщение вида:

занесут в файл userlist.txt примерно 10000 e mail адресов.

Настройки пользователя mnebojsa@mail.ru Теперь больной манией величия «хаксор» вполне может создать Ошибка. Не заполнены необходимые поля.

программу, автоматически рассылающую письма ловушки, отбираю При следующем обращении «сдастся» следующий пользователь щие почтовые ящики, практичный спаммер — рекламу, а конкуренты — или «@/», если таковых не окажется. Осталось исследовать внутреннюю сообщение вида: «бесплатный сервис mail.ru будет с начала месяца пре структуру ответа да написать программу, повторяющую подобные запро кращен, воспользуйтесь xxxx.ru» или все вместе.

сы и фильтрующую ответ в поисках нужной информации. Лучше запус кать ее в часы пик:

import java.io.*;

Глава 12.

import java.net.*;

Захват чужого мыла import java.util.*;

Думаю, что тема не требует лишних преамбул. Будут рассмотрены public class getname { два способа:

public static void main(String args[]) { String nextline;

социальная инженерия;

try применение специальных программ.

{ URL mailserv= new URL Социальная инженерия (пример с mail.ru). Идешь в рубрику «забыл ("http://koi.mail.ru/cgi bin/modifyuser?modify");

пароль» и смотришь секретный вопрос хозяина интересующего тебя мы for (int i=1;

i<=10000;

i++) ла. Затем знакомишься с хозяином (я обычно под видом прелестной де { вушки — черные мысли в сторону), и в процессе переписки/разговора DataInputStream input = new DataInputStream ( можно узнать ответ почти на любой «секретный» вопрос (любимое блю mailserv.openConnection().getInputStream());

до, имя собачки, девичья фамилия жены или рост). Если тебе хочется по nextline=input.readLine();

читать письма своих друзей, то можно поступить проще, если не знаешь nextline=input.readLine();

ответа на секретный вопрос (кто его знает, как безграмотный друг напи nextline=input.readLine();

сал), то, для таких случаев есть специальная анкета (типа той, что при ре // Нужный нам адрес — в третьей строке выходного гистрации), заполнить которую, зная человека, не составит труда (Фами // документа лия, имя, возраст, страна, город и т.д.), самое сложное — указать System.out.println( nextline);

примерную дату регистрации мыла, но если постараться, и это разреши input.close();

мо (проще всегда узнавать ответ на один и тот же вопрос, чем придумы } вать фуфло для каждого в отдельности).

} Другой метод — использование специальных программ. Ниже при catch(Exception ioe) ведено их полное описание, так как те функции, которые они в себе не { сут, помимо подбора пароля к мылу, оставить без внимания рука не под System.out.println(ioe.toString());

нимается.

} } };

Безопасность E mail 149 150 Безопасность E mail WWWHack 1.942 xavior Главные плюсы перед xavior — простота в настройке, немеренное Другая программа xavior, обладает лишь большей скоростью, но количество функция (даже подбор пароля к webforme). Эту программу настройка у нее гораздо муторнее.

посмотреть ты просто обязан. Теперь подробнее.

Вот запустил ты енту программу на своей тачке, и видишь урод ство, и говоришь себе: «Блин, что это за убожество, отстой, ни картинок Функции тебе, ни нормального ХЕЛПА…» Но это все пока ты не понимаешь цен 1. Авто Upgrade ности этой вещи. Ну вот, например, я тебе напишу неполный список то 2. «Двигатель» мыши го, что ты можешь сделать с помощью этой программы:

3. Атака на сервер подобрать пароль к мылу своего заклятого врага и поотсылать от его мыла вирус или лошадку;

4. Перебор паролей на запароленной страничке поломать техническую поддержку своего провайдера 5. Перебор паролей на WWW форме и раздобыть себе халявный аккаунтик, и делать далее все, 6. То же самое на E mail и FTP что твоей хацкерской душеньке угодно (даже продать его);

7. DNS Lookup раздобыть себе аккаунтик к порнушке, и даже если ты таким не увлекаешься (может, ты этакий Казанова и на Теперь подробней о каждой из этих фич:

этих баб, тем более в голом виде, уже смотреть не можешь, 1. Жмешь File Check for updates, и программа автоматически ска тошнит), то есть много людей, готовых за такой аккаунтик сделать ТтАаКкОоЕе!!!…уже проверено… чивает откуда то апдейт к себе любимой и сразу его устанавливает (это не троян и не вирус — не дергайся!), и таким образом у тебя постоянно но Ну, и многое другое, надеюсь ты сам понимаешь… вая версия!

Ну, хорошо, приступим к описанию самой программы. Вот запу 2. Эта фича будет периодически двигать твою мышу (как ей ска стил ты ее и смотришь… а что же тут делать, а вот сейчас я это и объ жешь). Очень тебе поможет, если ты зарабатываешь деньги в сети у спон ясню… соров. Находится в Tools MouseMove.

Перед тобой менюшка с 6 закладками, о каждой по порядку:

3. Denial of Service атака (только если ты сидишь на выделенке с каналом не менее 2 мегабит). 1. Information это закладка, в которой есть такие опции, как:

4, 5, 6. Думаю, не требует объяснений, все лежит в меню Access. Usernames File — это файл, в котором задаются логины.

Единственное по моему важное замечание — если ты ведешь ата Passes File — это файл, в котором задаются пароли.

ку на web форму, то ОБЯЗАТЕЛЬНО надо указать, какое слово лежит в Currently Position Filename — это файл с расширением *.xvp.

отказе, а тем более чтобы это слово не содержалось, если пароль принят!!!

Вот это и есть хорошая фишка этой программульки, это 7. Если тебе надо выяснить все о твоей жертве — это тебе поможет значит, что ты можешь долбать спокойно какой то мыл, и узнать очень многое! в нем сложный пасс, и требует долгого и упорного долбления, а тут как раз время ночной халявы кончается.

Ну, вот и пройден краткий курс молодого бойца по WWWhack.

И что делать, ты думаешь, а ничего не надо, будет все снова начинать! Программа запомнит позицию долбления и потом начнет с нее.

Далее идет status, то есть online или offline. В правом углу идет вся кая инфа типа номера сессии, попыток в секунду, оставшееся время и т.п. Внизу есть 2 окна: первое — всякая инфа ненужная, позиция дол Безопасность E mail 151 152 Безопасность E mail бинга, второе окно — это списки логинов и пассов, которые прошли или 5. Закладка Brute Forcing — установки Брут Форса, или наборы заканали… кто как называет. символов.

2. Закладка General Options — это, собственно говоря, все опции, 6. Закладка Advanced — вот нужная, в натуре, вещь, поподробней:

то есть:

Use WWW Proxy Web PROXY address Port — это Target (Adress/IP) — ну, это адресок того, что собираемся использование прокси сервера, вещь архинужная и долбить. Port — это порт, по которому долбится будем, по архиважная! Но вот пока не могу понять, почему же по умолчанию 80 (HTTP). умолчанию она отключена.

Directory/File (For WEB servers) — ну, а это папка на Sleep between multiple sessions… — пока сам понять не могу, серваке, куда долбиться будем, по умолчанию /secure. на фига оно надо?

Program to masquerade as… — это подо что программа Minimize To Tray — без комментариев… шифруется Use timeouts — это время отдыха программы между Number of Sesions — это количество сессий долбингом, советую отключить вообще.

Далее надо поставить галочку на Auto Save Position every 100 Log Accepted Names/Passes to "accepted.log" — записывать attemps. Потом идет выбор, куда же именно на серваке долбиться будем, удачные Логины и Пассы в этот файл.

то есть:

Теперь покажем все на примере: вот например, есть ПРОВ, Standart HTTP basic Authentication — это стандартная и я знаю ЛОГИН (если у юзверя есть мыло, то адрес до @ и есть, как проверка Логин\Пасса. всегда, ЛОГИН) и знаю, что Пасс у него состоит где то из 6 знаков. Му тим раз — берем Notepad и пишем там Логин, например, superlamer, то CGI BIN/POST — это определение Пасса\Логина по CGI бишь мыло у него будет примерно такое: superlamer@megaprov.com.

и в Формах.

Дальше берем любой генератор паролей и задаем ему сгенерировать 1000 паролей с большими и маленькими буквами и с цифрами… Есть???

Scripting — это по скрипту.

Молодец!!!

И вот последнее в этой закладке:

Мутим два — осталось настроить программу, и в путь!!! Значит, Checking Method — метод проверки.

ставим в программе именно тот файл с Логином, который мы там писа ли (superlamer), подставляем файл с Пассами, которые нам добротно сге Loop throught passwrds file once for every user — это прыгать нерировала программа — генератор паролей.

по Пассам на первый Логин, потом на второй Логин, и опять прыжки по Пассам.

Дальше ставим адрес, например, www.users. superprov.com, от ключаем тайм аут, включаем прокси (даже если у тебя уже стоит про Make passwrd equal to username — это, как я понимаю, кси, все равно включи, как говорится, «Оперативкой КОМП не испор программа берет первый Пасс и прыгает по Логинам, тишь!», ставим галочку на log accepted…, указываем файл для вроде, так.

сохранения попыток, чтобы не начинать при обрыве связи все с начала, Brute Force all character combinations — вот это самая и ставим «галку» в закладке General Options на Auto Save Posichion every рульная вещь, то бишь подбор по буквам 100 attempts!!!

3. Закладка Scripting — установки скрипта.

Все, ты готов к ворованию аккаунта. Идем в меню Actions (это там вверху) и жмем GO!!!

4. Закладка Mutators — это мутаторы, с их помощью можно, на пример, сказать программе, чтобы юзала Пассы и Логины только в ма леньких буквах.

Безопасность E mail 153 154 Безопасность E mail print ">MAIL FROM:<$mailFrom>\n";

Глава 13.

recv(SMTP, $buffer, 200, 0);

Маленькие хитрости твоего мыла print "$buffer\n";

Это только кажется, что в Интернет так легко затеряться, на самом send(SMTP, "RCPT TO: <$MailTo>\n",0);

же деле любое ваше действие оставляет долго не заметаемые следы… Но print ">RCPT TO: <$MailTo>\n";

как поступить, если возникает необходимость отправить (или получить) recv(SMTP, $buffer, 200, 0);

письмо и при этом остаться полностью анонимным?

print "$buffer\n";

Большинство серверов исходящей почты определяют IP адрес от send(SMTP, "DATA\n",0);

правителя сообщения и вставляют его в заголовок. Конечно, IP адрес — print ">DATA\n";

это еще не сам отправитель (которого поди найди), но иногда возникает recv(SMTP, $buffer, 200, 0);

желание остаться полностью анонимным.

print "$buffer\n";

В Сети существует множество служб, предоставляющих услуги по добного рода (например, proxy серверы, анонимайзеры), но многие ано send(SMTP, "From: Kris Kaspersky\n", 0);

нимайзеры явно указывают на желание отправителя остаться неизвест print ">From: Kris Kaspersky";

ным, а по поводу анонимности некоторых proxy серверов меня терзают print "\n\n";

смутные сомнения.

send(SMTP, "Subject: Test\n", 0);

· print ">Subject: Test\n";

Одно из возможных решений проблемы заключается в использо вании программы, разработанной специально для анонимной рассылки send(SMTP, "Hello, KPNC!\n", 0);

писем, которая исполнялась бы не на компьютере отправителя, а поме print ">Hello, KPNC!\n";

щалась на удаленный сервер.

На языке Perl такая программа могла бы выглядеть приблизитель send(SMTP, "\r\n.\r\n",0);

но так: print "\r\n.\r\n";

recv(SMTP, $buffer, 200, 0);

use Socket;

· print "$buffer\n";

my($mailFrom) = 'KPNC@APORT.RU';

· my($MailTo) = 'KPNC@APORT.RU';

send(SMTP, "QUIT\n",0);

print ">QUIT\n";

socket(SMTP, PF_INET(), SOCK_STREAM(), 6);

recv(SMTP, $buffer, 200, 0);

connect(SMTP,sockaddr_in(25,inet_aton("mail.aport.ru")));

print "$buffer\n";

recv(SMTP, $buffer, 200, 0);

close(SMTP);

print "$buffer\n";

Приведенный пример позволяет отослать только одно письмо по send(SMTP, "HELO kpnc\n",0);

указанному адресу.

print ">HELO\n";

На самом же деле, если программа может отправить одно письмо, то сумеет и десять, стоит только дополнить ее циклом (например, беско my($buffer) = @_;

нечным).

recv(SMTP, $buffer, 200, 0);

print "$buffer\n";

Скрипт необходимо разместить на сервере, который поддержива ет удаленное выполнение программ, разрешает telnet вход, имеет в нали send(SMTP, "MAIL FROM: <$mailFrom>\n",0);

чии интерпретатор Perl и допускает установку соединений с другими уз Безопасность E mail 155 156 Безопасность E mail лами сети. Перечисленным требованиям удовлетворяет, например, hob всего лишь транзитный узел пересылки, а «настоящий» отправитель на biton.org и некоторые другие бесплатные сервера. ходится совсем — совсем в другом месте.

Для размещения скрипта на сервере лучше всего воспользоваться Для этого достаточно вставить в заголовок одно (или несколько) ftp протоколом, а запустить его из telnet сессии проще всего так: «perl полей «Received», например, так: «Received: from mail.pets.ja» (конечно, имяфайла.pl». это очень грубая подделка, но в качестве примера вполне сойдет). Моди фицированный вариант скрипта отличается от оригинальной програм Для облегчения понимания этот пример не имеет никаких изме мы следующими строками:

няемых настоек, и все данные прописаны непосредственно в теле про send(SMTP, "Received: from mail.pets.ja\n", 0);

граммы.

print ">Received: from mail.pets.ja";

Заголовок письма, отправленного с ее помощью на ящик Заголовок письма, отправленного с его помощью, должен выгля «kpnc@aport.ru» (или по любому другому адресу) должен выглядеть при деть приблизительно так:

близительно так:

From kpnc@aport.ru Thu Apr 06 10:57:30 From kpnc@aport.ru Mon Jun 05 11:51:53 Received: from [209.143.154.93] (helo=kpnc) Received: from hobbiton.org ([216.161.239.42] helo=kpnc) by camel.mail.ru with smtp (Exim 3.02 #107) by hearst.mail.ru with smtp (Exim 3.14 #3) id 12d6EL 000NmZ id 12yrfs 000KGD for KPNC@APORT.RU;

Thu, 06 Apr 2000 10:57:30 + for KPNC@APORT.RU;

Mon, 05 Jun 2000 11:51:53 + Received: from mail.pets.ja From: Kris Kaspersky From: Kris Kaspersky Subject: Test Subject: Test Message Id: < E12yrfs 000KGD 00@hearst.mail.ru > Message Id: < E12d6EL 000NmZ 00@camel.mail.ru > Date: Mon, 05 Jun 2000 11:51:53 + Bcc:

В заголовке содержится IP адрес сервера, выполнившего скрипт, Date: Thu, 06 Apr 2000 10:57:30 + но нет никакой информации о подлинном отправителе этого сообщения Проанализировав строку, выделенную жирным шрифтом, полу (за исключением данных, которые он пожелал оставить сам). Немного чатель, скорее всего, решит, что письмо пришло с сервера mail.pets.ja и усовершенствовав предложенную программу, можно построить соб вряд ли обратит внимание на ретрансляторы, находящиеся выше. Выяв ственный анонимайзер, позволяющий его создателю (а возможно, и дру ление истинного получателя можно значительно затруднить, если не гим пользователям) рассылать анонимные сообщения и при этом гаран класть письмо непосредственно в почтовый ящик клиента, а пересылать тированно оставаться анонимом.

его через несколько транзитных серверов. Если задействовать несколько Однако технически возможно фиксировать IP адреса всех пользо десятков узлов и вставить в письмо несколько десятков подложных строк вателей, подключившихся к hobbiton.org (да так, собственно, и происхо «Received», то установить истинного отправителя сообщения станет дит, — этот сервер ведет протоколы всех действий пользователя) и запу практически невозможно, вернее сказать, нецелесообразно.

стивших скрипт рассылки на выполнение. Поэтому отправителю, Однако грубая подделка заголовка облегчает выявление фальси стремящемуся остаться абсолютно неизвестным, необходимо найти та фицированных полей. Основные ошибки, по которым легко узнается кой сервер, который бы не вел никаких протоколов. Другое решение за подлог, следующие: указанных адресов серверов вообще не существует в ключается в использовании нескольких десятков узлов, последовательно природе;

стиль заполнения сервером поля «Received» отличается от ис пересылающих скрипт (или команду на его выполнение) друг другу. Ес пользуемого злоумышленником;

реальное время пересылки писем сер ли хотя бы один из узлов этой цепочки не регистрирует всех подключе вером на порядок ниже (или выше), чем это следует из заголовка письма.

ний, то установить отправителя окажется невозможно.

Поэтому мало иметь образцы заполнения «Received» каждым из Кроме сокрытия анонимности отправителя, скрипт может ис узлов — необходимо выяснить средние задержки в доставке сообщений.

пользоваться для фальсификации (или уничтожения) заголовков писем.

Еще более сложно разобраться с алгоритмом генерации идентификато Например, можно создать видимость, что сервер, отправивший письмо, ров, добавляемых большинством транзитных серверов к заголовку пись Безопасность E mail 157 158 Безопасность E mail ма для избежания его зацикливания. Такой идентификатор уникален для жет запоминать) время, в которое он был выдан, и имя пользователя, ко каждого сервера и не может представлять абсолютно случайное значе торому он был выдан. Поэтому существует теоретическая возможность ние, поскольку тогда бы существовала возможность повторной выдачи установить личность получателя письма.

одного и того же идентификатора, что недопустимо.

Для сохранения полной анонимности можно воспользоваться Обеспечить уникальность помогает привязка ко времени пере специально разработанным скриптом, который читает корреспонден сылки письма. Некоторые алгоритмы генерации идентификатора позво цию и выкладывает ее на какой нибудь анонимный ftp сервер. Это поз ляют его обратить и узнать время, когда он был выдан. Это позволяет вы воляет убить сразу двух зайцев — скрыть собственный адрес и обойти явить поддельные идентификаторы, а вместе с ними и поддельные поля один из недостатков POP3 протокола — отсутствие докачки.

в заголовке письма.

В самом деле, если в ящике лежит сообщение огромных размеров, Причем по «внешнему виду» идентификатора трудно (невозмож а связь то и дело рвется, может потребоваться немалое количество попы но) сказать, каким образом он был получен. Для этого необходимо изу ток, пока, наконец, письмо не попадет на локальный компьютер. Напро чить исходные тексты сервера (если они доступны) или дизассемблиро тив, скрипт, выполняющийся на сервере с быстрым каналом, выполнит вать машинный код (если исходные тексты вне досягаемости). ту же операцию за значительно меньшее время и, выложив сообщение на В следующем заголовке приведены примеры двух идентификаторов. Ра ftp, значительно облегчит клиенту получение письма, поскольку теперь зумеется, визуально ничего нельзя сказать о том, как они были получе отпадет необходимость начинать процесс перекачки с самого начала по ны: сле каждого разрыва соединения.

From owner sf news@securityfocus.com В приведенном ниже примере в качестве альтернативы Perl ис Wed Sep 06 03:00:03 пользован язык Python, основные достоинства которого — простота и ог Received: from lists.securityfocus.com ([207.126.127.68]) ромное количество всевозможных библиотек, поставляемых вместе by hearst.mail.ru with esmtp (Exim 3.14 #4) с языком. Ниже будет продемонстрировано использование одной из id 13WRh6 000LBx 00;

Wed, 06 Sep 2000 02:59:57 + них.

Received: from lists.securityfocus.com Библиотека poplib скрывает от пользователя механизмы взаимо (lists.securityfocus.com [207.126.127.68]) действия клиента с POP3 сервером и значительно упрощает процесс by lists.securityfocus.com (Postfix) with ESMTP программирования. Минимально функциональная программа, чита id E62DC1EF74;

Tue, 5 Sep 2000 15:58:34 0700 (PDT) ющая все письма, поступившие к этому моменту в почтовый ящик, мо Received: from LISTS.SECURITYFOCUS.COM жет выглядеть так:

by LISTS.SECURITYFOCUS.COM (LISTSERV TCP/IP release 1.8d) with spool #!/usr/local/bin/python id 13121453 for SF NEWS@LISTS.SECURITYFOCUS.COM;

import poplib Tue, 5 Sep 2000 15:58:31 0700 print "Python's Mail client" Approved By: se@SECURITYFOCUS.COM print "Connecting…" M = poplib.POP3("mail.ru") Впрочем, маловероятно, чтобы получатель обладал квалификаци print "Login…" ей, достаточной для проведения анализа подобного уровня. И большин M.user("MyLogin") ство пользователей можно ввести в заблуждение даже грубой подделкой print "Password…."

заголовка.

M.pass_("MyUnpublishedPassword") print "Get List of message" Анонимное получение корреспонденции numMessages = len(M.list()[1]) При получении почты обычным способом сервер определяет print "Numers of message : ",numMessages (а в некоторых случаях и запоминает) IP адрес подключившегося клиен for i in range(numMessages):

та. Но иногда получателю нежелательно раскрывать свой адрес, даже ес for j in M.retr(i+1)[1]:

ли он динамический. Провайдер, выделяя абоненту IP, запоминает (мо print j Безопасность E mail 159 160 Безопасность E mail Вероятно, единственной проблемой окажется поиск сервера с ус ящики. Это www.mail.ru, www.rbcmail.ru, www.inbox.ru, www.newmail.ru, тановленным интерпретатором Python. На худой конец, можно попробо www.chat.ru, www.tomcat.ru и другие. Живут эти системы за счет рекламы вать умаслить вашего администратора и уговорить его установить питон на своих страницах, а также за счет того, что каждый из них по сути как чика в системе. бы является действующим примером корпоративной почтовой системы, которую можно купить у создателей бесплатного почтового сервера. Так сказать, реклама на реальном примере.

Глава 14.

Практически все серверы бесплатной почты (www.mail.ru, Простая система защиты почтовых ящиков www.rbcmail.ru, www.inbox.ru, www.newmail.ru, www.chat.ru, www.tom cat.ru — уже сейчас, а в остальных такая возможность либо уже имеется, Наверняка почти все пользователи Интернет, работающие с либо проектируется) допускают доступ к ним как с помощью почтовой электронной почтой, сталкивались с ситуацией, когда их почтовый программы, так и с помощью браузера. То есть письма можно забирать ящик заливало море ненужной информации (например, реклама рож обычной почтовой программой вроде Outlook Express, а в случае прихода дественских сувениров или корма для собак). Ясно, что радости такие «почтовой бомбы» без проблем удалить ее посредством доступа к ящику вещи не приносят: во первых, их скачивание из ящика на свой ком через браузер. К тому же возможность обойтись только браузером для ра пьютер занимает время, а значит, деньги, а во вторых, зачастую такие боты с электронной почтой позволяет легко читать свою почту и отправ письма просто забивают ящик под завязку, и либо все вновь приходя лять письма не только из дома, но и при работе из Интернет салонов, от щие письма отправляются назад их авторам, либо, что еще хуже, за их друзей, с работы, причем в специальной настройке почтовой программы хранение приходится платить деньги провайдеру, у которого ящик и даже в ее наличии нет необходимости.

расположен. Отчего приходят письма? Да просто оттого, что ваш адрес Но это — не единственное достоинство бесплатных почтовых си электронной почты стал известен. К примеру, вы оставили в какой стем.

нибудь wеb конференции объявление о поиске работы. Тот, кто зара батывает на рассылке рекламы, увидел ваш адрес и использовал его У очень многих из них есть полезная возможность перенаправле в своих целях.

ния почты на другой адрес без ее сохранения! Это значит, что все письма, приходящие, например, на адрес xxx@mail.ru, могут автоматически, без Другая опасная ситуация — это так называемые «почтовые бом какого либо участия пользователя, пересылаться на указанный им адрес.

бы». К примеру, кто то вам крепко позавидовал и решил испортить Такую возможность имеют серверы www.mail.ru, www.rbcmail.ru, www.in жизнь. В результате каждый день в вашем ящике оказывается дистрибу box.ru, www.newmail.ru, www.chat.ru и другие.

тив Windows 3.11, и вы ежедневно тратите полтора часа на забор почты.

При этом нужные письма в ваш ящик попасть не могут, так как он забит Кроме того, у развитых почтовых систем вроде www.mail.ru имеет «подарком», а может быть и того хуже — провайдер требует оплаты места ся возможность фильтровать приходящую почту и отправлять назад или под ящик, так как его бесплатный лимит превышен.

сразу уничтожать сообщения, удовлетворяющие определенному крите рию вроде наличия того или иного слова в е mail адресе или теме. При Что делать? Безусловно, «почтовую бомбу» можно удалить и по этом в сам ящик такие сообщения попадать не будут.

средством доступа по FTP к своему аккаунту у провайдера — тогда пись мо не придется скачивать. Можно также использовать специальные про У таких серверов, как www.mail.ru, www.tomcat.ru, имеется воз граммы вроде Magic Mail Monitor. Эти программы предоставляют можность автоматически забирать почту с других почтовых систем. Надо возможность удобно просматривать заголовки сообщений и информа лишь указать почтовый сервер, логин и пароль, и тогда сборщик почты цию об их отправителе и размере без загрузки самих сообщений, а также сам зайдет под указанными логином и паролем на этот сервер и перека удалять ненужные письма прямо с сервера провайдера. Но если «почто чает всю почту с него в ваш ящик на сервере с такой услугой.

вые бомбы» приходят постоянно и «забивают» ящик, то использование Как это все можно использовать? Да очень просто. Создайте сис таких программ выходом не является.

тему своих ящиков! Например, в качестве своего основного ящика со Гораздо лучше поступить следующим образом. В Интернет есть здайте ххх@mail.ru. Но его адрес никому не давайте! Настройте свою поч большое количество серверов, предоставляющих бесплатные почтовые товую программу на забор почты исключительно с этого ящика. А теперь Безопасность E mail 161 162 Безопасность E mail создайте еще три четыре ящика на других бесплатных почтовых серверах браузера (при желании прочитав или оставив полезные письма) и вклю или на том же под другим именем (например, ххх@inbох.ru, ххх@chat.ru, чить пересылку снова.

ххх1@mаil.ru, ххх2@mаil.ru, ххх3@mаil.ru) и настройте их на автоматиче В случае получения вами «почтовых бомб» можно поступить так скую пересылку без сохранения всех входящих сообщений на же. Удалить же уже пришедшие «бомбы» через доступ посредством брау ххх@mаil.ru.

зера не составит труда.

Теперь вы можете дать адрес xxx@ inbox.ru своим друзьям и под Иногда после долгого процесса выбора провайдера по всей Сети ставлять в качестве обратного адреса своих писем именно его. Адрес остаются раскиданными старые почтовые ящики у «бывших в использо ххх@сhаt.ru пусть служит для официальной переписки. Ну, а адреса вании» провайдеров. Чтобы постоянно не забирать почтовой програм ххх1@mаil.ru, ххх2@mаil.ru, ххх3@mаil.ru оставляйте во всех подозри мой из них почту, можно настроить для этой цели специальные сборщи тельных местах: конференциях, гостевых книгах, досках объявлений (но ки почты на www.mail.ru или www.tomcat.ru и вообще забыть про только в них!). Также подписывайте этими адресами ваши письма не существование этих ящиков.

очень надежным людям.

У такой разветвленной почтовой системы есть еще одно преиму Чтобы иметь возможность выбирать желаемый обратный адрес щество. Объем почтовых ящиков на всех бесплатных почтовых серве для своих писем, например, в Microsoft Оutlоок Ехрress 5.0, нужно со рах не превышает двух трех мегабайт. Если объем приходящей почты здать в этой почтовой программе несколько учетных почтовых записей больше этого предела, то почта отправляется обратно с пометкой «Поч с разными обратными адресами.

товый ящик переполнен». Но если на этот ящик поставлено перена Во всех этих записях следует указать smtp сервер вашего провай правление с другого ящика, то почта, пришедшая на этот другой ящик, дера и отменить использование каждой записи для получения почты. попросту задерживается на нем до тех пор, пока первый ящик не осво бодится. То есть вы можете, например, создать себе еще два ящика Для последнего у вас пусть служит отдельная учетная запись, на rez1@mail.ru и rez2@vail.ru, поставить с первого перенаправление без строенная в данном случае на сервер ххх@mаil.ru.

сохранения на второй, а на первый перенаправить всю почту с вашего основного ящика ххх@vail.ru. Теперь можно спокойно уезжать в коман При такой конфигурации почтовой программы и почтовых ящи дировку. Если объем пришедшей после всех перенаправлений на ков вы будете забирать почту только с ящика ххх@mаil.ru, подписывать rez2@mail.ru почты будет больше двух мегабайт, то почта будет задер же свои письма сможете любым обратным адресом из имеющихся у вас остальных ящиков. Все письма, поступающие на любой ваш ящик, будут живаться на rez1@mail.ru, а если и этот ящик будет переполнен, — то на в конце концов передаваться на ящик ххх@mаil.ru, откуда вами и будут ххх@mail.ru. Приехав домой, вы заберете почту с rez2@mail.ru, а с забраны. rez1@mail.ru и ххх@mail.ru специальную почту можно будет даже и не забирать — она постепенно перейдет на rez2@mail.ru, как только тот бу Если вы имеете доступ только к электронной почте, без возмож дет освобожден.

ности использования Интернет, то в качестве адреса пересылки с Итак, у бесплатных почтовых сервисов есть следующие преиму ххх@mаil.ru поставьте свой почтовый адрес. Вся остальная система пере щества:

сылок будет функционировать автономно.

Возможность чтения своей почты из любого места доступа Теперь в случае прихода на один из оставленных вами в публич в Интернет без использования почтовых программ.

ном месте адресов (ххх1@mаil.ru и т.д.) массовых рассылок рекламы вы можете поставить на этом ящике фильтр на входящую почту, чтобы они Возможность установки фильтров на входящую почту.

отправлялись обратно. Если же этой меры окажется недостаточно, то ни что не мешает временно отключить замусориваемый рекламой ящик от Возможность удаления слишком больших и ненужных пересылки почты (пусть все в нем остается!), а когда отправитель рекла сообщений без их загрузки на свой компьютер.

мы перестанет его засорять своими посланиями (неоднократно получив Возможность автоматического сбора почты с других их назад с пометкой «почтовый ящик адресата переполнен»), можно бу ящиков.

дет за минуту очистить этот ящик от мусора через доступ посредством Безопасность E mail 163 164 Безопасность E mail И, наконец, возможность перенаправления почты на Глава 15.

другие адреса.

Хакерское программное обеспечение Надо сказать, что установить фильтры на входящую почту можно для ICQ и в своей почтовой программе, если она это допускает. Например, в про грамме Microsoft Оutlоок Express 5.0 для этого служит пункт Сервис IsoaQ — клевый патч для самых последних версий ICQ. Каждая Правила для сообщений Почта.

версия может патчить сразу несколько версий и билдов. Среди функций Правило в данном случае — это схема поведения программы Оut такие как: сокрытие IP, добавление пиплов в контакт лист без авториза lоок Express при получении сообщения. Программа может выбирать из ции, показ чужих IP адресов и многое многое другое. Очень рекомен всех входящих сообщений содержащие какое нибудь слово в адресе, те дую.

ме, самом тексте или имеющие слишком большой размер. Выбранные ICQ99aIPUnhide — патчит аську для показа всех IP. Вот только сообщения могут быть сразу направлены в какую нибудь папку, пере патчит только начальные билды 99a. А их вряд ли кто использует.

сланы по другому адресу. Но наиболее ценной является возможность сразу удалять с сервера ненужные сообщения, не загружая их и даже не ICQ Flooder — флудер для аськи. Надо знать IP и порт. Единствен уведомляя пользователя об этом. Для этого просто нужно соответству ное достоинство — возможность слать от чужих юинов.

ющим образом настроить правила.

ICQ Crack — непонятно, на какую версию аськи он действует Возможность Microsoft Оutlоок Express 5.0 создавать правила для и действует ли он вообще когда нибудь. Позволяет добавлять людей в сообщений может спасти пользователя от необходимости скачивать свой контакт лист без авторизации (если верить словам разработчиков).

большой объем ненужной информации при получении почты, но сам На меня она произвела впечатление обычной DOS программы, выводя ящик при ее использовании не защищается, и он может быстро перепол щей надпись File Not Found. Есть вероятность, что это троян, т.к. зани ниться. Поэтому для полной безопасности от нежелательных рассылок мает она подозрительно мало для полезной программы (841 байт).

(еще называемых спамом) и «почтовых бомб» лучше использовать «глу ICKiller — почти такая же, как и ICQ Flooder, только с улучшен боко эшелонированную» оборону, подобную описанной выше, создать ным интерфейсом. Когда я нажал кнопку HELP, он мне голосом сказал:

на бесплатном сервере ящик, откуда почта будет забираться почтовой «You suck!», — и создал файл 1.exe, который оказался вирусняком. Пока программой, создать еще один ящик с перенаправлением на первый (на я понял только то, что он забивает оперативную память (постоянно запу случай отъезда или невозможности забирать почту долгое время), а так скает сам себя и regedit). Есть подозрение, что делает он и другие гадости.

же зарегистрировать три четыре ящика с красивыми именами для разда Антивирусами не лечится.

чи их в качестве своих е mail адресов и поставить перенаправления с этих ящиков на второй. Ну, и свою почтовую программу стоит настроить Ximer — убивает аську. Есть возможность проводить атаку с друго соответствующим образом (например, установив правила для сообще го хоста (надо знать IP и порт).

ний в Оutlоок Express), — если письмо больше мегабайта, то его сначала X ICQ Chat — штука для приколов в ICQ чате. Я в ICQ чатах не стоит посмотреть через браузер, а потом уже загружать себе, если окажет сижу, программу не юзал, не знаю, что это такое.

ся нужным.

X ICQ — куча софта в одном флаконе + оболочка, объединяющая Существуют и зарубежные аналоги российских бесплатных почто их. Единственное, что еще не встречалось, — сканер ICQ порта, который вых серверов, но я бы не рекомендовал их использовать, так как связь с не пускается. Требует какой то там DLL. Я не устанавливал. Мои друзья ними, как правило, медленнее, а значит, ваша почта обойдется вам доро устанавливали, говорят, все равно не идет.

же. К тому же не все они предоставляют возможность доступа к ним с по мощью почтовой программы.

ICQ Profile Move — сохраняет контакт лист. Но делает это на столько через задницу и неграмотно, что остается только посочувство Поэтому я настоятельно рекомендую вам обратить внимание на вать. Под словом «сохранить контакт лист» создатели имели в виду со перечисленные выше российские бесплатные почтовые серверы.

здать файл, содержащий инфу о ком то, используя твою аську. Потом эти файлы можно этой же программой вставлять в аську. Вот только с Безопасность E mail 165 166 Безопасность E mail этим напряги. Частенько со многими билдами бывают глюки. Ну хоро способ используют только дауны и ламеры! Вот, к примеру несколько шо. А что мне делать, если у меня контакт лист на 80 человек? Хочу еще способов:

заметить: надо вводить не ник, и не выбирать из списка, а писать номер Все, что нужно, это подключиться к 25 порту юина. Это хорошо, если номера короткие и легко запоминаются, а если какого нибудь почтового сервера (даже не обязательно нет? Да я себе лучше просто скопирую каталог аськи и буду жить спо почтового, а просто того, на котором работает старая койно.

версия почтового демона, или к компьютеру, ICQ Revenge — ОЧЕНЬ кульная программа. Позволяет слать ано предоставляющему почтовый доступ к FTP сайтам нимные письма на аську. Причем знать для этого надо только UIN!! и представившись тем, кому вы желаете, подложить Можно слать сообщения от чужого e mail’а. Причем даже от несуществу свинью: заказать пару сотню файлов на ваше усмотрение).

ющего.

Воспользоваться анонимным мейл генератором. Спецовая прога, которая создает огромное количество писем и посылает их по адресу с вашего компа. Таких прог Глава 16.

существует куча, вот типичные проги: HackTek и еще Взлом мыла (user manual) лучше Avalanch. Только не забудь включить анонимный прокси. Хотя почти с каждой такой программой Работать с почтой можно по разному. Работать в браузере на стра прилагается хороший прокси лист. Если нет — бегом на ничках почтовых служб наиболее глупо и небезопасно (хотя в случае вне www.void.ru.

запной потери всей инфы на винте это пригодится, т.к. письма хранятся Воспользоваться почтовой службой общественного на серваке почтовой службы). Однако чаще пользуются мейлерами — пользования, типа www.mail.ru или www.inbox.ru, и под спецовыми прогами, которые скачивают почту с серваков и выдают тебе анонимным логином отослать штук 20 писем размером по ее на блюдечке.

500 Кб. Это самый геморный способ, да и к тому же Типичный пример — Outlook Express, который поставляется вме письма отсылаются медленно, но гораздо быстрее, чем это сте с Маcтдаем и потому многие его используют.

было бы с твоего компа. Опять же обязательно врубай анонимный прокси.

Как можно узнать пароли к чужому ящику? Существует масса спо собов. Например, в некоторых почтовых службах предлагают услуги по Подписать атакуемое мыло на какую нибудь рассылку подсказке пароля к аккаунту, если ты сообщишь им дату создания этого (или эхо) (типа компьютерные клубы, где обсуждаются ящика или ответишь на некоторый вопрос (который ты сам задаешь при разные темы среди большого круга людей. В принципе тут создании шампуня).

проблем нет, но я не советую этим злоупотреблять, т.к. это ламерские шутки. Используйте их, если есть повод. Вот Ответы на эти вопросы можно незаметно выудить из самого чело типично: вы договорились об обмене данными, а ваш века (метод Социального Перегруза или БиоХака) или попытаться подо партнер обманул вас. Вот тут это и пригодится. Флуд — это брать самому. Например, самый распространенный вопрос — «Как меня как ядерное оружие: все об этом знают, но никто им не зовут?» или «Девичья фамилия матери». Ну, и вариации на эту тему!

пользуется, зато в мире порядок и дружба. Теперь ты тоже Подобная штука есть на www.mail.ru, www.e mail.ru и www.new ядерная страна.

mail.ru. Конечно, самый надежный способ узнать пароль — это офф или Зафлудить ящик с помощью cgi скрипта на твоей паге.

он лайн шпионство (типа засылки троянов). Здесь, как говорится, ре зультат не заставит себя долго ждать.

К каждому письму прикрепляется небольшая шапка, которая со держит много интересной информации: IР шник, название и регистра Теперь поговорим о конкретном: атака на мыло — это в основном ционный номер программы — мейлера, которым пользуется прислав флуд/cпам ящика. Флуд — это когда ты утром проверяешь почту, — а там ший письмо, почтовая служба, уникальный номер письма, путь 1000 писем 100 килобабного содержания. Вот и попробуй разобраться с прохождения письма до вас, время отправления и прибытия, номер ком ними. Вообще то зафлудить мыло проще пареной репы, поэтому этот Безопасность E mail 167 168 Безопасность E mail Cc: sony lamer@mail.ru Subject: =?KOI8 R?Q?Re:=20Ксакеп круто=кул?= па в локальной сети и многое другое. Однако все это скрыто от читателя, Mime Version: 1.0X Mailer: The Bat! (v1.33) S/N 9EB473C т.е. тебя! Давай посмотрим эту интересную инфу. Если ты все еще поль #Посылал The Bat!, версия и регистрационный номер как на ладони.

зуешься Outlook’ом, то откроем исследуемое письмо и жмем Файл, затем X Originating IP: [212.46.8.60]?IP'шник товарища,отправившего мне Свойства, и выбираем закладку Подробности. Теперь все на виду.

письмо.

В TheBat! делаем так: Открываем письмо, жмем Просмотр и выбираем Content Type: text/plain;

charset=koi8 r Служебная информация. Сверху письма прибавляется шапка.

#Сообщение выслано прямым простым текстом в кодировке KOI8 R О том, что можно вытянуть из шапки, я покажу тебе на примере.

Content Transfer Encoding: 8bit?

# — МОИ КОММЕНТАРИИ.

Далее идет никому не нужная муть.

Return Path: sony lamer@mail.ru Способы послать анонимный e mail мы уже рассмотрели выше на #Установленный адрес возврата, но он мало что говорит, т.к. его примере, как зафлудить ящик. В этом случае нужно просто послать все #с легкостью можно подделать (мы сами ставим его в настройках).

го одно сообщение, а не 10 000! То, что вас не узнают — это 100%. Толь Received: from relay1.aha.ru ([195.4.67.135] verified) by aha.ru ко не нарывайтесь на международные службы типа FBI или ФАПСИ, (CommuniGate Pro SMTP 3.2b4) они могут узнать ваш IP у прокси сервера (вот им он точно расскажет!).

with ESMTP id 4637825 for system@local.net;

Sun, 10 Jun Но, я думаю, вы люди умные и сами сможете определить — на кого сто 13:17:51 + ит нарываться, а с кем лучше дружить (правило хакера: не ссорься со #Дата получения послания моим почтовым серваком всеми сразу!).

Received: from elephant.mail.ru (elephant.mail.ru [194.226.198.85]) by relay1.aha.ru Можно также узнать пароли на мыло и прямым Brute Force. Но (8.9.3/8.9.3/aha r/0.04B) with ESMTP id XAA00604 for с использованием ресурсов только твоего компа это может занять месяц!

(system@local.net);

Sun, 11 Jul 1999 23:16:46+0400 (MSD) Тут нужно действовать по другому. Возможно организовать Brute For #Дальше пошли почтовые серваки с их IP шниками и датами ce атаку с вашей паги (page), используя Java апплет. И каждый посети #получения\пересылки тель вашей странички (с согласия или без) будет принимать участие Received: from camel int ([10.0.1.1] helo=camel.mail.ru) by ele в кряке! В этом случае можно сломать пароль и за 2–4 дня! Если у тебя phant.mail.ru выделенка — уже лучше, но лучше использовать рут шелл.

with esmtp (Exim2.12 #1) id 113P5h 000NVu 00;

Sun, 11 Jul Рассматривать захват почты буду на примере халявной почтовой 23:16:45 + службы. В принципе, так можно захватить любой ящик в сети. Итак, Received: (from mail@localhost) by camel.mail.ru (8.9.2/8.9.1) id ищем жертву. Допустим, это Вася Пупкин с мылом sony lamorz@mail.ru.

XAA64053;

Sun, Для начала ты должен отправить ему на мыло любое письмо для провер 11 Jul 199923:16:45 +0400 (MSD)Date: Sun, 10 Jun 1899 13:17: ки, в котором попросить, найдя любую причину, отправить вам обратно +0400 (MSD) это письмо как можно быстрее. Способ работает только тогда, когда вла #Вот и дата прибытия письма на мой почтовый сервак.

делец регулярно проверяет свою почту, в данном случае почту sony lam Message Id: 199907111916.XAA64053@camel.mail.ru orz@mail.ru. А если нет, зачем тебе тогда это мыло? Вам необходимо на #Уникальный номер письма. Если тебя зафлудили или прислали писать на английском письмо со спамом, надеюсь, этому учить не надо, #что нибудь нехорошее, то ты можешь нажаловаться админу почтового хотя для тех, кто не умеет выражаться, вот пример.

#сервака, переслав ему эти письма. Подробнее читай ниже.

Received: from [212.46.8.60] by win.mail.ru with HTTP;

Sun, Вы отправляете ему это письмо в txt файле и просите послать Jul 1985 19:16:45 +0000 (GMT) ламера это письмо со спамом вам обратно на почту, только нужно, что #Попался! IP шник приславшего с датой отправки бы ламер скопировал данный спам и послал как обычное письмо, без From: =?KOI8 R?Q?"Ипполит=20Т"?= (sony lamer@mail.ru) прикрепленного файла. Дальше пишешь умную мессагу админу #Кодировка отправления и мыло отправителя мэйл.ру (support@mail.ru) и говоришь в ней, мол, такой то ублюдок за To: system@local.net нимается спамом, флудом и вообще онанизмом. И прилагаешь еще #это ты.

данное письмо со спамом. Через несколько часов тебе приходит изве Безопасность E mail 169 170 Безопасность E mail щение от админа посмотреть всю инфу о пользователе, пославшем вам Последняя строчка содержит информацию, которая нам необхо это письмо, это делается очень просто: открываешь письмо ламера, дима, попробуем прочитать ее:

посланное тебе со спамом, нажимаешь на кнопочку more details или daemon.localdomain — имя компьютера, на котором запущен поч вроде того и копируешь всю инфу об этом письме и владельце данного товый сервер, т.е. демон sendmail, который, собственно, и есть объект ес письма. Шлешь ее админу мэйл.ру, он проверяет своими способами, ли не взлома, то обмана. Далее sendmail сообщает нам, руководствуясь было ли и вправду отправлено данное письмо, а так как ламер вам сам каким протоколом он работает, это ESMTP. Наконец, сообщается вер его послал, то оно, естественно, было отправлено вам, и впоследствии сия sendmail’а и время подключения с указанием часового пояса, отно вам приходит благодарность и ящик пива от админа мэйл.ру, в письме сительно которого истинно время подключения.

от админа будет говориться, что данный ящик закрыт благодаря таким людям, как ты! Отечество тебя не забудет, перец. Данный способ обма А вот пример подключения к старому варианту почтового демона:

на почтовых служб работает только на бесплатных почтах, на платных daemon# telnet kinglair.lostworld smtp настоящего юзера не закроют, у него сначала 50 раз спросят, было ли Trying 192.83.83.11… все так, как я говорю. Лучше в конце письма сделать небольшую при Connected to kinglair.lostworld.

писочку, вроде:

Escape character is '^]'.

С уважением, Егоров Андрей (#имя вымышленное) 220 kinglair.lostworld SMTP Ready.

Представительство Microsoft в России Как видно, этот демон говорит на языке SMTP. Далее мы можем E mail:rus_microsoft@mail.ru написать какую нибудь команду. Вот неполный список команд, в соот http://www.microsoft.com/rus ветствии с протоколом Simple Mail Trasnfer Protocol.

Это подтвердит то, что ты крутой перец из крупной конторы, а не HELO имя_машины малолетний придурок. По той же причине писать нужно грамотно.

Приятно познакомиться. Взаимно.

Система E mail содержит много дыр, просчетов и т.п. Большин ство из них были исправлены с появлением так называемого ESMTP, од MAIL From: обр_адрес нако даже этот протокол все еще может быть использован в «корыстных» От кого везем письмо.

целях. Наиболее ярким примером эксплуатирования системы электрон ной почты может являться например, посылка почты с ЛЮБОГО адреса.

RCPT To: адрес_назначения Кому везем.

Процесс заключается в следующем — необходимо найти почто вый сервер, не поддерживающий ESMTP, но работающий по протоколу VRFY адрес SMTP, или напрямую обратиться к серверу, на котором среди пользова Проверить, а есть ли здесь такие?

телей находится наша жертва. Вот как все должно выглядеть:

daemon# telnet www.otstoy.ru EXPN адрес #Вызов программы telnet, с указанием подключиться к машине Или посмотреть почтовые псевдонимы.

#`www.otstoy.ru' к порту # Trying 127.0.0.1… DATA #Машина `daemon' — это имя моего компьютера и имеет Собственно идентификатор начала сообщения.

#соответственно адрес 127.0.0.1, на ней на 25 порте сидит #почтовый сервер QUIT Connected to localhost.

See you.

Escape character is '^]'.

220 daemon.localdomain ESMTP Sendmail 8.8.7/8.8.7;

Fri, 7 Aug RSET 1998 17:09:13 + Дисконнект.

#На машине установлен Sendmail 8.8.7/8.8. Безопасность E mail 171 172 Безопасность E mail HELP все просто и удобно. В свое время существовало такое понятие, как поч товый доступ. Оно заключалось в том, что общение проходило в режиме Можно глянуть полный список команд того почтового демона, оффлайн, так, как сейчас в ФИДО. Так вот, с появлением общедоступ к которому мы подключились.

ных FTP серверов возникла необходимость каким либо образом полу Итак, пошлем первое наше анонимное письмо.

чать к ним доступ с помощью электронной почты. Тогда был придуман daemon# telnet www.mustdie.com 25 способ, называемый «ftp via e mail» (есть еще и Www, archie, gopher via e Trying 127.0.0.1… mail или www4mail). Он заключается в том, что вы посылаете на некото Connected to daemon. рый почтовый адрес описание того, что надо сделать, удаленная машина, Escape character is '^]'. обрабатывающая ваше послание, выполняет записанные там команды и 220 daemon.localdomain ESMTP Sendmail 8.8.7/8.8.7;

Fri, 7 Aug возвращает вам письмо с файлом.

1998 19:37:14 + После того, как я порылся в своих записях, мне удалось обнару HELO damned.lostworld.com жить этот сервер: ftpmail@afn.org. При составлении письма можно ис #Представляемся некоторой удаленной сетевой машиной с именем пользовать эти команды:

#'damned.lostworld.com' 250 daemon.localdomain Hello root@daemon [127.0.0.1], pleased to Open meet you Установить соединение с некоторым сайтом.

#Однако sendmail меня все равно узнает MAIL From: zlob@damned.lostworld.com dir #Ложный адрес отправителя Показать содержимое текущего каталога.

250 zlob@damned.lostworld.com… Sender ok #Сработало!

quit RCPT To: root Окончание сессии.

#Письмо предназначается пользователю root на этой машине 250 root… Recipient ok chdir/cd DATA Сменить директорию.

354 Enter mail, end with "." on a line by itself Hello me !

binary.

Перейти в двоичный режим передачи данных.

#Точка означает конец ввода 250 TAA04503 Message accepted for delivery get QUIT Получить файл.

221 daemon.localdomain closing connection Connection closed by foreign host.

Защита Теперь самое время прочитать почту. В случае использования Вернемся к безопасности мыла! Одно из главных правил не толь ESMTP можно будет понять, что полученное письмо поддельное, одна ко хакера, но и просто пользователя Интернет — нельзя пренебрегать ко в любом более менее современном юзер ориентированном средстве сложностью паролей. Вот основные правила.

работы с электронной почтой в поле от кого будет стоять damnedman@ Представим, что твой логин: cooluser.

damned.lostworld.com, и при нажатии кнопки Reply ответ будет направ лен именно по этому адресу.

1. Ни в коем случае пароль не должен совпадать с логином: coo luser.

Однако посылка подобного рода писем не исчерпывает всего того, что вы можете сделать, используя недочеты и промахи разработчиков 2. Лучше вообще не использовать маску логина для пароля: coo почтовых протоколов. Вернее сказать, их излишнее стремление сделать lusercool, cool100user, user123 или даже cooluserqwerty.

Безопасность E mail 173 174 Безопасность E mail 3. Не надо использовать цифровые пароли: 123456, 31337 или во опция, которая не позволяет принимать письма на ваш ящик размером обще 111! более 100 КилоБаб (это ты устанавливаешь ручками). Это частично ре шает проблему. Только не спрашивайте, зачем вам чужие ящики, а хотя 4. Не надо использовать короткие пароли (их можно взломать бы для того, чтобы собирать классные 6 значные юины аси, или… у каж Brute Forse, т.е. атакой прямого полного перебора): iq, me или 1.

дого свои идеи на этот счет. Ну, например, у владельца мыла, которое ты захватил, есть пага на халявном серваке, ты идешь на пагу этого хостин 5. Не надо использовать словарные слова (тоже можно взломать га в раздел напоминания пароля, делаешь свои черные делишки, и па перебором по словарю, которых сейчас очень много в Интернет) kruto, роль приходит на мыло. Ты дефэйсишь пагу и становишься крутым кул lamer или xakep.

хацкером. Та же история, если «атакуемый объект» зарабатывает на Как же запомнить все эти правила? Все просто: запомни, как надо каком нибудь спонсоре.

делать! Делай пароли длиннее 8 символов, которые содержат цифры Теперь можно подвести итоги. В целом, как ты заметил, существу и символы разного регистра вперемешку, типа: zZ0YaKa!31l4B#d.

ет масса способов хакнуть мыльник. Твой ящик находится в относитель Также лучше сделать ящик, на который будет форвардиться все ной безопасности. Ящиков очень много (ну просто очень много), и лич твое мыло (так называемые «Адреса пересылки»), для того чтобы при за но я не знаю таких маньяков в Интернет, которые бы целый день только хвате твоей мыльницы ты мог снимать почту, хотя хакер, осмелившийся и делали, что ломали чьи то ящики! Да и статистика в целом показывает, захватить твое мыло, может отключить эту функцию на серваке.

что это происходит крайне редко!

Пароли на эти ящики соответственно должны быть тоже раз Знай, пользуйся, но не увлекайся, ибо все люди — братья, а Земля ными.

круглая.

Можно ли как либо еще обезопасить информацию в ящике от не санкционированного (т.е. непредвиденного тобой) прочтения? Можно!

Дружно шифруем самые важные письма программой PGP (Pretty Good Privacy). Работая в мастдае, конечно, лучше пользоваться PGP для этой операционки. Установка этой программы интуитивно проста.

Поговорим немного об истории создания и принципах использо вания этой проги, в смысле метода шифрации. Криптография и крякинг (в смысле взлом паролей) — очень связанные вещи (как брат и сестра).

Тут и нечего оспаривать, основная проблема и головная боль Админи страторов серваков — как бы надежно сохранить для себя и сделать абсо лютно недоступной для других некую информацию. А это, как видите, прямая задача криптографии. Конкретно про PGP: лично я ей не пользу юсь, потому что это слишком нудно: шифровать каждое сообщение, ког да по E mail почти в режиме он лайн обсуждаешь последние новости ха кинга. Но сам процесс шифрования я советую знать (для общего развития!). Я также предлагаю ознакомиться с подробнейшим хелпом по эксплуатации PGP for Windows 9x, правда, на английском языке!

Ты скажешь: всякое бывает, что делать, если зафлудили мой ящик? Не горюй, коллЭга! Воспользуйся программой HackTek. Она бы стренько расчистит весь флуд у тебя в ящике. Единственная маленькая неприятность — это то, что она вместе с флудом удалит письма от по дружки из чата, которую ты уломал вчера затусоваться к тебе домой.

Можно поставить защиту от флуда на самом почтовом серваке. Есть там Безопасная Windows XP 175 176 Безопасная Windows XP SAM: один без расширения — сама база учетных записей;

второй имеет Часть 4. расширение.log — журнал транзакций базы.

Наиболее интересным является раздел учетных записей пользова телей: в них хранится информация об именах и паролях. Следует заме Безопасная Windows XP тить, что пароли не хранятся в текстовом виде. Они защищены процеду рой хеширования. Это не значит, что, не зная пароля в текстовом виде, злоумышленник не проникнет в систему. При сетевом подключении не обязательно знать текст пароля, достаточно хешированного пароля. По этому достаточно получить копию базы данных SAM и извлечь из нее хе Глава 1.

шированный пароль.

Физическая защита При установке системы Windows XP доступ к файлу %System root%\System32\Config\sam для обычных программ заблокирован. Одна К физическим средствам защиты относится:

ко, используя утилиту Ntbackup, любой пользователь с правом Back up обеспечение безопасности помещений, где размещены files and directories может скопировать его. Кроме того, злоумышленник серверы сети;

может попытаться переписать его копию (Sam.sav) из каталога %System root%\System32\Config или архивную копию (Sam._) из каталога ограничение посторонним лицам физического доступа %Systemroot%\Repair.

к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

Поэтому для защиты информации, хранящейся в базе данных SAM, необходимо следующее:

использование средств защиты от сбоев электросети.

исключить загрузку серверов в DOS режиме (все разделы установить под NTFS, отключить загрузку с флоппи и Глава 2.

компакт дисков, желательно установить на BIOS пароль (хотя эта мера уже давно устарела, поскольку некоторые Администрирование учетных записей версии BIOS имеют «дырки» для запуска компьютера без В функции Менеджера учетных записей входит поддержка меха пароля, все таки злоумышленник потеряет на этом время низма идентификации и проверки подлинности пользователей при вхо для входа в систему);

де в систему. Все необходимые настройки хранятся в базе данных Мене ограничить количество пользователей с правами Backup джера учетных записей.

Operators и Server Operators;

К ним относится:

после установки или обновления удалить файл Sam.sav;

учетные записи пользователей;

отменить кэширование информации о безопасности на учетные записи групп;

компьютерах домена (имена и пароли последних десяти пользователей, регистрировавшихся ранее на данном учетные записи компьютеров домена;

компьютере, сохраняются в его локальном реестре).

учетные записи доменов. Используя утилиту Regedt32, добавить в реестр в раздел HKEY_LOCAL_MACHINE\Microsoft Windows База данных Менеджера учетных записей представляет собой куст NT\CurrentVersion\WinLogon: параметр системного реестра, находящегося в ветви HKEY_ LOCAL_MACHINE, CachedLogonsCount, тип REG_SZ, значение 0.

и называется SAM. Как и все остальные кусты, он хранится в отдельном файле в каталоге %Systemroot%\System32\Config, который также носит название SAM. В этом каталоге обычно находятся минимум два файла Безопасная Windows XP 177 178 Безопасная Windows XP Один из популярных методов проникновения в систему — подбор Если этот параметр уже существует и содержит величину FPN пароля. WCLNT (File Personal NetWare Client), то допишите новую строку под FPNWCLNT. Если же вам мало наборов фильтра, то создайте свою биб Для борьбы с этим обычно устанавливают блокировку учетной лиотеку, используя статью Q151082 в Microsoft KnowledgeBase, где при записи пользователя (Account Lockout) после определенного числа не веден пример написания модуля фильтра.

удачных попыток входа, используя для этого утилиту User Manager в диалоговом окне Account Policy, доступном через меню Policies/Ac counts.

Глава 3.

Приятным исключением является учетная запись администрато Защита файлов и каталогов (папок) ра. И если он имеет право на вход через сеть, это открывает лазейку для спокойного угадывания пароля.

Операционная система Windows XP поддерживает файловые си стемы FAT (File Allocation Table) и NTFS (New Technology File System).

для защиты рекомендуется переименовать пользователя Напомним, что первая поддерживается такими известными операци Administrator, установить блокировку учетных записей, онными системами, как MS DOS, Windows 2000, Windows 95/98 и запретить администратору вход в систему через сеть, OS/2, вторая — только Windows XP. У FAT и NTFS различные характе запретить передачу SMB пакетов через TCP/IP (порты ристики производительности, разный спектр предоставляемых воз 137,138,139), установить протоколирование неудачных можностей и т.д. Основное отличие файловой системы NTFS от дру входов.

гих (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что необходимо ввести фильтрацию вводимых пользователем только она одна удовлетворяет стандарту безопасности C2, в частнос паролей, установить Service Pack 2 или 3 (используется ти, NTFS обеспечивает защиту файлов и каталогов при локальном до динамическая библиотека Passfilt.dll). Данная библиотека ступе.

при создании нового пароля проверяет, что:

Защиту ресурсов с использованием FAT можно организовать с по длина пароля не менее шести символов;

мощью прав доступа:

содержит три набора из четырех существующих:

Чтение;

прописные группы латинского алфавита A, B, Запись;

C, …, Z;

Полный.

строчные группы латинского алфавита a, b, Таким образом, можно рекомендовать создавать дисковые разде c, …, z;

лы NTFS вместо FAT.

арабские цифры 0, 1, 2, …, 9;

Если все же необходимо использовать раздел FAT, то его надо сде неарифметические (специальные) символы, лать отдельным разделом для приложений MS DOS и не размещать такие как знаки препинания.

в нем системные файлы Windows XP.

пароль не состоит из имени пользователя или Поскольку файлы и каталоги в Windows XP являются объектами, любой его части.

контроль безопасности осуществляется на объектном уровне.

Для включения данной фильтрации необходимо в реестре в разде Дескриптор безопасности любого объекта в разделе NTFS содер ле HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Lsa жит два списка контроля доступа (ACL) — дискреционный (discretionary добавить параметр Notification Packages, тип REG_MULTI_SZ, значение ACL (DACL)) и системный (system ACL (SACL)).

PASSFILT.

В операционной системе Windows XP управление доступом к фай лам и каталогам NTFS возлагается не на администратора, а на владельца Безопасная Windows XP 179 180 Безопасная Windows XP ресурса и контролируется системой безопасности с помощью маски до Количество пользователей с правами администратора рекоменду ступа (access mask), содержащейся в записях списка контроля доступа ется свести к минимуму. Учетную запись Guest лучше вообще удалить, ACL. хотя она при установке (по умолчанию) и так отключена, а вместо этой учетной записи создать для каждого пользователя свою временную учет Маска доступа включает стандартные (Synchronize, Write_ Owner, ную запись с соответствующими разрешениями и правами.

Write_Dac, Read_Control, Delete), специфические (Read (Write)_Data, Append_Data, Read(Write)_Attributes, Read(Write)_ ExtendedAttributes, Execute) и родовые (Generic_Read(Write), Generic_Execute) права доступа.

Глава 4.

Все эти права входят в дискреционный список контроля доступа Защита реестра (DACL). Вдобавок маска доступа содержит бит, который соответствует праву Access_ System_Security. Это право контролирует доступ к систем Системный реестр (registry) Windows XP — это база данных, содер ному списку контроля доступа (SACL).

жащая информацию о конфигурации и значениях параметров всех ком В списке DACL определяется, каким пользователям и группам понентов системы (устройствах, операционной системе и приложениях).

разрешен или запрещен доступ к данному ресурсу. Именно этим спис Основные кусты реестра находятся в ветви HKEY_LOCAL_MACHINE и ком может управлять владелец объекта.

называются SAM, SECURITY, SOFTWARE и SYSTEM.

Список SACL задает определенный владельцем тип доступа, что Куст SAM — это база данных Менеджера учетных записей, SECU заставляет систему генерировать записи проверки в системном протоко RITY хранит информацию, используемую локальным Менеджером безо ле событий. Только системный администратор управляет этим списком.

пасности (LSA). В кусте SOFTWARE находятся параметры и настройки программного обеспечения, а в SYSTEM содержатся данные о конфигу На самом же деле для администрирования используются не от рации, необходимые для загрузки операционной системы (драйверы, ус дельные права доступа, а разрешения (permissions) NTFS. Разрешения тройства и службы).

подразделяются на:

Доступ пользователей к полям реестра следует разграничить. Это индивидуальные — набор прав, позволяющий можно осуществить с помощью утилиты Regedt32.

предоставлять пользователю доступ того или иного типа;

Установленные в системе по умолчанию разрешения на доступ стандартные — наборы индивидуальных разрешений для к разделам реестра нельзя модифицировать рядовым пользователям. По выполнения над файлами или каталогами действий скольку некоторые разделы реестра доступны членам группы Everyone, определенного уровня;

после установки Windows XP необходимо изменить разрешения в раз специальные — комбинация индивидуальных разрешений, деле.

не совпадающая ни с одним стандартным набором.

Для доступа к разделу HKEY_LOCAL_MACHINE\Software\Mic По умолчанию при инсталляции Windows XP и файловой систе rosoft\Windows NT\CurrentVersion\PerfLib можно вообще удалить груп мы NTFS устанавливаются довольно «свободные» разрешения, позво пу Everyone, а вместо нее добавить группу INTERACTIVE с правом ляющие обычным пользователям получать доступ к ряду системных Read.

файлов и каталогам. Например, каталоги %systemroot% и %system Для ограничения удаленного доступа к системному реестру root%\system32 имеют по умолчанию разрешение Change для группы Windows XP используется запись в разделе HKEY_LOCAL_MACHINE\ Everyone. Если после установки Windows XP FAT впоследствии был System\CurrentcontrolSet\Control\Secure PipeServers\winreg. По умолча преобразован в NTFS, то данное разрешение для этой группы уста нию право удаленного доступа к реестру имеют члены группы Admini навливается на все файлы и подкаталоги каталога %systemroot%. За strators. В Workstation этот раздел отсутствует, и его необходимо создать.

щита данных каталогов заключается в грамотной установке разреше Право удаленного доступа к реестру получают только пользователи и ний.

группы, указанные в списке прав доступа к указанному разделу. К неко торым разделам реестра необходимо предоставить доступ по сети дру Безопасная Windows XP 181 182 Безопасная Windows XP гим пользователям или группам;

для этого эти разделы можно указать в Следует отметить, что корпорация Microsoft модифицировала параметрах Machine и Users подраздела HKEY_LOCAL_MACHI протокол SMB, который назван SMB Signing. При этом клиент и сервер NE\System\CurrentControlSet\Control\SecurePipeServers\winreg\Allow проверяют подлинность каждого сообщения, поступающего по протоко edPaths. лу SMB. Для этого в каждое сообщение SMB помещается электронная подпись, удостоверяющая знание пароля пользователя клиентом или сервером, пославшим это сообщение.

Глава 5.

Таким образом, электронная подпись удостоверяет, что команда Безопасность сервера SMB SMB, во первых, создана стороной, владеющей паролем пользователя;

во вторых, создана в рамках именно этого сеанса;

и, в третьих, сообще Доступ к файлам и принтерам по сети в операционной системе ние, передаваемое между сервером и клиентом, — подлинник.

Windows XP обеспечивает сервер SMB (Server Message Block), называ Для включения проверки электронных подписей в сообщения емый просто сервером или LAN Manager сервером. SMB осуществляет SMB необходимо установить Service Pack 3 и произвести установку пара проверку подлинности клиента, пытающегося получить доступ к ин метров в реестре сервера и клиента, для сервера — в разделе HKEY_LO формации по сети. Существует два режима работы системы контроля:

CAL_MACHINE\SYSTEM\Current ControlSet\Services\LanManServer\ проверка на уровне ресурса (Share Level) и проверка на уровне пользо Parametrs параметр EnableSecuritySignature, тип REG_DWORD, значе вателя (User Level). Windows XP не поддерживает доступ на уровне ре ние 1.

сурса.

Pages:     | 1 | 2 || 4 | 5 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.