|
|
| Аферы через ICQ и интервью с хакером |
Еще не изобретено такое средство, которое стало бы панацеей от мошенников и хакеров в интернете. Мы все наслышаны о «подвигах» русских хакеров. Можно привести бессчетное количество примеров – от громкого кибер-ограбления Citibank в 1994-м году, совершенного русским программистом Владимиром Левиным, до недавней кражи пин-кодов из шведского Nordea Bank. К сожалению не обошел этой участи и популярный сервис обмена сообщениями ICQ и одна из известных афер, которая за последние месяцы достигла небывалых размахов, связана с ним.
Злоумышленник методом простого подбора пароля или при помощи вредоносного ПО, которое передает конфиденциальную информацию с удаленного компьютера, либо другим способом отбирает чужие учетные записи в ICQ. Затем он вступают в диалог с пользователем, занесенным в ICQ контакт-лист жертвы. Цель этого диалога – выманить деньги у близких и знакомых бывшего владельца украденного UIN. К примеру, злоумышленник производит рассылку следующего содержания: "Мне срочно необходимо десять долларов, пришли, пожалуйста, на мой кошелек Webmoney". Ничего не подозревающие люди спешат помочь другу или коллеге и отдают деньги мошеннику.
Именно поэтому, если вы получили подобное сообщение, ни в коем случае не отправляйте деньги на указанный кошелек, а свяжитесь со своим знакомым другим способом, лучше всего по телефону или через Skype. Если же вы держите связь по почте, то учтите, что в ICQ Rambler используется один и тот же пароль для входа "аську" и связанный с ней почтовый ящик на Rambler.ru. Иными словами, если злоумышленник завладел номером ICQ, то он уже знает пароль на почтовый ящик, поэтому не стоит писать туда и спрашивать, действительно ли вашему знакомому нужны деньги.
А чтобы не увели вашу "аську", не стоит забывать о простейших мерах безопасности, которые все знают, но почему-то часто игнорируют. Не нужно использовать простые пароли, которые легко подобрать. Пароль должен иметь прописные и строчные буквы, цифры, спецсимволы, и чем больше в нем будет символов, тем лучше. Также никогда не кликайте по ссылкам на неизвестные сайты, которые приходят к вам через ICQ - тем самым вы легко можете запустить вредоносное ПО.
Специалисты компании Agnitum провели небольшое интервью с бывшим кибервзломщиком, который утверждает, что отошел от дел и готов анонимно поделиться своим опытом.
Бывшему хакеру Виктору 30 лет, он живет в Санкт-Петербурге. С хакерством он «завязал» и нашел легальную работу в российской компании-разработчике программного обеспечения. Кажется, он вполне доволен ей. Виктор не захотел подробно рассказать о том, почему переметнулся на «легальную» сторону, а предложил поговорить о так называемом «заказном вредоносном ПО» и инструментах для его разработки.
Agnitum: Как долго вы занимались хакерством и написанием вредоносных программ?
Виктор: Хакерством, хм, ну, я не знаю точно. Около десяти лет или типа того. Все началось еще когда я был студентом. Помню, однажды мне понадобился доступ к серверу, и я загрузил свой компьютер с дискеты с Linux’ом и с ее помощью сбросил все пароли в Windows. До сих пор помню удивление администратора. Вот так это было... по-моему, забавно.
В юности я занимался и другими делами – например, писал вирусы на заказ и рассылал фишинговые письма. Интересно было узнать, легко ли я могу заставить людей расстаться с информацией и деньгами?
Agnitum: Если это было так выгодно, то почему вы решили покончить с хакерством?
Виктор: Ну, может быть потому, что немного повзрослел и решил, что перспективы долгосрочной карьеры программиста, занимающегося поиском багов в программном обеспечении за легальные деньги – это лучше, чем хакерство. Может быть потому, что в конце концов понял – простое написание вредоносного кода больше не приносит удовлетворения. Я получаю удовольствие от своего вклада в разработку открытых исходиков.
Agnitum: Насколько сложно создать свою собственную вредоносную программу?
Виктор: В сети много доступных средств (если вы знаете где искать), которые легко могут создать новую версию, скажем, «трояна» из его исходных бинарников. Хотя это будет и примитивное изменение, есть шансы, что некоторые несвоевременно обновляющиеся средства безопасности пропустят его. Все, что вам нужно, это немного опыта написания кода на C++ – я делал это в течение нескольких минут.
Agnitum: Можете назвать примеры таких инструментов?
Виктор: Конечно, хотя я не хочу вдохновлять людей на их поиск. Большинство из них, тем не менее, находятся в свободном доступе.
Например, Pinch Builder – «популярный» ассемблерный «троян». Любой может загрузить образчик (размером около 20 Кб) и изменить его по своему усмотрению. Исходный бинарник пытается получить доступ к Windows Protected Storage (хранилищу «безопасных» паролей пользователя) и выудить оттуда информацию. Итог очевиден – компрометация данных пользователя. Pinch может быть расширен до функциональности кейлоггера или спам-робота и даже выступать плацдармом для действий других вредоносных программ. Исходный Pinch был разработан с целью распространения в момент shut-down’а (начала выключения компьютера) и обходил системы безопасности, так как они обычно уже выключены в этот момент.
Agnitum: Звучит как неплохое подспорье для хакера. А сколько он стоит?
Виктор: Ну, я некоторе время не интересовался этим и не владею точной информацией, но думаю, что в районе 30 долларов – довольно приемлемо для такого рода экспериментов. В сети также несложно найти и пару подобных бесплатных утилит.
Agnitum: А может ли среднестатистическое средство безопасности эффективно противостоять Pinch и подобным?
Виктор: Если вы говорите о продуктах, основанных на сигнатурном поиске, то ответ такой: очень непросто найти мощное непробиваемое решение. Такие угрозы – как хамелеоны. Обнаружить их предельно сложно – иногда они видны, иногда с другими вариантами Pinch (неважно, с теми же вредоносными программами или нет) - полностью скрыты. Pinch может быть крайне неуловимым. Возможно, что некоторые инструменты проактивной защиты, контролирующие системные и программные взаимодействия, могут обеспечить лучшее обнаружение, но стопроцентной гарантии нет.
Agnitum: То есть верного решения нет?
Виктор: Ну, System Safety Monitor – программа, которая отслеживает активность Windows в реальном времени – неплохое начало, как и любое другое средство для борьбы с malware (вредоносным ПО), подобным Pinch. И вам будет приятно услышать, что Outpost также держится достойно.
Agnitum: А что вы думаете о заказном вредоносном ПО, нацеленном на специфическую активность пользователей или специфические типы пользователей?
Виктор: Существует вполне определенный рынок заказных вирусов, эксплойтов и неопубликованных уязвимостей. Но принимая во внимание способности и опыт современных разработчиков malware, никто не в состоянии предсказать, кто победит – разработчики или хакеры. Имея опыт работы по обе стороны баррикад, я бы сказал, что «темные» имеют большое преимущество. Появление технологий, подобных руткитам, и сетевых служб представляет огромный потенциал для использования хакерами.
Agnitum: Кто в конце концов победит?
Виктор: Никто не знает наверняка. Я могу сказать лишь одно: разработчики средств безопасности всегда будут позади, пока будут делать ставку на реактивные меры – как в стратегических решениях, так и в методологии продуктов. Обыкновенные пользователи всегда будут заражать свои компьютеры, пока будут игнорировать основные меры безопасности. Победителем будет тот, кто будет работать энергичнее – неважно, со стороны атаки или защиты. Полагаю, вы можете сказать, что я переметнулся на сторону «светлых», так как, в итоге, хотел бы видеть их победителями в этой схватке.
|
|
|
|
| Если вам понравился обзор, подпишитесь на RSS-канал общение.ком |
| Комментарии от: Kraft (krafty Собака inbox Точка ru) |
 Вот такие вот делишки ребята, только расслабишься - сразу норовит кто-нибудь 10 WMZ выманить. Будте бдительны и шлите всех подальше. А для особо своих людей заведите пароли как у штирлица, чтобы вопрос был и ответ. А не то не видать вам 10 а то и более ваших драгоценных тугриков ))) |
|
2007-04-27 13:51:50 |
|
|
| Комментарии от: IceZone (icezone Собака bk Точка ru) |
Kraft - с такими лозунгами можешь сам туда идти, далеко и на долго.
Возвращаясь к теме: не открывайте ни-че-го - и всё будет ок  |
|
2007-04-27 14:30:54 |
|
|
| Комментарии от: felsher (felsher Собака gorodok Точка net) |
IceZone , понятно что не стоит открывать сообщения от чужих; но в данном случае тебя просит об веб мани тело из твоего контакт листа (возможно - друг, брат, сват) - и тут-уж "тёмными" всё расчитано на психологию человека (типа - а вдруг он с бабками, а вдруг поведётся).
Зы: на счёт использования альтернативных видов связи с просящим - тоже не всегда 100% к сожелению возможно |
|
2007-04-27 18:51:51 |
|
|
| Комментарии от: IceZone (icezone Собака bk Точка ru) |
| felsher, речь совсем о другом... |
|
2007-05-01 00:01:17 |
|
|
|
|
