Журнал «Компьютерра» № 17 от 8 мая 2007 года
Шрифт:
Большие сети компьютеров-зомби формируются, как правило, вследствие распространения червей, использующих свежую уязвимость или просто талантливо (в определенном смысле) написанных, так что создать свой ботнет "на ровном месте" могут немногие. И те, кто не в состоянии сформировать сеть с нуля, но испытывают в ней настоятельную потребность, иногда приобретают уже готовый ботнет или «уводят» его у своих "коллег". Для этих целей даже разработаны специальные хакерские утилиты.
Децентрализация ботнетов в случае со SpamThru – не единственное новшество в организации зараженных сетей. Уже в 2007 году представители компании Apbor Networks заявили, что им удалось обнаружить несколько ботнетов, не использующих IRC-каналы. Вместо этого боты связывались по не вызывающим подозрений веб-соединениям. В случае с такими сетями становятся неэффективными алгоритмы многих IPS/IDS-систем, выявляющих вторжения по подозрительной IRC-активности. А чтобы опознать контактирующих через веб ботов, необходимо задать в сигнатурах, то есть в профилях атак в IDS/IPS, конечные адреса обращений ботов или команды управления сетью зомби. Разумеется, этих данных у специалистов по безопасности зачастую нет.
И наконец, в марте о свежей возможности организации ботнетов сообщил Билли Хоффман, сотрудник компании SPI Dynamics. Он написал на JavaScript приложение Jikto, которое позволяет заставить зараженные компьютеры искать дыры на сайтах и в случае обнаружения устраивать атаки или красть информацию. В отличие от ранее применявшихся хакерами сканеров уязвимостей, Jikto работает непосредственно через браузер. Скрипт получает команды от своего разработчика, не оставляя следов пребывания на компьютере-зомби, и делает практически невозможным обнаружение виновника атаки, так как сканирование фактически осуществляют сами пользователи зараженных машин. Хозяин может отдавать Jikto приказы, сообщая, какой сайт и на какого рода уязвимость нужно проверить.
Код Jikto можно подхватить как на сайте самого хакера, так и на других ресурсах в случае их взлома с использованием дыры в XSS. Запускается скрипт практически на любом браузере в тайне от пользователя и не может быть обнаружен антивирусом. Появление таких аналогов в руках злоумышленников тоже представляет собой глобальную угрозу, хотя бы на первый взгляд. Если наличие пропатченного браузера, антивируса с обновленными базами, эффективного спам-фильтра и правильно настроенного файрволла делает риск зомбирования компьютера через троянца или червя относительно низким, то против Jikto, как и любого другого вредоносного JavaScript-скрипта, буде такой появится, все эти средства бессильны.
Сам Хоффман полагает, что его творение кардинально меняет представление о возможностях JavaScript, и собирается продемонстрировать Jikto на конференции Black Hat в Лас-Вегасе этим летом. Есть, правда, надежда, что хакеры со скепсисом отнесутся к детищу Хоффмана из-за сравнительно низкой скорости его работы в качестве сканера уязвимостей. Такие мнения уже встречаются на некоторых форумах. А что касается возможности скрыть личность злоумышленника, то аналогичного эффекта можно достичь, использовав в ботнете цепочку из прокси-серверов.
ОПЫТЫ: Параноидальный бэкап
Автор: Филипп Казаков
Так и подмывает начать тему с традиционного занудства о необходимости резервного копирования, печальных последствиях утраты информации, бренности жестких дисков и прочих страшилках, приправленных парой примеров «из жизни» о пропавшей за день до сдачи дипломной работе. В действенности подобные занудства сродни советам переходить улицу на зеленый свет, вовремя ложиться спать, делать зарядку по утрам, бросить курить и стать, наконец, человеком. А потому, хоть и хочется вставить пару нравоучительных абзацев, я волевым усилием воздержусь.
Давайте будем считать, что читатель уже проникся всей важностью задачи резервного копирования информации, и даже более того – проникся так глубоко, что это стало для него процессом совершенно естественным, как бы даже само собой разумеющимся, в результате чего он, будучи лишен возможности сделать очередной бэкап своей рабочей флэшки, чувствует себя неуютно. С позиции такого вот пользователя, сочувственно называемого "информационным параноиком", мы рассмотрим возможности создания сложных бэкапов в домашних условиях под Windows XP.
Среднестатистическую юзерскую информацию можно условно разделить по критерию «бэкапируемости» на три категории:
• Операционная система и программы.
• Долговременные хранилища.
• Актуальные рабочие данные.
Операционная система и программы – здесь подразумевается создание резервной копии рабочей ОС со всеми программами и персональными настройками. Конечно, если компьютер используется, к примеру, лишь для игр и работы с документами, подобные сложности излишни – в случае сбоя системы ее не составит труда переустановить. Но у меня и, уверен, у многих читателей «Компьютерры» рабочая операционная система представляет собой если не произведение искусства, то уж как минимум результат большого труда. Со времени установки ОС обрастает не одной сотней приложений (многие из которых требуют тщательной настройки), драйверами для кучи устройств, горячими кнопками, скриптами, ярлыками, куками браузера и еще тонной других индивидуальных мелочей – на восстановление всего этого хозяйства уйдет уйма времени. Благодаря общей концепции систем семейства Windows, столь нелюбимой приверженцами Linux [Они-то, небось, читая этот абзац, снисходительно улыбаются] и заключающейся в сокрытии от пользователя внутрисистемных процессов, единственный достаточно надежный способ «отбэкапить» рабочую Windows XP – это снять посекторный образ логического диска, на котором она установлена.
Долговременные хранилища – к этой категории относится весь багаж информации, которую пользователь несет с собой сквозь время. Это могут быть дистрибутивы программ, музыка, фотографии, проекты для 3D-моделирования, документы научных докладов – да все, что угодно. Характерная особенность такой информации в том, что она сравнительно редко модифицируется, однако требует надежного резервного копирования, так как обычно представляет собой наибольшую ценность для хозяина, в несколько раз превышающую стоимость всего компьютера, не говоря уж о стоимости жесткого диска.
Актуальные рабоЧие данные – это те проекты, которыми вы заняты в текущий момент времени. Обычно это динамично модифицируемые данные, которые требуют активного (ежедневного) бэкапирования в течение относительно небольшого срока. После завершения проекта все бэкапы можно смело отправлять в корзину.
Как же делать бэкапы? В серьезных системах в некоторых случаях все еще используются магнитные ленты. Для дома стримеры невыгодны по соотношению цена/объем, да и неудобны в эксплуатации, так что этот вариант отпадает. Когда-то я делал бэкапы на CD-R, потом на DVD-R, но с тех пор как количество резервной информации перевалило за 100 Гбайт, от болванок пришлось отказаться. Причина проста – поддержание жизнеспособных бэкапов на большом количестве носителей требует жесткого структурирования информации, не говоря уж о мороке с записью болванок, что в какой-то момент стало накладнее, чем покупка дополнительного жесткого диска специально для резервных копий. Помните "информационного параноика"? На самом деле цель бэкапов – оградить вас от подобной незавидной участи. Поэтому бэкапы необходимо организовать так, чтобы они происходили как можно более автономно и после первичной настройки требовали минимум пользовательского внимания. Единственный способ добиться этой цели – использовать в качестве носителя отдельный винчестер. Вместо диска для бэкапа можно, конечно, подумать об отказоустойчивом массиве RAID1 или RAID5, но, обеспечивая практически идеальную защиту от технических сбоев, он не защищает от человеческого фактора, который, как показывает практика, является столь же частой причиной потери данных, что и поломка оборудования.