Актуальный Актив

Электронная почта прочно вошла в нашу жизнь и для многих людей стала неотъемлемой частью их privacy — жизни личной. Проблема конфиденциальности переписки намного более актуальна, чем кажется. Надеюсь, что все наслышаны о системе "Эшелон". Это комплекс программно-аппаратных средств по слежению и анализу электронных писем на предмет содержания "угрожающих слов" (threating words): взрывчатка, шпионаж, конспирация, группировка и т.п.
Я сам недавно столкнулся с очень странной проблемой в процессе переписки с человеком из такой благополучной страны, как Канада. Я задал ему пару щепетильных вопросов, и поздно вечером раздался телефонный звонок — этот человек раздраженно интересовался наличием содержимого в моей голове. Оказывается, в Канаде следят все и за всеми... Доступность письма для чужих глаз — первый случай нарушения пресловутой privacy. Остальные два случая — это отсутствие гарантии, что письмо отправил тот, чья подпись стоит под сообщением, и невозможность остаться полностью анонимным.

Письмо от Билла Гейтса?
Нередко возникает ситуация, когда необходимо удостовериться в том, что письмо получено именно от того, чью подпись можно лицезреть в сообщении. Например, вы получили письмо от Билла Гейтса, в котором он просит прекратить использовать нелицензионную копию Windows 98. И то, что в поле From черным по серому значится billgates@microsoft.com, еще ни о чем не говорит — некий шутник преспокойно мог написать в этом поле все, что угодно.
Следует знать, что каждое электронное письмо содержит служебную информацию, которая находится в RFC-822 header — в заголовке письма. Эта часть письма "читается" почтовыми серверами и содержит информацию об ip-адресе отправителя, кому письмо предназначено, через какой сервер отправлено, кодировку, приоритет и многое-многое другое. Большая часть почтовых клиентов эту информацию не показывает, но ее можно всегда просмотреть при помощи любого текстового редактора или включив соответствующую опцию в почтовом клиенте. Например, в TheBat надо пройти в View \RFC-822 headers или же просто нажать Ctrl+Shift+K. Итак, опция включена — и вот что предстает нашему взору:
Return-Path: <billgates@microsoft.com>
Received: by hellfire.mail.lv (8.9.3/8.9.3) with ESMTP id TAA01552
for <Strike_1@mail.lv>; Wed, 8 Aug 2001 19:40:58 +0300 (EEST)
Received: from billgates.microsoft.com ([217.148.192.76)
by hellfire.mail.lv with esmtp (Exim 3.14 #1)
id 15UQA2-0004qr-00
for Strike_1@mail.lv; Wed, 08 Aug 2001 14:02:30 +0400
Date: Wed, 8 Aug 2001 20:47:41 +1100
From: =?win-1251?B?4c7E0sXK?= <billgates@microsoft.com>
X-Mailer: Outlook 5.0
Reply-To: =?win-1251?B?4c7E0sXK?= <billgates@microsoft.com>
X-Priority: 3 (Normal)
Message-ID: <13318394849.20010808204741@microsoft.com>
To: Strike_1@mail.lv
Subject: You bastard!!!
Mime-Version: 1.0
Content-Type: text/plain; charset=win-1251
Content-Transfer-Encoding: 8bit
Мда-а... многовато всего, не правда ли? Попытаемся разобраться...
Итак: Return-Path — это адрес, на который будет (если будет) послан ответ. Поля Recieved — путь, по которому прошло письмо. Hellfire.mail.lv — адрес сервера-получателя. А вот следующее поле уже содержит информацию о самом отправителе: from billgates.microsoft.com. Здесь отражены имя машины и уникальный ip-адрес, с которого пришло письмо. Если имя домена-отправителя не имеет ничего общего с microsoft.com — стоит засомневаться в подлинности сообщения. Но эту строку тоже можно подделать! В Windows 95 для этого надо исправить поля Host и Domain, которые находятся в Control Panel\Network\TCP/IP Properties\DNS Configuration. Именно поэтому наибольшую важность представляет собой именно IP-адрес.
Теперь следует определить соответствие имени цифровому адресу. Воспользуемся для этого программой CyberKit. (по устоявшейся традиции она покоится на нашем компакте). Набираем цифровой адрес и нажимаем NS Lookup. Если имя определилось и полученный результат не соответствует искомому — не что-то.microsoft.com, а нечто вроде dialup76.sakhalintelecom.ru или pp303.telecom.ru, — то это означает, что отправитель пользовался dial-up и услугами российского провайдера.
Иногда адрес никак не желает определяться. В таком случае надо воспользоваться функцией TraceRoute из той же утилиты. TraceRoute прослеживает путь от вашего компьютера до указанного IP-адреса (он будет последним в списке узлов). Если опять IP не захочет определяться, то можно будет взглянуть на последний из определившихся узлов. Возможно, он покажет приблизительное географическое расположение искомого сервера.

Пишите письма...
Даже у вполне законопослушного гражданина может возникнуть ситуация, кода необходимо на 100 процентов остаться анонимным; скажем, высказывая мнение начальнику ФБР. Очевидно, что просто вписать vasya@pupkina.net в поле From явно недостаточно, а значит, придется прибегать к помощи римэйлера (remailer) или анонимайзера (anonymizer). Эти труднопроизносимые слова скрывают под собой названия полезных служб. Первая служба — римэйлеры. Это компьютер, переправляющий полученное сообщение по указанному адресу. При подобной переадресации все заголовки изменяются таким образом, что конечный получатель лишен возможности узнать автора письма. Надо заметить, что, как и в случае с прокси-серверами, спецслужбы, получив решение суда, могут заявиться лично к владельцу сервера и потребовать, чтобы тот открыл лог-файлы. Опять же по аналогии с прокси-серверами можно использовать цепочку римэйлеров. Если вы пользуетесь web-интерфейсом при отправке почты, то необходимо отключить использование cookies и пользоваться анонимным (т.е. скрывающим ваш ip) прокси-сервером.
Но вернемся к нашим бар.. римэйлерам. Многие из подобных служб оставляют пометку в заголовке, что сообщение анонимно. Самая известная из подобных служб — replay.com. На момент написания статьи сервер был неработоспособен, но эта служба проверена временем. Надеюсь, что вскоре сервис станет доступным вновь (просто обязан это сделать). В Интернете много служб по отправке анонимных писем: чаще всего они выглядят как простые веб-мэйлеры, просто не требуют авторизации пользователей и не сохраняют никакой информации о вас (разумеется, при отключенных cookies). В качестве примера приведу www.geocities.com/Area51/2868/remail.html. Но для начала, особенно если найдете новую службу, отправьте сообщение себе, соблюдая все возможные меры предосторожности, и внимательно проанализируйте заголовок RFC-822.
Если нет желания использовать (или нет доверия к www) веб-сервисы, можно воспользоваться программкой AnonyMail (http://zhenya2000.boom.ru/Anonymail.zip). Для отправки сообщения через эту программу надо заполнить в ней поля From, To и Subject (надеюсь, что здесь проблем не возникнет), а также не забыть про поле Host. Здесь надо указать адрес SMTP-сервера, через который будет отправлена почта. Вся хитрость в том, что в подавляющем большинстве случаев протокол SMTP (напомню, что это — протокол отправки почты) не требует авторизации пользователя. Из этого следует, что можно воспользоваться практически любым хостом; исключения составят сервера, администрируемые параноиками... Недостатки тоже есть. Самый главный — ip вашей машины по-прежнему "светится" в header сообщения. А в полученном сообщении поле To превратится в Apparently-To.

All I wanna say...
Эта статья, надеюсь, будет далеко не последней в цикле "антишпионских" материалов. Способы, перечисленные здесь, не являются панацеей — ее вообще не существует. Можно использовать PGP, но и этот алгоритм реверсируется (говоря проще, взламывается). Будьте осторожны на просторах Сети...

Ковалев Андрей aka Dronе

I-Worm.Sircam
Впервые Интернет-червь Sircam был обнаружен 17 июля 2001 года. С этого момента буквально за несколько дней он заполонил весь мир. Не стал исключением и Рунет. Что же послужило причиной такого молниеносного распространения червя? Чем он отличается от своих аналогов? Постараемся разобраться...

Распространение
Распространяется вирус как все обычные Интернет-черви: вы получаете письмо с определенным текстом и вложенным файлом. Причем вложенный файл — разговор особый. Sircam является неким подобием червя-шпиона. Он ищет на зараженном компьютере папку “Мои Документы”, затем выбирает случайный doc-файл. И аттачит оный, но уже зараженный, в само письмо, после чего отсылает подобные письма всем, кто есть в адресной книге. Уже другой пользователь получает письмо с текстом: "Hi! How are you? I send you this file in order to have your advice" или "I hope you can help me with this file that I send", иногда вирус ругается и так: "I hope you like the file that I send you". И уж в совсем редкостных случаях: "This is the file with the information that you ask for See you later. Thanks".
Попав на новый компьютер, вирус открывает вложенный файл, и происходит заражение. Процесс повторяется заново. Червь также способен заражать компьютеры в сети. Сначала он ищет все “общие” ресурсы, далее, если таковые найдены и доступны для записи, червь пишет свое тело в папку \[share]\recycled\. Файл будет называться SirCam32.exe. В файл же \\[share]\autexec.bat добавляется новая строка: "@win \recycled\SirC32.exe", т.е. в следующий раз после перезагрузки компьютера произойдет заражение.

Вредные действия
1. Рассылка случайных doc-файлов всем, кто есть в адресной книге. Только представьте, какой урон понесли компании, чьи документы были отправлены неизвестно кому.
2. Шестнадцатого октября в одном случае из 20 либо же в любой день в году, но с шансом 1 к 50, червь сотрет все содержимое жесткого диска, на котором установлена Windows.
3. После "обычного" стирания тела червя пользователь сталкивается с невозможностью запуска exe-файлов.

Удаление
В связи с эпидемией червя заваленные сотнями писем пользователей с сообщением, что обнаружен вирус, а также тем, что после “лечения” ранними версиями антивирусов (тот же АВП) запуск exe-файлов на компьютере становился практически невозможным, антивирусные компании пошли на отчаянный шаг — выпустили специальные бесплатные программы-утилиты, удаляющие червя из системы. Но если вы любите все делать своими руками (да и программы далеко не всегда корректно работают), тогда прочитайте инструкцию по ручному удалению вируса чуть ниже. Вы увидите, что это совсем несложно. Зато теперь сможете похвастаться перед друзьями: “Я вирус вручную без всяких антивирусов вылечил...” Итак, приступим.
1. Если компьютер находится в сети, перекройте доступ ко всем “общим” ресурсам данного компьютера, дабы избежать нового заражения.
2. Запускаем программу RegEdit (Пуск\Выполнить\Regedit). Далее:
— удаляем ключ HKLM\Software\SirCam;
— удаляем программу Driver32 из HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices;
— изменяем значение HKCR\exefile\shell\open\command на "%1" %*.
Все. На этом самая “страшная” часть закончена. Осталось совсем чуть-чуть.
3. Открываем файл autoexec.bat тем же "Блокнотом" и удаляем строчку ‘@win \recycled\sirc32.exe’.
4. Заходим в директорию Windows и переименовываем файл run32.exe в rundll32.exe.
5. После перезагрузки ищем и удаляем зараженные exe-файлы: SCam32.exe, SirC32.exe, ScMx32.exe, Microsoft Internet Office.exe и sircam.sys.

Компьютер чист
И напоследок небольшой совет: если вы все же, следуя совету антивируса, удалили все “червивые” файлы и компьютер перестал запускать exe-шники (даже regedit), то временно переименуйте нужный exe-шник (regedit.exe) в com-файл (regedit.com). Должно работать. Затем отредактируйте нужные ветки в реестре и переименуйте файл обратно. И запомните: НЕ запускайте файлы из подозрительных писем!