Шпаргалка: Хакерские штучки

К вопросу о CMOS SETUP

Вот еще один наглядный пример лазеек для спецслужб. Почти любой
компьютер имеет возможность установить пароль на вход. Но мало кто

знает, что специально для спецслужб (разработчиками BIOS) были со-
зданы универсальные пароли, открывающие вход в любой компьютер.
Вот примеры:

- AWARD BIOS: AWARD_SW, Ikwpeter, Wodj, aPAf, j262, Sxyz,
ZJAAADC

- AMI BIOS: AMI, SER, Ctrl+Alt+Del+Ins (держать при загрузке,

иногда просто INS)
Естественно, что вводить пароль нужно в соответствии с регистром букв.

Программы, авторизующиеся в Online

В последнее время все чаще стали появляться программы, которые про-
веряют через Интернет, зарегистрирована ли данная копия программы.
Вернее, когда пользователь работает в Интернет, они незаметно это про-
веряют, а потом радуют сообщением о том что используемая копия не-
легальна. Наглядный тому пример - Bullet Proof FTP. Но это еще не
все. Существует мнение, что такие программы, как, например, операци-
онная система Windows, способны как бы следить за всем, что происхо-
дит в компьютере (либо сами, либо по команде из Интернет), и отправ-
лять все собранные данные своим разработчикам. Не так давно
разразился скандал, когда выяснилось, что один известный FTP-клиент
отправлял все вводимые имена и пароли своим разработчикам. Так что
будьте бдительны!

Клавиатурные шпионы

Клавиатурные шпионы - это программы, запоминающие, какие клави-
ши были нажаты в ваше отсутствие, то есть - что творилось на вашем
компьютере, пока вас не было в офисе. Для этого все, что набирается
на клавиатуре, заносится специальной программой в текстовый файл.
Так что набранный на компьютере в бизнес-центре или интернет-кафе
текст может без особых проблем стать достоянием владельца такого
компьютера. Технически эта операция выполняется классом программ,
называемых keyboard loggers. Они разработаны для разных операцион-
ных систем, могут автоматически загружаться при включении компью-
тера и маскируются под резидентные антивирусы или еще что-нибудь
полезное.

Самая лучшая из опробованных программ, Hook Dump 2.5
(http://www.geocities.com/SiliconValley/Vista/6001/hookdump.zip или
http://www.halyava.ru/ilya/, для Win 3.1 и Win 95) может автомати-
чески загружаться при включении компьютера, при этом никак не
проявляя своего присутствия. Набранный на клавиатуре текст, назва-
ния программ, в которых набирался текст, и даже скрытый пароль в
Dial-Up Networking, который вообще не набирался - все записывает-
ся в файл, расположенный в любой директории и под любым именем.
Программа имеет много настроек, позволяющих определять нужную
конфигурацию.

Защита от ПЭМИН

Нужно помнить, что за счет побочных электромагнитных излучений
и наводок (ПЭМИН) можно считывать информацию с монитора компь-
ютера (разумеется, с помощью специальных технических средств) на
расстоянии до 200 метров, а то и больше. Также можно считывать ин-
формацию с процессора, клавиатуры, винчестера, дисковода (когда они
работают, естественно). Поэтому все криптосистемы становятся почти
бессмысленными, если не принять соответствующих мер защиты. Для
защиты от ПЭМИН рекомендуется применять генераторы белого шума
(в диапазоне от 1 до 1000 МГц) типа ГБШ-1 или Салют. Их (а также
другие интересные вещи) можно приобрести в фирмах, торгующих
спецтехникой. А можно заняться творчеством и сделать их самостоя-
тельно, используя схемы из популярной книги "Шпионские штучки"
(в Москве ее можно приобрести, например, в СК "Олимпийский" или
на радиорынке в Митино).

Пейджинговая безопасность

Пейджер стал для многих незаменимым средством оперативного обще-
ния. Но мало кто знает, что технология пейджинга позволяет организо-
вать прослушивание (мониторинг) пейджинговых сообщений с помощь
несложной аппаратуры (сканер+компьютер+соответствующее про-
граммное обеспечение). Поэтому пейджинговые компании контролиру-
ются не только ФСБ, ФАПСИ и прочими силовыми подразделениями,
но и всеми, кому не лень, в том числе криминальными структурами
и новоявленными Джеймс Бондами в лице отечественных фирм, зани-
мающихся так называемой защитой информации.

Электронная почта
Получение E-mail

Иногда у пользователя возникает ситуация, когда хотелось бы выявить
реального автора полученного сообщения. Например, получено сообще-
ние от вашей жены, в котором она пишет, что уходит к другому. Вы
можете либо вздохнуть с облегчением, выпить на радостях рюмку-дру-
гую и отправиться с друзьями на дачу праздновать это событие, либо
попытаться выяснить, не является ли это чьей-то шуткой.

Ваши друзья могли легко изменить поле From в отправленном сообще-
нии, поставив туда вместо своего обратного адреса хорошо известный
вам адрес вашей жены, например [email protected]. Как это делается,
можно прочесть в разделе "Отправление e-mail". Так что стоящая перед
нами задача сводится к следующему: определить, соответствует ли ука-
занный адрес отправителя адресу, с которого в действительности было
отправлено сообщение.

Итак, каждое электронное сообщение содержит заголовок (header), ко-
торый содержит служебную информацию о дате отправления сообще-
ния, названии почтовой программы, IP-адресе машины, с которой было
отправлено сообщение, и так далее. Большинство почтовых программ
по умолчанию не отражают эту информацию, но ее всегда можно уви-
деть, открыв с помощью любого текстового редактора файл, содержа-
щий входящую почту, или используя функцию почтовой программы,
позволяющую просматривать служебные заголовки (как правило, она
называется Show all headers). Что же видим?

Received: by geocities.com (8.8.5/8.8.5) with ESMTP id JAA16952

for ; Tue, 18 Nov 1997 09:37:40 -0800 (PST)
Received: from masha.flash.net (really [209.30.69.99])

by endeavor.flash.net (8.8.7/8.8.5) with SMTP-id LAA20454

for ; Tue, 18 Nov 1997 11:37:38 -0600 (CST)
Message-ID: <3471 [email protected]>
Date: Tue, 18 Nov 1997 11:38:07 -0600
From: [email protected]
X-Mailer: Mozilla 3.02 (Win95; U)
MIME-Version: 1.0
To: [email protected]
Subject: I don't love you any more, you *&$%# !!!!

Да, много всякого. Не вдаваясь в технические подробности, в общих
чертах: заголовки Received сообщают путь, который прошло сообщение
в процессе пересылки по сети. Имена машин (geocities.com,
endeavor.flash.net) указывают на то, что сообщение, скорее всего, при-
шло к вам в geocities.com из домена вашей жены flash.net. Если имена
машин не имеют ничего общего с flash.net (например, mailrelay.tiac.net),
это повод задуматься о подлинности сообщения. Но самая главная стро-
ка для нас - последняя из строк, начинающихся со слова Received:

Received: from masha.flash.net (really [209.30.69.99])

Она отражает имя машины (masha.flash.net) и уникальный IP-адрес,
с которого было отправлено сообщение. Указанный домен (flash.net) со-
ответствует адресу вашей жены. Впрочем, ваши друзья могли подделать
и строку masha.flash.net (в Windows 95 это делается через Control
Panel=>Network=>TCP/IP Properties=>DNS Configuration, указав
masha и flash.net в полях Host и Domain соответственно), поэтому важ-
но определить имя, соответствующее данному IP-адресу: 209.30.69.99.

Для определения имени, соответствующего цифровому адресу, можно
воспользоваться одной из доступных программ, например WS-Ping32
(http://www.glasnet.ru/glasweb/rus/wsping32.zip), а лучше CyberKit
(http://www.chip.de/Software/cyber.zip). Набрав цифровой адрес, даем
команду NS LookUp (Name Server Lookup) и смотрим на полученный
результат. Когда имя определено, дальше все просто: если получено что-
либо похожее на рррЗОЗ-flash.net или p28-dialup.flash.net, то сообщение
отправлено вашей женой (или кем-то, имеющим почтовый адрес во
Flashnet, но выяснить это подробнее уже нельзя). Если указано нечто
весьма далекое от flash.net - скорее всего, отправляла сообщение не
ваша жена. Иногда адрес не определяется. В этом случае можно вос-
пользоваться функцией TraceRoute той же программы. Эта функция
поможет проследить путь от вашей машины до указанного IP-адреса.
Если этот адрес (он будет последним в списке узлов, через которые сиг-
нал прошел от вашего компьютера до компьютера с указанным IP-адре-
сом) снова не определяется, то последний из определенных по имени
узлов все-таки укажет на примерное географическое положение компь-
ютера отправителя. Еще более простым и изящным способом определе-
ния страны и даже названия провайдера или сети является использова-
ния вот этого адреса:

http://www.tamos.com/bin/dns.cgi

Итак, в результате получилось что-то вроде Brasilian Global Network.
Ваша жена не бывала последнее время в Бразилии? Нет? Ну, тогда она
от вас и не уходила. Вас разыграли. Будьте бдительны!