В этой теме будут публиковаться статьи о безопасности в сети для новичков. Различные обзоры, обсуждение тех или иных способов скрыть и обезопасить себя от различной опасности в глобальной сети интернет.

Максимальная анонимность


В данной статье расскажу о том,
как можно организовать максимальную анонимность в Интернете.

Буду писать коротко, но ясно.

И так, какие всё таки самые элементарные правила нужно соблюдать для обеспечения максимальной анонимности?!

1.) Забудьте про Internet Explorer.
2.) Пользуйтесь либо Opera, либо Mozilla Firefox.
3.) Не берите из Интернета первые попавшиеся прокси.
4.) Забудьте про свою лень.
5.) Не регистрируйтесь на сайтах,
посещать которые в будущем Вы не собираетесь.

Теперь объясню почему нужно соблюдать правила описанные в вышеуказанных пунктах.

Я не анти-фанат компании Майкрософт, Бил Гейтс внёс довольно большой вклад
в развитие информационных технологий и не только в них.
Internet Explorer предназначен исключительно для простых пользователей,
для сёрфинга он не подходит. Использовать Internet Explorer крайне не рекомендую, по крайней мере на момент написания этой статьи.

Пользоваться Opera или Mozilla Firefox нужно для того,
чтобы запретить отправку лишних логов на посещаемый Вами сервер.
Советую всё таки использовать Mozilla Firefox.

Не берите прокси которые нашли на каком нибудь левом сайте.
Если установить в настройках обозревателя прокси,
который принадлежит спец-службам - считайте что Вы уже под колпаком.

Никогда не ленитесь и будьте терпеливы.

Не желательно регистрироваться на сайтах, посещение которых в дальнейшем Вы не намечаете, лишний раз светится ни к чему.

И наконец завершающая стадия статьи, собственно цель которой было донести до Вас информацию описанную ниже.

Метод создания максимальной анонимности в Интернете через настольный компьютер довольно прост.

Первое что нужно сделать - это скачать Mozilla Firefox, в настройках обозревателя отключить Java, JavaScript, cookies и графику.
Таким образом сервер который Вы посетите получит только Ваш ip и версию операционной системы, разрешение экрана и другие логи к нему не поступят.
Отключать графику и cookies не обязательно, но без графики страницы через прокси будут грузится быстрее. А cookies желательно отключить для запрета попадания логов к Вам на компьютер, думаю компромат на своей машине хранить Вам не захочется.

Теперь установите себе программу Mask Surf Standard,
запустите её и настройте все параметры на максимальную анонимность.
То-есть в меню "Маскировка" установите галочки на пунктах "Невидимый".
В меню "Режим" выберите пункт "Максимальная анонимность".
Это и всё что нужно было проделать. Теперь можете спокойно проверять себя на анонимность.

Если Вы проделаете всё что я описал - на сервер не будет поступать не каких логов, кроме прокси, но Mask Surf Standard работает через цепь прокси-серверов которые отследить довольно проблематично (это не значит, что невозможно) и Вам не нужно искать их по Интернету, потому что они определяются автоматически, каждые 30 минут у Вас будет новый прокси.
Всё это естественно спецслужбами довольно просто отслеживается и если Вы ставите серьёзные задачи, то это не поможет.

Ходят слухи что в сети нету 100% анонимности и многие в это верят.
Скажу так, в сети есть всё, стоит только подумать.

Берите ноутбук и левую симку, езжайте в лес и делайте то, что хотели.
Если в летнее время с 8 утра до 8 вечера Вы побудете в лесу - ничего с
Вами не случится, всё таки куда лучше чем потом на зоне время убивать.

Предположим приехали Вы в лес, настроили все параметры своего ноутбука, выходите в сеть с левой симки и делаете свои чёрные дела.
За день Вас никто не надёт, но то что задумали - сделать наверняка успеете.
Когда будете уходить из леса, не вздумайте брать симку с собой домой - выкиньте её на месте и забудьте. Её местонахождение определят с точностью до 10 метров. Ноутбук не везите в открытую, прячьте его в какую нибудь сумку как у бабушек чтобы не вызывать подозрения. Сделайте просто вид, что Вы обычный колхозник.

Этого достаточно для организации максимальной анонимности.

Copyright, HackZona.Ru

Про трояны новичкам


Бойтесь данайцев, дары приносящих
Трояны: виды, принципы работы, защита

Редкий человек, имеющий отношение к IT, не сталкивался с троянами. По идее, уже давно пора бы перестать вестись на трюки, вроде HotPics.jpg.....exe, ан нет, запускаем "патчи для Эксплорера" и "плагины для Винампа", не говоря уже о "крякерах интернета". Надоело. Читай мануал и будь во всеоружии.

Знаешь, сколько видов живых существ обитает на Земле? Я тоже не знаю, но уверен, что много. Тем не менее, биологи сумели разделить все это многообразие всего на пять царств (кстати, одно из них - вирусы). Правда, царства, в свою очередь, делятся на подцарства, подцарства - на типы, типы - на классы и т.д. Получается довольно сложная система. Электронных форм жизни, естественно, гораздо меньше, но классификация их по сложности не уступает той, что принята у биологов. Удивлен? Конечно, для пользователя AOL есть только два типа программ: вирусы и не-вирусы :), обычный юзер знает еще значение слова "троян", и только уж совсем продвинутые товарищи знакомы с таким понятием, как "червь". Но знаешь ли ты, какую классификацию используют антивирусники? Типичное описание вируса выглядит примерно так: SamiiKrutoiVirus.Вирус.Win32.PE-инфектор.полиморфный(олигоморфный). Впечатляет? Если нет, добавь сюда имя автора (если оно известно), дату появления в Сети, степень опасности etc.

Знаешь, какую ошибку совершил Карл Линней, когда пытался разделить растения на несколько классов? Он объединял их не по строению, а по внешнему виду: тут цветы с пятью тычинками, тут - с четырьмя и т.д. Хм, что-то я в биологию ударился :). Ну, да ладно. Современная же наука делит живой мир на группы, исходя из внутреннего строения существ. Но если рассуждать подобным образом о цифровых формах жизни, возникают некоторые проблемы, так как с точки зрения пользователя, т.е. по внешнему виду, все эти формы одинаковы и имеют вид исполняемых файлов. А классифицируя электронные сущности по внутреннему строению, получим показанную выше систему антивирусников, которая не отличается наглядностью и довольно неудобна. Поэтому мы будем по старинке делить фауну Сети всего на три группы - вирусы, черви и трояны. Но прежде чем приступать к подробному рассмотрению последних, разберемся в отличиях этих форм жизни друг от друга.

Итак, вирусы. Основной признак - вирусы заражают файлы. И забудь про вредоносные вирусы - большинство из них написано озлобленными одиночками; редкая VX-группа релизит вирусы вроде CIH, т.е. с "деструктивной полезной нагрузкой", как они это называют. Ведь вирусы для настоящего вирмейкера - это искусство, музыка. Зачем же портить мелодию криками невинных жертв? Повторюсь, я говорю о настоящих вирмейкерах, которых сегодня не так много, а не о тех индивидуумах, что копируют чужие работы с единственной целью - покрасоваться в вирусной десятке Касперского. И поверь мне, никто из настоящих вирмейкеров не выпускает свои творения дальше своего винта в виде, отличном от исходников.

Черви. Основной признак - не заражают файлы, а просто устраивают себе где-нибудь на винте скрытую резиденцию и оттуда рассылают себя на другие машины. Чтобы создать эффективный вирус, нужно прекрасно разбираться в операционке, под которую ты пишешь, разбираться во всех тонкостях ассемблера (и не говори мне о вирусах на Си) и, к тому же, весьма желателен определенный склад ума. А знаешь, на чем написано большинство сегодняшних червей? Visual Basic и VBScript. Теперь понимаешь, почему их так много? Правда, среди червей иногда попадаются очень достойные экземпляры, но это, скорее, исключение, чем правило. Так что если сила вирусов - в качестве кода, то червей - в количестве инфицированных машин. На рисунке это показано очень наглядно.

Наконец-то добрались и до троянов. Все-таки настоящих вирмейкеров - идейных и благородных - немного, поэтому и вирусы, и черви чаще всего несут в себе некоторый деструктивный элемент. Даже те вирусы, чья полезная нагрузка исчерпывается выведением надписи на экран, могут попортить пользователю немало нервов, что уж говорить о более опасных вирусах. Так вот основной признак трояна состоит в том, что это всего лишь инструмент, а способ его применения - дело второе. Один человек может написать троян исключительно в образовательных целях, изучая сетевые протоколы, а другой использовать этот троян в целях, мягко говоря, не совсем законных :). Вот с этими-то двуликими сущностями мы и будем разбираться все оставшееся время (вернее, место). И первое, что необходимо запомнить - есть два типа троянов: мейлеры и бэкдоры.


Выглядит это просто: юзер запускает "новый патч для Аутлука", и через несколько минут вся ценная информация уходит на нужный е-мейл. Большинство троянов этой категории похожи друг на друга, как две капли воды, за исключением интерфейса. А похожи они потому, что работают по одному и тому же алгоритму.

Для начала надо устроиться в системе, не вызвав подозрений у жертвы. Согласись, странно, когда патч для Аутлука не патчит Аутлук? Этому должно быть логическое объяснение. Тут методов масса: от примитивных "msmustdie.dll not found" и "already patched", до изысканного метода, когда выводится окошко установки "патча", а после ее завершения открывается readme со списком пофиксенных ошибок :). А в это время троян копирует себя куда-нибудь в %windir%system и спокойно приступает к обработке системы. Для начала ему необходимо прописаться в автозагрузке. Опять же, способов куча. Откровенно тупые трояны вписываются в папку "автозагрузка" или в autoexec.bat. Те, что попродвинутей - в win.ini и system.ini. Ну, а подавляющее большинство прописывается в реестре в следующих местах:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservicesOnce

Освоившись в системе, троян начинает собирать данные. Низкоклассные особи просто отсылают на указанное мыло файлы *.pwl, *.sam и т.д., навороченные же устраивают на винте жертвы целый расшифровочный цех, отправляя хозяину уже готовые пароли от всего, до чего смог дотянуться троян. Зачастую троян записывает все нажатия клавиш и раз в день отправляет домой. Элементарные кони так и живут: загрузился, получил нужную информацию, отправил хозяину. Трояны посложнее реализуют такие вещи, как периодическое самообновление и защита от антивирусов: шифрование и т.д. Самые же достойные представители мейлеров позволяют управлять собой посредством e-mail команд (а также IRC, ICQ или прямого коннекта - прим. ред.). Т.е. троян периодически проверяет определенный ящик, куда хозяин шлет инструкции, типа "PRINT "Have fun!"; DEL C:*.*; END".

Слово BackDoor означает "потайной ход". Такой троян состоит из двух частей: клиентской и серверной. Клиент обычно имеет красивый GUI с кучей кнопок и прочие навороты, ибо всю свою жизнь проводит на компьютере хозяина, а значит, не заботится о своем размере. Собственно троян находится в серверной части. До тех пор, пока не пришла пора собирать и отсылать данные, алгоритмы бэкдоров и мейлеров совпадают: обмануть пользователя, устроиться в %windir%system и прописаться в автозагрузке. Но потом начинаются серьезные отличия. Злоумышленник, подославший трояна, выходит в Сеть, запускает клиентскую часть и смотрит, есть ли отклик от сервера, т.е. находится ли жертва также в Сети. Если отклик получен, сервер и клиент устанавливают связь, а дальше все зависит от конкретного трояна: те, что поскромнее, откроют доступ к вражескому винту или еще что-то в этом духе, а те, что покруче, попросту отдадут власть над всем компьютером в руки злоумышленника: тот сможет управлять компьютером жертвы, как если бы сам сидел за ним.

Тут уже открывается простор для изощренной фантазии: можно отключить на удаленном компе антивирус, можно поставить еще пару троянов - на всякий случай, можно использовать чужой компьютер как плацдарм для проведения сетевых атак или просто для дальнейшего распространения троянов. Вообще, бэкдоры - отличное подспорье в деле перебора или расшифровки паролей: подкинув свой троян десятку человек, ты потратишь на это в десять раз меньше времени (а если троянов будет сто или тысяча?) и заодно переложишь ответственность на чужие плечи :).

Как видишь, оба типа троянов так или иначе указывают на "хозяина". Мейлеры знают его почтовый адрес, бэкдоры вообще связываются с его компьютером напрямую, т.е. в обоих случаях существуют ниточки, по которым квалифицированный человек может вычислить того, кто подослал троян. Издержки технологии. Каждый троян решает эту проблему по-своему. Например, можно хранить информацию о хозяине в зашифрованном виде и выполнять расшифровку только в случае необходимости. Приемлемым вариантом также является использование проксей, цепочек ремейлеров и прочих интересных вещей.

Вообще можно выделить еще один тип троянов, хотя правильнее было бы относить такие программы к червям - это трояны, которые вообще не поддерживают связь с хозяином. Если цель мейлеров и бэкдоров заключается в предоставлении доступа к конфиденциальной информации, то цель этих троянов - захват вычислительных или сетевых ресурсов компьютера жертвы. Теперь понятно, почему таких коней иногда называют захватчиками? Они, будучи запущены в стан врага, навсегда забывают о доме и занимаются исключительно своими делами, такими как рассылка спама или атаки на какой-либо сервер - сотня-другая троянов может провести довольно эффективную атаку, будь то DoS или что-то еще. И главное, как и в случае с бэкдорами - ответственность перекладывается их несчастных обладателей.


Вирус, расплодившийся на твоем компьютере - это проблема, вирус, уничтоживший твою информацию - это беда, но осознание того, что кто-то смотрит твои картинки, читает твои письма, и сидит в интернете за твой счет, злит гораздо больше. Во всяком случае, меня. Как же не встрять? Прежде всего, почитай статью "Правила поведения в Сети" в этом номере нашего журнала. Там более чем подробно все описано. Отыскивая в Сети интересные трояны для этой статьи, я с трудом нашел незараженные различными подарками, типа вирей и других троянов. Знаешь, как весело выглядит клиент бэкдора А, на самом деле являющийся еще и сервером трояна B? :) Кстати, вот еще информация для размышления: пишется троян, в его коде делается специальный "черный ход", и троян выкладывается в Сеть, на какой-нибудь хацкерский сайт - "Новый крутой троян! Скачай быстрее!" Народ кидается пробовать: захватывают чужие системы, бесплатно сидят в инете и т.д. А тем временем человек, написавший трояна, наслаждается властью над всеми затрояненными компьютерами. Чем-то финансовую пирамиду напоминает. Но так как пользователь нынче пуганый пошел, часто делается так: вместе с трояном публикуются его исходники, мол, все по-честному. Юзер видит файл *.cpp, успокаивается и вляпывается в большие неприятности, так как что стоит выкинуть из исходника реализацию того самого "черного хода"? Правда, товарищи со стажем в подобных делах, в таких случаях не пользуются готовым экзешником, а компилируют свой из предоставленного исходника. Но и для этого метода есть контрмеры: случается так, что те пятнадцать строк, что отвечают за потайной ход, днем с огнем не найти в тысячах строк кода трояна.

Но что делать человеку, который все-таки запустил "патч для Аутлука"? Или тому, кто раскусил подставу и хочет добраться до хозяина? Читать дальше.


Что мы имеем: у тебя есть сильные подозрения, что твоя машина затроянена, и тебе нужно, как минимум, убить коня, а если повезет, то и добраться до хозяина. Итак, алгоритм охоты на троянов!

1. Для начала необходимо найти файл трояна. Самый простой и быстрый способ сделать это - антивирус. Если он найдет трояна, самое большее, что он сможет сделать - удалить его. Если тебя это устраивает, действуй. Меня же интересует тот гад, который подослал ко мне заразу. Если троян найден, вырубаем антивирус и goto 4.
2. Если антивирь ничего не нашел, будем искать вручную. Запускаем regedit и изучаем ключи автозагрузки (см. выше), а также просматриваем system.ini, win.ini, если мы живем под убогой Windows 9x. Ищем все подозрительные названия: если видишь программу с названием, типа "trojan" или "msfucker", поиск окончен; также нужно обращать внимание на названия, в которых есть слова "server", "srv" или "ras" (Remote Access Service). Если троян найден, goto 4.
3. 99% троянов загружаются вместе с операционкой, и остаются в памяти до выключения компьютера. А значит, если мы просмотрим все процессы, запущенные системой, среди них окажется и троян. Запускаем Task Manager и начинаем изучать список процессов в поисках "левого". Большинство троянов не называют свои процессы подозрительными именами, а выбирают что-то нейтральное, вроде "print service" или "sound mixer". Но какой, к черту, саундмиксер, если у нас запущены только основные службы? Так что ищи все, отличное от ядра системы. Если троян все еще не найден, можешь отказываться от поисков: увы, этот экземпляр тебе не по зубам (или это просто паранойя).
4. Итак, мы знаем, в каком файле сидит троян! Лучше всего взять в руки дизассемблер и разобраться с ним раз и навсегда. Если с дизасмом туго, читай дальше. Запускаем regedit и ищем в реестре все упоминания об этом файле. А найти можно много интересного: мыло, на которое уходят твои пароли, порт, по которому соединяется бэкдор, расположение копий трояна на твоем винте и т.д. Если вся информация о хозяине есть в реестре - поздравляю, что ты будешь делать дальше, зависит исключительно от тебя и, главное, от твоих возможностей :).
5. Если поиск по реестру ничего не дал, запускаем поиск по всему винту: нас интересуют файлы, содержащие имя трояна. Конь может хранить свои настройки в каком-нибудь wincmd.ini, под самым твоим носом.
6. Если и пятый пункт не дал результатов, делаем следующее: внимательно просматриваем файл, в котором сидит троян. Можно найти много интересного: электронный адрес хозяина, IP, порты и т.д. Я видел много троянов-мейлеров, которые хранили в незашифрованном виде адрес, по которому отсылали инфу.
7. Итак, все предыдущие методы не помогли, или тебе нужна дополнительная информация о хозяине. Все довольно просто: ставим firewall (я предпочитаю ZoneAlarmPro) и выходим в онлайн. Троян, будь то мейлер или бэкдор, периодически проверяет, находится ли компьютер в Сети, и, если так, отправляет домой ворованную инфу или пытается соединиться с клиентом. Вот в этот момент, любой нормальный брандмауэр выводит сообщение, дескать, такая-то программа (вот троян и попался) пытается открыть соединение на таком-то порту - разрешить? Нам нужен хозяин, поэтому разрешаем. Троян спокойно соединяется с домом, и наш фаервол показывает IP-адрес этого самого дома! Все, рубим соединение, избавляемся от трояна и начинаем вспоминать, что можно сделать с человеком, зная его IP :).

Теперь я поделюсь впечатлениями о некоторых троянах, попавшихся мне на глаза за последнее время. Кстати, ты знаешь, как разбираться в особенностях работы конкретного трояна, не имея жертвы? В случае с мейлерами все просто - ставишь в настройках свой адрес и читаешь собственные пароли, смотришь, какие антивирусы обнаруживают троян и т.д. Если же тебя интересует бэкдор, запускаешь у себя на машине сервер и коннектишься к нему через клиент по IP 127.0.0.1. Таким образом без лишнего риска можно разобраться в тонкостях настройки и работы трояна, прежде чем использовать его по-настоящему.

(backdoor, размер сервера 112 Кб, невидим для TaskInfo в 9x)
Только не говори, что не слышал о нем. Я не хотел включать в статью описание таких известных троянов, как NetBus или GirlFriend, но обойти молчанием BackOrifice я просто не мог.
Самый навороченный бэкдор из всех, что я видел. Единственный из перечисленных в этом разделе троянов, который смог укрыть свой процесс от TaskInfo. О BO2K можно написать не одну статью: гибкое конфигурирование, различные способы шифрования, несколько десятков плагинов, Linux-версия - этим список достоинств BackOrifice не исчерпывается. Но рекомендовать этот троян для использования я не могу из-за одного-единственного недостатка, который сводит на нет все его достоинства. Дело в том, что BackOrifice настолько распространен и известен, что наука не знает антивируса, неспособного его обнаружить. Ребята из CultDeadCow пытались исправить это, релизя плагины, призванные скрывать BO от конкретных антивирей, но в целом ситуация не изменилась, и сегодня BackOrifice2000 - отличный инструмент для удаленного администрирования, но никак не троян.

(mailer, размер сервера 13 Кб, видим для TaskInfo)
Этот мейлер пользуется в России особым успехом, я бы даже сказал, что это наш национальный троян. Элементарно настраивается, элементарно используется. Примечателен также маленький размер сервера, так что троян можно незаметно присоединить к другой программе. Одним словом, народный выбор: знаний не требуется никаких, эффективность высокая.

(mailer, размер сервера 24 Кб, видим для TaskInfo)
Простенький почтовый троян, обещает вырубать известные ему антивирусы и фаерволы. Через конфигуратор сервер можно склеить с другим файлом.
Это "облегченная версия" трояна Anti-Lamer Backdoor, который имеет несколько интересных возможностей, но, конечно, и в подметки не годится BO.

(mailer, размер сервера 38 Кб, видим для TaskInfo)
Хм. Большой сервер, отсутствие возможностей для конфигурации (настраивается только e-mail), определяется TaskInfo. Короче говоря, не наш выбор.

(backdoor/mailer, размер сервера 49 Кб, видим для TaskInfo)
Полноценный мейлер с некоторыми возможностями бэкдора. Самозащита - минимальная, алгоритм работы - стандартный, сервер - большой. Единственным преимуществом перед собратьями является приятный интерфейс клиента :).

Знаешь, зачем я добавил к статье этот краткий обзор? Чтобы ты уловил общее состояние "рынка троянов" на сегодня. Что мы видим: новых бэкдоров практически нет, защиты не хватает даже на то, чтобы качественно спрятать свой процесс, повсюду низкосортные почтовые трояны, фантазия авторов ограничивается выведением окошка "data.cab not found". Но в постоянном появлении новых троянов, пусть и низкопробных, есть свои плюсы. Помнишь, что я говорил о BackOrifice? При том, что технически это самый хороший бэкдор из существующих, использовать его сегодня, по меньшей мере, глупо. В то же время, примитивный троян, вышедший неделю назад, и поэтому еще не занесенный в базы антивирусов, будет гораздо эффективнее могучего BO2K. В качестве "золотой середины" можно посоветовать использовать такие экземпляры, как DonaldDick или NetSphere, которые являются промежуточным звеном между элитными, но слишком распространенными троянами и малоизвестными низкосортными.
Copyright, HackZona.Ru

Идеально защищенная система


Сразу хочу сказать, что такой не бывает.
Но, тем не менее, сейчас подскажу вам свое скромное мнение как достичь относительного спокойствия,
относительно тех данных, что у вас хранятся. Речь пойдет не о сетевой,
а о локальной безопасности на платформе Windows. Какая именно Windows не важно,
уверяю вас (ну конечно, исключая Windows 3.1). Почему?
Потому что ломать ваши пароли на XP или Windows 2000 (а в 9-x это не имеет смысла),
разумеется, черные пиджаки не будут. И конкуренты тоже. Черные пиджаки,
тупо снимут винт и сделают себе полный доступ (это если у вас система NTFS),
а конкуренты могут либо подкинуть инсайдера (внедренный сотрудник),
либо программу шпиона (троян по нашему), либо опять таки тупо выкрасть винты.
Я знаю случай когда темные людишки ровно за 9 минут выпилили кусок пола, поснимали винты с сервера и исчезли.
Вариант с MS Windows альтернативный все таки есть, это встроенное шифрование данных (имеется в виду XP и 2000),
но прикол весь в том, что шифрование все строится на уникальном ID пользователя,
то есть при переустановке Windows вы хрен их потом раскриптуете.
Тут вы можете со мной спорить, или доказывать что-то, и я вас не буду переубеждать,
я встроенным шифрованием никогда не пользовался и знания имею лишь поверхностные.
Итак собственно мои соображения по этому поводу.

Политика безопасности начинается с самого начала установки Windows.
Перво-наперво сделайте низкоуровневое форматирование винчестера перед установкой.
Так как на винте могут остаться ваши предыдущие грешки, которые легко поднимаются (например программой Easy recovery).

Теперь, после установки Windows, создаем диск в памяти и переносим все темпа на него.
Зачем это нужно? Во время открытия любого архива, при любой инсталляции, и даже при получении почты ,
Windows записывает файлы во временные папки. Поэтому оттуда можно поднять очччень много всего интересного.
А при размещении виртуального диска в планке памяти вашего компа, все темпа затереть очень просто - выключить компьютер.
Поднять оттуда данные возможно, если сдампить память на специальном устройстве.
Но для этого надо эту планку памяти забрать с собой, знать что на ней могут быть расположены какие то данные,
и разумеется не умудриться включить компьютер, при этом все будет затерто (абсурд, если не читать эту статью до этого).
Этим я думаю черные пиджаки заниматься не будут. Как это сделать?
Качаем отсюда [Ссылки могут видеть только зарегистрированные и активированные пользователи] RAMDISK XP PRO (работает только под XP)
либо с Microsoft Download программу RAMDISK (ограничение размера диска 32Mb).
При использовании RAMDISK от Microsoft вы можете столкнуться с трудностями при распаковке архивов больше 32 Мб,
а такие есть, разумеется. Поэтому советую RAMDISK XP PRO, или подобные программы ("RAMDRIVE" в поисковой строке Yandex).
Если вы пытаетесь это сделать на уже установленной Windows, тогда обязательно, после переноса темпов,
сделайте Wipe free space. Эта процедура забивает нулями все свободное место на диске,
то есть после нее поднять что-либо что было до этого, уже невозможно.
Для этого нам понадобиться программа PGP (Pretty Good Privacy). Взять соответственно на [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Она же пригодиться для создания виртуального диска, для хранения всей информации,
не предназначенной для чужих глаз (черных пиджаков, конкурентов, начальства, любовницы, etc).
Подробнее в User Manual по PGP. Чем она лучше подобных программ (например Steganos Security Suite)?
Первое - изначально она писалась как Freeware , исходники к ней доступны и сегодня.
Это значит (несмотря на слухи), что никаких черных дыр для правительства в ней нет.
Второе - PGP создает собственный драйвер клавиатуры, поэтому всякие keylogger-ы и шпионы пароль не перехватят.
В третьих, даже окна для ввода пароля программа генерирует свои,
чем это лучше объясню на примере - Есть программа DOP (Display of passwords) она показывает пароли скрытые звездочками,
так вот в Steganos она пароли вскрывает, а PGP конечно же нет.
В четвертых - ни разу я лично не находил в интернете, что существуют баги и дыры в PGP, речь идет о pgp-дисках.
Когда-то была фишка с сообщениями через Outlook Express, но ее быстро залатали, а обновления выходят постоянно.
Как совет - Pgp диск лучше создать один, но большой. Положить его не на системный винт и обозвать pagefile.sys.
Теперь на него внимания мало кто обратит. Потому как файл подкачки можно создать на любом винте и любого размера.

Теоретически его взломать можно. Но сколько на это понадобиться времени?
А это я вам скажу не год и не два и не пять. За это время информация безнадежно устареет (не для любовницы конечно).

Теперь защита от шпионов. Само собой это файервол.
Какой именно выбирайте сами, я лично обеими руками за Outpost.
Писали наши, цена смешная, работает 100%. Это защитит от троянов. Ну и конечно антивирус.
Copyright, HackZona.Ru

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Безопасность Windows в Интернет


В настоящее время стало очень модно полагать, что опеpационные системы Windows NT и Windows 95 имеют кучу ошибок в защите пpи pаботе в IP сетях, и практически не закрывают доступ к машине.
Эта статья пpедставляет из себя попытку обьяснить доступным языком чего все-таки следует опасаться, а чего нет. Рассчитана статья на гpамотных пользователей, но может быть навеpное полезной и системным администpатоpам. По тексту статьи под Windows понимаются Windows NT и Windows 95. Пpактически все нижесказанное относится к обеим системам в pавной степени.

Итак, что пpедставляет непосpедственную опасность:

Hаиболее опасными мне пpедставляются дыpки имеющие место быть в WWW бpаузеpах. В самых pаспpостpаненных: Internet Explorer и Netscape Navigator.
Эти ошибки опасны потому, что жеpтвой их можно стать совеpшенно случайно, пpосто зайдя на сайт, где кто-нибудь заложил нечто дестpуктивное. Конечно, можно ходить только на сайты кpупных
надежных компаний, но вpяд ли кто-нибудь пpенебpегал возможностью пpосто свободного скольжения по сети, от ссылки к ссылке.

Очень сеpьезная ошибка имеется в Internet Explorer веpсии 3.00 и 3.01. Cуть ее в следующем: к вам может быть пеpекачан из сети файл с pасшиpением.url или.lnk и выполнен на вашем компьютеpе,
пpичем сделано это может быть совеpшенно незаметно для вас. Понятно, что содеpжание этих файлов зависит, только от настpоения злоумышленника. Теоpетически возможна, полная потеpя вашей инфоpмации. Поэтому всем пользователям указанных веpсий настоятельно pекомендуется немедленно пpекpатить использовать указанные веpсии IE и пеpейти на IE 3.02 или более новый, хотя доступен и fix.

Хотя IE 3.02 тоже не абсолютно безопасен. Шиpоко известна дыpка основаная на связке PowerPoint и Internet Explorer. Cуть ее в следующем: документы PowerPoint способны выполнять внешние команды, а IE способен отобpажать PowerPoint-овские документы как встpоенные обьекты. Cоответственно, пpи установленном PowerPoint возможно выполнение каких-либо внешних команд автоматически, пpосто пpи пpосмотpе стpаницы содеpжащей документ PP. Fix доступен здесь

Тепеpь остановимся на дыpках, специфичных для Netscape Navigator. Достаточно шиpоко стала известна ошибка найденная одним датским пpогpаммистом. Она позволяет получить ваши локальные файлы во
вpемя вашего доступа к сайту. Технически все это выполняется чеpез фоpмы в невидимом окне, заполняемые содеpжимым локальных файлов и посылаемыми в сеть. Фиpма Netscape а также многочисленная аpмия любителей pугать Microsoft и не замечать пpоблем в пpодуктах дpугих пpоизводителей пpеуменьшают опасность мотивиpуя это тем, что необходимо знать полный путь до того файла, котоpый хочешь утащить, а пеpекачка pаспpостpаненных файлов типа autoexec.bat не имеет никакого смысла. Hу что же, давайте пофантазиpуем: много людей используют Windows 95; большинство из них ставит ее на диск C; много людей используют dial-up scripting tools; достаточно шиpоко pаспpостpанена пpактика когда в стандаpтном скpипте pppmenu.scp явным текстом пpописывается логин и паpоль к своему пpовайдеpу. Если сооpудить пpивлекательный сайт - эpотику какую-нибудь) , да pазместить его в большом гоpоде, то скоpее всего за dial-up платить самому уже не пpидется никогда. И это только пеpвый пpишедший мне в голову ваpиант использования этой "безвpедной" ошибки Netscape.


Gовоpить об ошибках имеющихся в IE 5.5 и Netscape Communicator сейчас несколько пpеждевpеменно, поскольку доступные веpсии имеют статус бета-пpодукта. Хотя некотоpый пpогноз сделать можно. В IE будут находить все новые дыpки, идущие от интегpации IE с опеpационной системой. В пpодуктах Netscape дыpок будет значительно меньше, но поскольку, ввиду все большего захвата pынка бpаузеpов фиpмой Microsoft, число пользователей Netscape будет уменьшаться, то чеpез некотоpое вpемя наличие или отсутствие дыp в NetcapeNavigator, Communicator и "что-то там еще потом будет" будет не столь важно.

Тепеpь давайте поговоpим об опасностях идущих не от ошибок, а от новых "пеpспективных" технологий, конечно же делающих web стpанички пpивлекательней и, возможно, опасней.

Это уже достаточно устоявшаяся технология, успешно pазвиваемая фиpмой Sun. Об успехе говоpит то, что даже Microsoft был вынужден лицензиpовать java, что не соответсвует обычной агpессивной
политике MS. По самой своей идеологии java достаточно безопасна. В спецификации написано, что java applet не может иметь доступ к физическим pесуpсам компьютеpа и не может влиять на дpугие пpоцессы. Единственная пpиходящая в голову пpостая дестpуктивная возможность это запpосить из апплета большое количество памяти, чем вызвать своп и существенное замедление pаботы системы. Тут надо добавить, что степень защиты IE3.02, значительно выше чем в пpедыдущих веpсиях IE или же в Netscape Navigator. Так, в IE 3.02 пpи попытке чтения файла с локального диска пpоисходит исключение. Как следствие, аплеты, использующие внешние файлы с каpтинками, не pаботают пpи запуске с диска. Это в общем-то затpудняет жизнь pазpаботчика java аплетов. Hекотоpое беспокойство вызывает желание некотоpых контоp (в том числе и Microsoft) увеличить скоpость выполнения java апплетов, за счет снижения уpовня безопасности. Hу что же, поживем увидим.Эта технология была задумана Microsoft как ответ на Java. Cильная стоpона ActiveX controls это значительно более шиpокие возможности и скоpость чем у java, слабая стоpона это пpивязанность к опpеделенной аппаpатной платфоpме и более слабая система безопасности. C внутpенней точки зpения ActiveX control пpедставляет из себя обычную dll выполняющуюся в адpесном пpостpанстве IE и имеющую доступ пpактически ко всем pесуpсам PC чеpез COM интеpфейсы. Безопасность в ActiveX основана на пpинципе довеpия. Пеpед скачиванием и инсталляцией ActiveX control появляется изобpажение сеpтификата с названием фиpмы пpоизводителя, и если вы не довеpяете пpоизводителю, то control можно запpетить. Ввиду недостаточно шиpокой pаспpостpаненности этой технологии сообщений о найденых дыpках в системе безопасности пока что не появлялось. Хотя я бы посоветовал очень остоpожно относиться к ActiveX, потенциально там возможна большая опасность.

Cамая большая пpоблема этой технологии, то что у Netscape и Microsoft достаточно pазные взгляды на стандаpты и pеализацию JavaScript, что служит пpичиной головной боли многих web дизайнеpов. Подход обоих вышеуказанных фиpм схож в одном: имеющие место быть дыpки в защите существуют и в IE и в NN. Если java выполняется в pамках виpтуальной машины java и огpаничена ее возможностями, то JavaScript выполняется www бpаузеpом и, соответственно, теоpетически есть возможность делать все то, что делает www бpаузеp, а это как минимум манипуляции с файлами на локальном диске и возможность посылки своей инфоpмации куданибудь в сеть. Cобственно возможность подобных действий уже была пpодемонстpиpована на пpимеpе Netscape Navigator и получила шиpокую огласку - cм. [Ссылки могут видеть только зарегистрированные и активированные пользователи] Демонстpация заключалась в том, что после посещения опpеделенного сайта кое-где начинал фоpмиpоваться лог-файл вашей pаботы в сети, котоpый затем можно было с удивлением посмотpеть. Доступны заплатки от Netscape -здесь ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
и Microsoft - здесь ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).
Hа втоpое по опасности место после ошибок в бpаузеpах я бы поставил ошибки в опеpационных системах. Здесь опасности меньше, потому что необходима напpавленная атака именно на вас, ну или вы случайно попадете в диапазон адpесов, подвеpгающихся атаке. Хотя если у вас есть "добpожелатели" такая опасность выходит на пеpвое место. Cамый шиpоко известный способ атаки получил название Winnuke ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) :
В сеpедине мая таким способом на несколько дней был выведен из стpоя [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]). Hекотоpое вpемя после этого в сети твоpился настоящий кошмаp. Шло массовое убийство сеpвеpов на базе
Windows NT. Итак, что же это такое. Hаpяду с обычными данными пеpесылаемыми по TCP соединению cтандаpт пpедустатpивает также пеpедачу сpочных (Out Of Band) данных. Hа уpовне фоpматов пакетов
TCP это выpажается в ненулевом urgent pointer. У большинства PC с установленным Windows пpисутствует сетевой пpотокол NetBIOS, котоpый использует для своих нужд 3 IP поpта: 137, 138, 139. Как выяснилось, если соединиться с Windows машиной в 139 поpт и послать туда несколько байт OutOfBand данных, то pеализация NetBIOS-а не зная что делать с этими данными попpосту подвешивает
или пеpезагpужает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающий об ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 со втоpым сеpвис паком выпадает в синий экpан. Cудя по инфоpмации из сети подвеpжены такой атаке и Windows NT 3.51 и Windows 3.11 for Workgropus.
Имеется очень большое количество пpогpамм для атаки этим способом, пpактически для всех платфоpм. Hаpяду с обилием сpедств атаки существует большое количество сpедств защиты. Так если вы ходите в интеpнет с компьютеpа неподсоединенного к локальной сети и с установленной Windows 95, то пpостейший способ это пpосто убpать клиента для Microsoft Network. Именно так сделано на моем домашнем компьютеpе и могу завеpить, что WinNuke такую конфигуpацию не пpобивает. Cуществуют пpогpаммы, котоpые отслеживают все попытки отстpела вас, и даже те котоpые делают ответный залп, скоpее всего бесполезный. Официальный метод от Microsoft это установка OOB заплатки ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) на Windows'95 и тpетьего
Serivice Pack (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/ussp3/) для NT v4.0.
Хотя с SP3 и WinNuke связана достаточно веселая истоpия. Как выяснилось вскоpе после выпуска SP3, запущеный с компьютеpов Apple WinNuke спокойно пpобивал защиту сеpвис пака. Пpичиной этого послужило существование двух pазных стандаpтов на IP пакеты, содеpжащие OutOfBand данные. Есть стандаpт от Berkley и стандаpт, описаный в RFC 1122. Отличие их состоит в том, что UrgentPointer вычисляется по pазному. В действительности, UrgentPointer в двух pеализациях будет отличаться pовно на единицу. Тpетий сеpвис пак, защищающий от "своих" OOB пакетов,
оказался беззащитен пpотов пакетов дpугого стандаpта. Поэтому почти сpазу после SP3 вышел дополнительный OOB fix (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/oob-fix/).
Здесь следует отметить, что само существование OOB данных, безотносительно WinNuke, вызывает достаточно много пpоблем именно из за существования двух стандаpтов, или веpнее отсутствия стандаpта. Поэтому гаpантиpовать пpавильную pаботу пpогpаммы, использующей OOB не может никто. Многие умные люди pекомендуют вообще не использовать OOB данные в своих пpогpаммах. В действительности, если для написания оpигинального WinNuke достаточно самых тpивиальных функций pаботы с TCP/IP (пpогpамма на PERL занимает 7 стpок), то чтобы пpобить SP3 потpебуется pаботать с TCP на низком уpовне, либо запускать стандаpтный WinNuke с платфоpмы поддеpживающей дpугую pеализацию OOB. Кстати, подвеpженным такой атаке является не только 139 поpт, точно известно, что MS DNS (53 поpт) тоже стpеляется OOB данными, а автоp статьи убедился, что популяpный сетевой пpефеpанс легко убивается этим методом.

Cледующий достаточно известный способ атаки называется
PingOfDeath или SSPing ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).
Cущность его в следующем: на машину жеpтвы посылается сильно фpагментиpованный ICMP пакет большого pазмеpа (64KB). Реакцией Windows систем на получение такого пакета является безоговоpочное повисание, включая мышь и клавиатуpу. Пpогpамма для атаки шиpоко доступна в сети в виде исходника на C и в виде запускаемых файлов для некотоpых веpсий unix. Lюбопытно, что в отличие от WinNuke жеpтвой такой атаки могут стать не только Windows машины, атаке подвеpжены MacOS и некотоpые веpсии unix. Пpеимущества такого cпособа атаки в том, что обычно firewall пpопускает ICMP пакеты, а если firewall и настpоен на фильтpацию адpесов посылателей, то используя нехитpые пpиемы spoofing можно обмануть и такой firewall. Hедостаток PingOfDeath в том, что для одной атаки надо пеpеслать более 64KB по сети, что делает вообще его говоpя малопpименимым для шиpокомасштабных дивеpсий, хотя конечно поpтить жизнь нескольким отдельно взятым личностям можно достаточно легко. По этой же пpичине еще менее пpименима модификация, называемая PingOfDeath 2, заключающаяся в посылке нескольких 64KB ICMP пакетов. Официальные заплатки доступны на Microsoft для Windows 95 (tp://ftp.microsoft.com/Softlib/MSLFILES/VIPUPD.EXE) , NT v4.0 (tp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/icmp-fix/icmpfixi.exe)
и NT v3.51 (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt351/hotfixes-postSP5/icmp-fix/ICMP351I.EXE).
Cледует заметить, что по некотоpым слухам установка этих заплаток снимает OOB fix, поэтому после этого необходимо будет еще pаз ставить защиту от WinNuke. Lюбопытно, что fix для 95 не pаботает, по кpайней меpе у меня, поэтому остается альтеpнатива использовать "неофициальный" и достаточно подозpительнчый фикс , лежащий на [Ссылки могут видеть только зарегистрированные и активированные пользователи] Lично для себя, я pешил пока не закpывать этой дыpки, до пеpвого pеального случая такой атаки на меня.

Имелась большая гpуппа ошибок Windows NT 4.0 испpавленных в SP3 , котоpые могли пpивести к достаточно печальным последствиям. Hаиболее популяpна была следующая: заходится telnet-ом на 135 поpт, и посылается несколько символов. После этого загpузка сеpвеpа пеpманентно pавна 100 % до пеpезагpузки. Есть много способов закpыть эту дыpку, но я бы pекомендовал поставить SP3, поскольку он включает в себя кpоме этого еще очень много дpугих не менее полезных вещей.Частный случай таких атак (WWW бpаузеpы - как самые pаспpостpаненные пpогpаммы для pаботы с интеpнетом) уже pассматpивался. Тепеpь обсудим пpоблемы безопасности связанные с дpугими пpиложениями на пpимеpе дpугого частного случая: Microsoft Internet Information Server.
Cуществуют несколько способов уpонить интеpнет сеpвеp с IIS.
Достаточно стаpый и шиpоко известный способ это зайти telnet-ом на 80 поpт и дать команду GET "../..". Реакцией на эту команду будет повисание HTTP сеpвеpа.В сеpедине июня 97 года [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) был выведен из стpоя на несколько дней посpедством атаки такого типа. Cуть ее в следующем: пpи запpосе у
IIS очень длинного URL (4 - 8KB) сеpвеp повисает и не pеагиpует на дальнейшие запpосы. Пpоблема в том, что точный pазмеp URL зависит от конкpетного сеpвеpа, поэтому пpогpаммы-убийцы начиная с некотоpого базового pазмеpа запpоса и постепенно увеличивая pазмеp пытаются найти ту кpитическую точку, что подвесит сеpвеp-жеpтву. Получил pаспpостpанение java applet называющийся IISSlayer.class ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),котоpый и осуществляет подобную атаку.Заплатка доступна на Microsoft.

Конечно можно описывать еще много способов дивеpсий для Windows систем и отдельных пpиложений (типа известной, но некpитической ошибке NetscapeMail, позволяющей получить кому-либо копию вашего
майлбокса), но самые опасные из шиpоко pаспpостpаненных дыpок уже освещены. И если вы защитились от всего вышепеpечисленного, то можно считать, что пpичинить вам вpед будет не очень легко. Хотя
конечно всегда останутся методы гpубой силы типа пингования гpомадными пакетами или SYN flood, котоpыми можно заваливать любую интеpнет машину или подсеть, независимо от конфигуpации.

Также неизвестно какие вновь найденные ошибки в популяpных пpогpаммах готовит нам будущее. За пpеделами этой статьи остались вопpосы безопасности в Windows касающиеся всевозможных способов
взлома и незаконного получения пpав доступа, заслуживающие отдельной большой статьи. Также здесь опущены общие вопpосы безопасности в Internet, заслуживающие не статьти, а хоpошей
моногpафии.

В заключение хочется опpовеpгнуть бытующее мнение, что в ОC семейства Windows и всевозможных пpиложениях для этих ОC содеpжится очень много ошибок (хотя вpоде бы сам дух статьи говоpит о дpугом). Да, ошибки есть, но где их нет ? Значительно важнее то, что все кpитические ошибки очень быстpо испpавляются. Так для WinNuke и IISSlayer (знаменитые убийцы [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]))
fix становился доступен в течении 2 суток. Если такой уpовень сеpвиса останется и в будущем, то конкуpентов у Windows платфоpмы в Internet попpосту не будет. Hа этой оптимистической ноте позволю себе завеpшить эту статью и без того достаточно длинную.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Маленькие неприятности

Свершилось. Ваш новый модем, издавая сумасшедшие звуки, неоднозначно воспринимаемые окружающими, выводит вас в Internet... Вы уже научились "лазить" по сети и искать то, что вам интересно (иначе вы не читали бы эту страничку), но что-то вас постоянно тревожит... А вокруг все говорят о хакерах... Стоит ли вам их бояться? Или, может, надо бояться кого-то еще?

Для этого нужно ответить на простой вопрос - кто может получить выгоду, "проникнув" в ваш компьютер. Не мните о себе слишком много. Настоящему хакеру вы не интересны. Вряд ли ваш компьютер содержит информацию, которую можно продать за деньги, и вряд ли "взлом" вашего компьютера принесет ему известность или новые знания... Но все-таки у вас наверняка есть что-то ценное. Например, пароль для выхода в Internet. Вот на него-то точно найдутся желающие поохотиться. На " гордое" звание хакера эти граждане не тянут, но неприятности вам доставить могут. Как? Способов много.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Наиболее распространенный способ охоты за чужими паролями - это программа-троянец. То есть программа, которая не посоветовавшись с вами сделает что-то, что вам будет крайне неприятно. Например, вышлет ваш пароль по электронной почте. И не только пароль на доступ к Internet, но и пароли на электронную почту, ICQ и странички, куда вы входили, указывая свой пароль. Обидно, да? Откуда эта программа взялась на вашем компьютере и почему она запустилась? Скорее всего, вы сами скачали ее и сами установили. Например, вам сказали, что эта программа увеличит скорость вашей работы в Internet в 2 раза. Или вам вообще сказали, что это и не программа вовсе, а фотография. Красивой девушки, например. А вы не обратили внимание, что фотография почему-то называется " girl007.jpg .exe" (да-да, в Windows возможны такие названия). Может быть замаскирована программа под "игрушку", прайс-лист, резюме... Или вы можете получить письмо от якобы службы технической поддержки Microsoft с прикрепленным обновлением Windows. В общем, все, что угодно, лишь бы заставить вас "запустить" себя.

Будьте внимательней. Никогда не запускайте программы, полученные по электронной почте. Ни одна уважающая себя фирма никогда не пошлет вам по электронной почте программу, вместо этого фирма пришлет вам ссылку на свой сервер, где эта программа опубликована... А уж на [Ссылки могут видеть только зарегистрированные и активированные пользователи] троянцев, по всей видимости, публиковать не будут... Также будьте аккуратней, загружая файлы из Internet. Если вы ищете какую-то программу - делайте это на известных серверах, например [Ссылки могут видеть только зарегистрированные и активированные пользователи] (file://c:%5cwindows%5c%d0%a0%d0%b0%d0%b1%d0%be%d1%87%d0%b8%d0%b9/%20[Ссылки могут видеть только зарегистрированные и активированные пользователи])Вы вполне можете доверять серверам крупных компаний, но, загружая с чьей-то плохо оформленной и пестрящей орфографическими ошибками странички " ускоритель интернет ", "разгонщик процессора" или " универсальный взломщик паролей", вы всегда рискуете остаться без денег на вашем счету у провайдера... Внимательно читайте предупреждения, которые выдает вам система - в большинстве случаев при запуске исполняемого файла вам будет выдано соответствующее сообщение. Что еще? Используйте программы-антивирусы. Norton Antivirus фирмы Symantec или "родной" AVP Лаборатории Касперского. Они надежно защитят вас от всех распространенных "троянцев".
Очень часто вы можете стать жертвой собственной доверчивости. На доверчивости основана целая методология, которая в хакерской среде называется "Social Engineering" - Социальная Инженерия. Хотите пример? Вы получаете письмо от своего провайдера, что были утеряны пароли пользователей и пароль надо поменять. И вас просят срочно прислать ваш старый пароль и новый пароль, который вы хотели бы получить, по указанному адресу. Угадайте, посылал ваш провайдер такое письмо или нет? Если у вас остались какие-то сомнения - перезвоните или напишите ему по координатам, указанным на его Web-сервере или в договоре (а не по тем, которые указаны в письме).
Третий способ хищения паролей основан на том, что вы можете плохо себе представлять, как настраивается и работает ваша операционная система. Особенно это касается тех, кто подключается к Internet из офиса своей фирмы. Ведь у вас есть локальная сеть, не правда ли? И вы наверняка разделяете свои диски с другими пользователями... И скорее всего считаете, что только ваши коллеги и могут получить доступ к вашим дискам, даже если вы не защитите их паролем... Но знайте, если на вашем компьютере установлен протокол TCP/IP и установлена "Служба доступа к файлам и принтерам", то любой гражданин республики Internet может подключиться к вашему компьютеру точно так же, как если бы он был в локальной сети. Как проверить наличие этих компонентов? Загляните в программу "Сеть" Панели Управления (Пуск/Настройки/Панель управления/Сеть). Что делать? Если вы не хотите разделять ваши файлы, просто удалите службу доступа. Если вы хотите разделять ваши файлы, но в локальной сети у вас используется протоколы NWLink или NetBEUI - войдите в свойства TCP/IP и уберите привязку к " службе доступа". Если же именно TCP/IP используется в вашей сети - ну что ж, вам остается только защищать все сетевые ресурсы - папки и принтеры - с помощью надежного, длинного пароля. Впрочем, эта мера предосторожности никогда не будет лишней.
Еще одна группа товарищей, которые могут вам "насолить" - это "компьютерные хулиганы", которые могут попытаться, например, вывести из строя ваш компьютер или принудительно отключить его от Internet на некоторое время. Зачем? Ну, например, вы имели неосторожность поругаться с ними в чате, ICQ или на каком-либо форуме. Каким образом? Практически в любой операционной системе есть ошибки. Windows не является исключением. Ряд ошибок в Windows позволяет "заморозить" ваш компьютер так, что вам потребуется перезагрузка. Можно еще вызвать ошибку сети. Эти ошибки могут быть использованы, чтобы атаковать ваш компьютер. Подобные атаки называются атаками на отказ в обслуживании (Denial of Service).
Вы получили огромный счет от провайдера за услуги, которыми пользовался кто-то другой? Не отчаивайтесь. Закон на вашей стороне. Вы можете излить ваше негодование путем подачи заявления о возбуждении уголовного дела. Подобными делами занимается Управление по борьбе с преступлениями в сфере высоких технологий УВД. Имеет ли это какую-то перспективу? Да, причем, не смотря на распространенное мнение, отловить воришку не так уж сложно - он же выходил в Internet через телефонную сеть, а значит, можно отследить с какого номера был звонок. Что ему грозит? Достаточно строгое наказание. Согласно части 1 статьи 272 УК ему грозит до 5 лет лишения свободы за несанкционированный доступ к информации. А если он имел неосторожность прислать вам троянца - то согласно статье 273, часть 1, ему дополнительное наказание за использование вредоносного программного обеспечения, кроме того, естественно, он будет вынужден возместить вам все расходы (в т.ч. и на покупку антивирусного обеспечения, если оно потребовалось). Сложнее поймать компьютерного хулигана и доказать, что это именно он приводил к " зависанию" ваш компьютер. Но в том случае, если это удается, ему грозит до 2 лет лишения свободы (или лишение права заниматься деятельностью, связанной с компьютерами) по статье 274, часть1. Очень часто ваш провайдер может подсказать вам, как правильно оформить и куда подать заявление - он наверняка уже сталкивался с подобной проблемой. Но, надеюсь, что вам после прочтения статьи эта беда уже не грозит - ведь меры предосторожности так просты...
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вирусы в Internet: это должен знать каждый

Сеть Internet поистине огромна. Ежедневно в мире отсылается более 250 млн. сообщений по электронной почте и загружается на диски пользователей около миллиона файлов. Но с недавнего времени Internet, к сожалению, стала одним из основных путей распространения компьютерных вирусов. По этой причине сплошь и рядом возникают панические страхи. Насколько они оправданы?

Несомненно, любой из нас хотя бы раз в жизни получал письмо такого содержания: "Здравствуйте! Меня зовут Джон Смит, и я работаю в корпорации Microsoft (варианты -- IBM, Intel, "Лаборатория Касперского" и т. д. ). Недавно мы обнаружили новый вирус, который самораспространяется по Internet в виде электронного письма, озаглавленного "Hello!". Если вам придет подобное сообщение, немедленно удалите его, не читая, так как если вы его откроете, то вирус уничтожит все важные файлы на вашем компьютере, добавит ругательные слова в документы Word, а впоследствии заботливо отформатирует диск С:. Спасибо за внимание, Джон Смит".

Что и говорить, такое сообщение способно ввергнуть в панику даже опытных пользователей, ведь об Internet, как о среде передачи опасных вирусов, слышали все, а электронная почта, казалось бы, является наиболее удобным средством для их распространения. Вот и начинает горемыка-пользователь с ужасом вчитываться в темы всех полученных писем, проверять папку, содержащую файлы электронной почты на наличие вирусов, а в особо тяжелых случаях -- рассылать вышеприведенный дружеский совет от Джона Смита всем своим друзьям.

Каждому из нас наверняка хотя бы раз в жизни приходилось получать письмо следующего содержания: "Здравствуйте! Меня зовут Джон Смит, и я работаю в компании, занимающейся антивирусными программами. Недавно мы обнаружили новый вирус..."

Мы, естественно, не будем утверждать, что Internet полностью безопасна в отношении вирусов. Однако для определения истинных масштабов возможной трагедии следует разобраться в этом вопросе, чтобы отличать правду от домыслов.





Наиболее часто в Internet переносчиками компьютерной "инфекции" являются:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] Исполняемые программы. Вирус может распространяться как самостоятельный файл (имеющий расширение *.com или *.exe) или как составная часть другой программы, которая в этом случае считается зараженной. [Ссылки могут видеть только зарегистрированные и активированные пользователи] Макросы. Как показывает практика, вирус можно написать и на одном из языков макропрограммирования, встроенных в популярные приложения. Наиболее широкое распространение получили макровирусы для программ из пакета Microsoft Office. По сути, они являются небольшими исполняемыми программками, внедренными в документы Word, Excel или Powerpoint. [Ссылки могут видеть только зарегистрированные и активированные пользователи] HTML-документы. Язык HTML, основной инструмент для написания Web-страниц, также стал орудием вирусописателей. HTML-вирусы используют некоторые ошибки броузеров Microsoft Internet Explorer и Netscape Navigator, чтобы обойти службы безопасности операционной системы и внедриться на компьютер пользователя. До недавних пор вирусы на основе HTML были практически безвредными, т. е. занимались лишь самовоспроизведением. Однако в последнее время стали появляться так называемые "странички-убийцы", приводящие к зависанию броузера. Далее мы подробнее остановимся на необходимых мерах предосторожности при работе с разными сервисами Internet.

Всемирная Паутина с самого начала была окружена таким огромным количеством мифов и сплетен, что рядовому пользователю поначалу даже подойти к компьютеру было боязно. Самый устрашающий из них гласил о невообразимом количестве вирусов, обитающих в Сети.

Как можно "подхватить" вирус, путешествуя по Web? По сути дела, единственными каналами, по которым он может проникнуть из WWW на ваш ПК, являются, во-первых, броузер, а во-вторых, программы, которые "закачиваются" из Сети (опять-таки с помощью броузера). И если во втором случае способ распространения вируса вполне понятен (вы загружаете зараженный файл с незнакомого сайта, распаковываете и запускаете его, после чего злобный "микроб" принимается за свое черное дело), то HTML-вирусы, поражающие Web-броузеры, появились сравнительно недавно.

Авторы HTML-вирусов не закладывают в свои творения алгоритмы размножения и совершения вредоносных действий, а используют для этого "дыры" в защите броузера и операционной системы, а также имеющиеся в них ошибки. Особенно чувствителен к "инфекционным заболеваниям" Microsoft Internet Explorer 4, так как он является составной частью операционной системы Windows 98. В итоге вирус, попавший на компьютер пользователя через этот броузер, тесно интегрированный с ОС, может найти дорогу и в другие файлы системы.

Факт существования HTML-вирусов, естественно, наводит на мысль о необходимости защиты от них. В последних версиях броузеров как от Microsoft, так и от Netscape, предусмотрены различные уровни безопасности (Security), которые можно установить при настройке броузера. Самым сильнодействующим средством против заразных "болезней" стало бы полное запрещение выполнения команд ActiveX, JavaScript и VBScript, однако не все пользователи согласятся на подобное из-за того, что именно с помощью этих языков реализуются самые эффектные элементы интерфейса и дизайна на многих Web-страничках.

Еще одна разновидность вредоносных программ, весьма распространенных в Internet, -- это "троянские кони", или "троянцы". Они не являются вирусами в строгом понимании этого слова, но распространяются в Сети упомянутыми выше способами и тоже способны нанести материальный ущерб. Так уж сложилось, что практически ни один разговор о компьютерных вирусах не обходится без упоминания о "троянцах".

это программа, замаскированная под коммерческий продукт, но выполняющая совсем не те действия, которые можно ожидать, исходя из ее названия или описания (если таковое присутствует). К примеру, кто бы мог подумать, что утилита, выдаваемая за очиститель дискового пространства или ускоритель работы с Internet, на самом деле предназначена совсем для других целей. В отличие от вируса, она не имеет механизма самокопирования. Ее размножению способствует сам ничего не подозревающий пользователь, копируя "троянца" друзьям, коллегам и т. д.

История "троянских коней" начинается еще с 1985 г. Тогда они именовались программами-вандалами, поскольку, попадая на винчестеры под видом полезных приложений, при запуске выполняли какое-либо вредоносное действие, например форматирование диска. Позже, когда сеть Internet получила повсеместное распространение, хакеры подумали: "А зачем разрушать то, что можно украсть?". Помните, как в "Илиаде" греки взяли Трою? Вот именно, "троянские кони" теперь полностью оправдывают свое название. После запуска они располагаются в резидентной памяти ПК, и с их помощью злоумышленники могут отслеживать ваши действия и даже выполнять некоторые операции в системе. Существуют "троянцы", позволяющие "подслушивать" пароли на подключение к Internet (получив пароль, хакер может заходить в Сеть под вашим именем и резвиться там, естественно, за ваш счет), читать вашу электронную почту и даже выполнять операции с файлами на вашем ПК!

Чтобы при работе в Internet избежать неприятностей, связанных с вирусами и "троянскими конями", запомните и выполняйте следующие основные правила:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] загружайте файлы лишь с надежных сайтов, [Ссылки могут видеть только зарегистрированные и активированные пользователи] а также всегда старайтесь установить наивысший уровень безопасности в броузере.
Замечание: учтите, что использование высокого уровня безопасности, исключает содержимое Интернета, являющееся, по мнению браузера, опасным. Иными словами, если друг дал вам адрес его домашней странички, а она у вас не грузится - это еще не означает, что у вас плохая связь или станичка не работает,вполне возможно, что браузер, посчитал содержание этой странички потенциально опасным, и исключил к ней доступ.




Примерно раз в неделю я получаю письмо, шаблон которого приведен в начале статьи. Обычно его текст сопровождается многочисленными галочками, показывающими, что данное сообщение уже как минимум десять раз облетело земной шар, и что около тысячи счастливых получателей узнали о существовании злобного вируса, в считанные минуты разрушающего весь компьютер. Чтобы спать спокойно, лучше наберите большими буквами, распечатайте, вставьте в рамочку и повесьте над монитором такую фразу: "Вирусов e-mail не бывает!".

Уже вижу ваш вопрошающий взгляд и слышу контраргументы: "Как же? А Melissa? А Win95.CIH, печально известный как "Чернобыль"? А вирусы на компьютере моего дяди, у которого есть только e-mail, так что никаким другим способом они туда попасть не могли?". Дело в том, что электронная почта может выступать средством передачи файлов, зараженных вирусом, но сами сообщения никоим образом не могут содержать в себе "инфекцию". Иными словами, чтение письма никак не может послужить причиной заражения компьютера вирусом. При использовании данного сервиса "микроб" может попасть к вам опять-таки вместе с программой, имеющей расширение *.exe или *.com, либо в виде HTML-вируса (если ваша почтовая программа позволяет просматривать письма в этом формате).

Если вирус программный, то он будет находиться во вложенных файлах, но никак не в самом тексте сообщения. Поэтому такими же большими буквами стоило бы напечатать и второе правило использования электронной почты: "Не открывайте незнакомых файлов!". Особенно если они заканчиваются на *.exe или *.com. Если файл пришел от знакомого вам человека, и в тексте письма описываются его назначение и источник происхождения -- тогда можете смело запускать программу на компьютере (если вы доверяете отправителю этого сообщения).
Хотя и в этом случае предварительно желательно проверить файл каким-нить антивирусом, т.к. человек, пославший вам файл, может и сам не знать о наличии в нем вируса.

Ни в коем случае на запускайте файл, если в письме о нем ничего не сказано. Примерно полгода назад получил распространение вирус Happy99.exe, который прикреплял себя ко всем сообщениям электронной почты, исходящим из зараженного компьютера. Представьте себе такую ситуацию: вы получаете письмо от школьного друга Васи, который рассказывает, как ему сейчас хорошо на Канарах. К этому сообщению прикреплен файл с вышеупомянутым именем. Автоматически предположив, что в нем содержится самораспаковывающийся архив с фотографией счастливого товарища Васи на островах, вы смело жмете на пиктограмму файла и... Но поздно. На мой компьютер Happy99.exe пришел в свое время из Днепропетровска, от человека, которого я не знал, да и он обо мне понятия не имел, а просто был подписан на редактируемую мной рассылку. Письмо, кроме всего прочего, не содержало текста. Мой ответный запрос вызвал настоящую панику у получателя, поскольку все это означало, что компьютер, с которого отсылалась почта, был заражен.

Помните также, что e-mail, так же, как и прямая загрузка файлов из [Ссылки могут видеть только зарегистрированные и активированные пользователи] -- один из основных каналов распространения "троянских коней". На что способны эти зловредные программы, мы уже рассказывали. Поэтому, получив исполняемый файл в виде приложения к электронному письму, проявите максимум осторожности. Чаще всего по почте распространяются "троянцы", позволяющие читать ваши сообщения e-mail и подсматривать пароли.

Excel 97 сам предупредит вас о возможности заражения макровирусом, а также предложит способ защиты от него. Если вы не уверены в происхождении документа -- заблокируйте выполнение макросов.

Что касается вирусов HTML, то пользователям электронной почты о них пока можно не беспокоиться. Большинство клиентов электронной почты, кроме последних версий Microsoft Outlook, не поддерживают языки и сценарии, используемые для распространения HTML-вирусов. Небольшие оплошности в почтовых клиентах Microsoft, в принципе, легко исправимы, и вся информация о "дырах" и "заплатах" для них находится на сайте компании. Если вы работаете с Internet Explorer то такой сайт находится тут ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Электронная почта является одним из основных средств распространения макровирусов. В самом деле, именно документы Microsoft Office, если их нужно передать кому-либо, наиболее удобно отправить вместе с письмом. Большинство документов попадают на компьютер адресата именно таким способом.

Защита от макровирусов, в принципе, чрезвычайно проста. Вот что говорит о подобных вирусах Помощник из Word 97: "Документы и шаблоны, содержащие макросы, могут также вмещать хранящиеся в них компьютерные вирусы. При открытии такого документа вирусы активизируются, переносятся на компьютер и внедряются в шаблон "Обычный" (файл Normal.dot). После этого каждый сохраняемый документ заражается вирусом, а когда другие пользователи открывают его, их компьютеры также инфицируются. Чтобы отключить обязательную проверку документа на наличие макросов, которые могут содержать вирусы, снимите флажок Всегда выводить это окно при открытии документа, содержащего макросы в предупреждающем диалоговом окне или выберите команду Параметры в меню Сервис, а затем снимите флажок Защита от вирусов в макросах на вкладке Общие". При подобной постановке дела вы не даете программе возможность определить, содержится ли в полученном документе макрос, и сообщить вам об этом. Если макрос в документе необходим, и вас предупредили о его наличии, при запуске Word вы сможете разрешить выполнение макроса, в противном случае он будет заблокирован. В Excel 97 запретить макрокоманды, содержащиеся в открываемом файле, можно непосредственно из окна с предупреждением. В MS Word можно установить опцию "не выполнять макрокоманды”, и тогда можно безопасно открыть пришедший зараженный документ, - ведь макрос не выполнится и код вируса не активизируется.

Кроме того, макровирусы, во всяком случае, большинство из ныне известных, распознаются практически всеми антивирусными приложениями, поэтому стоит купить обновленный пакет такого обеспечения, или потратить время на загрузку дополнений к нему из Internet.

Таким образом, для того, чтобы защититься от вирусов при работе с электронной почтой, достаточно следовать все тому же элементарному правилу: не запускать на компьютере незнакомых приложений. Однако большинство опытных "интернетчиков" тут же возразят, что электронная почта уже давно не является лучшим средством оперативной работы и общения с друзьями. Ее место постепенно занимают службы instant messaging , в частности глобальная сеть ICQ.



Пожалуй, единственным путем распространения вирусов через ICQ является передача файлов. Ни в тексте сообщений, ни через чат вирус передать нельзя. Отдельным вопросом является безопасность всей вашей системы при использовании ICQ, так как в этом случае IP-адрес компьютера становится известным любому из ваших собеседников, намерения которых, к сожалению, не всегда благие. Но вопрос безопасности в ICQ заслуживает отдельного обсуждения.

Итак, основу защиты от вирусов при работе в ICQ составляет все тот же неизменный принцип: не запускайте незнакомые приложения. Однако с недавних пор изобретательные вредители придумали более изощренный способ, помогающий заставить пользователя нарушить это правило. Такая "диверсия" основана на особенности отображения имен файлов в окне ICQ. Соответствующее текстовое поле вмещает в себя только определенное количество символов (около 64), и если имя файла длиннее, то в этом случае отображаться будут только первые 64. Таким образом, исполняемый файл может называться photo.jpg<необходимое количество знаков табуляции>.exe и являться совершенно нормальным приложением с несколько длинноватым именем. При получении подобного файла в строке имени вы увидите только photo.jpg, и, предположив, что файл является обычной фотографией, в которой вирусов быть не может по определению, смело нажмете на кнопку Open. Программа запустится, и заключенный в ней вирус начнет работать.

Единственный совет, который можно дать в этом случае: будьте осторожны, и сначала лучше сохраните полученный файл в отдельной папке, а затем внимательно изучите его в окне Мой компьютер или Проводник, чтобы убедиться, что он действительно представляет собой именно то, о чем утверждал вам его отправитель.

Вместо заключения

Итак, безопасность в Internet -- дело рук самих пользователей. Поэтому каждый из нас обязан всерьез заняться этими вопросами, так как иногда печальные исходы вызваны не столько низким качеством антивирусного программного обеспечения, сколько непрофессионализмом или беспечностью самого пользователя. В этой статье мы попытались развенчать устоявшиеся мифы о вирусах в Internet, а также описать реальные пути и каналы заражения вашего компьютера из Сети. Надеемся, что теперь картина причин возможных проблем и путей их решения для вас более ясна.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Что такое Firewall

С системой портов тесно связана такая система защиты, как Firewall - программа, которая обеспечивает санкционированность всей информации, приходящей или уходящей с компьютера. К примеру, при отправке почты используется порт 25, а при получении - порт 110. С этими портами работает почтовая программа. Если же какая-нибудь другая программа - например, вирус-"троян" - попытается запросить этот порт, то Firewall не даст ей это сделать (в принципе, "трояну" ничего не стоит замаскироваться под почтовую программу, но это сложнее - прим. ред.). Кроме того, Firewall вообще не позволяет осуществлять связь с удаленным компьютером, если это не разрешено пользователем. Перед началом использования программы необходимо произвести ее настройку - указать номеров портов, через которые может идти обмен данных, и программ, которые с этими портами работают. В современных "файерволлах" настройка может проходить и автоматически.

Иными словами, если с компьютера отправляется пакет данных, то Firewall посмотрит, какая программа его отправляет, по какому порту, и на какой порт. Обеспечение информационной безопасности и защита от проникновения "извне" также тесно связаны с управлением системой портов. На компьютере постоянно запущено множество программ. И не исключено, что при обращении к какому-либо порту некая программа возьмет и ответит на запрос, да еще и проигнорировав положенную авторизацию доступа. Это так называемая "дыра" - за что программистов обычно нещадно ругают. В другом случае, операционная система, принимая данные по какому-либо порту, может попросту "повиснуть" - опять-таки из-за ошибки в своем программном коде. Так, до появления Service Pack 3 для Windows NT, пакеты, адресованные на 139 порт компьютера с этой операционной системой, приводили либо к перезагрузке ОС, либо к ее "зависанию" (кстати, "дыры" могут появляться и по иным причинам - не только из-за системы портов, просто "дыра через порт" - самый распространенный вариант).

Порты компьютера можно просканировать - то есть послать ему пакеты данных, адресованные на все порты подряд, и ждать ответа хоть от какого-нибудь из них. Если отклик есть, значит, с этим портом можно попробовать "договориться" - в частности, заставить программу, которая им заведует, работать в своих целях. "Прослушать" порты можно, например, с помощью программы Internet Maniac. С такого сканирования и поиска "дыр" в программном обеспечении обычно начинается любая хакерская атака, поэтому многие провайдеры, банковские системы и другие большие сетевые представительства отслеживают подобные действия и принимают адекватные меры в адрес того, кто это делает.

Вот так сканируются порты. Это пример - а при настоящей хакерской атаке можно было бы и "дыру" отловить, да и самому попасться - зависит от опыта обоих сторон.

Использование Firewall позволяет в определенной степени свести "на нет" риск от несанкционированного сканирования портов. Эта программа не дает возможности получить с портов, не входящих в список разрешенных, какой-либо ответ, так как вообще не пропускает к ним подобного рода запросы. Но Firewall не сможет помочь, если атака ведется с помощью вполне законного доступа - скажем, в вашей почте окажется письмо, содержащее вирус.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Что такое proxy?
Краткий FAQ:Proxy (в переводе с английского "представитель") - это промежуточный компьютер, который является посредником между Вашим компьютером и web-серверами. При использовании proxy Ваш компьютер не обращается к web-серверам напрямую, а посылает запрос на скачивание web-страниц, картинок и файлов proxy-серверу, который сам обращается в Internet за определенными файлами.

Что дает использование proxy?
Использование proxy сервера повышает Вашу анонимность в Internet. Кроме того, за счет кэширования информации увеличивается скорость доступа к сайтам. .

Классификация proxy
Существует несколько типов proxy серверов. Каждый тип proxy ориентирован на решение своих задач, однако по своим возможностям они во многом схожи.

HTTP proxy
Это наиболее распространенный тип proxy и говоря просто "proxy", имеют в виду именно его. С помощью HTTP proxy Вы можете просматривать web-сайты и скачивать файлы. Этот тип proxy серверов поддерживает HTTP протокол и (иногда) FTP. Выделяют также подтип HTTP proxy - это [Ссылки могут видеть только зарегистрированные и активированные пользователи] (или Secure [Ссылки могут видеть только зарегистрированные и активированные пользователи] CONNECT) proxy. Такие proxy можно выстраивать в цепочки, с такими proxy может работать ICQ. Не все HTTP proxy имеют такую возможность.

Socks proxy
Это достаточно специализированный тип proxy серверов и они обладают более широкими возможностями, чем HTTP proxy. Socks proxy поддерживают работу по любому TCP/IP протоколу (FTP, Gopher, News, POP3, SMTP, и т.д.), а не только [Ссылки могут видеть только зарегистрированные и активированные пользователи] Существуют 2 основные версии socks proxy: socks 4 и socks 5. Socks 5 является значительно улучшенным и расширенным вариантом по сравнению с socks 4, кроме того, он поддерживает работу не только по TCP, но и по UDP протоколу. Анонимность у socks proxy является самой высокой из всех типов proxy серверов. К числу недостатков socks proxy можно отнести сложность их использования: без дополнительных программ в браузере их использовать нельзя. Однако с этим типом proxy могут работать любые версии ICQ и многие другие популярные программы.

CGI proxy (анонимайзеры)
Хотя этот тип proxy обладает вероятно наименьшими возможностями из всех перечисленных типов proxy серверов, их популярность вполне заслуженна легкостью работы с ними. Хотя их можно (и имеет смысл) использовать только в браузере (в других программах их использование вряд ли возможно, да и неоправданно), работать с ними не просто, а очень просто: достаточно открыть URL proxy в браузезе. С помощью анонимайзеров Вы можете только просматривать HTTP (иногда - FTP, и еще реже - [Ссылки могут видеть только зарегистрированные и активированные пользователи]) сайты или скачивать файлы, однако у них есть возможность (которая отсутствует у других типов proxy) запретить co_ok_ie и/или рекламу сразу в самом proxy сервере, не меняя настроек браузера. Кроме того, Вы можете их использовать вне зависимости от того, настроен Ваш браузер на работу через какой-либо proxy или нет.

FTP proxy
Этот тип proxy серверов сам по себе встречается достаточно редко. Обычно использование FTP proxy связано с тем, что в организации используется Firewall, препятствующий прямому доступу в Internet. Однако использование этого типа proxy предусмотрено во многих популярных программах (таких как FAR, Windows Commander и в браузерах). Это весьма узкоспециализированный тип proxy серверов и они могут работать только с FTP серверами.

Цепочки из proxy серверов
Используя один proxy сервер, Вы можете подключаться к другому proxy, через него - к следующему и т.д., т.е. выстроить цепочку из proxy серверов. Цепочка может состоять как из proxy одного типа (цепочки из HTTP или из socks proxy, цепочки из анонимайзеров), так и из proxy различных типов, например:

socks proxy -> socks proxy -> http proxy -> http proxy ->
- cgi proxy -> cgi proxy -> web сервер

У каждого типа proxy свой способ построения цепочки. Самый сложный - у HTTP proxy (тем более, что не все HTTP proxy позволяют включать себя в цепочку). А самый простой - у CGI proxy.

Анонимность proxy
При работе клиента с web сервером клиент (Ваш компьютер) передает о себе некоторую информацию. Используя эту информацию, можно не только узнать каким браузером Вы пользуетесь или какая операционная система у Вас установлена, но и узнать Ваше местонахождение (как минимум - страну и город, а иногда даже физический адрес!) и даже атаковать Ваш компьютер через Internet. Чтобы защититься от этого, Вам нужно "спрятать" информацию о Вас от web сервера - если не всю, то хотя бы важнейшую ее часть - Ваш IP адрес.

Разные типы proxy серверов дают разный уровень анонимности:

HTTP и CGI proxy бывают:

прозрачные - то есть не "прячут" Ваш IP
анонимные - "скрывают" Ваш IP адрес или "подменяют" его
Все FTP и Socks proxy являются анонимными и гарантированно не передают Ваш IP адрес серверу.

Другие характеристики proxy
Кроме таких свойств как анонимность или возможность включения в цепочку, proxy сервера обладают целым набором дополнительных характеристик:

- работоспособность
- скорость работы
- правила использования (настройка программ на работу с данным типом proxy)
- местоположение (страна)

Пароли и контроль над доступом



Для зашиты компьютерных установок на сегодняшний день имеются три основных класса контроля доступа. Это:

— контроль, основанный на знании (пароли);

— контроль, основанный на обладании (ключи);

—контроль, основанный на личных характеристиках (биометрические приборы).

В случае контроля, основанного на обладании, речь идет о предметах, принадлежащих пользователю, — физическом ключе, магнитной карте и т. д. Иногда используется металлическая пластинка причудливой формы, которую вставляют перед началом работы в шель распознавателя. “Ключом” может служить также идентификационный знак либо специальное письмо с подписью одного из высокопоставленных лиц компании.

Биометрические приборы анализируют специфические физические особенности пользователя (подпись, отпечатки пальцев или рисунок линий на ладони) и сравнивают их с теми, что наличествуют у них в памяти. Эти два вида компьютерной зашиты могут использоваться и для дистанционного управления доступом, хотя обычно к ним прибегают для ограничения доступа к тому месту, где находятся компьютеры, — компьютерному залу или отдельному кабинету.

Биометрические и физические ключи будут далее рассмотрены более подробно.

Первый вид контроля над доступом, наиболее распространенный, основан на обладании специфической информацией. Это означает, что правом доступа обладают лишь те лица, которые способны продемонстрировать свое знание определенного секрета, обычно пароля. Львиную долю работы хакера составляет именно поиск этого пароля. В этой главе и рассказывается обо всем, что вам необходимо знать о паролях: как они работают, где хранятся, и как их можно “взломать”.

пароли

Самый простой и дешевый путь зашиты любого типа компьютерной системы сводится к старому, испытанному способу: применению пароля. Даже те компьютеры, которые вовсе не нуждаются в средствах зашиты, зачастую снабжаются паролем просто потому, что пароль дает ощущение психологического комфорта и его использование не требует особенно много времени, сил и места в памяти. Более того, в системах, уже защищенных другими средствами — магнитными картами или иными программными методами, типа шифрования, нередко удваивают или утраивают заши-ту содержимого, прибегая к системе паролей. Таким образом, практически все установки компьютеров включают в себя пароли того или иного вида.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных или на разархива-цию файлов — короче, во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

Пароли подразделяются на семь основных групп:

— пароли, устанавливаемые пользователем;

— пароли, генерируемые системой;

— случайные коды доступа, генерируемые системой;

— полуслова;

— ключевые фразы;

— интерактивные последовательности типа “вопрос — ответ”;

— “строгие” пароли.

Первый является наиболее распространенным — обычно пользователи, движимые мелким тщеславием, просят придумать себе личный пароль.

Случайные пароли и коды, устанавливаемые системой, могут быть нескольких разновидностей. Системное программное обеспечение может применить полностью случайную последовательность символов — случайную вплоть до регистров, цифр, пунктуациии длины; или же в генерирующих процедурах могут быть использованы ограничения. Например, каждый код доступа согласуется с заранее подготовленным шаблоном (вроде oabc-12345-efghn, где буквы и цифры, на заданных позициях, генерируются случайным образом). Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами программы, которые образуют пароли вроде onah.foopn, или ocar- back-treen. Полуслова частично создаются пользователем, а частично — каким-либо случайным процессом. Это значит, что если даже пользователь придумает легко угадываемый пароль, например, “секрет”, компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа “секрет,5гh11”.

Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа “we were troubled by that”, или не иметь смысла — “fished up our nose”. Ключевые фразы применяются в тех организациях, где менеджер слегка помешан на защите. Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз.

К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются “wwtbt” и “fuon”. Как видите, подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Шестой тип паролей — интерактивные последовательности “вопрос — ответ”, предлагают пользователю ответить на несколько вопросов, как правило, личного плана: “Девичья фамилия вашей супруги?”, “Ваш любимый цвет?”, и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с “правильными”. Сеансы вопросов и ответов могут оказаться лакомым кусочком для хакера, который хорошо знаком с пользователем, под чьим именем он пытается войти в систему. Системы с использованием вопросов — ответов склонны к тому же прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, дабы подтвердить его право пользоваться системой. Это очень раздражает, особенно если пользователь погружен в интересную игру. Ныне такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

“Строгие” пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством - “цербером”. В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а бе-долага-пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами, а также в параноидальных организациях.

Одноразовые коды — это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соотвествуюший времени, дате или дню недели. Может быть, вам повезет и вы найдете такой список в одном из своих походов за мусором. Коды, конечно, вам уже не пригодятся, но зато вы уразумеете принцип зашиты данной системы.

Рекомендую ознакомиться вот с этой статьей. Написал ее Крис Касперски. Даю ссылку на источник, чтобы не засирать форум копипастом.
читать ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Когда будете уходить из леса, не вздумайте брать симку с собой домой - выкиньте её на месте и забудьте.

Относительно мобильных телефонов хочу предостеречь: мало выбросить левую симку, мало просто выключить телефон, надо обязательно вынуть аккумуляторную батарею:) Тогда еще остается шанс, но если у вас наружка "на хвосте" (и не ментовская), тогда...:(

Если говорить в основном и в целом, то Dr.Mihelson с точки зрения техники и тактики прав. Но..., есть нюансы. Все зависит от масштабов сотворенного вами "черного дела":) Если это мелочь, то тогда и такие меры безопасности ни к чему, а если это всерьез, то вне зависимости от того взяли ли вас на месте или не взяли, вас будут искать. И качество поисков будет прямо пропорционально вреду, причиненному вами:) Серьезные дела далеко не все способны делать, а те люди, которые способны на это, как правило, негласно, но плотно "прикрыты" спецслужбами ("родную милицию" я, само собой, в виду не имею:)). Если вы относитесь к категории таких людей, то, уверяю, что рано или поздно (причем, скорее рано, чем поздно:)) к вам придут интеллигентные ребята и после беседы с ними вы в слезах и соплях признаетесь во всех своих прогулках в лес с ноутбуком и левой симкой. Так что, прежде чем в очередной раз отправляться на прогулку в лес хорошенько подумайте : "А оно мне надо???":)

Относительно мобильных телефонов хочу предостеречь: мало выбросить левую симку, мало просто выключить телефон, надо обязательно вынуть аккумуляторную батареюМобилу вытащат по IMEI. Надо мобилу закопать или утопить, а лучше спалить или растворить в кислоте (70% HCl или H2SO4). Так оно надежней!

schta,Мобилу вытащат по IMEI.

А как можно "вытащить" абсолютно мертвый кусок металла и пластика без симки и без батареи??? В ней, что остается какое то еще резервное питание для функционирования, чтобы излучать сигнал???
Так что, я думаю, что не стоит так сурово поступать с аппаратом:)

А как можно "вытащить" абсолютно мертвый кусок металла и пластика без симки и без батареи??? При соединении аппарата сотовой связи у ОпСоСа светится симка - а от нее и человек, на которого она оформлена. НО окромя этого к номерку симки привязывается IMEI, поэтому как только Вы включите эту трубу даже без симки, даже через год - интеллегентные товарищи вас запалят.
Лечение от этого есть - надо "перешить" IMEI телефона, но на 100% действенности этого метода я не уверен и очень сомневаюсь.
Кроме этого каждая "белая" труба имеет заводской серийник (в том числе и в IMEI). По найденному номеру аппарата могут установить где и когда вы приобретали телефон (у распростарнителя) - выйдут на людей, на записи камер слежения, ....
Да короче если захотят - все равно найдут, тем более, что не секрет
Серьезные дела далеко не все способны делать, а те люди, которые способны на это, как правило, негласно, но плотно "прикрыты"
Тырить трубу для черных дел - глупо. Запалят еще быстрее.

Добавлено через 2 минуты
В ней, что остается какое то еще резервное питание для функционирования, чтобы излучать сигнал??? Есть мобильники, у которых и без батарейки не сбивается время. На счет сигнала не уверен.

schta,Вы включите эту трубу даже без симки...

Так именно поэтому я и писал, что помимо симки "выбрасывайте батарею", дабы аппарат уже гарантированно был без питания и, соответственно, не включился. Нет включения - нет сигнала, нет сигнала - нет пеленга... и гуляй незамеченным:)

schta,Тырить трубу для черных дел - глупо. Запалят еще быстрее.

Я вообще считаю, что играть в такие игры глупо:) Но по этому поводу к уважаемому Dr.Mihelson:)

Так именно поэтому я и писал, что помимо симки "выбрасывайте батарею", дабы аппарат уже гарантированно был без питания и, соответственно, не включился. Нет включения - нет сигнала, нет сигнала - нет пеленга... и гуляй незамеченны Ык и с собой носить опастно! Рядовая "проверка паспорта" включает проверку IMEI трубы по *#06# и наклейки под батарейкой с последующей пробивкой по базам угона (по крайней мере у нас в городе). Так вот данной мобилой пользоваться уже никак. И бомба с таймером в кармане зачем?

schta,Рядовая "проверка паспорта" включает проверку IMEI трубы по *#06# и наклейки под батарейкой с последующей пробивкой по базам угона (по крайней мере у нас в городе).

Это, что у вас в Архаре у ментов следующий за паспортом вопрос: "предъявите мобильный телефон к осмотру":)??? А если сказать, что нет мобильника (что вполне может быть), что, обыскивать будут:)??? Я конечно, понимаю, что так работают по наводке в отношении конкретного человека...но чтобы в массовом порядке...однако:)
М-да..., многое видал, но в данном случае, удивил ты меня, удивил...
Нет Mila2 на ваших ментов - беспредельщиков:)

Это, что у вас в Архаре у ментов следующий за паспортом вопрос: "предъявите мобильный телефон к осмотру"??? А если сказать, что нет мобильника (что вполне может быть), что, обыскивать будут??? Конечно! Документы, трубу, и расстегните куртку для лёгкого и изящного шмона. меня (как законопослушного законобоязненного человека) менты проверяли 3 раза, а хулиганы нападали 2 раза (хотя и те и другие безрезультатно) (ну это за 10 лет проживания в Архангельске). Ничего удивительного в этом нет. А городе 3 крупных универа и куча мелких гоп, колледжей технарей. Это я к тому что молодеж со всей северной и центральной области едет в "город" на учебу. Студентам делать нехрен (папа с мамой ресурсами снабжают - учись мол сынок), бухают, хулиганят, избивают более слабое население (в большинстве случаев просто так), воруют (если пить не уже неначто), насилуют (не так часто, но бывает) и убивают (тоже вроде бы не специально, но уж так получается).

Дайте пожалуйста описание по портам


Какие нужны какие не нужны и как их закрыть и есть ли вир или троян?
спс



1 tcpmux TCP Port Service Multiplexer [rfc-1078]
9 discard sink null
11 systat Active Users
13 daytime -
15 netstat -
19 chargen ttytst source Character Generator
20 ftp-data File Transfer [Default Data]
21 ftp File Transfer [Control]
22 ssh Secure Shell Login
23 telnet -
25 smtp Simple Mail Transfer
31 msg-auth MSG Authentication
53 domain Domain Name Server
80 http World Wide Web HTTP
81 hosts2-ns HOSTS2 Name Server
88 kerberos-sec Kerberos (v5)
107 rtelnet Remote Telnet
109 pop-2 PostOffice V.2
110 pop-3 PostOffice V.3
111 sunrpc portmapper, rpcbind
119 nntp Network News Transfer Protocol
135 loc-srv NCS local location broker
139 netbios-ssn NETBIOS Session Service
143 imap2 Interim Mail Access Protocol v2
146 iso-tp0 -
194 irc Internet Relay Chat
443 [Ссылки могут видеть только зарегистрированные и активированные пользователи] secure http (SSL)
445 microsoft-ds -
464 kpasswd5 Kerberos (v5)
512 exec BSD rexecd(8)
513 login BSD rlogind(8)
515 printer spooler (lpd)
540 uucp uucpd
555 dsf -
565 whoami -
593 [Ссылки могут видеть только зарегистрированные и активированные пользователи] HTTP RPC Ep Map
636 ldapssl LDAP over SSL
1024 kdm K Display Manager (KDE version of xdm)
1025 listen listener RFS remote_file_sharing
1080 socks -
1234 hotline -
1433 ms-sql-s Microsoft-SQL-Server
1434 ms-sql-m Microsoft-SQL-Monitor
1494 citrix-ica -
1512 wins Microsoft's Windows Internet Name Service
1521 oracle Oracle Database
1526 pdap-np Prospero Data Access Prot non-priv
1999 tcp-id-port cisco identification port
2000 callbook -
2016 bootserver -
2041 interbase -
2049 nfs networked file system
2600 zebrasrv zebra service
2638 sybase Sybase database
3064 distrib-net-proxy Stupid closed source distributed.net project proxy port
3128 squid-http -
3306 mysql mySQL
3389 msrdp Micro$oft Remote Display Protocol
4333 msql mini-sql server
4444 krb524 Kerberos 5 to 4 ticket xlator
5000 fics Free Internet Chess Server
5001 commplex-link -
5400 pcduo-old RemCon PC-Duo - old port
5631 pcanywheredata -
5632 pcanywherestat -
5714 prosharevideo proshare conf video
5800 vnc -
6000 X11 X Window server
6112 dtspc CDE subprocess control
6666 irc-serv internet relay chat server
6667 irc Internet Relay Chat
6668 irc Internet Relay Chat
6969 acmsoda -
8080 [Ссылки могут видеть только зарегистрированные и активированные пользователи] Common HTTP proxy/second web server port
8888 sun-answerbook Sun Answerbook HTTP server
12345 NetBus NetBus backdoor trojan
12346 NetBus NetBus backdoor trojan
31337 Elite Sometimes interesting stuff can be found here
43188 reachout -
54320 bo2k Back Orifice 2K Default Port
65301 pcanywhere -
65301 pcanywhere -

Большинство этих портов простому смертному не нужны. Но специально закрывать их я честно говоря смысла не вижу, достаточно не ставить (не запускать) софт, их открывающий. Опасные порты можно посмотреть, например, тут [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Какие нужны какие не нужны и как их закрыть и есть ли вир или троян?
Вообще говоря, все порты в системе закрыты, а открывает их по требованию какая-либо служба или иной служебный или пользовательский софт.

Соответственно, если Вы, скажем, запускаете mySQL, то порт 3306 открывается. Соответственно, все "левые" посылки, посылаемые на порт 3306, mySQL будет игнорировать, но если хакер найдет какую-либо уязвимость в mySQL, то сможет через порт 3306 выполнить какую-либо деструктивную операцию.

Как можно уменьшить риски?

1. Настроить в фаерволе правила, по которым всем программам разрешить только исходящие соединения и запретить входящие (возможны редкие исключения).

2. Остановить системные службы, которые для обычного домашнего пользователя бесполезны, но содержат в себе уязвимости.
Специально для тех, кто не шибко в этом разбирается, существует программа Windows Worms Doors Cleaner ([Ссылки могут видеть только зарегистрированные и активированные пользователи]). С ее помощью можно остановить соответствующие службы (в один клик) и таким образом закрыть потенциально опасные порты. Аналогичным образом, все можно вернуть в исходное состояние.

Примечание: Если Вы пользуетесь локальной сетью, то не нажимайте третью (из пяти) кнопочку, которая запретит протокол NetBIOS, без которого Вы не сможете, например, обмениваться файлами между локальными машинами.
А вообще говоря, после того, как Вы закроете все лишние порты (т. е. остановите все лишние службы), проверьте, обеспечивает ли Ваша система тот же самый необходимый Вам функционал, как раньше. Если да, то все нормально, в противном случае, легко можно все вернуть в исходное состояние (опять же, в один клик + перезагрузка).

P. S. Конечно же необходимо иметь все обновления для операционной системы.

P. P. S. Многие фаерволы плюс ко всему делают порты невидимыми. В нормальном состоянии порт сообщает (на входящий запрос) о своем состоянии: закрыт или открыт. В невидимом режиме, порты отвечать не будут, соответственно, их как бы нет в принципе (а раз нет их, то, в общем случае, как бы нет и компа в сети). А раз нет компа, то нет и попыток нанести вред Вашей машине.

Вопрос такой: есть подозрение, что один нехороший человек из локальной сети пользуется снифером. Можно ли как-то удостовериться, что это именно он? И как можно защитить себя от снифера в локалке? (Сеть - 20 компов на д-линках).

Интересная книга, кому то может и поможет :)
Безопасный Интернет. Универсальная защита для Windows ME - Vista ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Tokzup ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Если сеть на свичах, то только общие пакеты (типа броадкаст\мультикаст) возможно поймать. Или же он должен использовать m_i_m атаку, что сильно зависит от способа входа в сеть (идентификация по логин\пароль или просто mac). Защита - шифрованный доступ к ресурсам, - допустим я даже расшаренный на 15 человек домашний ftp снабдил сертификатом и работа идет через ssl3.

Недавно у себя в блоге выложил статью, где постарался описать методы лечения компа от вирусов. Статья находится тут ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).
Хотелось бы услышать мнения других пользователей о ней.

В общем все верно. Обычным пользователям - безопасный режим и cureit (live cd), более продвинутым - антируткиты типа gmer, icesword или тот же avz. Тут обходится без безопасного режима, но с рестартами. Но как мне кажется уместным было бы и тут же указать основные методы проникновения вирусов. Не далее как сегодня мне с незнакомого контакта icq прилетает файл Прикольно.gif.exe. При запуске тут же получил попытку внедрения в explorer, пришлось с негодованием убить вирь.

У меня тут еще возник вопрос про всем известную соц. сеть "вконтакте": довольно много моих знакомых жалуются на то, что от их аккаунта рассылается спам и они ничего не могут с этим поделать. Говорят, что пробовали менять пароль - не помогает. Думал, подцепили какого-нибудь зловреда, который с их машины спамит, когда они в сети. Проверил несколько компов, погуглил на эту тему - все чисто. Стало интересно - где же тут собака зарыта? Как злоумышленникам удается рассылать спам от имени других и почему эта возможность еще не прикрыта? Недавно на хабре читал статью про открытые API соц. сетей и про "нечестные" приложения - похоже, дело действительно в них. Я-то приложениями контакта не пользуюсь, и ни разу не замечал, чтобы от меня шел спам. А вы что по этому поводу думаете?

White Charmer ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Социальные сети вообще штука опасная. Во первых лакомый кусочек информации, во вторых - удобная база для распространения вирья и фишинг ссылок. Когда приходит что то "от друга" скорее всего Вы посмотрите ссылку, на этом все и строится. Если от аккаунта рассылается спам то очевидно или вирь на компе, или дырявый как дуршлаг моей бабушки контакт. Приложения вконтакте это вообще ад, в них крайне мало смысла (как и в самом контакте имхо), но кривые (возможно даже неумышленно) руки начинающих кодеров ставят под возможный удар пользователей сети. Как мне кажется по степени опасности контакт находится на одном уровне с ресурсами категории варез\порно и следует к нему относится с большой осторожностью.

Что-то с безопасностью этого форума случилось. Раньше заходил спокойно, а сегодня сразу же после захода (страничка еще не полностью показалась, даже ник и пароль еще не ввел) антивирус Avira предупредил о вирусе по адресу :Documents and Settings/... Сразу же эту пакость удалил. Год назад тоже здесь словил что-то - ряд папок просто исчезли. Ни антивирус, ни файервол даже не гавкнули. Сейчас использую Opera 10.10 - только что ее скачал и установил. В ее настройках почти все отключено/запрещено. За несколько лет пребывания в Сети эти два случая практически единственные. На других сайтах ничего не ловил. Кто-то этот форум сильно не любит?

P.S. сейчас перешел на этот адрес
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
и снова предупреждение от Avira:
AntiVir Guard: Attention, Detection!

A virus or unwanted program was found!
What should happen with the file?

C:\Documents and Settings\User\Local Settings\...\opr001Lo
Contains recognition pattern of the HTML/Crypted Gen HTML script virus.

Что за дела?

В кеше обнаружен потенциально возможный криптованый скриптовый вирус. Как по мне, я бы файлик посмотрел что там такое внутри.

Поскольку я в этих файлах не разбираюсь, то я их сразу удалил. По моему, лечить зараженные программы бесполезно. Никогда нет гарантии, что вылечено полностью. Лучше поискать аналогичную программу в другом месте.

Конечно, файлы кеша браузера как правило ценности не представляют, лучше грохнуть на всякий случай...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]Любого пользователя Интернета можно легко опознать


Для однозначного опознания пользователя не надо, чтобы он регистрировался, не надо писать ему своих cookies - не надо делать ничего, что не нравится многим людям, озабоченным проблемами собственной безопасности. Достаточно просто посмотреть на доступные любому веб-сайту данные.

Каждый пользователь, ходящий по Сети, в своем браузере имеет уникальный «отпечаток пальцев» и даже не задумывается об этом. Как показало исследование Panopticlick ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), 84% браузеров, выходящих в Сеть, можно достоверно опознать. Настройки Javascript и Flash, язык системы, версия браузера (включая номер сборки), язык браузера - есть масса настроек компьютера, доступных для изучения сторонним сайтам. Ввиду того, что настроек этих очень много, а люди все разные, набор настроек почти всякого пользователя уникален.

Собирая такие данные, сайт может «опознавать» пользователя, даже если он меняет cookies или выходит с компьютера, изменив IP. Потенциально именно такие «отпечатки пальцев» являются источниками наиболее массовых нарушений приватности. Если общая доля однозначно идентифицируемых браузеров составляет 84%, то среди браузеров с установленным Flash или Java эта доля составляет 94%.

Panopticlick смогла найти уникальные идентификаторы браузеров, исследовав лишь 8 переменных:

- Имя браузера (включает в себя номер сборки, версию ОС, язык, установленные тулбары, иногда - другую информацию);

- Заголовки HTTP ACCEPT;

- Информацию о том, включены ли cookies;

- Разрешение экрана;

- Часовой пояс;

- Плагины браузера, их версии и MIME-тип;

- Системные шрифты;

- Информацию о supercookies (различные расширенные аналоги cookies, подобные Flash cookies).

В реальности существуют еще переменные - использовав их, возможно, получится уточнить результаты и опознать еще большую долю браузеров.

Некоторые типы пользовательских машин оказались сравнительно устойчивыми к методике исследователей:

- браузеры с отключенным Javascript;

- компьютеры, подключенные к анонимной сети Tor;

- мобильные устройства на Android и iPhone;

- корпоративные компьютеры в рамках одной компании, неотличимые друг от друга (хотя есть методики, которые позволяют отличить и их).

Результаты этого исследования означают, что на самом деле анонимность в Cети недостижима не только по отношению к правительственным органам и спецслужбам. Практически любого пользователя может отслеживать произвольный сайт - удаление cookies не спасет. Однако эти методики никак не решают задач, которые не дает покоя рекламщикам и другим людям, готовым отдать душу за пользовательские данные. С помощью снятия «отпечатков пальцев» можно различить двух пользователей, но никак нельзя установить про них какую-либо информацию - предпочтения, доходы, любимые сайты.

По материалам: Internet.ua


:). тоесть скачал оперу поставил и НИЧЕГО НЕ НАСТРАИВАТЬ!:)

Только что с удивлением обнаружил, что в адресной книге на ящике mail.ru хранятся все контакты, на которые я мылил мыло. Стремное это дело, хотя в некоторых случаях и полезно.

Только что с удивлением обнаружил, что в адресной книге на ящике mail.ru хранятся все контакты, на которые я мылил мыло. Стремное это дело, хотя в некоторых случаях и полезно.
А еще неприятнее то, что вроде как любой ящик на mail.ru (и подобных) взламывается за пару минут. Если не врут, то gmail.com сломать сложнее всего.

Если не врут, то gmail.com сломать сложнее всего
Уже больше недели пользователи Gmail обмениваются информацией о множественных случаях взлома почтовых аккаунтов и бесконтрольной рассылке спама, пытаясь угадать причину странной эпидемии.

Спамовые сообщения рассылаются со взломанных аккаунтов на адреса корреспондентов владельца — по большей части, это контакты из адресной книги. Тема письма не указана, а в теле приведена только ссылка на некую интернет-аптеку в зоне .co.cc. Это редирект на недавно зарегистрированный веб-сайт mrapgyan.net, который к тому же не работает. Копии писем исправно сохраняются в папке «Отправленные», иногда их можно обнаружить в «Корзине». Некоторые письма не доходят до адресата и оседают в виде уведомлений о недоставке в папке «Входящие».

Как выяснилось, спамеры каждый раз подключались к чужому аккаунту через мобильный интерфейс и, скорее всего, использовали боты. IP-адреса, с которых осуществлялись несанкционированные входы, разбросаны по всему миру: США, Западная Европа, Ближний Восток, Азия, Африка…

Примечательно, что злоумышленники лишь использовали контакты своих жертв для рассылки спама. Они не меняли пароли к почтовым ящикам, не удаляли записи из адресной книги или письма из папок.

Пока не понятно, что объединяет всех потерпевших. Взломаны были и действующие аккаунты, и те, которыми владельцы давно перестали пользоваться. Надежность пароля и наличие/разновидность антивируса, видимо, тоже никакой роли при этом не играют. На большинстве компьютеров не обнаружено никаких зловредов. Платформы у всех жертв различны: XP, Windows 7, Windows Vista, Mac OS, Linux с разными версиями и комбинациями браузеров IE, Firefox, Opera, Chrome.

Количество взломанных аккаунтов не определено. Google пока молчит и, по слухам, ведет расследование. Всем пользователям Gmail-почты рекомендуется проверить отчет о последних случаях использования аккаунта, сменить пароли, сбросить авторизацию на всех компьютерах и не забывать выходить из почты по завершении сеанса.

Источник: securelist.com ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) , опубликовано 19 апр 2010, 11:32 MSK

А еще неприятнее то, что вроде как любой ящик на mail.ru (и подобных) взламывается за пару минут. Если не врут, то gmail.com сломать сложнее всего.

zzkk ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), откуда такая информация?

откуда такая информация?
отсюда ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Вот "тестирование" сервиса, подобного описанному
[Ссылки могут видеть только зарегистрированные и активированные пользователи] - это вторая часть, там же есть ссылка на первую.
Весь взлом - 99,9% социальный инженеринг

5 способов следить за любым человеком

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Спасибо президенту Бушу-младшему и Уиллу Смиту – теперь у нас у всех появилась мания преследования: нам кажется, что мы под колпаком у правительства. Но на самом деле эту паранойю куда логичней применить к вашему начальнику, добренькому дяде с маминой стороны и парню, который забирает мусор по утрам. Потому что благодаря современным технологиям очень много людей могут спокойно следить за кем хотят.

«Руформатор» представляет адаптированный перевод статьи портала Cracked ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), в которой речь идет о том, как можно следить за любым человеком без особых проблем, используя его же гаджеты.

1. Отслеживание ваших движений

Представим себе вечер субботы, вы занимаетесь своими обычными субботними делами. И ваша веб-камера просто смотрит на вас. И где-то кто-то смотрит на вас через эту веб-камеру (прим. «Руформатора»: например, с помощью камеры Canyon CNR-WCAM713, чей светодиод никогда не гаснет). А затем это видео тайно попадает на YouTube. И вы никогда об этом не узнаете.

Вы наверняка слышали о скандале в одной из школ Пенсильвании, руководство которой попало в переплет из-за того, что выдало ноутбуки своим ученикам, а затем подглядывало за ними в ванной комнате удаленно – с помощью встроенных веб-камер. Дайте угадать – вы ведь и не подозревали, что такое вообще возможно, чтобы камера следила за вами против вашей воли? А может, вы подумали, что это единичный случай или какие-то особые модификации камер?

Правда состоит в том, что тут ничего сложного нет. Все виды подобных программ для удаленного шпионажа с помощью веб-камер находятся в свободном доступе, и многие из них бесплатны. Простые версии будут только снимать фотографии или записывать видео при обнаружении движения, но более сложное ПО высылает вам сообщение по электронной почте, когда компьютер жертвы включается; так что можно смотреть на человека, зная точно, когда он сидит перед монитором. Удобно, не правда ли?

Одно из мерзких применений подобных технологий отсылает нас в 2008 год, в Университет Флориды, к студенту, который чинил людям компьютеры. Он их не просто чинил, но еще и устанавливал скрытое ПО, которое позволило ему получить массу снимков обнаженных девушек, пользовавшихся этими компьютерами.

Добавление «Руформатора»: это может быть применимо к ноутбукам, но по отношению к обычным веб-камерам данный вопрос является спорным. Если не считать упомянутую выше Canyon CNR-WCAM713, большинство веб-камер для настольных компьютеров оборудованы светодиодом активности, который включается только в момент передачи изображения и видео. Те же камеры не допускают параллельного ведения двух трансляций с одного компьютера (так как это пока не реализовано технически), но все равно, наверное, никто не мешает перехватывать поток видеопередачи на пути к вроде бы известному собеседнику.

2. Отслеживание ваших перемещений в пространстве

Предположим, ваш начальник дает вам корпоративный сотовый телефон. Крутой такой телефон. Чтобы босс мог позвонить вам, когда ему будет надо. Для некоторых компаний недостаточно знать, что вы находитесь где-то в офисном здании. Им надо знать, что вы на рабочем месте, а не где-то там прохлаждаетесь в курилке. Для таких параноиков будет логичным использованием GPS, чтобы следить за каждым вашим движением, пока вы на работе.

Японская компания KDDI разработала технологию для мобильных телефонов, которые использует нечто, называемое акселерометром, для точного отслеживания передвижений человека. И слово «точный» здесь употреблено в самом буквальном смысле. Эти ребята действительно могут сказать, где конкретно вы находитесь: гуляете или бегаете, делаете это в ванной или в приемной с секретаршей.

Любой человек, имеющий доступ к вашему телефону, может скрыто загружать в него любой софт. Ваша мама. Подружка. Путешествующий во времени Александр Белл. Да кто угодно.

Если вы думаете, что это никогда не будет использоваться в вашей стране, то оно уже на самом деле есть, только в более простой форме. Функция называется geofencing, используется сотовыми операторами и позволяет контролировать передвижение абонентов в определенных регионах. Соответственно, используется на предприятиях, сотрудники которых постоянно находятся в движении, например, водители FedEx. Мобильник с GPS и с неким ПО, установленным на нем, позволяет начальнику знать, где его водители находятся в любое время, и более того – они будут получать по электронной почте сообщения о превышении скорости, ничегонеделании или проникновении в «запретные зоны» - например, в бары, на арены петушиных боев или в собственный дом, если работник заскочил туда перекусить (что запрещено правилами). Но успокойтесь: это же не значит, что они прослушивают ваши звонки…

3. Прослушивание ваших телефонных звонков

Сегодня, в 2010 году, почти любой человек имеет сотовый телефон и разговаривает по нему, даже сидя на унитазе в общественном туалете. Это вас не волнует? Нет, погодите-ка. Вы подумайте – это же прекрасный инструмент для прослушивания всех ваших разговоров, чтения тайных переписок и слежения за тем, что это вы там ищите в Интернете.

Компании вроде Mobile Spy находятся сейчас на том рубеже, когда сотовый телефон превращается в инструмент для тотальной слежки за всеми и каждым. За сумму менее чем в $100 клиент получает программное обеспечение, которое записывает номер телефона и продолжительность каждого входящего и исходящего вызова, все SMS, отправленные и полученные сообщения и хистори браузера. Вся собранная информация тут же отсылается в базу данных этих замечательных людей из Mobile Spy.

Другие программы также позволяют прослушивать и записывать телефонные разговоры. Нет, это не значит, что надо становиться параноиком и отправлять все ваши текстовые сообщения на эсперанто; но тот факт, что существует настолько много различных видов программного обеспечения для шпионажа за обладателями сотовых телефонов, заставляет предположить, что действительно наличествует очень серьезный рынок для такого рода вещей.

Но с одной стороны (положительной для нас), ни одна из этих программ не может быть использована, если шпион не получит прямого доступа к вашему сотовому телефону. С другой стороны (отрицательной для нас), любой, кто может получить доступ к вашему телефону, может контролировать уровень вашего недовольства властью – да-да, именно ФСБ.

Но вы же не оставите подозрительного человека наедине с вашим сотовым другом, правильно?

4. Использование Интернета для поиска вашей личной информации

Вы, наверное, считаете себя очень умным человеком в том, что касается раскрытия персональной информации в Интернете. Конечно, мы все можем по пьяни написать свои телефоны и адреса в чате, но мы же не такие, как те школьники «В Контакте», которые раздают свои адреса и телефоны направо и налево? Так что наша частная жизнь в безопасности, верно?

Конечно, верно. До тех пор, пока кто-то не узнает ваше имя или хотя бы ваше примерное местонахождение. Потому что, обладая всего лишь такими малыми крупицами информации, любой может отследить ваше местонахождение, узнать номер телефона и вообще всю информацию, которую вы никогда не давали во всеобщий доступ.

Да, и это еще не все! Для начала – есть один такой сайт ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), который позволяет просматривать карту вашей местности, чтобы увидеть, живут ли рядом с вами парни с уголовным прошлым и настоящим. Сайт кажется довольно жутковатым и прямо-таки напрашивается на звание «сайта для пропаганды самосуда», но его создатели признают, что далеко не все их данные являются точными, так что, возможно, 80-летний старик из дома по соседству на самом деле не является серийным насильником.

Есть масса веб-сайтов, готовых поделиться чужой личной информацией за разумную цену. Вы можете получить любой адрес и телефон за несколько баксов, но если вам так уж приспичит, то получите еще и предыдущие адреса искомого человека, его ники, налоговую и криминальную историю, стоимость его барахла, семейное положение, информацию о соседях и членах семьи – и все это примерно за $40.

Все это сайты делают благодаря тому, что собирают массу информации из других баз данных, но результат получит только тот, кто захочет за это заплатить.

5. Отслеживание каждого удара по клавиатуре

Если вы дочитали до этого момента, то вы уже можете носить звание полного идиота, если думаете, что босс не может за вами следить прямо на работе. Вы сами ему дали на это неофициальное разрешение, когда получили эту работу, и это можно считать одним из неписаных правил вроде дресс-кода или Правил Сексуальных Домогательств.

И тот факт, что вы читаете этот текст на работе после разбора электронных писем от своих коллег, предполагает, что у вас вроде бы все в порядке, не так ли? В конце концов, предоставление сотрудникам доступа в Интернет без контроля за их действиями вполне значит, что человек может провести минуты и часы, прикалываясь над деревом с пенисом.

И вы, вероятно, так до сих пор и не поняли, что за небольшую сумму около $50 любой человек может в считанные минуты получить доступ к вашему компьютеру и отслеживать все ваши действия.

Прямо сейчас, в эту секунду компания Thinkertec продает кому-то программу SpyPal. Программу для скрытого мониторинга интернет-активности. Thinkertec пугает родителей, что их дети в большо-о-о-ой опасности, когда сидят «В Контакте» или на Facebook, и уверяет, что наблюдение – это нормально, и хорошо, что вы влезаете в частную жизнь каждого человека из вашей семьи, потому что у вас благая цель – остановить этих чертовых извращенцев, притворяющихся хорошими людьми, вам же нужно защитить свою семью! Будем справедливы: это действительно работает, ничего не научит ребенка подозрительности лучше, чем отслеживание каждого его шага. «Слушай, мой мальчик! Никогда не доверяй незнакомцам!».

Но родители – далеко не единственные люди, которые используют такие программы. Всего лишь около 50% работодателей/супругов/компьютерщиков могут установить эту программу и получить ваши пароли, чаты, скриншоты с разной компрометирующей информацией и поисковыми запросами, которые вы вводите втайне от всех в три часа ночи.

Плюс ко всему, программа будет исправно докладывать о том, что вы копируете, какие приложения запускаете, какие символы набираете. С ежечасным обновлением, если это будет угодно этому нехорошему дяде. Заметьте, за сумму, меньшую, чем стоимость видеоигры.

Но все это, скажете вы, полная ерунда, если я живу дома один. Никто не будет за мной шпионить, потому что я нафиг никому не нужен. Разве что… ваш интернет-провайдер, может быть? Чтобы потом продать эту информацию рекламодателям.

А вы знаете, что почти каждый интернет-провайдер хранит у себя хистори браузеров своих клиентов? Справедливости ради следует отметить, что это законное действие, потому что, например, помогает полиции отслеживать распространителей детской порнографии или помочь RIAA подать иск на парня, который скачал три песенки Metallica несколько лет назад. Ну или, например, вспомним ситуацию в Англии в 2006 году, когда три крупнейших провайдера в стране собирались продать хистори браузеров своих пользователей компании под названием Phorm для создания целевой рекламы. Phorm, кстати, получила тогда миллионы фунтов с установленного шпионского ПО…

Для некоторых компаний недостаточно знать, что вы находитесь где-то в офисном здании. Им надо знать, что вы на рабочем месте, а не где-то там прохлаждаетесь в курилке. Для таких параноиков будет логичным использованием GPS
:)
Это как - сигнал спутников считывается через крышу и стены офиса? :)

И вы, вероятно, так до сих пор и не поняли, что за небольшую сумму около $50 любой человек может в считанные минуты получить доступ к вашему компьютеру и отслеживать все ваши действия. - тоже преувеличение заметное.

И вы, вероятно, так до сих пор и не поняли, что за небольшую сумму около $50 любой человек может в считанные минуты получить доступ к вашему компьютеру и отслеживать все ваши действия.

- тоже преувеличение заметное.

Пришел, выломал винт и ушел. нормально:)

zzkk ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),

Если не врут, то gmail.com сломать сложнее всего.



Врут...:)
Сломать можно все (если поставлена соответствующая задача). А при развитии соответствующих средств и технологий вопрос о том "сложнее – не сложнее" не может стоять по определению.
Вопрос в другом. А зачем что-либо ломать просто из любви к процессу взлома...???

Прошу прощения, это что???
5901

tot18 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Авасту рекламный скрипт не понравился.

Авасту рекламный скрипт не понравился.Рекламные скрипты нравятся тока самим реклямщикам:)

Какую информацию воруют и что реально нужно защищать?

Проблема не в том, что информацию защищают не так. Ошибка, что защищают не ту информацию, которая больше всего нуждается в защите. А какую надо? Не для всех это очевидно, но самая сильная защита должна быть не у тех данных, которые наиболее ценны для вас, а у тех, которые наиболее привлекательны для злоумышленника.



Ценность денег одинакова для их владельца и для вора. Ценность стратегической позиции при военных действиях тоже примерно одна и та же для обеих воюющих сторон. Совсем иное дело - информация. Утрата или разглашение иной информации наносят огромный ущерб обладателю, но не могут принести пользы разгласившему. В другом случае на чужой информации можно заработать денег, но у её первоначального обладателя ничего не пропадёт.
Про эту несимметрию многие забывают, поэтому стоят защиту, исходя из ценности информации для себя. А надо - для злоумышленника. Поэтому необходимо знать, что каким спросом пользуется на чёрном рынке, насколько ликвидно и для кого притягательно. В киберкриминальной среде давно царит узкая специализация. Произошёл окончательный отказ от "натурального хозяйства", наблюдавшегося ещё в 1990-е. Специализация означает кооперацию разных видов киберзлодеев, а отношения между собой они строят исключительно на денежной основе. То есть, промежуточный продукт должен быть ликвидным.
Злоумышленники внутренние и злоумышленники внешние НЕ интересуются информацией, которую они "могли бы использовать для". Их интересует только такая информация, которую можно продать. Желательно продать быстро. То есть, такая, которая котируется на рынке (чёрном, разумеется). Сведения, которые могут быть интересны 1-2 покупателям во всём мире, не вызывают особого интереса у умных людей.
Крайне редки случаи, когда украденная информация используется самим похитителем. Использование - это всегда выход на иное поле, в иную среду. Всякий разумный хакер и инсайдер понимает, что в вымогательстве, чёрном пиаре или бюрократических играх он не профессионал, так что играть на этом поле ему опасно. Отдельные непонимающие время от времени появляются и, конечно же, немедленно попадаются.
Например, пробуют вымогать деньги за возврат/уничтожение/неразглашение информации. С вымогательством правоохранительные органы (как в России, так и в других странах) бороться умеют хорошо. Сказывается длительный опыт. Новоявленного рэкетира вяжут в момент и доказывают вину на раз. В прессу попадает довольно много подобных случаев, и может сложиться впечатление, что они типичные. Ничуть. Это - исключение. Подавляющее большинство утечек заканчиваются тихой продажей ходовой информации на чёрном рынке, объём которого оценивается в миллиарды долларов [IDC].
Перечислим, на какие именно данные будут покушаться злоумышленники, чтобы вы знали, что следует поместить под самую надёжную охрану. Всю прочую информацию можно защищать не столь строго (в основном - от случайных утечек).

SSN

Пожалуй, наиболее ликвидный товар на чёрном рынке. Когда-то давно номер соцстрахования жителя США (Social Security Number, SSN) не был конфиденциальным и являлся просто учётным номером одного ведомства. Он состоит из 9 цифр тремя группами: "GGG-SS-NNNN". Со временем всякие магазины, банки, прокатные конторы завели моду подтверждать личность клиента, спрашивая его SSN. Не требовать же у гражданина паспорт, тем более, что паспортов там не было. Из учётного атрибута этот номер постепенно превратился в способ подтверждения личности (нестрогий, но достаточный), несмотря на усилия ведомства соцстрахования, которое поначалу даже пыталось запрещать предпринимателям использовать его в упомянутом качестве. Позже смирилось. А ещё позже, когда использование SSN стало повсеместным, начало вводить требования по его конфиденциальности.
Ныне при помощи SSN есть несколько способов украсть немного денег или получить (мошенническим путём) ряд бесплатных услуг. Поэтому всегда есть спрос на украденные/утекшие/неосторожноразглашённые номера соцстрахования. Отменить SSN или вернуть его в первоначальное несекретное состояние уже не удастся - слишко глубоко он въелся в американскую бизнес-практику. А государство там не имеет привычки к радикальным реформам а-ля Пётр Великий, чтоб всю старую дрянь переломать об колено и построить новую. Поэтому вводит меры по защите SSN везде, где он используется, стимулирует защиту и наказывает за утечки.
Есть ещё одна страна, где жители имеют аналогичный легко похищаемый идентификатор личности – Великобритания. Аналогом североамериканского SSN там выступают два номера, имеющиеся у всех жителей королевства старше 16 лет. Это National Insurance number (NINO) – две буквы, 6 цифр, ещё одна необязательная буква; а также National Health Service (NHS) number. С их помощью легко совершается почти такая же «кража личности», как в США.

CCN

Самый древний, сверхраспространённый и архистабильный лот чёрного рынка - атрибуты банковских карт. Встречается в нескольких видах: * номер + имя + срок действия * номер + имя + срок действия + cvv * дамп (содержание магнитной полосы карты) * дамп + пин-код Первый вариант - самый дешёвый, продаётся за копейки практически на вес. Последний - наиболее дорогой, поскольку позволяет конвертировать информацию в деньги наиболее прямым способом, через банкомат. Все прочие варианты требуют многоходовых комбинаций, хотя совершенно стандартных и нетворческих. Именно в силу стандартизации и хорошей алгоритмизации действий, исполнение которых доступно при любом интеллектуальном уровне, из отдельных случаев мошенничества вырос такой феномен как кража личности (identity theft). Отличается массовым масштабом, тупыми исполнителями, конвейерной организацией.
Кардинг как подвид кражи личности существует с 1970-х и с тех пор ничуть не уменьшился. Но и не растёт (относительно общего оборота по банковским картам). Кардеры применяют тактику природных паразитов: сосут кровь... то есть крадут деньги понемногу, в тех пределах, когда банкам выгоднее мириться и списывать убытки, чем ловить мошенников. Наглеющих кардеров, которые снимают большие суммы или причиняют слишком "громкие" неприятности, их коллеги не любят. А банковские службы безопасности совместо с правоохранительными органами таких время от времени ловят для показательных процессов. От остальной массы кардеров предпочитают защищаться пассивными средствами: блокированием подозрительных транзакций, затруднением вывода денег, ввыдённых с карт и т.п.
Переход с магнитных полос на чиповые карты обещает сильно испортить жизнь упомянутым мошенникам. Однако пока подвижек не заметно. Кардерам хватает карт с магнитной полосой, за чиповые они фактически ещё не брались.

Базы/списки клиентов

Были отдельные сообщения об использовании БД клиентов страховых компаний. С приближением срока окончания страховки клиенты получали телефонные и письменные предложения о заключении договора с другим страховщиком. Есть отдельные граждане, которых спам приводит в неистовство, но для большинства подобная реклама значит не больше, чем пролетевшая муха - отмахнулся и всё. Причинённый подобными обращениями ущерб люди оценивают чуть выше нуля. Среди страховых компаний подобные клиентские базы тоже ценятся не очень высоко - порядка нескольких копеек за запись. В получившем огласку случае представители страховой компании вообще предпочли не покупать предложенную им базу клиентов, а просто сдали продавца милиции.


Аккаунты соцсетей

Используются для рассылки спама внутренними средствами соцсети (в том числе, спама с вредоносами), для накрутки посещаемости, цитируемости и других значимых для рекламы показателей, а также для захвата иных аккаунтов того же пользователя (за счёт одинаковых паролей). Иногда практикуются мошеннические схемы типа просьбы одолжить денег.
Цена на такие аккаунты медленно растёт в связи с ростом стоимости рекламных площадей в соцсетях. Количество захваченных аккаунтов растёт значительно быстрее за счёт расширения аудитории. Средний уровень ИТ-знаний членов соцсетей падает или, в лучшем случае, остаётся на прежнем низком уровне.

Аккаунты онлайновых игр

Уже несколько лет, как виртуальные ценности из виртуальных миров являются объектом гражданского оборота в мире реальном. Кое-где права на них даже защищаются законом. А там, где ещё не, скоро будет, потому что объём вложенных средств постоянно растёт. Материальные интересы граждан и предприятий, выраженные в виртуальных предметах достигли такого масштаба, когда уже необходимо предоставить им защиту закона, как и офлайновым правам и интересам. Нарушения указанных прав давно имеют не индивидуальный эпизодический характер, а систематическимй и массовый. Виртуальные ценности и персонажи, добытые при помощи обмана, читинга, взлома и других злоупотреблений, являются довольно ликвидными и сбываются на рынке. Чем популярнее игра, тем лучше развит соответствующий рынок (и его чёрный сегмент).


Аккаунты Ebay и др.торговых площадок

Есть мошеннические схемы, позволяющие эксплуатировать положительную репутацию и историю продаж захваченных аккаунтов Ebay. Текущие аукционы завершаются злоумышленником досрочно и с покупателей требуется предоплата на счёт, контролируемый мошенником. Выставляются специфические быстропродаваемые лоты, предусматривающие предоплату, разумеется, тоже на "левый" счёт. За несколько дней контроля чужой учётной записи из неё можно выжать значительную сумму, которая оправдывает издержки по угону, выманиванию, взлому или покупке чужого аккаунта.

ICQ и другие IM

Некоторые номера, которые считаются престижными, можно продать за 5-30 долларов. Большинство захваченных аккаунтов используются для рассылки вредоносных программ и мошеннических просьб занять денег. При получении доступа к чужой учётной записи злоумышленник получает доступ и к списку контактов. По этому списку указанные сообщения и рассылаются. Люди склонны доверять информации, полученной от знакомых, поэтому перейдут по указанной ссылке или запустят указанную программу с гораздо бОльшей вероятностью. Рассылка такого мошеннического спама обычно автоматизирована, злоумышленник на вопросы не отвечает и в диалог не вступает. После проведения рассылки ценность захваченного аккаунта падает.

Аккаунты электронной почты

Сама по себе учётная запись электропочты может быть использована для рассылки спама. Современные технологии предусматривают массовую кражу таких аккаунтов у владельцев или же массовую регистрацию новых. Затем с каждого аккаунта рассылается относительно небольшое количество писем, чтоб не превысить лимит, установленный как раз для борьбы со спамом. Лимиты как раз и привели к массовым взломам.
Кроме рассылки почтовые аккаунты многих провайдеров (фактически - большинства) позволяют получить доступ к архиву почты клиента. А в этом архиве частенько хранятся (или отсулаются туда по запросу) пароли к другим ресурсам - хостингу, IM/ICQ, форумам, платёжным системам, блогам, порой даже к управлению банковским счётом. В среднем в почтовом архиве среднего пользователя можно найти 2,1 пароля к другим ресурсам. Эти пароли тоже можно реализовать на чёрном рынке.

Финансовые данные граждан

Такие данные строже всего охраняются, но меньше всего ценятся злоумышленниками. Власти, в отличие от злоумышленников, непрочь получить данные о банковских вкладах своих граждан, о чём свидетельствует недавний скандал с покупкой прокуратурой Франции и налоговой службой Германии базы данных швейцарского отделения банка HSBC, украденной инсайдером. Но кардеры, вымогатели и мошенники пока не знают, как можно использовать такие данные для извлечения денег, поэтому не посягают на них. В принципе, могут заинтересоваться другие банки - в целях недобросовестной конкуренции. В принципе, преступников может заинтересовать информация о вкладах избранных личностей или об их транзакциях. Но в целом такую информацию можно назвать малонужной.

Управление банковским счётом

К настоящему банковскому счёту через простое похищение логина-пароля не прорваться. Даже Вебмани и Пейпал принимают определённые меры для усиления защиты, превращая её из примитивной парольной в двухфакторную или хотя бы полуторафакторную. У банков - ещё серьёзнее.
Соответственно этому, троянские программы переориентировались с простого копирования пароля или ключа на полноценную инсайдерскую деятельность прямо на компьютере жертвы. Сообразно с особенностями конкретного банка или платёжной системы, вредоносная программа подменяет информацию, обманом заставляет пользователя подписать "левую" транзакцию и т.п.
Конфиденциальная информация (логин-пароль) в отрыве от затрояненного компьютера жертвы продаваться не может. А специализация троянописателей и троянораспространителей не позволяет им самим заняться уводом, переводом и отмывкой денег с клиентских счетов. Поэтому на чёрном рынке продаются "полуфабрикаты" или готовые стадии операции по уводу денег: троянские программы, инсталляции троянских программ, доступ к онлайновому управлению счётом, переводы. Встречаются двойные цепочки (изготовление вредоносной программы - её внедрение и хищение денег), тройные (изготовление вредоносной программы - её внедрение - хищение денег) и более многократные.

Данные о банковских вкладах

Нельзя сказать, что спроса на такие данные вообще нет. Недавний громкий скандал с утечкой из швейцарского отделения банка HSBC продемонстрировал, что спрос-таки есть. Правда, довольно специфический. Украденные инсайдером данные купили не преступники, а правоохранительные органы - для выявления налоговых преступлений граждан своих стран. Много было критики и рассуждений об этичности такого поступка. Однако в налоговые ведомства Германии и Франции выстроились очереди из желающих сдаться, признаться и уплатить недоплаченное. И это - только добровольно раскаявшиеся, пока официальное расследование ещё не началось. Воистину, такую утечку стоило бы придумать, если б её не было. (Что говорите? Не было? Ну вот, некоторые и не поверили. Теперь им будет сюрприз.)
Тем не менее, следует признать, что регулярного спроса на "банковскую тайну" на чёрном рынке нет. Для банковских инсайдеров бывают отдельные "заказы" на определённых вкладчиков или определённые специфические транзакции. Но довольно редко. Тем более, что такие сведения дешевле и удобнее получить через коррумпированного сотрудника правоохранительных органов. Но уже слитые данные о вкладах предлагать на чёрном рынке практически бесполезно - не купят.

Паспортные данные

Данные паспортов и иных удостоверений личности, а также их скан-копии котируются на рынке крайне низко. На это есть две причины. Во-первых, сама по себе такая информация не может быть использована для получения денег. Она находит применение лишь в качестве вспомогательной в других видах мошенничества. Во-вторых, в Сети достаточно много бесплатных источников паспортных данных граждан, утекших из разных ведомств и компаний. А сканы удостоверений личности снимают настолько часто, что их предложение тысячекратно превышает спрос.
Отдельно следует сказать об изготовлении на заказ скан-копий удостоверений личности и иных документов. Такие копии требуются для подтверждения личности и адреса в некоторых предприятиях дистанционного обслуживания: интернет-магазинах типа "Ebay", платёжных системах как "PayPal", интернет-казино и букмекерских конторах (для вывода выигрыша) и других. Нарисовать достоверную скан-копию невысокого разрешения не слишком сложно. Она обойдётся заказчику в 10-30 долларов, однако данные для неё, как правило, сообщает заказчик.

Заключение

Защита от случайных и от намеренных утечек информации строится немного по-разному. Для тех данных, которые представляют ценность лишь для их обладателя, можно ограничиться защитой от случайности - это дешевле, проще и легче автоматизируется. А информация, которая ликвидна на чёрном рынке, будет находиться под угрозой как случайных утечек, так и намеренных посягательств (прежде всего - со стороны инсайдеров). На её защиту придётся раскошелиться по полной программе. Или просто отказаться от её обработки.

Резюме вышли в розницу

К доступным базам данных ГИБДД, таможни и телефонных компаний добавилась еще одна — кадровая. E-mail, номера мобильных телефонов и другие сведения о 847 000 лиц, разместивших резюме в интернете и через кадровые агентства, пираты продают за 1500 руб.

В кадровой базе, продающейся на одном из московских радиорынков, содержатся имена соискателей работы, их домашние и мобильные телефоны, адреса электронной почты, информация об образовании, семейном положении, местах работы. Основной состав — жители Москвы, но можно найти информацию о жителях Томска, Ульяновска и других городов. Торговцы базами данных на рынке говорят, что это первый сборник резюме в свободной продаже. Указанная актуальность базы — сентябрь 2009 г., но она содержит и старые резюме. «Ведомости» связались с несколькими соискателями работы, чьи данные оказались в базе. Один из них сообщил, что действительно размещал резюме на сайте Headhunter.ru в сентябре 2009 г., другой подавал резюме в кадровое агентство еще в 2005 г.

Продавцы не раскрывают источники данных, из которых компилировалась база. А президент компании Headhunter Юрий Вировец отрицает возможность взлома сайта — такого не было ни разу, говорит он. В сети много информации о людях, желающих сменить работу, если пройти по интернету роботом, можно собрать около 1 млн резюме, рассуждает он. Неавторизованным пользователям Headhunter.ru ни разу не удавалось качать большое количество контактов с сайта, но авторизованные пользователи могли передать или потерять часть доступных им контактов, допускает Вировец.

Александр Чачава, президент Leta Group, занимающейся информационной безопасностью, предполагает, что хакеры могли получить легальный доступ к рекрутинговым сайтам, а затем с помощью специальной программы постепенно выкачивать максимальное число резюме. Правда, стоит это недешево — например, легальный доступ к резюме соискателей из всех профессиональных областей и всех регионов России в базе Headhunter на год обойдется пользователю в 408 000 руб. К тому же компания проводит тщательную проверку заявителя, уверяет Вировец.

Во внутренней базе данных кадрового агентства «Визави» около 700 000 записей, рассказала его гендиректор Валерия Дворцевая. Актуальность базы — огромная головная боль и огромная работа сотрудников агентства, каждый месяц изменения вносятся как минимум в 7000 записей, говорит она. Появление подобных баз данных на рынке Дворцевую пугает, ведь кандидаты доверяют рекрутерам свою личную информацию, надеясь на соблюдение конфиденциальности: «Появление этой информации в открытом доступе может привести к тому, что рекрутерам будут меньше доверять, пятно может лечь на всех участников рынка».

Сотрудник одной из антипиратских организаций обращает внимание на небрежность, с которой составлена база «Резюме 2009». По его мнению, это скорее всего пиратская демоверсия более крупного и подробного сборника кадровой информации, который может выйти на рынок в ближайшее время. Главный ущерб будет нанесен кадровому агентству или интернет-ресурсу, откуда утекли данные, считает Чачава. Для рекрутера база резюме на компакт-диске большой ценности не имеет, так как слишком быстро устаревает, полагает Вировец. Зато эти данные, по мнению Чачавы, могут пригодиться спамерам и телемаркетологам, занимающимся обзвоном потенциальных клиентов. «Резюме 2009» — первая база, позволяющая по номеру телефона искать e-mail и наоборот. Таким образом, потенциальных покупателей товаров и услуг можно атаковать сразу по двум каналам, говорит Чачава.

Источник: vedomosti.ru

Недостаточно, например, просто использовать режим InPrivate в IE8 для сохранения анонимности на машине.

С помощью команды ipconfig /displaydns можно посмотреть в DNS-кэш какие посещались сайты.
Почистить DNS-кэш можно с помощью команды ipconfig /flushdns

zzkk ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),

С помощью команды ipconfig /displaydns можно посмотреть в DNS-кэш какие посещались сайты.
Почистить DNS-кэш можно с помощью команды ipconfig /flushdns

Это только DNS-кэш в IE...??? А в Опере или Лисе можно...???

Это только DNS-кэш в IE...??? А в Опере или Лисе можно...???
Речь про системный DNS-кэш. Вариант радикальнее - отключить соответствующую службу (я так и делаю).

Это только DNS-кэш в IE...???
ipconfig - системная команда Windows, поэтому её работа не зависит от браузера или способа выхода в интернет.

софтинка Ccleaner (он же "груша" в простонародии) имеет функции чистить кэш DNS при каждой загузке компа (что очень удобно) + кукисы, кэш, хистори всех браузеров (что тоже крайне удобно) и дохрена всего очень ненужного. Помимо цклинер можно запускать и вручную сразу после работы с браузером.

zzkk ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),

Вариант радикальнее - отключить соответствующую службу (я так и делаю).

А как ее отключить и чем этот грозит (комп не в локалке, работает сугубо индивидуально как рабочая станция, есть выход в Инет DSL)...???

falcon047 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), ничем это особо не грозит.. на медленных каналах с большими пингами возможно будет некоторое визуальное замедление...

Фдуч ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),

ничем это особо не грозит..

Понятно...:hat:
А как отключить на Win XP...???

администрирование->службы->DNS-клиент (остановить)

Добавлено через 40 секунд
слушай, если опять как с оперой - значит судьба:)

falcon047 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Ничем не грозит, пусть каждая софтина которой нужна сеть сама делает dns запросы. К слову сказать это существенно повышает эффективность сетевого экрана, софт не использует системные компоненты хотя бы для этого.

SAlexB ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), не вижу особого смысла отключать кэш DNS, если эти данные и понадобятся, то их легко запросят у провайдера. Если рассматривать этот вопрос с точки зрения безопасности, то лучше наоборот поставить локальный dns сервер, настроить его на работу с корневыми серверами по tcp, это позволит избавиться от атак посредством подложных dns ответов, и от атак на dns провайдера. И то - это больше подходит для параноиков;)

Установить свой dns сервер это конечно оригинально, удачи в настройке [Ссылки могут видеть только зарегистрированные и активированные пользователи] Вам в помощь.
Однако как это не парадоксально именно dns сервера одной с Вами локальной сети теоретически более надежны, разве что кто то будет пытаться внедриться изнутри =) или целенаправленно "бомбить" Вашего провайдера.

Вообще говоря отключение этой службы я советовал с одной лишь целью - организовать дополнительную возможность хипсу отследить попытку сетевой активности некоего приложения. То есть сначала будет запрос dns, а потом уже запрос на выход по какому то другому порту. И это никак не повлияет на возможность атаки на кеш конкретного dns сервера.

Интересная статья в тему для всех [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Сталкиваюсь с проблемой того, что 1,5 ГБ трафика входит в мой комп за сутки, а не знаю куда и что это. Можно ли посмотреть где-то журнал загрузок? Можно ли как-то регулировать, отключить нежелательные загрузки?

Сталкиваюсь с проблемой того, что 1,5 ГБ трафика входит в мой комп за сутки, а не знаю куда и что это. Можно ли посмотреть где-то журнал загрузок? Можно ли как-то регулировать, отключить нежелательные загрузки?
Если установлен фаервол (встроенный не считается...), то можно проследить :)

Если установлен фаервол (встроенный не считается...), то можно проследить
Вот с этого место, пожалуйста, поподробнее. Для самых неграмотных.
Спасибо за внимание к проблеме.

Вообще говоря отключение этой службы я советовал с одной лишь целью - организовать дополнительную возможность хипсу отследить попытку сетевой активности некоего приложения.Так HIPS и так отследит dns запрос этого некого приложения, а dns кэш ускоряет работу в сети. Про атаки на dns можно еще почитать у крыса касперски.

Вот с этого место, пожалуйста, поподробнее. Для самых неграмотных.
Спасибо за внимание к проблеме.
Самым простым для Вас будет воспользоваться портативным Windows 7 Firewall Control ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (загрузить ([Ссылки могут видеть только зарегистрированные и активированные пользователи])).

Скачайте, распакуйте, запустите. Будет спрашивать кого пускать в инет, а кого нет. А Вы отвечайте.

P. S. работает только с Windows 7

Нина
Я так понимаю логи анализировать. Сторонние фаеры умеют вести километры удобных и не очень логов, по которым можно отследить практически все.
bmaclan
Запрос легко может быть в пораженный кеш...На счет ускоряет я даже и не знаю. У меня компьютер черпает dns ip4 из роутера, роутер настроен на пару dns прова. Я не могу сказать что есть сколько нибудь заметные задержки. Лично мое мнение, что пусть он каждый раз лазает за адресом на сервер.

P. S. работает только с Windows 7

У меня ХР (((((
Сторонние фаеры умеют вести километры удобных и не очень логов, по которым можно отследить практически все.

Не поняла. Переведи, если можно.

Запрос легко может быть в пораженный кеш...Поразить локальный кэш даже сложнее, чем кеш провайдера, если кэш провайдера поражен на время, то локальный может наоборот выручить... Теоретически;)

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), можно не заморачиваться с установкой межсетевого экрана. Скачайте TcpView ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), запустите, и смотрите соединения со статусом ESTABLISHED, какая программа сколько информации посылает.

Сталкиваюсь с проблемой того, что 1,5 ГБ трафика входит в мой комп за сутки, а не знаю куда и что это. Можно ли посмотреть где-то журнал загрузок? Можно ли как-то регулировать, отключить нежелательные загрузки? а ты как определила что утечка? может соседи тырят?

а ты как определила что утечка? может соседи тырят?
Может и так, не понимаю что происходит. А определила в разделе "детализированная статистика", что в личном кабинете от телекома.

Добавлено через 7 минут


Скачайте TcpView ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), запустите, и смотрите соединения со статусом ESTABLISHED, какая программа сколько информации посылает.
Скачать - скачала, а как запустить - не знаю.

Скачать - скачала, а как запустить - не знаю.Так распакуй архив, да и щелкни по файлу 2 раза)))

Добавлено через 2 минуты
Для распаковки можешь установить себе программу архиватор, если нет, например, 7zip ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Так распакуй архив, да и щелкни по файлу 2 раза)))

Скачала, распаковала в папку. В ней 4 файла. Щёлкала, ничего не поняла.((((

А определила в разделе "детализированная статистика", что в личном кабинете от телекома.стопудова тырят соседи! погляди где к твоему кабелю можно подоткнуться:)

Скачала, распаковала в папку. В ней 4 файла. Щёлкала, ничего не поняла.((((Ну запусти файл Tcpview.exe, прими условия соглашения - и запустится программа.

bmaclan ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Поражено может быть и то и то в результате наши мнения разделились =) Боевая ничья. В целом же насколько я понимаю это одна из малозначительных для конкретного человека проблем безопасности ПК. Типа единственного руткита для x64. Шансов случайно клацнуть на выпрыгивающий баннер намного больше.

стопудова тырят соседи! погляди где к твоему кабелю можно подоткнуться
Не ищите черную кошку в черной комнате, особенно если её там нет.
Для того, чтобы "стырить" интернет (если нет wi-fi), надо:
1) узнать ваш логин/пароль
2) на лестничной площадке или у себя в квартире повесить роутер.
3) разрезать ваш кабель, обжать его и подключить в свой роутер. При этом на площадке в любом случае будет сетевая розетка.
4) настроить роутер на раздачу интернета.

При этом, если соединение с провайдером происходит через VPN или высокоскоростное соединение (а по такому соединению работают большинство операторов связи) - то и вовсе одновременное подключение с одного логина невозможно.

А посему, надо искать проблему у себя в компьютере.
Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), как вы оперделили, что насчитывают больше на 1.5 ГБ? Вы вели свою статистику и она не совпала со статистикой в ЛК? Или вы просто включили компьютер, в интернет не выходили, а в статистике за этот день набежало 1.5 ГБ?
Если первый вариант, то надо учитывать, что провайдер ведет учет полной статистики, в которую входит служебная информация по протоколу TCP-IP, а это около 10% от эффективного траффика. Если вы запускали торрент, то там разница будет ещё больше. Кроме того, некоторые провайдеры мухлюют и принимают 1МБ = 1000кБ, а 1ГБ = 1000МБ вместо положенных 1024.

как вы оперделили, что насчитывают больше на 1.5 ГБ? .
Похоже на первый вариант. Я вечером пользовалась интернетом( у меня byfly), ничего не качала и не смотрела. А утром выяснилось, что истрачено за ушедшие сутки 1,5 ГБ. Эти сутки очень выбиваются из повседневной статистики . И это не первый раз. Перерасход обеспечивается входящим трафиком. Вот мне и хочется понять, что такое вошло ко мне большое?)))

Добавлено через 6 минут
Ну запусти файл Tcpview.exe, прими условия соглашения - и запустится программа.
Запустила, там какие-то коллонки, не поняла(((

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Просто вызовите специалиста объясните ситуацию и надеюсь он вам поможет!!!

[url="[Ссылки могут видеть только зарегистрированные и активированные пользователи]"][b]
Просто вызовите специалиста объясните ситуацию и надеюсь он вам поможет!!!
А какого специалиста мне вызывать? Если электротехника, то я как раз и собиралась. А если программиста, то проблематично. Живу в маленьком посёлке.)))

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Тогда остается установка фаервола. Какой именно - не принципиально.
Кстати, какой у вас антивирус?

А какого специалиста мне вызывать? Если электротехника, то я как раз и собиралась. А если программиста, то проблематично. Живу в маленьком посёлке.)))

Вызовите того кто вам проводил и подключал интернет пускай проверят линию и у них же должен быть человек который разбирается в компьютерах! Это в их интересах вы являетесь абонентом их сети и платите за это деньги они обязаны предоставлять вам тех. поддержку!

/на правах ворчуна
Тот кто подключал инет может и не разбираться в тонкостях. Достаточно уметь прописать ip и прочие настройки + уметь обжимать витую пару. Надежнее какого нибудь знакомого привлечь. Сторонние специалисты как правило ищут во всем выгоду только для себя и иногда специалистами к слову сказать не являются...

Нужно или посмотреть на скриншот колонок Tcpview или что еще лучше на лог azv. У Вас есть возможность скачать и обновить программу и выполнить в ней один скрипт? Мне кажется так будет проще помочь, сразу выявятся подозрительные растратчики траффика.

Не ищите черную кошку в черной комнате, особенно если её там нет.но все равно надо надавать соседям по рылу, может сглазили!:)


Сторонние специалисты как правило ищут во всем выгоду только для себя и иногда специалистами к слову сказать не являются...это точно! отвечаю!

Тот кто подключал инет может и не разбираться в тонкостях. Достаточно уметь прописать ip и прочие настройки + уметь обжимать витую пару.обычно так и происходит. Суть в том, что набирают молодых ребят с автомодилем, учат наспех - им важно охватить большую аудиторию. а если что - зовут спеца.

Кроме того у того же касперского 8-9-11 есть сетевой монитор, где пишут кто куда ходил, зачем и сколько. По простецки.

[QUOTE=virtuOS;
Тогда остается установка фаервола. Какой именно - не принципиально.
[/QU
Совсем не знаю что такое фаервол и как его установить.(((

Кроме того у того же касперского 8-9-11 есть сетевой монитор, где пишут кто куда ходил, зачем и сколько. По простецки.В tcpview тоже пишет, кто и сколько. Если хватает навыка посмотреть статистику у провайдера, то в чем проблема ее же посмотреть в программе?

Добавлено через 1 минуту
Совсем не знаю что такое фаервол и как его установить.(((Если не можете выполнить действия, что Вам советуют, то задавайте уточняющие вопросы, иначе нет смысла просить совета, имхо...

Добавлено через 4 минуты
tcpview я посоветовал, как самый простой и не требующий установки способ посмотреть, какая программа и сколько передает данных. Колонка SendBytes показывает количество передаваемой информации, RcvdBytes - принятой, вот и смотрите, кто трафик тратит, потом сюда напишите.

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
еще лучше на лог azv. У Вас есть возможность скачать и обновить программу и выполнить в ней один скрипт?
Если я правильно понял мысль SAlexB ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), скачайте AVZ ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), далее Файл - Обновление баз. После этого Файл - Стандартные скрипты - выполнить скрипт №2 и №3.

svchost.exe 1560 UDP microsof-cf7474 ntp * *
svchost.exe 1560 UDP microsof-cf7474 ntp * *
svchost.exe 1560 UDP microsof-cf7474 ntp * *
svchost.exe 1384 TCP microsof-cf7474 epmap microsof-cf7474 0 LISTENING
System 4 UDP microsof-cf7474 netbios-ns * *
System 4 UDP microsof-cf7474 netbios-dgm * *
System 4 TCP 192.168.1.33 netbios-ssn microsof-cf7474 0 LISTENING
System 4 TCP microsof-cf7474 microsoft-ds microsof-cf7474 0 LISTENING
System 4 UDP microsof-cf7474 microsoft-ds * *
lsass.exe 1116 UDP microsof-cf7474 isakmp * *
opera.exe 904 UDP microsof-cf7474 1900 * *
opera.exe 904 UDP microsof-cf7474 1900 * *
svchost.exe 1868 UDP microsof-cf7474 1900 * *
svchost.exe 1868 UDP microsof-cf7474 1900 * *
svchost.exe 1868 UDP microsof-cf7474 1900 * *
opera.exe 904 UDP microsof-cf7474 2103 * *
opera.exe 904 UDP microsof-cf7474 2104 * *
[System Process] 0 TCP microsof-cf7474 2151 ey-in-f102.1e100.net:http http TIME_WAIT
svchost.exe 1868 TCP microsof-cf7474 2869 microsof-cf7474 0 LISTENING
lsass.exe 1116 UDP microsof-cf7474 4500 *

Вот это в коллонках tcpview
AVZ скачала, но в меню нет "обновление баз" и нет "стандартные скрипты" *

Вот это в коллонках tcpviewНе вижу тут колонок принятых и отправленных байт и информации. Установленных соединений тут нет. Вы поймите, эта программа показывает не статистику, а непосредственно все сетевые соединения и прослушиваемые порты, поэтому нужно просто понаблюдать, какой процесс качает информацию.
Мне кажется, Вам нужно обратиться в тех.поддержку провайдера, они могут предоставить конкретную статистику, какой трафик и куда шел.

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Спасибо всем за терпение.
virtuOS, я выполнила скрипты 2 и 3. А что дальше?

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
В папке с программой есть папка LOG, в ней есть zip архивы virusinfo_syschec.zip и virusinfo_syscure.zip. Эти файлы выложите на любой файлообменник (rghost.ru, slil.ru или любой другой). Ссылку для скачивания сообщите.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Проверьте файл c:\windows\system\dwm.exe на сайте Вирустотал ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) и приведите ссылку на результат проверки.

Из подозрительного заметил только файл C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe >>>>> AdvWare.Win32.MyWebSearch.bm. Файл относится к разряду нежелательных, но подробной информации найти не смог. Возможно, он был причиной большого трафика интернета. AVZ удалил этот файл, никаких действий предпринимать не надо.

В AVZ меню Файл - Выполнить скрипт - скопировать приведенный текст - Выполнить:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
end.

Наверное это
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Нина ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Наверное это
Это результат проверки файла c:\windows\system\dwm.exe ??? Почему в информации указано:
File name: F57DD0C3DF96344BADC86448CA2E1EC2
Да, это dwm.exe, скорее всего распространялся как кейген к какой-то игрушке.

Добавлено через 3 минуты
Выполните такой скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system\dwm.exe');
QuarantineFile('c:\windows\system\dwm.exe','');
DeleteFile('c:\windows\system\dwm.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Добавлено через 1 минуту
Обновите ваш Касперский и выполните полную проверку компьютера

С 22 сентября 2010 года Регистратор R01 перестает публиковать персональные
данные физических лиц в общедоступном сервисе WHOIS. Это связано с тем, что
регистратор стал первым и на сегодняшний день единственным в отрасли
оператором персональных данных I-ой, самой высшей категории. В соответствии
с Федеральным законом N 152 "О персональных данных" Регистратор R01 больше не
может передавать персональные данные о своих клиентах в открытые источники.

Если Вы хотите, чтобы Ваши персональные данные были опубликованы в сервисе
WHOIS, Вам необходимо дать свое согласие в письменном виде.

[QUOTE=virtuOS
Выполните такой скрипт:
[QUOTE]
А как его выполнить?

Файл_выполнить скрипты_копируете то что написал virtuOS и запускаете. Закройте предвариательно все активные программы.

Всё сделала. а теперь объясните, пожалуйста, если у вас не закончилось ещё терпение. А что такого вошло ко мне на 1,5 ГБ за сутки. Это такой вирус?

Всё сделала. а теперь объясните, пожалуйста, если у вас не закончилось ещё терпение. А что такого вошло ко мне на 1,5 ГБ за сутки. Это такой вирус?
Для начала соберите новую статистику по этому вопросу. Если утечка прекратилась, значит дело было в заразе. Если нет,...

Для начала соберите новую статистику по этому вопросу. Если утечка прекратилась, значит дело было в заразе. Если нет,...
Утечка прекратилась. Но из анализа бывшей статистики вытекает, что утечки характерны для каждого месяца. Сутки в месяц очень ущербны.

А что такого вошло ко мне на 1,5 ГБ за сутки. Это такой вирус?
У вас был один вирус и одна потенциально опасная программа. Вирус, по информации лаборатории Dr. Web, открывал на компьютере один порт и ждал внешних команд управления. Какой функционал был в него заложен сказать не могу.
По функционалу потенциально опасной программы ничего сказать не могу, т.к. описания найти не смог. Она могла служить причиной повышенного расхода траффика, т.к. в её классификации фигурирует слово WebSearch (интернет поиск).

утечки характерны для каждого месяца.
Возможно, дело в автоматическом обновлении программ и/или системы.

Возможно, дело в автоматическом обновлении программ и/или системы. не каждый же день на полтора гига?

Хочу запретить все входящие средствами протокола IPSec.

Администрирование :: Локальная политика безопасности :: Политики IP-безопасности на "локальный компьютер"

Создаю два фильтра

С любого IP-адреса на мой IP-адрес, порт источника Any, порт назначения Any, протокол TCP
С любого IP-адреса на мой IP-адрес, порт источника Any, порт назначения Any, протокол UDP

запретить.

Отрубается интернет, пинги, все. Что неправильно делаю?

Может быть кто-то имеет успешный опыт использования этих фильтров вместо фаервола?

zzkk ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), по моему ты просто вырубаешь все соединения по протоколам tcp и udp.

schta ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
Именно, все входящие по двум протоколам. Инет отрубается справедливо.

Именно, все входящие по двум протоколам. Инет отрубается справедливо.
Как-так справедливо? Ведь в фаерволе делаем тоже самое - отрубаем входящие, и все работает.
В чем разница?

Хочу запретить все входящие средствами протокола IPSec.Не понял 2 вещи - при чем тут IPSec и зачем это так делать?

Ведь в фаерволе делаем тоже самое - отрубаем входящие, и все работает.Тут еще может зависеть, по какому протоколу работает соединение с интернет. Вообще, запрет входящих соединений по tcp должен отрубать только входящие, по udp может рубиться и весь udp трафик. На протоколы не транспортного уровня это влиять не должно.

Меня осенило:) Если Вы в инет выходите через VPN по IPSec, то отключение udp для сетевого адаптера просто блокирует работу этого протокола.

при чем тут IPSec и зачем это так делать?
IPSec при том, что он это умеет, а раз умеет, почему бы не пользоваться.
Зачем? Чтобы не ставить дополнительный софт.

Конечно, итоговое решение будет зависеть от того, как гибко получится все настроить.

Тут еще может зависеть, по какому протоколу работает соединение с интернет. Вообще, запрет входящих соединений по tcp должен отрубать только входящие, по udp может рубиться и весь udp трафик. На протоколы не транспортного уровня это влиять не должно.

Меня осенило Если Вы в инет выходите через VPN по IPSec, то отключение udp для сетевого адаптера просто блокирует работу этого протокола.
Соединение обычное PPPoE без VPN и прочего.

Правило для UDP удалил. Результат тот же - инет отрубается. Странно.

Соединение обычное PPPoE без VPN и прочего.PPPoE тоже своего рода VPN протокол.

IPSec при том, что он это умеет, а раз умеет, почему бы не пользоваться.Вы немного путаете понятия, IPSec - это протокол VPN. Раз уже используете pppoe, то ipsec явно не используется.

Вы немного путаете понятия, IPSec - это протокол VPN. Раз уже используете pppoe, то ipsec явно не используется.
Трафик полностью блокируется по факту (в моем примере). Что Вы имеете в виду под "ipsec явно не используется"?
IPSec из вики ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Что Вы имеете в виду под "ipsec явно не используется"?Что туннель по протоколу ipsec не строится. Как работает ipsec на уровне сети - сетевой трафик прозрачно для пользователя заворачивается в виртуальный туннель, который физически организуется на сетевом и транспортном уровне. На уровне ОС для этого создается виртуальный vpn адаптер. Для pppoe все происходит почти аналогично, только транспортом служит канальный уровень, именно поэтому я и сказал, что ipsec не используется, ведь у Вас уже используется pppoe.

Трафик полностью блокируется по фактуЯ не знаю, что за настройки Вы используете и на что они влияют, но правила на блокировку трафика нужно делать в межсетевом экране, тогда и вопросов будет меньше, имхо;) Во встроенном МЭ Windows разве нет такого функционала?

Я не знаю, что за настройки Вы используете и на что они влияют
Использую эти ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) настройки (но уже даже без UDP, а только для TCP).
На что влияют и пытаюсь выяснить.

но правила на блокировку трафика нужно делать в межсетевом экране, тогда и вопросов будет меньше, имхо Во встроенном МЭ Windows разве нет такого функционала?
Сторонний фаервол и служба брандмауэра Windows - дополнительная нагрузка на систему. Локальная политика безопасности уже предоставляет возможность кое-что настроить, используя возможности службы IPSec. Моим желанием было воспользоваться этой возможность. Но чувствую, что докопаться до истины будет непросто. :)

Сторонний фаервол и служба брандмауэра Windows - дополнительная нагрузка на систему.Резать входящие соединения - не велика нагрузка, syn пакеты блокировать да уведомление об этом посылать... Для этого достаточно пакетного фильтра, в т.ч. и встроенного. Для udp вообще понятие соединения весьма условное, тут стандартными средствами можно вообще все заблокировать.

Локальная политика безопасности уже предоставляет возможность кое-что настроить, используя возможности службы IPSecНе зная, что конкретно она делает, сложно предугадать конечный результат. Логично предположить, что эта служба все же требуется для настройки ipsec...

Моим желанием было воспользоваться этой возможность.Если даже локальные политики и дают такую возможность, то реализоваться все равно будет через файервол, имхо.

Резать входящие соединения - не велика нагрузка, syn пакеты блокировать да уведомление об этом посылать...
Лайт-фаерволы с подобным функционалом не знаю.

Не зная, что конкретно она делает, сложно предугадать конечный результат. Логично предположить, что эта служба все же требуется для настройки ipsec...
В статьях люди пишут, что все должно работать...

Если даже локальные политики и дают такую возможность, то реализоваться все равно будет через файервол, имхо.
Неа, ибо служба фаервола отключена.

Я вообще не понял о чем тут речь, но сколько себя помню политики ipsec всегда задавались через mmc и причем тут правила агнитума...
А какая конечная цель преследуется?

и причем тут правила агнитума...
А какая конечная цель преследуется?
Агнитум тут ни при чем :)
Конечная цель... Решил попробовать ограничиться средствами безопасности, предоставляемые самой виндой, без сторонних антивирусов и фаерволов.

Локальной политикой безопасности и ip фильтрами заменить все защитные средства? Интересно. Но придется использовать ограниченную учетную запись, плюс дополнительно запрещать ей разные действия типа изменения веток реестра и тп.

SAlexB ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), так понимаю, что главное защититься от сетевых вторжений.
Запретить входящие, например. Поотключать лишние службы. Обновления ОС. Поработать с безопасностью в браузере (в том числе, с политикой безопасного серфинга). И тогда локальным "неприятностям" появиться будет неоткуда. Соответственно, защищать ветки реестра будет не от кого, и тратить ресурсы на пр. хипсовые штучки будет незачем.

Естественно остается маленькая вероятность. Но на этот случай имеется образ. Зато какая экономия системных ресурсов. Надо сказать, хорошо заметная на глаз.

Нахожусь в процессе экспериментов по выработке оптимальной политики. Вынудила к этому крайняя нестабильность OSS 7.0.3 на win7x64. К 7.5 обещали вернуть стабильность. Посмотрим.

Неа, ибо служба фаервола отключена.Ну так принцип то все равно тот же останется, как Вы планирует сэкономить на ресурсах при этом?

Лайт-фаерволы с подобным функционалом не знаю.Попробуйте Check Point ZoneAlarm.

В статьях люди пишут, что все должно работать...Видимо люди пишут неправду;)

Создаю два фильтра

С любого IP-адреса на мой IP-адрес, порт источника Any, порт назначения Any, протокол TCP
С любого IP-адреса на мой IP-адрес, порт источника Any, порт назначения Any, протокол UDP

запретить.

Отрубается интернет, пинги, все. Что неправильно делаю?
Возможно, созданы фильтры с включенной опцией "Отраженный", т.е. действие политики распространяется и на "зеркальные" адресами и портами.
Попробуйте сделать настройку по этой инструкции ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) и этой ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Возможно, созданы фильтры с включенной опцией "Отраженный"
Нет.

Попробуйте сделать настройку по этой инструкции и этой.
Инструкций кучу перечитал. Во всех одно и то же. А вот живого человека, которые бы воспользовался всем этим не видел.

Ладно, слишком неюзабильный функционал. Пожалуй закроем тему.

Symantec представила новое решение для борьбы с вредоносным ПО - Ubiquity

Компания Symantec объявила о запуске Ubiquity - технологии обеспечения безопасности нового поколения для защиты от эволюционирующих вредоносных программ. Данная технология основана на репутации файлов сообщества пользователей продуктов Symantec. Являясь результатом более чем четырехлетней работы, Ubiquity дает возможность Symantec собирать анонимную информацию об особенностях использования ПО более чем 100 млн клиентов Symantec, а также обеспечивать защиту от узкораспространенных, видоизменяющихся угроз, которые, в противном случае, абсолютно не охватывались бы традиционными решениями в сфере безопасности.

Традиционный подход к обеспечению безопасности требует от поставщиков антивирусного ПО предварительного определения и анализа характерных признаков вредоносных программ до того, как они смогут предложить защиту от них. Но только за 2009 год компания Symantec обнаружила 240 млн уникальных вариантов вредоносных программ. В среднем, каждая из таких программ распространяется на менее чем 20 компьютерах, а многие были обнаружены лишь на одном компьютере в мире. Этот факт почти полностью исключает возможности антивирусного ПО других поставщиков находить, анализировать и обеспечивать защиту от действительно всех возможных угроз безопасности, а также бросает серьезный вызов традиционным подходам к определению вредоносных программ.

Технология Ubiquity идентифицирует угрозы, не определяемые другими технологиями защиты. Она предоставляет новый слой защиты - усиливает используемый Symantec принцип эшелонированной обороны (defense-in-depth), который также включает в себя и защиту на основе сигнатур, систему предотвращения вторжений, эвристику и анализ поведения приложений. Ubiquity определяет уровень безопасности каждого файла, основываясь на информации о контексте файла: откуда он поступил, как давно он создан, какие характеристики пути распространения файла среди клиентов Symantec, а также дополнительно производит специализированные вычисления. Поскольку вирусописатели могут легко модифицировать содержание файла вредоносного ПО для того, чтобы обойти защиту, основанную на вирусных сигнатурах, традиционными средствами защиты становится сложно контролировать такую волну вредоносного ПО.
cnews.ru

Антифишинговая программа определяет мошеннические сайты анализом их элементов

Профессор из Гонконгского университета, который концентрирует свои усилия на поиске способов борьбы с фишингом, недавно представил всеобщему вниманию программу, которая с упреждением определяет фишинг-сайты.

Созданная с целью защиты программа, которая позволяет компаниям самостоятельно отслеживать потенциальные фишинг-сайты, автоматически загружает содержимое потенциально мошеннических сайтов на сервер и анализирует его путем "расщепления" на элементы, которые компьютер может распознать и оценить: текст, линии, символы, структура и т.д.

На данный момент бета версия программы распространяется без ограничений. Она называется Reasonable Anti-phishing ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (Installer Size: 3 MB), но также имеется онлайн версия под названием SiteWatcher ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), где ты можешь ввести подозрительный URL и проверить, является ли он мошенническим.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Согласно текущей статистике, данные подтверждают показатели OpenDNS двухмесячной давности: PayPal является наиболее частой мишенью для фишинг-сайтов.

"Пользователи могут сообщать нам о подозрительных веб-сайтах. Затем мы выслеживаем и обнаруживаем мишени фишинг-атак", - объясняет профессор. "Собранная информация может помочь определить наиболее атакуемые сайты. Программа будет применяться как эффективное защитное устройство. Поскольку база данных растет, контроль может стать более сложным".

По данным университета, эффективность программы не ограничивается сайтами на каком-то определенном языке. Руководитель проекта и его команда при помощи данной программы обнаружили клонированную версию официального сайта Министерства иностранных дел одной из европейских стран.

Пять приложений, которые нужно вовремя обновлять для защиты от вирусов

[Ссылки могут видеть только зарегистрированные и активированные пользователи]Датская фирма CSIS, специализирующаяся на расследовании киберпреступлений, обнародовала результаты аналитической работы по мониторингу активности 50 различных эксплойт-наборов. Специалисты установили, что подавляющее большинство инфекций проникает на компьютеры пользователей через дыры всего в пяти программных продуктах.

В исследовании CSIS отмечается, что атаки типа "drive-by download" (когда обозреватель Интернета перенаправляется на вредоносные сайты, откуда операционная система и приложения проверяются на уязвимости посредством эксплойт-наборов) еще 3-5 лет назад начали вытеснять рассылки по электронной почте с позиции наиболее популярного у злоумышленников метода распространения вредоносных программ. В настоящее время, по данным компании, до 85% всех случаев инфицирования компьютеров являются следствием DbD-нападений, в которых участвуют коммерческие наборы атакующих кодов. За злонамеренным применением последних CSIS наблюдала три месяца; в итоге ей удалось собрать некоторые статистические сведения.

Итак, сообщается, что за время проведения исследования эксплойт-наборы предприняли попытку воздействовать в общей сложности более чем на 500 тыс. пользовательских ПК, 31,3% из которых оказались в итоге заражены. В операционные системы устанавливались разнообразные опасные объекты - от воров и шпионов до лжеантивирусного программного обеспечения. Чаще всего - в 37% случаев - инфекция проникала через изъяны в Java JRE, еще 32% инцидентов остались на совести Adobe Reader и Acrobat, а 16% заражений произошли по вине Adobe Flash. Четвертое место досталось обозревателю Internet Explorer - 10%, а последние пять процентов разделились между ошибками безопасности в Центре справки и поддержки Windows (3%) и уязвимостями в Apple QuickTime.

Таким образом, статистика позволила заключить, что в первую очередь для успешного противостояния вирусам необходимо обновлять пять программных продуктов, перечисленных выше, а также не забывать про доставку патчей к самой операционной системе. Тогда эксплойт-наборам будет значительно тяжелее поразить операционную систему теми или иными инфекциями; в сочетании с актуальной антивирусной защитой, ограничением пользовательских прав и применением внутренних оборонных механизмов Windows это может значительно укрепить систему безопасности компьютера и обеспечить ему надежный иммунитет.

anti-malware.ru
•°•°•°•°•°•°•°

1. Используем браузер с плагином/расширением NoScript/NotScripts. Из тех сайтов, которыми пользуемся, вносим в доверенные только те, на которых имеется необходимый нам функционал, завязанный на javascripts.

2. Подавляющее большинство заразы использует уже известные уязвимости. Поэтому регулярно обновляем ОС, Adobe Flash, браузер (причем выбираем Opera, как наименее популярный в мире - по мнению экспертов, хакеры всерьез берутся за взлом только массового продукта: от 10% рынка и выше - иначе выгода не покрывает расходы), а Adobe Reader'ом вообще не пользуемся при наличии PDFX-change Viewer, например, в котором в настройках можно отключить java-scripts. Java тоже не нужна многим пользователям, которые ее инсталлируют только для того, "чтобы была". Также в браузере отключаем IFRAMES (у меня лишь один сайт стоит в исключениях).

3. Drive-by загрузки условно делятся на три типа - через уязвимости (мы уже защитились от них по максимуму во втором пункте), без разрешения пользователя (от них мы частично защитились в первом пункте), и последний тип: с разрешением пользователя.
От последнего типа защищает наша светлая голова:
• мы бездумно не кликаем на все подряд, куда нам предлагается кликнуть на веб-страничке/почте;
• мы внимательно смотрим за корректностью доменного имени, которое вводим в адресной строке, а точнее берем не из наших "Закладок", а из ссылок на веб-страничках; мы имеем представление о возможном более тяжелом случае:
• мы знаем о наличии файла HOSTS и понимаем, что зараза может использовать его для перенаправления на "некорректный" сайт, даже при открытии корректного адреса из закладок;
• мы понимаем, что на кнопку "Cancel" на подозрительном всплывающем окне, может быть посажен смысловой код кнопки "ОК" и мы понимаем, как правильно реагировать на предложения сайта установить "новый антивирус", "новый кодек", "обновление Adobe Flash" - мы сразу закрываем подозрительную вкладку (в некоторых случаях даже браузер).

В качестве доп. мер подстраховки мы...:

° ... "забываем", что такое интернет-банк, если размер нашего счета переваливает за возможности восстановить потенциально украденную сумму в пределах разумного (с нашей точки зрения) времени;
° ... используем альтернативный диспетчер задач (например, бесплатный AnVir Task Manager) с функцией мониторинга зон реестра, отвечающих за автозапуск и возможностью тут же удалить новую запись из автозапуска - ведь наверняка Drive-by загрузка тут же попытается обосноваться в системе. Нам, же, главное вовремя обнаружить заразу, а выличить от нее - дело техники.

Пользователям Android мешают баннеры-вымогатели

Компания «Доктор Веб» отметила рост обращений пользователей мобильных устройств, работающих под управлением операционной системы Android. При просмотре некоторых веб-сайтов окно браузера внезапно блокируется баннером, требующим отправить на короткий номер платное SMS сообщение.

Нажатие на кнопку «Отмена» обычно не приводит к отключению баннера, а перезапуск браузера в некоторых случаях вызывает его повторное появление. Пример подобного блокирующего окна показан ниже:

В данном случае речь идет о давно известной и широко распространенной проблеме, с которой уже сталкивались пользователи других операционных систем. Данный баннер выводится на экран не какой-либо троянской программой, а встроенным в просматриваемую пользователем веб-страницу сценарием, написанным на языке JavaScript. Именно по этой причине антивирусное ПО не реагирует на его появление.

Поскольку окно-вымогатель блокирует нормальную работу браузера, пользователь лишается возможности открыть другие веб-страницы либо завершить работу браузера штатными средствами. Кроме того, на мобильных устройствах со слабой аппаратной конфигурацией выполнение скрипта может привести к зависанию операционной системы. В ряде случаев не помогает ни перезапуск браузера, ни даже перезагрузка аппарата, поскольку некоторые браузеры по умолчанию открывают последнюю загруженную в них веб-страницу, что приводит к повторному появлению окна-вымогателя.

специалисты рекомендуют в случае если на экране вашего устройства возник подобный баннер, выгрузить процесс запущенного в операционной системе браузера, для чего следует перейти к системному апплету «Настройки», открыть окно «Приложения», «Управление приложениями», затем активизировать вкладку «Работающие», выбрать в списке процесс запущенного в операционной системе браузера, нажать на его значок и воспользоваться кнопкой «Остановить». Кроме того, рекомендуется нажать на кнопку «Очистить кэш», чтобы удалить вредоносный скрипт из кэша браузера. Также можно установить на вашем устройстве Диспетчер задач для ОС Android сторонних разработчиков либо включить в настройках браузера функцию блокировки всплывающих окон.

Источник: Доктор Веб

Сегодня получил спам от себя, немного в шоке =)

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

RFC-822
Subject: =?windows-1251?B?xODm5SDt5SDn7eD+LCD38u4g6CDk8+zg8vw=?=
Date: Mon, 17 Oct 2011 18:26:36 +0400
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: multipart/alternative; boundary="_----------=_1318861596663014"
Message-Id: <[Ссылки могут видеть только зарегистрированные и активированные пользователи]>
X-Mailer: Ramail 3u, (chameleon), [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Исходник

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

А внутри вишенка

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Сегодня получил спам от себя, немного в шоке
Ха класс :)

Только сейчас?? Расслабились спамеры :)
У меня правило, фильтрующее письма с таким адресатом, уже больше трёх лет на всех моих ящиках - насколько больше, не упомню :)

Первое такое письмо на 4 ящика. Видимо кому то больше "везет", на работе у нас такое айронпортами режется.

немного в шокеА что такого?

bmaclan,
Сам себе наспамил. Печаль :(

Так с точки зрения технологий рассылки без разницы, с какого ящика будет якобы отправлено письмо, вариантов масса, имхо.

Жить все страшнее [Ссылки могут видеть только зарегистрированные и активированные пользователи]

A remote code execution vulnerability exists in the Windows TCP/IP stack due to the processing of a continuous flow of specially crafted UDP packets. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Если коротко - дырка в стеке tcpip, специально сформированными udp пакетами можно удаленно добиться многого.

Ребята ! Подскажите что мне предпринять можно... Фаервол пишет : Обнаружен эксплойт скрытого канала в ICMP пакете и пишет адресс...

Сугубое IMHO, но ответ такой:
Просто нод малость дурит. В силу того что к ДНС мы обычно обращамся по UDP и порт 54 то проблемм обычно нет. Но некоторые программы, например аська, для подгрузки банера со своего сайта, для начала производит пинг! доступности ДНС сервера а потом уже дает запрос на имя сайта. А нод в свою очередь видит большой поток необоснованных пингов и тупо рубит инет.
Решить можно по сути разрешив свободное прохождение ICMP пакетов в обе стороны без ограничения. Данные по данному протоколу передавать пока не научились еще.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Проверьте - этот IP не адрес DNS сервера?

Windows Firewall Control ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) предложила четыре запрещающих исходящих правила (себе оставил):

Имя Группа Профиль Включено Действие Программа Локальный адрес Удаленный адрес Протокол Локальный порт Удаленный порт Разрешенные компьютеры
Akamai Technologies Все Да Блокировать C:\windows\system32\svchost.exe Любой 92.122.212.0-92.122.219.255, 92.123.96.0-92.123.111.255, 95.100.0.0-95.100.15.255 Любой Любой Любой Любой
Microsoft Internet Data Center Все Да Блокировать C:\windows\system32\svchost.exe Любой 213.199.160.0-213.199.191.255 Любой Любой Любой Любой
Microsoft Limited Все Да Блокировать C:\windows\system32\svchost.exe Любой 94.245.64.0-94.245.127.255 Любой Любой Любой Любой
VeriSign Global Registry Services Все Да Блокировать C:\windows\system32\svchost.exe Любой 199.7.48.0-199.7.63.255, 199.16.80.0-199.16.95.255 Любой Любой Любой Любой

Интересный выбор правил.
Похоже никто не любит Майкрософт... даже составители надстроек к виндовому файрволлу :)

zzkk, тупые правила, апдейты и проверку подписей рубят, судя по всему.

тупые правила, апдейты и проверку подписей рубят, судя по всему.
Почему тупые? Апдейты работают.

Пару часов назад на каком-то форуме видел жалобу, что винда ходила на Akamai. Еще подумал: "О"! Только что добавил запрещающее правило! Совпадение какое!"

Вообще, доверяю разработчикам, порекомендовавшим правила. Почему нет? Хотя разобраться, что именно они блокируют хотелось бы.

Akamai ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - сколько понимаю, предоставляет свои облака много кому, в том числе Амазону, Майкрософту, Адобу... то, что Винда ходит на Akamai - не говорит ни о чём. Плохом :)

VeriSign Global Registry Services - это проверка SSL сертификатов. Запрещать туда доступ - IMHO создавать себе проблемы

Сколько понял, Microsoft Internet Data Center - это может быть много чего, от MSN до апдейтов Виндефендера или MSSE
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Microsoft Limited - вроде как туннель 6to4 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]). По большому счёту ничего против запрещающего правила не имею
Тем более, что это далеко не единственный гейт 6to4 :)

Фдуч, именно так.

Добавлено через 1 минуту
Почему тупые? Апдейты работают.просто не все ip перечислены у Akamai.

просто не все ip перечислены у Akamai.
Точно. Три месяца назад мне надо было прописать в роутере сайт с хостингом в сети Акамаи в разрешающие правила. Оказалось, у них сотни тысяч адресов (может и миллионы) из разных диапазонов. И этот сайт менял свой адрес по 20 раз за день. Так что я понял, что нельзя описать неописуемое :).
Я тогда пошел другим путем - через прокси дал доступ не по ip, а по имени хоста. С тех пор проблем не знаю.

Чем вам акамай то помешал, вполне валидный CDN...

Чем вам акамай то помешал, вполне валидный CDN...
Переадресовал вопрос авторам (binisoft). Ответят - расскажу.

Переадресовал вопрос авторам (binisoft). Ответят - расскажу.
Dear User, we choosed to create rules to block them
because Microsoft collects informations about their products
without our approval. We don't know actually what informations
they send back to them. This is the reason. Also, many users
of Wilders Security Forums have requested this. We personally
don't like to see svchost.exe connecting to various internet
locations, because we did not requested these connections.
We don't care about their reasons for executing such connections,
but they should not connect.

Переадресовал вопрос авторам (binisoft). Ответят - расскажу.
Dear User, we choosed to create rules to block them
because Microsoft collects informations about their products
without our approval. We don't know actually what informations
they send back to them. This is the reason. Also, many users
of Wilders Security Forums have requested this. We personally
don't like to see svchost.exe connecting to various internet
locations, because we did not requested these connections.
We don't care about their reasons for executing such connections,
but they should not connect.
Уважаемый пользователь, нами принято решение о создании правил для их блокировки по причине сбора информации компанией Майкрософт о своем ПО без нашего разрешения. Нам неизвестно, какая именно информация отсылается Майкрософт, вот в чем причина. Кроме того, многие пользователи Wilders Security Forums также сообщают о подобных случаях. Нам не нравится наблюдать, как процесс svchost.exe подключается к различным интернет ресурсам, потому что, мы сами не инициируем эти подключения. Мы не особо обеспокоены причинами таких подключений, однако таких подключений не должно быть.

svchost.exeДля справки - главный процесс (англ. Host process) для служб, загружаемых из динамических библиотек. Т.е. все службы Windows, загружаемые из dll, всю сетевую активность выполняют именно от имени этого процесса.

Для справки - главный процесс (англ. Host process) для служб, загружаемых из динамических библиотек. Т.е. все службы Windows, загружаемые из dll, всю сетевую активность выполняют именно от имени этого процесса.
Именно поэтому добавил его в EMET ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

zzkk, и как стабильность работы системы?

Для справки - главный процесс (англ. Host process) для служб, загружаемых из динамических библиотек. Т.е. все службы Windows, загружаемые из dll, всю сетевую активность выполняют именно от имени этого процесса.
Коллега, благодарствую за напоминание, но, как видите выше, я всего лишь выполнил перевод информации третьей стороны ;) (все вопросы к ней), а справка... давайте тогда уж дополню ее:
"Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn [1]. Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Kido."

Istari, я не вам адресовал пост, т.к.видел как раз перевод, просто их объяснение мне показалось надуманным.
давайте тогда уж дополню ее:Все верно.

и как стабильность работы системы?
В худшую сторону не изменилась.

В локальйной сети при выходе в инет запрос на повторный выход на сайт, где копать?

Добавлено через 1 минуту
Да все работают в мозиле

Добавлено через 1 минуту
началось неделю назад

РоманА, А что изменилось за эту неделю? Что устанавливалось?

Советы по безопасности от Google ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Блокировка нежелательных сетевых соединений с помощью HOSTS файла ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

hosts.zip ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Обновлен 25 февраля 2013]

127.0.0.1 google-analytics.com
127.0.0.1 clients1.google.com
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 safebrowsing-cache.google.com
127.0.0.1 safebrowsing.clients.google.com
127.0.0.1 ssl.google-analytics.com
127.0.0.1 id.google.com
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 google-analytics.ru
127.0.0.1 clients1.google.ru
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 safebrowsing-cache.google.ru
127.0.0.1 safebrowsing.clients.google.ru
127.0.0.1 ssl.google-analytics.ru
127.0.0.1 id.google.ru
127.0.0.1 ww.safebrowsing-cache.google.ru
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 adservices.google.com
127.0.0.1 pagead.googlesyndication.com
127.0.0.1 pagead2.googlesyndication.com
127.0.0.1 imageads.googleadservices.com
127.0.0.1 imageads1.googleadservices.com
127.0.0.1 imageads2.googleadservices.com
127.0.0.1 imageads3.googleadservices.com
127.0.0.1 imageads4.googleadservices.com
127.0.0.1 imageads5.googleadservices.com
127.0.0.1 imageads6.googleadservices.com
127.0.0.1 imageads7.googleadservices.com
127.0.0.1 imageads8.googleadservices.com
127.0.0.1 imageads9.googleadservices.com
127.0.0.1 partner.googleadservices.com
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 apps5.oingo.com
127.0.0.1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
127.0.0.1 service.urchin.com
127.0.0.1 ads2.msads.net
127.0.0.1 apprep.smartscreen.microsoft.com
127.0.0.1 rad.msn.com

еще добавляю эти
127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 wustat.windows.com
127.0.0.1 sa.windows.com
127.0.0.1 ie.search.msn.com
127.0.0.1 se.windows.com
127.0.0.1 wutrack.windows.com

прикрепил фаил "хост" всех вышеупомянутых решений без дубликатов... тыц сюда ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Давича потребовалось получить американский IP для компа. Воспользовался бесплатным сервисом pptpvpn.org

Создал соединение по инструкции ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (логин и пароль вначале главной страницы сайта). Получил защищенный PPTP VPN канал и IP города Чикаго штата Иллинойс.

Нардеп получил ip-адреса читателей, которые его критиковали в Интернете

Народный депутат Миримский отправил в редакцию одного из изданий депутатский запрос, потребовав предоставить ему ip-адреса и e-mail комментаторов под новостью. Об этом идет речь в заявлении, опубликованном на сайте Спротив.

"Действия депутата Льва Миримского приблизились к грани истерики и стали напоминать повадки загнанного в угол зверя.
В последнее время этот обладатель израильского паспорта объявил войну не только журналистам, которые критически оценивают его деятельность, но и комментаторам к интернет-статьям, а также всем крымчанам, считающим Миримского недостойным представлять интересы Симферополя в Верховной Раде.
Выжигание Миримским свободы слова началось после ряда критических публикаций об организации им рейдерского захвата здания второго симферопольского роддома. Особенное бешенство Миримского вызвали сотни комментариев неравнодушных читателей, давших ему в режиме он-лайн жесткие уничижительные оценки. Это подтолкнуло Миримского к практической зачистке свободы слова в сети Интернет.
Для начала Миримский отправил в редакцию одного из изданий депутатский запрос, потребовав предоставить ему ip-адреса и e-mail комментаторов под новостью.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Испуганные журналисты, знающие крутой нрав Миримского, были вынуждены предоставить всю информацию, хотя его требования явно незаконны и являются цензурой, которая в Украине запрещена законом. Миримский, получив информацию о десятках пользователей, подал депутатские запросы в правоохранительные органы с требованием привлечь неугодных ему онлайн-комментаторов к уголовной ответственности.
По информации из парламентского комитета по вопросам свободы слова, следующим шагом Миримского станет попытка законодательно запретить онлайн-комментирование к политическим публикациям. Или же ввести драконовские штрафы за комментарии, которые якобы унижают честь и достоинство.
Не исключено, что десяткам интернет-пользователей угрожает не только юридический прессинг со стороны Миримского, но и угрозы физического воздействия.
Это опасный прецедент. Действия Миримского, как чиновника наделенного властью, силой и административным ресурсом, направленные на выжигание свободы слова, уничтожают свободу слова в стране и угрожают фундаментальным правам человека.
Интернет – не всегда объективен. И в этом его суть. Интернет – это место для выражения протеста и для обсуждения любых важных для общества тем. И с этим должны смириться политики, в том числе Миримский, который боится, что общество узнает о его темном прошлом и настоящем. Это и уклонение от налогов, и оформление коммерческой недвижимости в три квартиры в 2,5 га, и попытки провести рейдерский захват роддома №2 в Симферополе", - сказано в заявлении.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Думаю по теме написал!

zzkk, а я вот попробовал сейчас... не смог соединиться. Хотя может чего то делаю не так, я хотел попробовать зайти через ноут соединенный по вай фаю с инетом. Вроде все данные правильно в поля забил

DeNlaDeN, службы "Телефония" и "Диспетчер подключений удаленного доступа" работают?

zzkk, да, проверил, обе службы включены и работают

Добавлено через 1 час 8 минут
А сегодня новый пароль получил.... ввел и все работает)) спс