Безопасность в интернете. Полный мануал. -Dim@$- 23.02.10, 17:07 /home/articles/security/Bezopasnost_v_internete.Polnii_Manual.txt Далее речь пойдёт не о сокрытии IP или ещё про какие-либо хакерские штучки, а про обеспечение безопасности своего компьютера во время обычного серфинга по сайтам. Какой антивирус выбрать, как избавиться от наиболее распространённых вирусов, с которыми не справляется антивирус, а также список всех чистых процессов... Выбор Антивируса. Многие говорят, что Kaspesky Antivirus сильно тормозит систему, а так же он имеет намного меньшую базу, чем скажем NOD 32. Всё это просто глупые предрассудки, которые появились из-за неопытных пользователей, которые просто не в состоянии правильно его настроить. Если у вас не очень сильная машина с процессором около 1700 MHz и оперативной памятью не более 512, то нужно просто отключить некоторые параметры, которые вам не очень нужны. 1.Файловый Антивирус. Он конечно же нужен, но если проверять еженедельно систему и следовать тем рекомендациям, которые написаны ниже, то можно его отключить. 2.Анти Спам. При использовании почты на популярных серверах типа Mail.Ru он попросту не нужен т.к всё и так фильтруется самой почтовой системой, а до вас доходят лишь единичные письма. Если рассматривать Kaspesky 6, то там есть вид защиты, которая называется Анти Хакер (в седьмой версии это идёт подназванием что-то вроде “Сетевая безопасность”). Она блокирует неизвестные ей приложения, которые проявляют сетевую активность. Я бы посоветовал поставить её на максимальный уровень и добавить в список допустимых все приложения, которые вы используете при работе в Интернете. Если всё сделать верно, то каспер не будет поглащать более 5%-15% всех ресурсов при работе в сети. Внимательность к процессам. Вы наверняка уже знаете, что не все вирусы, которые живут на вашем компьютере определяются антивирусами. Я сам могу вам с десяток таких наделать=) Для того, чтобы не стать жертвой такой заразы нужно по чаще присматриваться к процессам в вашем компьютере и поможет в этом программа Process Explorer. Благодаря данной программе вы сможете найти неизвестный вам процесс и удалить его куда подальше. Для этого всего-то нужно навести мышь на сам процесс, нажать правую кнопку на вашей дорогой мышке и выбрать в выпадающем меню “Kill Process”. Только не забудьте запомнить путь, где он находиться, чтобы после найти и удалить его. Ну, а что бы вы не сомневались в своих действиях, я позже приложу к статье архив со скринами только что установленной ОС Windows XP SP1. Поскольку есть вирусы, которые запускаются при сетевой активности, то лучше всего запускать Process Explorer при каждом подключении к Интернету и в течении ещё как минимум пяти минут проверять все процессы на чистость. Избавление от Трояна на примере Pinch. Такой известный троян, как Пинч уже давно есть во всех антивирусных базах, но это не даёт вам полной гарантии, что ваш антивирус его определит т.к есть различные модификации, которых огромное множество и к тому же не мало способов шифрования его от антивирусов. Итак, всё по пунктам: 1. Открыть ProcessExplorer 2. Найти csrss.exe путь которого C:\Windows\csrss.exe 3. Убить процесс csrss.exe 4. Открыть C:\Windows и удалить csrss.exe Внимание! Прошу не путать с системным процессом, которые расположен в C:\Windows\System32\csrss.exe Заключение. В заключение кроме всего хочу сказать спасибо, если вы прочитали всё до конца. Конечно же ещё остается небольшая возможность, что вы подвергнетесь опасности в Интернете, но она сводится практически к нулю. И ещё одно, если вы такой же параноидальный маньяк по отношению к Интернету, как и я, то было бы не плохо вам скачать для полной чистоты Agava AntiSpy. That’s Всё. --------------- -Dim@$- 23.02.10, 17:14 Как не светить свой IP: Для чего нужно: если вы собираетесь ломать сервак, где засвечивание вашего ip нежелательно; хотите зарегить аккаунт, в связи с использованием которого у владельца могут начаться проблемы; некто прислал вам ссылку вида "смотри: http:///bla-bla-bla.com/ - тут про тебя пишут!", чтобы вычислить ip; ещё таких случаев много, где желательно не засветить свой ip. Что делать. В таких случаях нужно юзать прокси. Но быстрые и стабильные прокси - платно, нужно искать чё-нить нахаляву. Поэтому есть два способа. Способ #1. первым делом скачиваем прокси-чекер, (http://proxychecker.net) и устанавливаем. ищем скачиваем свежий прокси-лист (http-anonymous proxy) по ссылкам: http://samair.ru http://proxylists.net http://xroxy.com http://my-proxy.com прокси-листы должны быть вида ip:port. загоняем в проксичекер несколько прокси (до 30) и проверяем на валидность. Почему до 30 - по тому, что если больше, то проксичекер отказывается проверять остальные, пишет "невалид". из большого списка отфильтровалось несколько серваков. Мы копируем один из них, лезем в настройки браузера, и устанавливаем соединение через прокси, вставляем туда свой прокси, жмём "ок". серфим анонимно. Сервак бывает срабатывает не сразу, нужно несколько попыток, да и вообще оно глючить будет часто (а что вы хотели за бесплатно???) Для большей безопасности, рекомендуется отключить ява-скрипт. Способ #2 Есть такие сайты, называются анонимайзеры (aka cgi-proxy). Вводите в строку адреса в анонимайзере нужный адрес и серфите. Все страницы будут открываться НЕ с запрашиваемого адреса, а с сервера анонимайзера, и на соединяемом серваке будет оставаться ip вашего анонимайзера. Можно также сделать цепочку анонимайзеров: открываете первый, вставляете в строку адреса второй, и так несколько раз. Но поскольку анонимайзеры бесплатные, а везде, где бесплатно, стараются навешать побольше рекламы. Стоит посетить одну страницу ya.ru через цепочку анонимайзеров, как откроется десятки баннеров и всплывающик окон. Также следует помнить, что психика человека настроена на то, чтобы следить за своим ближним, и если вы думаете, что на проксях и анонимайзерах не логятся следы вашей деятельности, и скачиваете коды на запуск ракет Пентагона, у вас может быть утечка информации :) я не говорю о том, что сам провайдер пишет своих абонентов. Вот несколько анонимайзеров: http://anonymouse.org/ http://shadowbrowser.com/?pin=trial http://hidemyass.com/ http://proxy7.com/ http://proxyfoxy.com/ http://78y.net/ http://75i.net/ http://dzzt.com/ http://proxyguy.com/ http://gamesproxy.com/ http://proxyz.be/ http://antifw.tk/ http://proxyhero.com/ http://proxydrop.com/ http://proxydrop.net/ (mirror) http://proxydrop.biz/ (mirror) http://proxydrop.info/ (mirror) http://proxydrop.org/ (mirror) http://prx1.com/ http://ninjaproxy.com/ http://shadowsurf.com/ http://famous5.net/ http://no1proxy.com/ http://theproxy.be/ http://newproxy.be/ (mirror) http://smartproxy.net/ (mirror) http://proxyspy.com/ http://proxyprince.com/ http://pimpmyip.com/ http://ohmyproxy.com/ http://cleverproxy.com/ http://aproxysite.com/ http://fullysickproxy.com/ http://desireproxy.com/ http://perfectproxy.com/ http://primeproxy.com/ http://proxyaware.com/ http://proxycraze.com/ http://proxygasp.com/ http://proxyplease.com/ http://someproxy.com/ http://stupidproxy.com/ http://thatproxy.com/ http://wantproxy.com/ http://unblockmyspace.com/ http://proxyforall.com/ http://myproxysurfer.com/ http://proxycat.com/ http://proxydetective.com/ http://indianproxy.com/ http://proxybrowsing.com/ http://proxypi.com/ http://proxyjet.com/ http://justhide.com/ Кому нужны соурсы анонимайзеров - http://www.jmarshall.com/tools/cgiproxy/ --------------- -Dim@$- 23.02.10, 17:16 Как узнать IP адрес отправителя email: Вся информация об отправителе содержится в заголовке письма, который имеет следующий вид --------------------------------------------------------------------- From beauxevangeline@mail.ru Sat Mar 01 20:23:31 2008 Return-path: Received: from mail by f144.mail.ru with local id 1JVVQp-00041p-00; Sat, 01 Mar 2008 20:23:31 +0300 Received: from [217.132.96.2] by win.mail.ru with HTTP; Sat, 01 Mar 2008 20:23:31 +0300 From: To: ignatova-tatyana@mail.ru Subject: Практическая логистика Mime-Version: 1.0 X-Mailer: mPOP Web-Mail 2.19 X-Originating-IP: [217.132.96.2] Date: Sat, 01 Mar 2008 20:23:31 +0300 Reply-To: =?koi8-r?Q?=EB=C1=D2=C1=C2=C9=CE=CF=D7_=E0=D2=C9=CA?= Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Message-Id: --------------------------------------------------------------------- Для того, чтобы увидеть заголовок в почтовой службе типа mail.ru надо: 1. Открыть письмо 2. Нажать кнопочку с надписью RFC Для того, чтобы увидеть заголовок в TheBat 1. Открыть письмо 2. Нажать F9 Все очень просто. --------------- -Dim@$- 23.02.10, 17:41 Приватный веб-серфинг При первом выходе в Интернет операционная система обычно предупреждает пользователя о небезопасности отправки в Сеть сведений о себе. Основная масса юзеров реагирует на это сообщение установкой флажка «Больше не выводить это окно»… Что бы вы почувствовали, если б местное отделение связи в обязательном порядке вскрывало и делало ксерокопии каждого письма, приходящего на ваш адрес или отправляемого вами? Или если бы рядом с вами перманентно присутствовал человек с диктофоном и записывал бы всё, что вы говорите и куда ходите? В сегодняшнем интернете следить за каждым пользователем как за потенциальным преступником — нормальное явление. Многие почтовые службы, невзирая на презумпцию невиновности, хранят всю пользовательскую переписку годами, а интернет-провайдеры и веб-серверы ведут подробнейшие логи вашей сетевой деятельности. К счастью, уберечься от подглядывания через плечо в личные письма несложно, многие про это знают и успешно применяют шифрование важной электронной корреспонденции (кстати, в некоторых странах запрещённое), которое охладит любопытство даже у спецслужб. Защите же приватности при простом веб-серфинге практически никто не придаёт значения, хотя заинтересованным лицам он может сказать о вас ничуть не меньше, чем частная переписка. В зависимости от страны, в которой вы проживаете, и степени тоталитарности её режима даже история посещённых вами веб-сайтов может причинить серьёзный вред (или админ на работе выскажет всё, что про вас думает). А уж если вы хоть раз скачивали пиратский mp3-файл или заглядывали в варезную телеконференцию usenet, то сушите сухари заранее — всё запротоколировано, и вполне возможно, что настанет момент, когда каждый, кто загружал из Сети контрафактное ПО или музыку, не сможет въехать в США, не опасаясь быть арестованным — некоторые американские пользователи peer-to-peer сетей уже на своём примере убедились в существовании Большого Брата. Утечка подобной приватной информации при работе с веб-русурсами может происходить на любом из трёх этапов: получение информации о вас на стороне просматриваемого ресурса; перехват трафика у интернет-провайдера или на каком-то промежуточном сервере (вспомним СОРМ-2 — Система Оперативно-Розыскных Мероприятий, www.libertarium.ru, www.ijs.co.nz/sorm2.htm); анализ следов на вашем собственном компьютере. Веб-сервер Когда, общаясь в чатах и веб-форумах, вы критикуете правительство или своего работодателя, отдаёте ли вы себе отчёт, что владелец любого веб-ресурса при желании может узнать о вас всё, что знает ваш интернет-провайдер, вплоть до паспортных данных? Но даже без прямого обращения к провайдеру администрация сайта способна получить ваш ip-адрес, страну и город проживания, url посещённого перед этим сайта, ваш e-mail. А этого, например, вполне достаточно, чтобы бомбардировать вас потом целенаправленным спамом. Просто убедитесь в этом воочию на сайтах, тестирующих уровень защиты вашей системы: * scan.sygatetech.com * privacy.net/analyze * www.leader.ru/secure/who.html * anon.inf.tu-dresden.de/anontest/test_en.html * stilllistener.addr.com/checkpoint1 * multiproxy.org/env_check.htm И главная задача при организации защиты на этом уровне — сокрытие своего истинного ip-адреса, который равнозначен вашему имени и фамилии, если те были указаны в договоре с провайдером, или его модемный пул оснащён автоматическим определителем номера. Самый доступный метод такой маскировки — использование специального сайта-анонимайзера при доступе к неблагонадёжным серверам. Анонимайзер — это обычный веб-сайт со специальной формой для ввода url-адреса, при использовании которой вместо адресной строки браузера вы обычным способом путешествуете в веб, но при этом подменяется ваш ip и другая приватная информация — к владельцам посещаемых таким способом сайтов попадают данные анонимайзера, но не ваши. Анонимайзеры Самыми известными анонимайзерами являются: * www.anonymizer.com * www.rewebber.de/index.php3.en * www.the-cloak.com * www.rewebber.de/index.php3.en * anonymouse.is4u.de * www.ponoi.com * www.guardster.com * behidden.com * www.megaproxy.com Чтобы не открывать каждый раз страничку с формой для ввода адреса (а https-сайты, например, не кешируются и каждый раз будут полностью перезагружаться) можно сделать свою html-страницу, куда скопировать соответствующие формы и с её помощью запускать нужный анонимайзер с жёсткого диска (получится что-то типа www.anonymsurfen.com). Недостатки этого способа заключаются, пожалуй, в том, что работают веб-анонимайзеры довольно медленно, отображают рекламу, за дополнительные функции (например, ssl-шифрование) необходимо платить (а оплата кредиткой опять-таки выдаёт ваши имя и фамилию), кроме того, подобные службы сохраняют подробные логи вашей деятельности и в случае чего с готовностью предоставят все сведения о вас куда следует (по слухам, некоторые напрямую сотрудничают со спецслужбами и весь трафик превентивно просматривается). Да и веб-интерфейс кому-то покажется не очень удобным. Возможно, более привлекательным и надёжным способом анонимизации веб-серфинга будет использование независимых, а то и постоянно меняющихся прокси-серверов (antivirus.eserv.ru/ru/what_is_proxy_server). Преимущество такого метода заключается ещё и в том, что не только internet explorer, но и другие популярные программы и браузеры способны работать через прокси. Для этого достаточно в настройках программы задать использование любого общедоступного анонимного прокси-сервера, коих в Сети предостаточно. Анонимный (непрозрачный, non-transparent) прокси, как и сайт-анонимайзер, заменяет в каждом проходящем через него пакете ваш ip-адрес на свой собственный, в результате чего в «логах» веб-серверов, которые вы посещаете, ваших данных уже не оказывается. В ie6 установка прокси делается на странице «Свойства обозревателя» — «Подключения» — «Настройка» — «Прокси сервер». Поиск прокси-серверов Готовые списки анонимных прокси-серверов можно без труда найти в Интернете, например, на сайтах: www.samair.ru/proxy proxylist.virtualave.net proxycheck.spylog.ru www.multiproxy.org/anon_proxy.htm tools.rosinstrument.com/proxy www.atomintersoft.com/products/alive-proxy/proxy-list www.cybersyndrome.net www.proxyblind.org/phpbb2 www.secureroot.com/category/anonymity/proxies Быстрые анонимные прокси можно искать и самостоятельно с помощью программ: * proxyhunter (geocities.com/xmemor/mp/proxyhunter.html); * socks proxy finder (http://www.ijs.co.nz/code/pfinder.exe); * socks scanner (www.astra-soft.com); * dipstick (www.klever.net). А протестировать выбранные прокси на анонимность можно утилитами типа: * proxy checker (proxylist.virtualave.net/pchecker.htm) * we group proxychecker (www.wegroup.org/proxychecker) * socks tester (www.astra-soft.com) или с помощью таких сайтов, как: * www.all-nettools.com * www.void.ru * www.samair.ru/proxy/proxychecker Но опять-таки даже находящийся в Эфиопии прокси-сервер будет вести протоколы всех действий, совершаемых пользователем. Потому, если есть необходимость в повышенном уровне безопасности, то придётся использовать не один, а сразу цепочку из нескольких прокси между вашей машиной и удалённым хостом: отследить ваш настоящий ip в этом случае будет гораздо сложнее. Возможности настроек internet explorer позволяют ему работать единовременно только с одним прокси. Поэтому цепочку помогут организовать программы: * anonymity 4 proxy (www.inetprivacy.com), * multiproxy (multiproxy.org), * sockschain (www.ufasoft.com/socks). Последняя утилита самая продвинутая: она, в частности, избавляет от необходимости искать отдельный прокси для каждого протокола (ftp, http, gopher…) и позволяет подключить через socks-прокси (www.computerra.ru/offline/1998/238/1170) даже такие программы, в которых возможность работать через прокси изначально не заложена. К тому же, при использовании socks-прокси не изменяются http-заголовки, благодаря чему web-сервер не может определить, что вы используете прокси-сервер.Но, разумеется, при работе в интернете мало скрыть за надёжным прокси свой ip. Чтобы в Сеть не попал ваш е-mail, или администрация веб-ресурса не смогла определить, с какого сайта вы к ним пришли, необходимо ещё установить качественный файерволл (например, norton internet security или outpost), плюс настроить имеющееся программное обеспечение таким образом, чтобы оно само не стало причиной утечки приватной информации. Так, даже если вы используете анонимный прокси, веб-сайт сможет вас идентифицировать по cookie, который оказался на диске ещё тогда, когда прокси не использовался. Активные элементы javascript, vbscript, java applets, activex, спрятанные в коде веб-сайта и даже всевозможные плагины к ie способны не только выдать ваш истинный ip, e-mail и множество различных настроек вашего браузера, но и выполнить некоторые действия на вашем ПК. Поэтому для максимальной эффективности применение прокси надо обязательно сочетать с отказом от этих компонентов — блокировать их на уровне файерволла и запрещать в настройках браузера. Файерволл можно даже попробовать сконфигурировать таким образом, чтобы блокировались все соединения браузера, кроме выхода на внешний анонимный прокси. Локальная сеть и провайдер Даже если в силу вашей полной законопослушности (никакого «вареза» и мп3!) вас совершенно не беспокоит тот факт, что сотрудники интернет-провайдера или оператор пресловутой системы СОРМ могут перехватывать ваш трафик, то попробуйте в своей локальной сети на досуге поэкспериментировать с программами типа: * effetech http sniffer (httpdetect) (www.effetech.com), * give me too (www.spyarsenal.com/network-sniffer), * icq snif (www.ufasoft.com/icqsnif). Если ваше подключение к городской lan осуществляется через хаб, а не через свитч, то вы поймете, как легко ваш сосед может узнать все ваши секреты. Программы эти являются снифферами, то есть утилитами для перехвата пакетов http, icq, irc, pop3 и smtp-траффика в локальной сети. Их отличительная особенность заключается в том, что любой неподготовленный пользователь может в реальном времени получать готовые файлы или читабельные сообщения, автоматические собранные из перехваченных данных. А уж если у кого-то из ваших соседей заведётся etherscan password sniffer (www.etherscan.com), предназначенный для перехвата паролей во многих популярных сетевых протоколах… Противодействовать перехвату вашей приватной информации на пути от вашего ПК до веб-сервера (или хотя бы до сервера провайдера) — непростая задача, поскольку бесплатные её решения можно пересчитать по пальцам одной руки. Платные сервисы Некоторые известные анонимайзеры за отдельную плату предлагают воспользоваться защищённой версией их сервиса. В этом случае пользователь, соединяясь с https-сервером анонимайзера, получает зашифрованный канал от своего ПК вплоть до этого сервера (там данные дешифруются и отправляются на тот веб-сайт, который вы хотите посетить). Причем, ssl-шифрование осуществляет сам браузер (способен ли он на это, можно проверить на сайте https://www.fortify.net/sslcheck.html), так что перехватить ваши данные не сможет ни провайдер ни даже сниффер, установленный каким-то доброжелателем на вашем собственном ПК. Такую возможность предоставляют, например, www.idzap.com и www.allconfidential.com/english_us. Но вся беда в том, что защититься от администрации анонимайзера вы при этом не сможете. И дело не только в том, что практически все такие службы находятся в США и полностью подконтрольны властным структурам, но ещё и оплата этого сервиса выдаст все ваши данные с потрохами. Существуют и другие решения, основанные на установке на ПК пользователя специальной программы-клиента. Это: * webtunnel (www.primedius.com/privateanonymoussurfingproducts.htm); * cryptoproxy ssh (www.cryptotunnel.com); * ipremier (www.iprive.com); * freedom web secure (www.freedom.net/products/websecure); * bypass proxy client (www.bypass.cc). Все эти варианты относительно недороги — порядка нескольких у. е. в месяц за шифрованный трафик объёмом от нескольких десятков до пары сотен мегабайт — и предоставляют более широкий набор услуг, нежели веб-анонимайзер. Например, с их помощью можно шифровать не только http-трафик, но и сообщения электронной почты, интернет-пейджеров, файлы, передаваемые по ftp и пиринговым сетям. Но опять-таки необходимость ежемесячной оплаты не только затруднительна для российского пользователя, не обременённого кредитными картами международного образца, но и позволяет при необходимости однозначно идентифицировать любого из клиентов такой службы. Самый доступный способ в какой-то мере защитить свой трафик от прослушки — использовать единственный на сегодня бесплатный веб-анонимайзер с поддержкой ssl-шифрования https://www.snoopblocker.com. Пока этот ресурс самоокупается только показом баннеров, так что неясно, сколько ещё продлится его общедоступный статус. Работает он достаточно быстро, притом позволяет при желании блокировать cookie, javascript, java, activex. К сожалению, ресурс этот не даёт о себе и политике своей работы почти никакой информации, и по какой-то причине с его помощью удаётся открыть далеко не все сайты. Весьма оригинальное решение предлагают разработчики известной программы httport (www.htthost.com). Их утилита организует защищённый туннель между практически любой программой на вашем ПК (браузер, почтовый клиент, irc, icq, usenet, ftp, aim) и удалённым сервером, на котором установлен её серверный компонент — httphost. Она имеет весьма оригинальный встроенный блок шифрования, который маскирует все передаваемые пакеты в виде стандартных html-страниц с абракадаброй вместо содержания. О тонкостях её работы и настройки можно узнать из статьи www.nestor.minsk.by/sr/sr0104/sr10404.html. Из недостатков же можно упомянуть необходимость искать общедоступные серверы с установленной htthost — при использовании же расположенного в США сервера разработчиков полную конфиденциальность они не гарантируют (www.htthost.com/faq.boa?question=traffic). К сожалению, и полностью бесплатным этот метод назвать нельзя, так как утилита относится к классу shareware. И, наконец, самый, пожалуй, интересный способ защиты приватного трафика — использование утилиты jap (java anon proxy) (anon.inf.tu-dresden.de/index_en.html), разработанной в рамках проекта anonymity in the internet (an.on) в dresden technical university (спонсор — german research foundation and the federal ministry of economics and technology) при тесном сотрудничестве с independent center for data privacy schleswig-holstein и free university berlin. Механизм работы этой утилиты изначально гарантировал, что даже администрация используемых ей прокси-серверов не сможет расшифровать ваш трафик, так как он распределяется сразу на несколько прокси, смешивается с трафиком других пользователей и собрать его воедино для анализа будет очень непросто, тем более что ключи шифрования часто меняются и не сохраняются на диске. И что самое главное — утилита полностью бесплатна, а поскольку написана на java, то ещё и кроссплатформенна. К сожалению, несмотря на громкие названия основателей проекта, как только стало ясно, что система эта действительно позволяет осуществлять надёжную защиту трафика, на нее «наехали» германские органы власти, и под их давлением в систему был добавлен «чёрный ход». Подробнее обо всей этой некрасивой истории, из-за которой столь многообещающий сервис потерял доверие многих пользователей, можно узнать из материалов: * www.eweek.com/article2/0,4149,1273190,00.asp, * sourceforge.net/forum/forum.php?thread_id=909637&forum_id=42120, * theregister.co.uk/content/55/32450.html, * www.theregister.co.uk/content/6/32533.html. Так что теперь с большой долей вероятности можно предполагать о наличии чёрного хода и в jap (возможно, и не в самой утилите, исходный код которой доступен, а в используемых ей серверах), тем более что сами разработчики, хоть и апеллируют в суд, тем не менее, признают, что доступ к определённым веб-ресурсам (к каким именно, никто не говорит, хотя можно было бы просто блокировать такие сайты) теперь протоколируется: * www.datenschutzzentrum.de/material/themen/presse/anonip_e.htm, * www.datenschutzzentrum.de/material/themen/presse/anonip2_e.htm). Вот вам и демократия в действии… Таким образом, реальной системы анонимного шифрования трафика, которой можно было бы полностью доверять, на сегодняшний день попросту не существует. Возможно, если кто-то сумеет создать децентрализованный аналог jap, ему и удастся противостоять «Большому Брату»; пока же помните, что даже при использовании шифрующих веб-анонимайзеров и платных программ-клиентов полная конфиденциальность не обеспечивается. Причём на вполне законных основаниях. Локальный ПК Тем не менее, шифрование трафика и обеспечение анонимного веб-серфинга — задача, актуальная далеко не для каждого пользователя. Многих пока это не интересует, а некоторым гораздо важнее, не чтобы какой-то виртуальный работник спецслужб не мог читать его любовные послания, а чтобы доступ к ним не получила его собственная жена. Для того, чтобы следы вашего пребывания в интернете не оставались на вашем же ПК, удобно использовать специально для этого предназначенные программы, например evidence exterminator (http://www.softstack.com/evterminate.html). Программа эта удалит все файлы, в которых только может сохраниться какая-то приватная информация: очистит файл подкачки, многочисленные следы в реестре, удалит все временные файлы на диске. Удалит она и улики, которые оставляют некоторые прикладные программы, например, менеджеры закачек, интернет-пейджеры, архиваторы, антивирусы, клиенты peer-to-peer сетей — всего несколько десятков программ. Аналог — evidence eliminator (www.evidence-eliminator.com) — кое в чем её превосходит — эта программа удалит даже те файлы, которые обычным способом из-под windows удалить нельзя, типа всяческих index.dat, причем таким образом, чтобы максимально затруднить восстановление стёртой информации, несколько раз перезаписав случайным мусором те кластеры на диске, что занимали приватные файлы. Как отключить кэш internet explorer В настройках обозревателя можно отключить ведение Журнала, но нет возможности установить объём кэша internet explorer равным нулю — это можно сделать только с помощью редактора реестра. Просто добавьте в реестр такой параметр, и временные интернет-файлы со следами вашего веб-серфинга создаваться не будут: hkey_local_machine software microsoft windows currentversion internet settings cache "persistent"=hex:00,00,00,00 --------------- -Dim@$- 02.04.10, 22:17 Пользователи продолжают совершать одни и те же ошибки при работе с паролями Согласно исследованию, проведенному антивирусной компанией Symantec, 23% людей используют возможности своих браузеров для хранения паролей. Опрос, проведенный специалистами этой фирмы среди четырех сотен пользователей, показал также, что 60% из них не меняют свои пароли на регулярной основе. Более того, четверть опрошенных делятся паролями с супругами, а каждый десятый и вовсе показывает их “друзьям”. Сами пароли тоже удручающе предсказуемы. Так, 12 человек признались, что в качестве пароля используют слово “пароль”, а каждый десятый превращает в пароль кличку своего домашнего животного, узнать которую средствами социальной инженерии проще простого. 8% респондентов используют одни и те же пароли для всех сайтов, что может привести к последовательной компрометации почтовых и банковских аккаунтов. Интересно, что свой опрос компания проводила среди читателей блога Symantec Security Response, которые по идее должны обладать более высоким уровнем компьютерной грамотности, чем среднестатистические пользователи. --------------- -Dim@$- 04.04.10, 20:01 10 инструментов для анализа безопасности сети Бесплатные утилиты для тестирования сети — воспользуйтесь ими раньше хакеров Существуют тысячи инструментов, как коммерческих, так и бесплатных, предназначенных для специалистов, которым приходится оценивать систему безопасности сети. Сложность заключается в выборе подходящего для конкретного случая инструмента, которому можно доверять. Чтобы сузить круг поиска, в данной статье я предлагаю вниманию читателей 10 превосходных бесплатных инструментов для анализа уровня безопасности сети. Процесс оценки безопасности сети состоит из четырех основных этапов: сбор данных, привязка, оценка и проникновение. На стадии сбора данных проводится поиск сетевых устройств с помощью сканирования в реальном времени с применением протоколов Internet Control Message Protocol (ICMP) или TCP. На стадиях привязки и оценки определяется конкретная машина, на которой работает служба или приложение, и оцениваются потенциально уязвимые места. На этапе проникновения одно или несколько уязвимых мест используются для привилегированного доступа к системе с последующим расширением полномочий на данном компьютере либо во всей сети или домене. --------------- -Dim@$- 04.04.10, 20:02 1. Nmap Проверенный временем инструмент Network Mapper (Nmap) существует несколько лет и постоянно совершенствуется автором. Nmap — необходимый инструмент специалиста по сетевой безопасности, значение которого невозможно переоценить. Nmap можно по-разному использовать на стадии сбора данных для сканирования в реальном времени, чтобы выявить системы, активные в данной сети. Nmap также полезен для обнаружения ACL (список управления доступом) маршрутизатора или правил брандмауэра с помощью проверки флага подтверждения (ACK) и других методов. На этапах привязки и оценки Nmap можно использовать для сканирования портов, перечисления служб и номеров их версий и сбора отличительной информации об операционных системах. Nmap — превосходный инструмент для углубленного анализа и проверки результатов автоматизированной программы сканирования. Первоначально Nmap проектировался для UNIX, но в последние годы был перенесен на платформу Windows. Nmap — программа с открытым исходным кодом, ее можно бесплатно загрузить с нескольких сайтов, основной из которых --------------- -Dim@$- 04.04.10, 20:03 2. N-Stealth Один из наиболее сложных этапов анализа нарушений в системе безопасности — стадия оценки. Определить активные системы и службы, которые работают на них, несложно, но как выяснить степень уязвимости конкретной службы? Эффективный инструмент для Web-служб — N-Stealth Security Scanner компании N-Stalker. Компания продает более полнофункциональную версию N-Stealth, но бесплатная пробная версия вполне пригодна для простой оценки. Платный продукт располагает более чем 30 тыс. тестов системы безопасности Web-серверов, но и бесплатная версия обнаруживает более 16 тыс. конкретных пробелов, в том числе уязвимые места в таких широко распространенных Web-серверах, как Microsoft IIS и Apache. Например, N-Stealth отыскивает уязвимые сценарии Common Gateway Interface (CGI) и Hypertext Preprocessor (PHP), использует атаки с проникновением в SQL Server, типовые кросс-сайтовые сценарии и другие пробелы в популярных Web-серверах. N-Stealth поддерживает как HTTP, так и HTTP Secure (HTTPS — с использованием SSL), сопоставляет уязвимые места со словарем Common Vulnerabilities and Exposures (CVE) и базой данных Bugtraq, а также генерирует неплохие отчеты. Я использую N-Stealth для поиска наиболее распространенных уязвимых мест в Web-серверах и определяю самые вероятные направления атак. Более подробную информацию о N-Stealth можно получить по адресу [Для просмотра данной ссылки нужно зарегистрироваться]. Конечно, для более достоверной оценки безопасности Web-узла или приложений рекомендуется приобрести платную версию или такой продукт, как WebInspect компании SPI Dynamics. --------------- -Dim@$- 04.04.10, 20:03 3. SNMPWalk SNMP — известный, широко используемый и совершенно незащищенный протокол, работающий через UDP-порт 161. Маршрутизаторы Cisco Systems и серверы Windows, как правило, совместимы с SNMP и в лучшем случае минимально защищены требованием указывать чисто текстовую строку с именем сообщества (community string), чтобы получить разрешения на запись и чтение. Для оценки мер безопасности, пусть слабых, SNMP в сети удобен такой инструмент, как SNMPWalk, с помощью которого можно получать важную информацию от сетевых устройств. Простой запрос SNMP поможет обнаружить утечку информации из устройств SNMP. Например, широко известная стандартная community-строка для маршрутизаторов Cisco — «ILMI». Используя эту строку, SNMPWalk может извлечь из маршрутизаторов Cisco массу информации, которая позволяет получить полный контроль над инфраструктурой сетевого маршрутизатора, если конкретный важный фрагмент данных хранится в информационной базе Cisco Management Information Base (MIB). SNMPWalk — открытый инструмент, который был разработан в рамках проекта Net-SNMP в Университете Карнеги—Меллона в начале 1990-х, когда началось внедрение SNMP. Для извлечения управляющих параметров (в абстрактном синтаксическом представлении — Abstract Syntax tation, ASN) из поддерева MIB SNMP используется запрос get-next. Как отмечалось, чтобы получить право чтения информации с устройства, достаточно лишь строки, которая хорошо известна или может быть без труда найдена в сети. --------------- -Dim@$- 04.04.10, 20:04 4. Fpipe Один из наиболее сложных тестов системы безопасности, которые полезно выполнить в сети, — имитировать нападение взломщика, отыскивая способы обойти одну или несколько линий обороны. Пример обходного маневра на этапах оценки или проникновения — ретрансляция или перенаправление портов, и инструмент Fpipe компании Foundstone (подразделение компании McAfee) как нельзя лучше подходит для этого. Для обхода списков управления доступом (ACL) маршрутизатора, правил брандмауэра и других механизмов защиты иногда можно обращаться к конкретной службе, работающей через порт, перенаправляя или туннелируя трафик в нужный TCP-порт через другой TCP-порт. Упрощенный пример — маршрутизатор между подсетями, который разрешает прохождение только HTTP-трафика через TCP-порт 80. Предположим, требуется установить соединение с машиной, работающей с Telnet (TCP-порт 23) в другой подсети. Если удалось проникнуть в другую систему в той же подсети, в которой расположен компьютер, работающий с Telnet, то с помощью ретранслятора портов, такого как Fpipe, можно организовать TCP- или UDP-«поток», который инкапсулирует трафик для TCP-порта 23 в пакеты, идентифицируемые как пакеты TCP-порта 80. Эти пакеты проходят через маршрутизатор, в котором разрешен трафик TCP-порта 80, и поступают в пораженный компьютер, на котором работает Fpipe или другой ретранслятор портов. Этот ретранслятор портов «сбрасывает» оболочку с пакетов и передает трафик TCP-порта 23 целевому получателю. Для переадресации и перенаправления портов можно использовать также Secure Shell (SSH) или Netcat (описание приведено ниже), но бесплатная, простая в использовании и хорошо документированная программа Fpipe предпочтительнее. --------------- -Dim@$- 04.04.10, 20:04 5. SQLRECON За последние несколько лет было выявлено много уязвимых мест в таких SQL-продуктах, как Microsoft SQL Server, Oracle Database и Oracle Application Server. Наиболее известной угрозой был «червь» SQL Slammer в 2003 г. (описание опубликовано по адресу [Для просмотра данной ссылки нужно зарегистрироваться]). До недавнего времени не существовало инструмента для точного обнаружения экземпляров SQL Server и номеров их версий, поэтому выявить потенциальные изъяны в системах SQL Server было трудно. Слишком часто инструменты неверно определяли версию SQL Server, так как извлекали информацию из портов (например, TCP-порта 1433, UDP-порта 1434), в которых содержались неверные данные о версии SQL Server. Недавно появилась утилита SQLRECON, которую можно загрузить с сайта компании Special Ops Security по адресу [Для просмотра данной ссылки нужно зарегистрироваться]. SQLRECON просматривает сеть или хост-компьютер, идентифицируя все экземпляры SQL Server и Microsoft SQL Server Desktop Engine (MSDE). Основное достоинство инструмента заключается в том, что в одной утилите объединены несколько известных методов привязки и обнаружения SQL Server/MSDE. Получив достоверную информацию о серверах SQL (и их версиях) в сети, можно приступить к поиску потенциальных уязвимых мест. SQLRECON — не сканер уязвимых мест, а скорее средство обнаружения, которое значительно облегчает задачу оценки безопасности сети. Теперь нужен инструмент для Oracle... --------------- -Dim@$- 04.04.10, 20:05 6. Enum Специалисту по Windows, знакомому с Linux, полезно иметь исчерпывающий (и бесплатный) инструмент для сбора самой разнообразной информации о системе Windows. Именно таким инструментом является Enum. Запускаемая из командной строки утилита с консолью управления сообщает массу полезной информации о компьютере Win32 через службу NetBIOS, которая работает с TCP-портом 139. В ходе как неаутентифицированных (null session), так и аутентифицированных сеансов Enum может извлекать списки пользователей, систем, общих ресурсов, групп и их членов, паролей и информации о политиках LSA (Local Security Authority — локальный диспетчер безопасности). С помощью Enum можно проводить примитивные словарные атаки методом перебора на индивидуальные локальные учетные записи. На экране 1 показана подробная информация о системе Windows, которую можно дистанционно собрать с помощью этого инструмента. --------------- -Dim@$- 04.04.10, 20:05 7. PsTools Большинство администраторов знакомы с многочисленными инструментами и ресурсами компании Sysinternals. Для оценки безопасности очень полезен комплекс PsTools. Название комплекса происходит от ps (process listing), утилиты командной строки для UNIX. PsTools представляет собой набор инструментов, заполняющих пробелы в обычном инструментарии командной строки и комплектах ресурсов для Windows. PsTools особенно полезен для оценки безопасности и проникновения как на удаленные, так и на локальные компьютеры. Проникнув через лазейку, очень удобно воспользоваться PsTools, чтобы дистанционно манипулировать системой и расширить атаку, в частности повысить уровень своих полномочий. Например, если удалось пробраться в систему и получить локальный административный доступ, но требуется повысить уровень полномочий до уровня администратора домена, который зарегистрирован в данный момент, с помощью PsTools можно выполнить такие операции, как удаленное завершение сеанса и уничтожение процесса. PsExec — одна из лучших утилит комплекта PsTools. Благодаря ей пользователь с локальным административным доступом (через аутентифицированное сетевое соединение) может дистанционно запускать программы в системе. Очень эффективный прием — использовать PsExec для запуска cmd.exe на удаленной системе, что обеспечивает доступ к удаленной командной строке с административными полномочиями (PsExec не позволяет получить такие полномочия, их нужно приобрести каким-то другим способом). Более подробную информацию о PsExec можно найти в статье «PsExec», опубликованной в Windows IT Pro/RE № 6 за 2004 г. Другие полезные программы — PsList для составления списка всех процессов, активных на удаленной системе, и PsKill, с помощью которой можно уничтожать отдельные процессы на удаленном компьютере. Более подробно об этих утилитах рассказано в статье «PsList и PsKill», опубликованной в Windows IT Pro/RE № 7 за 2004 г. Помимо оценки уровня безопасности, комплекс PsTools весьма полезен и прост для дистанционного выполнения многих административных операций из командной строки (вероятно, именно таким было основное намерение авторов). --------------- -Dim@$- 04.04.10, 20:06 8. Netcat Netcat достаточно широко известен как средство открыть лазейки для доступа взломщика в систему (этап проникновения), но менее известны его возможности в качестве инструмента для привязки и оценки, а также выполнения других важных операций, составляющих традиционную процедуру оценки уровня сетевой безопасности. Он был разработан более десяти лет назад для UNIX и перенесен в Windows в 1998 г. Netcat — это расширение UNIX-команды cat с помощью которой можно организовать потоковую пересылку содержимого файлов на экран и с экрана, чтобы просматривать, изменять или объединять данные. С помощью Netcat можно читать и записывать данные из стандартных устройств ввода/вывода компьютера через сеть TCP/IP. В результате пользователь может работать с набором протоколов TCP/IP и читать/записывать данные через порты TCP и UDP. Помимо организации лазеек, Netcat можно использовать для захвата заголовков (Telnet, SMTP и FTP), конвейеризации файлов и данных, сканирования портов, дистанционной привязки служб к портам и многих других задач. Мне кто-нибудь то и дело демонстрирует новые, неизвестные ранее способы применения Netcat. Чаще всего я использую данную утилиту для подключения к TCP-порту, чтобы попытаться извлечь из него какую-нибудь информацию, и обратной передачи приглашения командной строки с целевой системы. --------------- -Dim@$- 04.04.10, 20:07 9. John the Ripper Большинство администраторов наверняка слышали об инструменте для взлома паролей и аудита L0phtCrack, первоначально разработанном группой The Cult of the Dead Cow; в настоящее время владеет программой и совершенствует ее фирма @stake, недавно купленная компанией Symantec. Я предпочитаю John the Ripper, простой, эффективный инструмент разгадывания паролей, реализованный на многих платформах (в том числе на Windows), в основе которого лежит известный UNIX-инструмент Crack. С помощью John можно выявить характеристики и возможности системы, чтобы оптимизировать производительность. По моему опыту John предпринимает значительно больше попыток в секунду, нежели другие программы разгадывания паролей, в том числе L0phtCrack (считается, что LC5 — текущая версия L0phtCrack — значительно быстрее прошлых версий, но за нее приходится платить). Кроме того, John не только раскрывает хешированные пароли Windows (LAN Manager и NT LAN Manager, NTLM), но и без дополнительной настройки взламывает любые пароли, в которых применяются шифротекст или форматы хеширования DES (standard, single, extended), MD5, Blowfish или Andrew File System (AFS). John в сочетании со словарным файлом (существует множество таких файлов, охватывающих практически все известные языки галактики — даже вуки и клингон) представляет собой незаменимый инструмент для взлома паролей и аудита (необходимый каждой компании, независимо от строгости ее политики) --------------- -Dim@$- 04.04.10, 20:07 10. Metasploit Framework Простая в использовании платформа проникновения, содержащая описание новейших угроз, дополненная функциями автоматического обновления и расширяемая с помощью известного языка, такого как Perl. Однако небезопасно (и довольно безответственно) бесплатно предоставлять такие возможности кому попало — это просто подарок для начинающих хакеров (все равно что выставить ядерный чемоданчик на аукционе eBay). Однако нельзя не признать, что такой инструмент, как Metasploit Framework, очень пригодится специалистам по сетевой безопасности для эмуляции угроз. Metasploit Framework появилась около двух лет назад как результат исследовательского проекта, возглавляемого известным специалистом по проблемам безопасности Х. Д. Муром. Цели проекта были отчасти благородными: углубить исследования в области безопасности и предоставить ресурс для разработчиков средств проникновения. Я использую Metasploit Framework (с некоторой осторожностью и после предварительного тестирования в лаборатории) в качестве инструмента проникновения для оценки уровня безопасности. Metasploit — механизм на базе сценариев Perl, с помощью которого можно применять множество методов проникновения для различных платформ и приложений (на момент подготовки данной статьи известно более 75 способов проникновения, несущие 75 вариантов нагрузки, и это число увеличивается). Помимо набора методов проникновения через известные лазейки, Metasploit позволяет переслать в обнаруженную брешь конкретную программу. Например, проникнув в систему, не защищенную от SQL Slammer (см. выше раздел SQLRECON), можно выбрать способ манипулирования пораженной системой: создать соединение с помощью оболочки Win32 Bind, обратную посылку оболочкой Win32 Reverse, просто выполнить дистанционную команду, ввести вредную серверную DLL утилиты Virtual Network Computing (VNC) в пораженный активный процесс или применить другой метод. Metasploit Framework расширяется с использованием модулей Perl, поэтому можно подготовить собственные средства проникновения, включить их в инфраструктуру и воспользоваться готовой подходящей программой использования. На экране 2 показан удобный в применении Web-интерфейс Metasploit со списком методов проникновения. --------------- -Dim@$- 04.04.10, 20:08 Я рекомендую относиться к Metasploit Framework с осторожностью и использовать ее только для демонстрации конкретных уязвимых мест в ходе анализа сетевой безопасности. Nessus — еще один широко распространенный сканер пробелов безопасности, который существует уже несколько лет и заслуживает внимания. В данной статье я попытался сделать невозможное — составить список наиболее распространенных бесплатных инструментов, полезных для оценки сетевой безопасности. Трудно выбрать лишь десять среди множества существующих средств. Если рекомендованные продукты не подходят в конкретной ситуации, то должны быть другие, аналогичные бесплатные инструменты. Можно обратиться и к коммерческим средствам, которые часто более полно проработаны и обслуживаются лучше, чем бесплатные продукты. И даже если вы узнали из статьи лишь об одном новом инструменте, можно считать, что она прочитана не зря. --------------- thegameroleg 04.12.12, 16:48 :) безопасность не главное ---------------