Место преступления: Интернет (Часть 2. Шпион в почтовом ящике)

23

В этой серии эксперты CHIP обнаруживают следы злоумышленника, которому не нужны «дыры» в программном обеспечении. Хакер обманул свою жертву иначе.

Улика №1 Улика №1 Улика №2 Улика №2 Антивирусная программа бьет тревогу слишком поздно.

Выясняется, что «троян», обнаруженный на компьютере, занимается своей вредоносной работой уже более двух недель. Как он попал в систему и почему антивирус сообщил о вторжении только сейчас, налоговый консультант Б. объяснить не может. «Мой пакет защитных программ обновляется регулярно, — говорит он, — к тому же я никогда не открываю вложения электронных писем».

Размеры ущерба неизвестны. Антивирус не дает никаких точных сведений о типе вредоносной программы. Господин Б. просит специальную команду CHIP расследовать это дело. По примеру группы следователей из сериала «CSI: место преступления» мы осматриваем место преступления — офис налогового консультанта.

Здесь нас постигает первое разочарование: хозяин пораженного ноутбука все еще продолжает работать на нем. Из-за этого могут быть потеряны важные улики. Существует даже вероятность того, что хакер уже уничтожил лог-файлы и временные документы, которые могли бы помочь следствию.

Чтобы предотвратить дальнейшие изменения жесткого диска, мы первым делом создаем его образ. Затем беремся за «троян», который господин Б., к счастью, не удалил, а переместил в антивирусный карантин.

Очень скоро мы убеждаемся в том, что «троян» является модифицированной версией BackOrifice 2000. Впервые он появился еще в 1998 году, но до сих пор не потерял своей привлекательности для хакеров. Используя его исходный код и модульный принцип, интернет-гангстеры с помощью таких плагинов, как Remote Desktop и Password Extractor, настраивают программу в соответствии со своими потребностями. В нашем случае хакер урезал исходный код до минимума и частично переписал его. Сигнатура «трояна» изменилась, благодаря чему злоумышленник и сумел обманывать антивирусную программу в течение двух недель. Кстати, антивирусу удалось выявить вредителя чисто случайно: совсем недавно была обнаружена модификация этого «трояна», имеющая такую же сигнатуру.

Чтобы разобраться в намерениях хакера, необходимо выяснить, для чего предназначен «троян». Оказывается, эта программа выполняет всего одну команду. По сигналу взломщика «троян» посылает ему документы, которые находятся на пораженном компьютере. Для жертвы, господина Б., это может обернуться катастрофой, потому что на его жестком диске хранятся конфиденциальные данные о клиентах. Следы преступления уже стерты, и установить, какие именно файлы украдены, невозможно. Остается предположить, что могут быть затронуты интересы любого клиента.

Маскировка и обман

Чтобы узнать о хакере больше, мы ищем лазейку, через которую троян проник в систему. Большинство хакерских атак происходит через веб-сайты и электронную почту. К сожалению, здесь нас ожидает еще одно разочарование. Программа безопасности имеет буфер, из которого после окончания работы удаляются cookie-файлы браузера и протокол.

Мы переходим к программам, которые жертва установила на своем компьютере за последнее время. Господин Б. убежден, что в них не может быть ничего опасного. «Недавно я даже установил новейший антишпионский софт», — говорит он. Наши эксперты настораживаются: им незнакомы ни название этой программы, ни фирма-разработчик. Обычное защитное приложение при детальном рассмотрении оказывается шпионом Rogue-Anti-Spyware, который бессовестно маскируется под охотника на вредителей.

Итак, страх перед шпионами загнал господина Б.

прямиком в хакерскую ловушку — как, впрочем, и многих других пользователей.

Доверчивые жертвы предоставляли мнимой программе безопасности права администратора.

Остается невыясненным вопрос о том, как эта программа вообще попала на компьютер господина Б. К нашему изумлению, он достает из ящика стола флеш-карту USB: «Она была здесь. Это рекламный подарок, присланный мне одной фирмой, которая занимается компьютерной безопасностью. И, знаете, я уже пытался им позвонить…» Дело оказывается по-настоящему опасным: это не обычная интернет-атака на неосторожного пользователя. На компьютер господина Б. вирус был внедрен целенаправленно. Наша команда хочет выяснить, кто это сделал. Для этого мы решаем попытать счастья с разоблаченным вредителем и устанавливаем вирус на наш тестовый компьютер. Загрузившись, программа начинает скачивать из Интернета обновление. Это выглядит как обновление сигнатур, необходимых для поиска программ-шпионов, однако вместо них загружается «троян».

Трюк с флеш-драйвом USB

Хакерский трюк, с которым мы имеем дело, отнюдь не уникален. Нью-йоркский эксперт по компьютерной безопасности Стив Стасюконис из компании Secure Network Technologies провел эксперимент, доказавший, что чаще всего человека подводит любопытство.

Некий банк поручил Стасюконису произвести проверку безопасности, в том числе используя социальную инженерию. В подобных случаях эксперты флиртуют с секретаршами и подслушивают в курилках, чтобы обнаружить слабые места компьютерных систем или раздобыть пароли.

Стив Стасюконис воспользовался другой хитростью, которая впечатляет своей простотой и эффективностью. Как бы невзначай он оставлял в офисных помещениях «флешки» с трояном. Любопытные сотрудники банка, находившие эти устройства, подключали их к своим рабочим компьютерам. Уловка сработала в 75% случаев! В результате Стасюконису удалось получить логины и пароли, а также другую важную информацию об интересующих его системах.

Кража данных, не оставляющая улик

Несмотря на кажущуюся простоту подобной атаки, в случае господина Б. очень трудно проследить, кто ее провел. Хакер вовремя деактивировал троян и уничтожил следы. Теперь у него есть копии конфиденциальных документов жертвы. Скорее всего, речь идет о заказном шпионаже. Следовательно, господину Б. приходится рассчитывать на максимальные потери. Никаких дополнительных улик экспертам найти не удалось. Для господина Б. этот случай будет горьким уроком: доверять рекламным подаркам нельзя.

ГЛОССАРИЙ

Социальная инженерия или социотехника (от англ. Social Engineering, а также Social Hacking) в социологии означает метод получения конфиденциальной информации путем личных контактов с ее носителями. Этот метод давно известен секретным службам и частным детективам, но чаще всего используется в связи с компьютерной преступностью.

ПОДЕЛИТЬСЯ


Предыдущая статьяАнти-спам
Следующая статьяВосемь моделей и 29 вариантов
КОММЕНТАРИИ



Загрузка...