Черный лед. Защита от хакеров
Ни одно из произведений жанра киберпанк не обходится без упоминания о «черном льде» — суперкрутой защите, сжигающей мозги незадачливым хакерам, которые скользят по сайтам зловредных корпораций, зажав современнейшую консоль подмышкой. Теперь понятно, откуда компания Networkice (www.networkice.com) позаимствовала название для своего нового продукта. Прежде всего поясню, что подобных и похожих программ существует много, но BlackICE, во-первых, отличается простотой и вместе с тем комплексностью настроек, а во-вторых, работает с Windows ME, с которой отказываются работать и Atguard, и Norton Internet Security 2000 Family Edition.
Итак, скоро, очень скоро наступит время, когда каждый из нас будет подключен к Интернету 24 часа в сутки. Очевидно, что риск проникновения на наши компьютеры злоумышленников возрастает. В прошлом хакеров не интересовала информация, которая содержится на наших компьютерах. Их все больше тянуло ломать крупные сайты. Сегодня, когда большинство граждан хранят на компьютерах важную банковскую информацию, номера кредитных карточек, пароли, становится все более важным защищать компьютеры от взлома. До недавнего времени для того, чтоб найти и остановить хакеров требовалось специальное железо или очень дорогие программы. Теперь есть BlackICE. Звучит, как рекламный слоган, но с этим ничего не поделаешь. Я привык говорить о хороших программах хорошо, а о плохих — плохо.
Но что же такое «взлом компьютера»? Когда вы подключены к Интернету, ваша машина становится частью этой большой сети. Вы получаете и передаете информацию. Хакер исследует способ общения вашего компьютера и других компьютеров сети. Зная язык, на котором ваш компьютер говорит с миром, хакер может пересылать команды, имитируя поведение вашего компьютера, выдавая себя за вас. Или, наоборот, выдавая себя за вашего собеседника.
BlackICE представляет семиуровневую защиту, ограждающую ваш компьютер от нарушителей. В тот момент, когда программа обнаруживает попытку неавторизованного доступа к вашему компьютеру, она блокирует нарушителя. Доступ перекрывается только хакеру, остальные функции, такие как работа с браузером, отсылка электронной почты или скачивание файлов с Интернета, остаются рабочими. Лучше всего сравнивать поведение утилиты с работой дорожного полицейского патруля. Останавливается только человек, превысивший скорость или нарушивший правила дорожного движения. Многие провайдеры пытаются исполнять работу по нахождению и обнаружению хакеров. Однако они способны защитить пользователей только от самых примитивных атак.
BlackICE же занимается мониторингом входящего и исходящего трафика. Утилита декодирует каждый посланный и принятый вашим компьютером пакет. Это не только позволяет обнаружить тип атаки по какому-то из заданных заранее паттернов, но и детектировать абсолютно новый тип. Однако из-за того, что декодирование производится с помощью продвинутых технологий, не наблюдается ни потери скорости трафика, ни особой нагрузки на процессор. Если программа обнаруживает нарушителя, то она начинает действовать, пытаясь выследить его. Если программа считает, что действия нарушителя могут повлиять на работоспособность системы, то адрес, с которого хакер выходит на связь, немедленно блокируется вашим компьютером. Поскольку блокировка осуществляется на уровне пакетов, то обойти ее невозможно. Информация о нарушителе, такая как его IP, DNS и MAC addresses, немедленно отображается в разделе Intruders tab. Вся информация об атаке заносится в раздел Attacks tab. Все то, что вы узнали о хакере может использоваться, если вы собираетесь принять против него какие-то активные действия.
Секция Evidence Files содержит информацию, которую хакер переслал на ваш компьютер. History tab отображает трафик. Цветными линиями здесь выделены найденные паттерны, которые соответствуют обнаруженному типу атаки. В разделе Information tab указан регистрационный номер и срок окончания действия технической поддержки.
BlackICE использует два типа фильтрации: стандартную и динамическую. Первая может предотвратить атаку еще до ее начала. Что-то вроде превентивных мер. Здесь блокируются плохо фрагментированные пакеты, испорченные пакеты и вообще все, что может помешать качественной связи. Динамическая фильтрация — это нечто иное. Программа сама находит источник атаки, то есть IP хакера, и блокирует его всего на 24 часа. Делается это потому, что хакер может имитировать чей-то IP, и если вы заблокируете его навсегда, то можете лишиться полезной информации. Здесь важно отметить, что хакер не может заметить присутствие этой программы на вашем компьютере. Отменить работу утилиты может только человек, имеющий физический доступ к вашему компьютеру. На иллюстрации показано, как программа отлавливает человека, думающего, что на моей машине находится троян NetBus. Я немедленно кликнул на оранжевую иконку с восклицательным знаком и получил самую исчерпывающую информацию об этом трояне. В частности, узнал, что существует утилита, позволяющая имитировать поведение трояна на моей машине. Можно было поиграть с хакером в кошки-мышки, но времени на это у меня не было.
Понять атакуют ли ваш компьютер, или же это, к примеру, on-line антивирус проводит ряд тестов — задача невероятно сложная. Чтобы понять, как работает хакер стоит разобраться с понятием «порта». Порт — это своего рода шлюз, по которому программа обменивается информацией. Определенные сервисы пользуются заданными заранее номерами портов, для того чтобы узнавать друг друга. Номера портов от 1024 до 65535 не является закрепленными за конкретным сервисом и могут использоваться любой программой. Эти порты сломать сложнее, так как неизвестен протокол, с которым они работают. Для хакера самое простое — это сломать порты с младшими номерами. Они почти всегда открыты. В программе есть четыре уровня защиты: Paranoid, Nervous, Cautious and Trusting. Каждый из них прикрывает порты своим способом, используя свои собственные алгоритмы защиты.
Однако еще до того, как использовать программу, вам следует подумать о параллельных способах защиты. Если у вас кабельное подключение, то заведите себе привычку отключать компьютер в тот момент, когда вы им не пользуетесь. Никогда не пересылайте пароли по email’у! Будьте внимательны, получая электронные сообщения. Старайтесь посещать только те сайты, которые вам знакомы. Или, по крайней мере, узнавайте как можно больше о сайтах, которые вам приходится посещать. Будьте осторожны, получая письма от незнакомых людей. Почаще меняйте пароли и регулярно обновляйте программное обеспечение! Будьте очень внимательны в чатах. Обычно именно оттуда хакер черпает информацию о вас, вашем адресе, ваших привычках… Обращайте внимание на странное поведение компьютера, изучая при этом лог программы BlackICE. Следите за поведением программы. Если иконка меняет свой цвет на оранжевый и начинает мигать, то это говорит о том, что вас атакуют. Программа вообще цветастая, как светофор, и каждый цвет о чем-то да говорит.
Конфигурация проводится через меню Edit BlackICE Settings. Здесь в окне Protection задается уровень защиты. Для Интернета самым подходящим считается Cautious. При этом можно разрешить Internet File Sharing, если вы хотите позволить людям вытаскивать ваши файлы через Интернет. Помните только, что это небезопасно.
Allow NetBIOS Neighborhood — передаст имя вашей системы для Windows Network Neighborhood. Если у вас дома стоит сеть, которая использует NetBIOS имена для доступа к файлам, то опцию стоит держать включенной.
Back Trace Tab. Процедура back tracing заключается в попытке определения координат взломщика. Когда человек посылает на ваш компьютер пакеты с информацией, они проходят через несколько узлов. К пакетам добавляется информация. По этой информации BlackICE найдет пункт отправления пакетов. Indirect trace не вступает во взаимодействие с системой взломщика, поэтому это не совсем точный способ обнаружения хакера. Direct trace доходит до самого компьютера, с которого произведена попытка взлома вашей системы, поэтому гарантия работы здесь выше. Однако хакер легко может блокировать direct trace. О параметрах настройки читайте в руководстве пользователя.
Включенная опция Packet Log Tab запишет информацию о выходящем и входящем трафике в лог-файлы. Файл заполняется, покуда не превысит отведенную юзером квоту. Потом начинает заполняться другой файл. Когда количество файлов, отведенных под запись трафика, подходит к концу, программа начинает переписывать самый первый файл.
Trusted Addresses Tab отменяет мониторинг программы для указанных адресов. Blocked Addresses Tab позволяет заранее заблокировать адреса. Для удаления адресов из списка следует кликнуть правой кнопкой мышки на строку с адресом и выбрать команду Unblock and Trust. Эти адреса можно упорядочивать по разным критериям.
Опция ICEcap Tab… BlackICE, к сожалению, не может быть интегрирован с этой утилитой. Поэтому все опции тут заблокированы, а закладка носит чисто информативный характер. Между тем утилита весьма полезна, так как она может собирать и анализировать информацию с нескольких установленных в сети копий программы BlackICE.
Но как же нам реагировать на различные атаки? Во-первых, не паниковать. Во-вторых, не обольщаться и не закидывать ISP гневными письмами. Они все равно ничего не сделают. Следует тихонечко зайти на сайт www.networkice.com/advice и посмотреть, так ли страшна эта атака и как стоит защищаться. Не стоит также забывать регулярно обновлять BlackICE через Интернет. Благо, что опция автоматического апдейта встроена в программу. Посмотрите, в заключении, на фрагмент списка атак, которые отлавливаются программой…
BackOrifice, Trojan Horse, Sub Seven Port Probe, Buffer Overflows, «I love You» worm, FTP file exec exploit, FTP compress exec exploit, POP3 RETR argument very long, Empty fragment, ICMP flood, Twinge attack, Zero length, TCP option, TCP small segment size, TCP SYN with URG flag, DNS BIND version request, DNS null, NetSphere HTTP activity, WebSpeed admin URL, SubSeven ICQ pager URL и многие другие. Во время написания этой статьи мой компьютер подвергся трем различным атакам. Все они были остановлены программой BlackICE.
ВТОРАЯ СТАТЬЯ
А я тебя насквозь вижу…
cheat-драйверы для заядлых игроков
Компания ASUS давно уже собиралась выпустить так называемые cheat-драйверы для заядлых игроков. Впервые о них рассказал сайт RIVA Station (www.rivastation.com/index_e.htm), а только потом — все остальные. Сайт этот борется в силу своих возможностей с разнообразными взломанными драйверами. Зачем? Непонятно. Хотя проблема cheat-драйверов может действительно нанести серьезный урон многочисленным чемпионатам по игре в Quake или другим играм. Драйверы эти позволяют буквально видеть сквозь стены, убирая текстуры и краски. Так что если ваш соперник спрятался за стеной с большой пушкой и надеется вас подстрелить, то это не станет для вас серьезной проблемой. Он никак не сможет защититься. Проверить на сервере, какими именно драйверами вы пользуетесь, практически невозможно. Драйвер этот работает во многих играх. Сама игра при этом не «патчится».
Собственно говоря, идея не нова. Достаточно давно существует Intel Tool Graphics Performance Toolkit (GPT) (developer.intel.com/vtune/gpt/). Этот пакет позволяет работать и в Wireframe, и в Transparent режимах, но при этом существенно (до 2-3 фреймов в секунду) падает скорость. Можно было попытаться изменить OpenGL драйвер, а можно было покопаться в самой игрушке.
Поглядите лучше на драйверы, которые выпустила ASUS 19 июля сего года – ASUS 3DSeeThrough-драйвер v5.32 Beta1 под Win9x (рис. 1) (riva.hardware.ru/soft/drvr/asus/asusw9x532.zip). Драйверы эти основаны на Detonator’е версии 5.32. Новые режимы включаются на любых картах с чипом от nVIDIA, выпускаемыми компанией ASUS. Настройки Wireframe и Transparent находятся в закладке OpenGL_VR. По умолчанию для вызова новых режимов используются «горячие» клавиши Ctrl-Alt-W и Ctrl-Alt-T (рис. 2). Можно вызвать опции напрямую, а можно нажатием на Ctrl-Alt-O вызвать OSD и включить их там. Режимы доступны только во время игры full-screen. Есть похожая закладка и в Direct3D_VR, но там она пока закрыта. Не так давно вышедший крэк, позволяет использовать данные драйверы со многими другими картами.
Вот как выглядит игра в Quake с выключенными (рис. 3) и с включенными (рис. 4) режимами прозрачности. Так, конечно, играть нельзя, но если очень надо, то можно.
ASUS решила ограничить срок действия опций двумя неделями. Потом пользователь должен проголосовать — оставить данную опцию в новых драйверах или нет. Официальных анонсов от ASUS пока еще не было, но, говорят, драйвер будет выпущен в течение 1-2 недель. Присоединяйтесь к голосованию и вы.