О сетевой безопасности.... или спасайся кто хочет (часть вторая)
 

Почитала я тут на выходных устрашающие топики Инквизиции о Взломе персонажей и решила посоветоваться со знающими людьми.. ибо совершенно не радует раз в 3 дня менять пароли.. регить новые аси и т.д... и вот куда приводит желание получить информацию..


Консультантом выступил один из создателей Хаддана XAOC [34] или как сейчас более известный ежЫк [14]

Велком..


Во многих проектах, бывает-с, нет-нет да и взломают того или иного персонажа, а то и целый клан. За примерами далеко ходить не надо :)

То же "неудавшийся взлом" Пывня Радминионами на пасс от ЖЖ,
взлом половины Мерков или история месячной давности - взлом самого прибыльного алхимика Рунета - CPTN'а.

Сегодня я расскажу Вам, как защищаться от наиболее популярного у таких "взломщиков" способа - взлом PINCH'ем.

Во первых, что такое Pinch (Пинч)?
Пинч - это вирус категории "троян". Его отличие от других в том, что на данный момент ни один из антивирусов не "ловит" момент "подсадки" этого трояна на компьютер пользователя. Кроме того, Пинч является вирусом "третьего" поколения - а это значит, что и во время его работы на зараженном компьютере он антивирусу не виден.

Технических подробностей приводить не буду (ибо сам не понимаю, как это так) :)

Соответственно, что делает Пинч?
Скурпулезно собирает ВСЕ (подчеркиваю - ВСЕ данные, которые пользователь вводит). После чего формирует лог-файл, и отсылает его на почту взломщику.

Вот пример такого лога (вырезка - пароль на аську):


This module contains ICQ 2003a & Lite passwords 111ХХХХХ6

• UIN: 111ХХХХХ6
• Password: ******* (hex: 0A 0A 0A 0A 0A 0A 0A)
  
  (номер аськи и пароль я "отцензурил")

А вот это - логин/пароль от почты (в качестве почтового клиента используется The_Bat!, Аутлук тоже не спасет):


d*****@o*****g.com

• Email: d*****@o******g.com
• Server: web.o*****g.com
• User: d*****
• Password: *****

Ну что, страшно?
Еще нет?
Так вот, лог содержит не только логи/пароли.
Все введенные в поисковики и прочие офрмы запросы и данные - все это увидит взломщик.
Даже то, что Вы писали кому либо в чате.

Теперь точно страшно?!

Теперь Поговорим о методах защиты от этой мерзости.

Во первых - как НЕ получить Пинча:
Как правило, Пинча засаживают двумя способами:
-через Е-Мейл
-через Web-сайт

Защитится от "подсадки" через Е-Мейл просто - НЕ ОТКРЫВАЙТЕ никакие почтовые вложения от неизвестных адресатов,
а также всякие "подозрительные" файлы от известных и знакомых отправителей.

Защита от заражения через сайт более сложная.
Необходимо учитывать, что троянцы используют бреши в безопасности браузеров.
Как правило, это браузеры Microsoft Internet Explorer.
Поэтому - во первых, ВСЕГДА устанавливайте обновления от Microsoft (и включите поддержку автоматического обновления!) - для операционки и для браузера

Во вторых:
На незнакомые сайты - старайтесь заходить другими браузерами.
В этом плане идеальна Опера версий 6.хх и 7.хх - т.к. использует свою собственную структуру обработки событий,
и большинство (но не все) трояны ориентированы на более свежие версии браузера.

Однако, все вышеописанные методы не обеспечивают 100% защиты, увы :(

Поэтому следующий пункт - профилактика.
а) как можно чаще проверяйте Ваш компьютер антивирусом
б) Учитывая, что Пинч высылает логи через почту (при этом зачастую скрывая факт отсылки писем)
б.1) проверяйте папку "отправленные" и "удаленные" Вашего почтового клиента - на предмет отправки писем незнакомым адресатам
особое внимание обращайте на аттачи - пинч создает имена лог-файлов типа "B45A842C20202000.***"


б.2) попросите Ваших системных администраторов (почтового сервера) установить фильтр на исходящую почту - в случае наличия в лог файле строк вида:
"System info", IP0, IP1, password и т.д. - НЕ пропускать такое сообщение, или как минимум удалять такие аттачи!

Кроме того, если у Вас появилось подозрение, что у Вас таки присутствует Пинч,
постарайтесь сразу же с другого компьютера (с того, которым Вы, как правило, не пользуетесь), поменять используемые Вами пароли: от сайтов, аськи, почты и т.д. и т.п.

Возможно, это сможет Вас спасти.

Ну и последнее - как удалить Пинч?
Никак. Полная переустановка системы. Желательно, с предварительным переформатированием жестких дисков.

Надеюсь, что последняя рекомендация Вам не понадобится.

-------
***Все приведенные вырезки логов - взяты из реального лога одного из взломов

P.S. Для информации:
Расследованием дел по нарушениям в области компьютерных технологий и защиты информация занимается Управление по борьбе с преступлениями в сфере информационных технологий ФСБ России.




удачи... делайте выводы.. чего ВЫ хотите

Маленький доп.комментарий:
Высказывания типа: "да ловится Пинч антивирями" - лучше не оставлять.
правильно "собранный" Пинч последних модификаций не ловится. доказано горьким опытом тысяч уже взломанных юзеров

Супер, надеюсь людям поможет )

PS: Maс OS рулит )

Сенк ю

это на тему- не спешите заходить по ссылкам из чата
а вообще спасибо

Спасибо очень объемно и доступно для простого юзера. Молодцы!

Спасибо, Оль) Молодцы) Так гораздо информативней и на мой взгляд эффективней.

аааа!!!!!!!!!!!у меня аж мурашки по коже забегали.....

сменил.....теперь никто не узнает..

Огромное спасибо за информацию. Сразу захотелось побольше узнать о пинче.
Как я понял, он пишется (точнее компилится) одним человеком, и его ресурсы не безграничны. Пинч умеет обходить основные файерволы и антивирусы, но постоянное обновление их сводит на "нет" все старания взломщиков.
Последняя версия kis со включенным эвристическим анализом должна вылавливать пинч. Так же аттач с логом является запакованным файлом, и многие антивирусы могут среагировать на этот факт.

Если я ошибаюсь - поправьте меня.

PS:Стоимость пинча (последней версии, т.к. старые билдеры уже есть в свободном доступе)составляет $20, так что игроки, вложившие реал и/или не один месяц своего времени, должны озаботиться своей безопасностью.