|
О сетевой безопасности.... или спасайся кто хочет (часть вторая)
Почитала я тут на выходных устрашающие топики Инквизиции о Взломе персонажей и решила посоветоваться со знающими людьми.. ибо совершенно не радует раз в 3 дня менять пароли.. регить новые аси и т.д... и вот куда приводит желание получить информацию..
Консультантом выступил один из создателей Хаддана XAOC [34]  или как сейчас более известный   ежЫк [14]  Велком.. Во многих проектах, бывает-с, нет-нет да и взломают того или иного персонажа, а то и целый клан. За примерами далеко ходить не надо :) То же "неудавшийся взлом" Пывня Радминионами на пасс от ЖЖ, взлом половины Мерков или история месячной давности - взлом самого прибыльного алхимика Рунета - CPTN'а. Сегодня я расскажу Вам, как защищаться от наиболее популярного у таких "взломщиков" способа - взлом PINCH'ем. Во первых, что такое Pinch (Пинч)? Пинч - это вирус категории "троян". Его отличие от других в том, что на данный момент ни один из антивирусов не "ловит" момент "подсадки" этого трояна на компьютер пользователя. Кроме того, Пинч является вирусом "третьего" поколения - а это значит, что и во время его работы на зараженном компьютере он антивирусу не виден. Технических подробностей приводить не буду (ибо сам не понимаю, как это так) :) Соответственно, что делает Пинч? Скурпулезно собирает ВСЕ (подчеркиваю - ВСЕ данные, которые пользователь вводит). После чего формирует лог-файл, и отсылает его на почту взломщику. Вот пример такого лога (вырезка - пароль на аську): This module contains ICQ 2003a & Lite passwords 111ХХХХХ6
d*****@o*****g.com
Еще нет? Так вот, лог содержит не только логи/пароли. Все введенные в поисковики и прочие офрмы запросы и данные - все это увидит взломщик. Даже то, что Вы писали кому либо в чате. Теперь точно страшно?! Теперь Поговорим о методах защиты от этой мерзости. Во первых - как НЕ получить Пинча: Как правило, Пинча засаживают двумя способами: -через Е-Мейл -через Web-сайт Защитится от "подсадки" через Е-Мейл просто - НЕ ОТКРЫВАЙТЕ никакие почтовые вложения от неизвестных адресатов, а также всякие "подозрительные" файлы от известных и знакомых отправителей. Защита от заражения через сайт более сложная. Необходимо учитывать, что троянцы используют бреши в безопасности браузеров. Как правило, это браузеры Microsoft Internet Explorer. Поэтому - во первых, ВСЕГДА устанавливайте обновления от Microsoft (и включите поддержку автоматического обновления!) - для операционки и для браузера Во вторых: На незнакомые сайты - старайтесь заходить другими браузерами. В этом плане идеальна Опера версий 6.хх и 7.хх - т.к. использует свою собственную структуру обработки событий, и большинство (но не все) трояны ориентированы на более свежие версии браузера. Однако, все вышеописанные методы не обеспечивают 100% защиты, увы :( Поэтому следующий пункт - профилактика. а) как можно чаще проверяйте Ваш компьютер антивирусом б) Учитывая, что Пинч высылает логи через почту (при этом зачастую скрывая факт отсылки писем) б.1) проверяйте папку "отправленные" и "удаленные" Вашего почтового клиента - на предмет отправки писем незнакомым адресатам особое внимание обращайте на аттачи - пинч создает имена лог-файлов типа "B45A842C20202000.***" б.2) попросите Ваших системных администраторов (почтового сервера) установить фильтр на исходящую почту - в случае наличия в лог файле строк вида: "System info", IP0, IP1, password и т.д. - НЕ пропускать такое сообщение, или как минимум удалять такие аттачи! Кроме того, если у Вас появилось подозрение, что у Вас таки присутствует Пинч, постарайтесь сразу же с другого компьютера (с того, которым Вы, как правило, не пользуетесь), поменять используемые Вами пароли: от сайтов, аськи, почты и т.д. и т.п. Возможно, это сможет Вас спасти. Ну и последнее - как удалить Пинч? Никак. Полная переустановка системы. Желательно, с предварительным переформатированием жестких дисков. Надеюсь, что последняя рекомендация Вам не понадобится. ------- ***Все приведенные вырезки логов - взяты из реального лога одного из взломов P.S. Для информации: Расследованием дел по нарушениям в области компьютерных технологий и защиты информация занимается Управление по борьбе с преступлениями в сфере информационных технологий ФСБ России. удачи... делайте выводы.. чего ВЫ хотите |
Маленький доп.комментарий:
Высказывания типа: "да ловится Пинч антивирями" - лучше не оставлять. правильно "собранный" Пинч последних модификаций не ловится. доказано горьким опытом тысяч уже взломанных юзеров |
Супер, надеюсь людям поможет )
PS: Maс OS рулит ) |
Сенк ю
|
это на тему- не спешите заходить по ссылкам из чата
а вообще спасибо |
Спасибо очень объемно и доступно для простого юзера. Молодцы!
|
Спасибо, Оль) Молодцы) Так гораздо информативней и на мой взгляд эффективней.
|
аааа!!!!!!!!!!!у меня аж мурашки по коже забегали.....
|
сменил.....теперь никто не узнает..
|
Огромное спасибо за информацию. Сразу захотелось побольше узнать о пинче.
Как я понял, он пишется (точнее компилится) одним человеком, и его ресурсы не безграничны. Пинч умеет обходить основные файерволы и антивирусы, но постоянное обновление их сводит на "нет" все старания взломщиков. Последняя версия kis со включенным эвристическим анализом должна вылавливать пинч. Так же аттач с логом является запакованным файлом, и многие антивирусы могут среагировать на этот факт. Если я ошибаюсь - поправьте меня. PS:Стоимость пинча (последней версии, т.к. старые билдеры уже есть в свободном доступе)составляет $20, так что игроки, вложившие реал и/или не один месяц своего времени, должны озаботиться своей безопасностью. |
Пинч более не пишется одним человеком, проект Пинч закрыт
однако у некоторых настоящих кулхацкеров имеются исходники, которые те время от времени модифицируют под собственные нуджы. И перед такими компиляциями kis пасует. Это и есть "Пинч под заказ" - компилится под конкретные нужды, почти 100% "попадание" За 20 баксов же берется одна из предпоследних версий Пинча, в которой исправляется только желаемый е-мейл (на который отсылаются логи) - и такого пинча kis должен (но не всегда, и хз почему) отловить так что по сути средство (пока) одна - мониторинг исходящего е-майл трафика на наличие лог-файлов |
даже асю новую завел...
393-779-165 |
Как дополнение напишу:Вообще как показывает статистика внушительный процент тех,кто подцепил вирус через Web-ресурс или через почту,это любители "клубничек" и легкой наживы.
|
Это сообщение было удалено Water support. Причина: повтор
ты лучше это востанови а тот повтор удали... его не видно ( |
Пасиба)Првда половину не поняла :D
|
вообще в наше время вирусы это полная фигня(по сравнению с тем что было в 70-80 - например вирусы DIR - никто до этого щас бы не додумался) - восстановить что нибудь абсолютно не сложно - удалить троян тоже - тока знания того как действует машина нужны....
а еще - ставте вакцины и ревизоры - первые не дадут заразить ваши файлы а вторые отражают ВСЕ изменения в памяти компьютера(единственное долго просматривать все записи) З.Ы. кстати кто знает что будет если вирус написанный для FAT16 запустить на FAT32 ...:D :D :D :D |
открыл один раз ссыль пришедшую по аське, от знакомого человека... сначала заметил, что ушла моя аська в неизвестном направлении, но при перезагрузке компа пришел в Шок, вирус снёс первоначальную прошивку материнки, и видеокарты, причем до такой степени, что в сервис центре все в шоке были, обе части компа на помойке! :( обидно, ччто есть такие уроды (((
|
Цитата:
|
Цитата:
Чернобыль) новые матери уже защищены от таких атак |
Чернобыль всё равно интересный вирь... Никто и не подозревал а тут бац и усё:)
|
ну дак чернобыль старый вирус))))) качественный)))
|
вроде не новьё...по крайне мере 3 года назад они уже были.в лаб касперского было множество обновлений на подобные вирусы.хотя давно не следил.:)да только как говориться,захотят - достанут.
|
Спасибо за информацию)
|
По моему есле кто-то воспользуется дос атакой то не каждый фаевол ее остановит...
|
Цитата:
|
Покупайте маки - не будет вам вирусов ))
|
Цитата:
Извините, но это бред...... Маки точно так же ловят вирусы, только другие.... А гемору с ними больше, чем с РСюками... Давайте еще дома ставить SUNвский серв... Школьнику.. Стандартными средствами защититься проще простого. 1. Отключаем запуск активного содержимого на вебе. 2. Отключаем там же вирртуальную жабу. 3. Письма принимаем только в текстовом формате. 4. Запрещаем отправку писем без нашего ведома. Есть еще детали, но лень писать... |
Ещё одна страшная сказка про злобные и всемогущие вирусы, а так же "хакеров" с минимальным знанием компа которые за 20$ смогут творить чудеса взлома)
|
Цитата:
:) согласен... прежде чем рассуждать о безопастности нужно узнать очень многое... насчёт лень писать - Korf не специалист безопасности ИТ технологий, и в Хаддане состоит на другой должности, потому только частное лицо... как и ты Дара. есть очень много вирусов, много способов заражения компьютера, атаки могут быть как пасивными, так и активными... ставьте антивирусные программы, обновляйте их каждый день, ставьте фаерволы и блокируйте все неизвестные запросы как на ваш компьютер, так и из него в интернэт или локальную сеть. не нажимайте подозрительных ссылок... И ещё скачивайте клиент только с главной странички Хаддана, не активируйте неподписаные плагины(это плагины, которые не заверенные администрацией, клиент сам обнаружит и сообщит вам об опасности) |
Ну а если кто-нибудь хочет по настоящему испугаться за своих персонажей...не мелочитесь, посетите следующую выставку посвящённую информационной безопасности INFOSECURITY. Вот там расскажут как и чего надо боятся :)
|
 итак по порядочку: - спасибо что подписалась - как уже говорил сайлас читаем лицензионное соглашение (клиент не берёт вашу персональную информацию) - "глючит" клиент только при закачке новых картинок в кэш. - вирусов в клиенте нет... кстати что ты подразумеваешь под вирусом? - клиент работает как с реестром, так и с интернетом... периодически качает сам список актуальных картинок(дабы кэш был динамическим) Вирусная программа - это вредоносная программа или программа, которая ворует у вас конфиденциальную информацию. клиент ничего не ворует, и не вредит системе. Он работает, используя ресурсы системы, взаимодействуя с ними... но НЕ изменяет глобальных настроек, которые могут повредить ваш компьютер. Пример: авто запоминание пароля, осуществляется через мою технологию взаимодействия активного содержимого ХТМЛ страницы, с ком объектом самого клиента. Потому программа владеет вашим паролем, шифрует его, опять же по моему алгоритму, и сохраняет. Если бы клиент был вредоносным, проверьте пароль бы слался в базу данных на моём сервере. Клиент не будет вредоносным пока, его пишу я. Даже для тебя Дара исключений делать не буду. |
Цитата:
нет спасибо.... таких одолжений мне не нужно... я уж как нибудь по старинке.... ибо доверия нет ни к клиенту (причину указала в комментариях) да и ты, как то, к моим доброжелателям не относишься... а соответственно вероятность двойной подставы я не исключаю. |
Цитата:
:) твоё дело) доверять или нет.. но это называется "заплатить за проезд и выйти на зло кондуктору" ;) а вот за неправдивые сведенья можна и наказание получить прошу мне указать на факты, которые ТЫ приняла за вирус... |
Хотелось бы предупредить, что личная переписка на форуме запрещена. Пообщайтесь через ЛС.
|
я так понял, Pinch (Пинч) передаёт данные как письмо (через почтовый клиент, я так понимаю)....
странно, что такой крутой троян "палится" так необдумано... хорошо, всё может быть, тогда вопрос - как он передаёт данные если клиент почтовый на машине не стаит?? Цитата:
|
уже писал гдето что некоторые антивирусы особенно старого сбора любую программу которая неким образом не светиться в реестре принемает за вирус специально не тэстил но некоторые из друзей жалуються по желанию могу вывесить антивирусы которые могут приносить неудобства при игре
и ещё плагин тоже требует пдключени к нэту поэтому антивирус его может блокировать как троян что приводит к ошибке самого клиента |
Цитата:
Цитата:
Цитата:
|
да ломать в интернете ресурсы очень тяжело :D
|
| Часовой пояс GMT +4, время: 23:57. |
Powered by vBulletin Version 3.5.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. Адаптация Архивариус & dukei