Виды хакерской деятельности

Обслуживание рекламного и спам-бизнеса — один из основных видов деятельности таких хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби-машин» поступает на “черный” интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.

Вторым видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет — то и с корпоративных) «электронных кошельков» или с обслуживаемых через интернет банковских счетов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».

Третьим видом криминальной деятельности этой группы является интернет-рэкет, т. е. организация массированной DoS-атаки на один или несколько интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают интернет-магазины, букмекерские конторы — т. е. компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.

Вирусы, созданные этой категорией «писателей», становятся причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонентов.

Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.

Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.

       По исследованиям, произведенным на сайтах антивирусных программ сейчас оных насчитывается более 20 тысяч и это с начала появления компьютера – всего лишь за 37 лет и каждый день появляется от 6 до 9 новых вирусов в день. Поэтому люди начали ограждать компьютеры от такой информации. Поэтому и появились антивирусы и фаерволы.

       В 1969 году в США была создана первая глобальная компьютерная сеть, прародитель современной Интернет, ARPANET (Advanced Research Projects Agency Network). Она объединяла четыре ведущие научные центра США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус, умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением "I'M THE CREEPER: CATCH ME IF YOU CAN". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути, это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.

       В 1984 году вышли в свет первые антивирусные программы - CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс (Andy Hopkins). Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность.

Первую настоящую глобальную эпидемию вызвал в 1986 году вирус Brain. Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска на "(с) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain - умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора (так называемая стелс-технология). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.

В этом же году произошло еще одно знаменательное событие. Немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem, был продемонстрирован на форуме компьютерного андеграунда - Chaos Computer Club (декабрь 1986 года, Гамбург, ФРГ). По результатами исследований Бюргер выпустил книгу "Computer Viruses. The Disease of High Technologies", послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.

В следующем 1987 году был написан первый по-настоящему вредоносный вирус - Lehigh. Он вызвал эпидемию в Лехайском университете (США), где в то время работал Фрэд Коэн. Lehigh заражал только системные файлы COMMAND.COM и был запрограммирован на удаление всей информации на инфицированном диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.

Mike RoChenle - псевдоним автора первой известной вирусной мистификации. В октябре 1988 года он разослал на станции BBS большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.

В ноябре 1988 года случилась глобальная эпидемия червя Морриса. Небольшая программа, написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. С целью незаметного проникновения в вычислительные системы, связанные с сетью ARPANET, использовался подбор паролей (из списка, содержащего 481 вариант). Это позволяло маскироваться под задачу легальных пользователей системы. Однако из-за ошибок в коде безвредная по замыслу программа неограниченно рассылала свои копии по другим компьютерам сети, запускала их на выполнение и таким образом забирала под себя все сетевые ресурсы. Червь Морриса заразил по разным оценкам от 6000 до 9000 компьютеров в США (включая Исследовательский центр NASA) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями. Роберт Моррис также стал первым человеком, осужденным за написание и распространение компьютерных вирусов - 4 мая 1990 года состоялся суд, который приговорил его к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.

Примечательно, что в том же году, когда случилась эпидемия червя Морриса, известный программист Питер Нортон (Peter Norton) высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.

Тогда же, в 1988, вышла первая широко известная антивирусная программа английским программистом Аланом Соломоном (Alan Solomon) и называлась Dr. Solomon's Anti-Virus Toolkit. Она завоевала огромную популярность и просуществовала вплоть до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI).

В декабре 1989 года разразилась первая эпидемия троянской программы - Aids Information Diskette. Ее автор разослал около 20000 дискет с вирусом по почтовым адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на указанный адрес. Автор троянца, Джозеф Попп, признанный позднее невменяемым, был задержан в момент обналичивания чека и осужден за вымогательство. Фактически, Aids Information Diskette - это первый и единственный вирус, для массовой рассылки, использовавший настоящую почту.

В том же году был обнаружен вирус Cascade, вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации Евгения Касперского на создание программ-антивирусов, будучи обнаруженным, на его рабочем компьютере. Уже через месяц второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса -V, который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.

Вскоре после этого, в конце 1990, несмотря на громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, вышла первая версия антивирусной программы Norton AntiVirus.

Первый общедоступный конструктор вирусов VCL (Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов для операционной системы MS DOS, появился в июле 1992 года. Начиная с этого момента, любой человек мог легко сформировать и написать вирус. Этот год также положил начало эпохи вирусов для Windows - был создан первый вирус, поражающий исполняемые файлы Microsoft Windows 3.1. Однако поскольку Win.Vir эпидемии не вызвал, его появление осталось практически незаметным.

OneHalf, очень сложный вирус, обнаруженный в июне 1994 года, вызвал глобальную эпидемию во всем мире, в том числе в России. Он заражал загрузочные сектора дисков и COM/EXE-файлы, увеличивая их размер на 3544, 3577 или 3518 байта, в зависимости от модификации. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету - следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение "Dis is one half. Press any key to continue...", выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. Популярности этого вируса в России поспособствовала компания Доктор Веб, которая выпустила новую версию своего антивируса, анонсировав его как средство от OneHalf. Однако на практике после лечения загрузочных секторов от этого вируса, Dr.Web забывал расшифровать информацию на диске и восстановить ее было уже невозможно.

Следующий год запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии выпуска новой операционной системы Windows 95, была разослана демонстрационная дискета, зараженная загрузочным вирусом Form. Копии этого диска получили 160 бета-тестеров, один из которых не поленился провести антивирусную проверку. Вслед за Microsoft отличились журналы PC Magazine и Computer Life, которые разослали своим подписчикам дискеты, зараженные загрузочными вирусами Sampo и Parity_Boot соответственно.

В августе 1995 появился Concept - первый вирус, поражавший документы Microsoft Word.

До февраля 1997 года считалось, что операционная систем Linux неуязвима перед вирусами, пока не появился Linux.Bliss. В марте того же года были зафиксированы первые случаи использования возможностей электронной почты - ShareFun, по совместительству первый макро-вирус для MS Word 6/7, распространялся с помощью почтовой программы MS Mail.

Первая утилита удаленного администрирования - BackOrifice, Backdoor.BO - была обнаружена в августе 1998 года. Единственное ее отличие от обычных программ для удаленного управления - это несанкционированная установка и запуск. Действие утилиты сводилось к скрытому слежению за системой: ссылка на BackOrifice отсутствовала в списке активных приложений, но при этом зараженный компьютер был открыт для удаленного доступа. Фактически, на зараженные компьютеры предоставлялся свободный вход для других вредоносных программ. Впоследствии возник целый класс вирусов - червей, размножение которых базировалось на оставленных BackOrifice дырах.

       Август 2000 года ознаменовался завоеванием вирусами мобильных устройств - вирус Liberty заражал карманные компьютеры Palm Pilot с операционной системой PalmOS.

       Таким образом, как мы видим, вирусы размножаются не по дням, а по часам захватывая все новые территории - сначала это были загрузочные сектора, потом оперативная память, жесткий диск и сменные носители, а теперь активно захватывается территория мобильных платформ. Но также создаются и антивирусы и фаерволы (по закону физики – на действие всегда найдется противодействие).

Антивирусы

       На данный момент защит очень много, но все ли они хороши? Многие пользуются Антивирусом Касперского, считая его залогом безопасности, некоторые пользуются Антивирусом “Panda”, а кто-то предпочитает “Доктор Web”. Мнений много, как и рекомендаций на то, что все эти антивирусы тоже хороши само собой хорошо, но ничто не спасет от вируса написанного ПРОФЕССИОНАЛОМ и только вчера выпущенного в интернет. С таким вирусом будут мучаться неделю или больше - меньше, в зависимости от профессионализма вирусописателя. Вторую часть защиты составляет фаервол или как его зовут по научному – брендмаузер. Брендмаузеров немного, но все они хороши в бою за свой компьютер. Но не думайте, что если брендмаузер хорош, то его не возможно обойти. Брендмаузер такая же программа и написала людьми, а им свойственно ошибаться. Хороши фаерволы Outpust Firewall Pro и наш незабвенный Брендмаузер Касперского но они программые а значит их код все таки можно как ни будь но изменить (теоретически это возможно и многие доказали это на практике). Гораздо лучшую защиту представляют аппаратные фаерволы, но есть но. Весомое но. Такие фаерволы вшиваются в дорогие высокоскоростные модемы, так что если вы сидите на Dial-up’е то не надейтесь что там, в модемной коробке окажется фаервол и спасет вас в случае чего, нет. Однако в противовес цене такие фаерволы отличаются незавидной стойкостью и очень мало кому под силу взломать такую защиту (если вас заказали, то никакая защита не спасет – вас все равно взломают, а остальное лишь вопрос времени), но как я сказал программы, пишут люди, отсюда вывод додумайте сами.

       Запомните, нет такой защиты, которая давала бы 100% защиту, а если такие появятся, говорите их авторам в глаза что они лжецы. Существуют и вообще малоизвестные, но чрезвычайно полезные программы по проверке защиты как Xspider на данный момент вышла v.7,5. Список программ я предоставлю в конце а также их инсталляторы можно будет найти в архиве. Xspider сканер портов на уязвимости используемые из библиотек. Он просканирует ваш компьютер и составит список уязвимостей, но самое главное предоставит советы как их исправлять. Минус данной программы то, что в демо-версии:

1. Отсутствует система ежедневного онлайнового обновления

2. Отсутствуют потенциально опасные проверки на DoS-уязвимости

3. Проверки содержимого Веб серверов на предмет SQL инъекций, инъекций кода, получения файлов и т.д. не содержат детали

4. Отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы

5. Отсутствуют проверки, связанные с использованием различных словарей

6. Планировщик заданий имеет полноценный интерфейс, но не сохраняет созданные расписания

7. Генерируемые отчеты содержат только резюме по реальному сканированию, в теле отчета — стандартный демонстрационный фрагмент

8. История сканирований доступна только для общего просмотра, старые результаты нельзя использовать для последующей работы.

А интерфейс Xspider 7.5 выглядит очень приятно!

В меню “Файл” находятся

· Создать (в смысле новую задачу – открывается еще одно окно).

· Открыть (сохраненную ранее задачу).

· Сохранить.

· Сохранить как…

В меню “Правка” находятся

· Добавить хост (вводим IP-адрес проверяемого компьютера).

· Удалить хост (удалить введенный IP-адрес).

· Добавить диапазон (если компьютер находится в сети то можно ввести диапазон адресов, причем первые три нижних окошка копируют данные из трех верхних окошек, а четвертое окно остается белым, вот там и вводим диапазон(0-255)).

· Мастер добавления хостов (Мы можем задавать параллельное сканирование разных IP-адресов)

В меню ”Вид” находятся

· Сканирование

· Уязвимости

· История сканирования

В меню ”Профиль” находятся

· Редактировать

· Выбрать

· Новый

· Удалить

Остальное все стандартно. В меню ”Сервис” находятся настройки отчетов и настройки программы. В настройках находятся 3 вкладки: “Обновление”, “Протокол обновлений” и “Общие”, он, так как у меня стоит демо-версия то, думаю, что, и настройки тоже урезаны.

Теперь перейдем к проверке компьютера на предмет так называемых “дыр”.

Запустить проверку проще простого, для этого надо в меню “Правка” выбрать меню “Добавить хост” Потом вводим IP-адрес проверяемого компьютера. Можно также проверять сайты для этого вместо IP-адреса можно вводить адрес самого сайта без http://www. Наверное возникнет вопрос: ”А как же узнать IP-адрес?” Для этого в меню пуск - стандартные открываем программу командная строка(Windows XP) и дальше открывается окно и там вводим команду ipconfig . Появится несколько строчек, та, которая начинается “ IP адрес” и нужная нам строка там и значится наш ip-адрес. Переписываем или запоминаем этот адрес и вводим в поле “Введите ip-адрес или доменное имя” потом в меню ”Сканирование” – старт. Процесс сканирования может занимать значительное время в зависимости от загруженности сайта и скорости канала. У меня проверка в первый раз выдала огрехи настройки системы а некоторые порты оказалисьзаблокированными. Если у вас так же то не пугайтесь – часть обязанностей по охране берет антивирус, он же и блокирует порты – так безопастней.

А цена лицензионной версии составляет примерно …. в общем, она очень большая и переваливает за 10 тысяч рублей. Также есть другие сканеры портов, но они для профессионалов и вам пока недоступны (Пример:Nmap).