VernonCody
04.04.2010, 21:53
Привет, all!
Вместо предисловия
Написать эту краткую статью меня подтолкнуло массовое непонимание массами основ сетевой безопасности, а также базовых принципов логики, психологии и социальной инженерии. То тут, то там возникают вопросы из серии «а впн поможет?» или «а прокси спасут?»… В этом эссе, я постараюсь разжевать свою собственную точку зрения, основываясь на собственных знаниях, умениях и личном (!) опыте. Прошу ногами сильно не бить, ибо это моя первая статья на ачате :)
Лирическое отступление в стиле голливудских боевиков
На дворе была осень 1999 года. Мне на тот момент было 17 лет. Жил я на первом этаже обыкновенной пятиэтажки. За окном смеркалось, а я ждал друга, который должен был прийти ко мне в гости. В окно я увидел, как подъехал друг и припарковал свою машину около моего окна. И тут в дверь позвонили. Когда я подошел к двери, у меня в подсознании на мгновение промелькнула мысль о том «а как это он так быстро дошел до двери», но было уже поздно — дверь я открыл. Дальше все разворачивалось очень грустно. В квартиру зашли шесть человек, у одного из них была в руках работающая видеокамера. «Приехали, бля» — подумал я. Окончательно мои сомнения развеялись, когда мне задали вопрос «Ну показывай, где тут у тебя компьютер…». В голове с огромной скоростью замелькали страшные картины и мысли о том, что все, пиздец пришел и он неминуем. Затем голова попыталась понять, а в связи с чем, собственно вся свистопляска?!
Надо сказать, что на тот момент рынок только только начал захватывать обычный диалап, никакими выделенными линиями или ADSL не пахло и в помине, а час работы в сети стоил огромных по тем временам денег — 75р. Естественно, молодой и пытливый ум быстро нашел выход в виде довольно популярного на тот момент троя Back Orifice, кой и был втулен многочисленным физическим и юридическим лицам. Результатом стал бесплатный диалап на скорости в 28.800 — а что еще тогда надо было для счастья? Музыка в форматах .XM, .S3M и .IT лилась мегабайтами, компьютер не выключался ночами и вообще счастью не было предела :) Затем, впаривать трой надоело и мы с друзьями обратили свой взор на одного местного довольно крупного провайдера. Не вдаваясь в технические детали (я уже не помню, ведь 10 лет прошло) нам удалось добыть файлик, кусок дампа базы, содержащий в себе логины и пароли для доступа в сеть примерно 800 клиентов. Полгода мы сидели в сети сами, на этих паролях, затем кто то слил файл в паблик и…
Родители были в шоке, адвокат был у нас через 15 минут, но меня это не спасло :( «Ага, а вот и орудие преступления (компьютер)» — сказал человек в форме. «Ну-ну» — буркнул я. Из толпы принимающих разительно выделялся так называемый «компьютерный эксперт». Парень, ростом метра под два, в огромных очках, сутулый, как и подобает истинному компьютерщику, с деловитым видом уселся за мой комп, запустил нортона и стал шарить по винту. Я же все это время старался понять, хуле им надо. Винда в том время не умела перезванивать при обрыве линии, а посему на компе стояла штука под названием Advanced Dialer, которая восполняла пробелы в винде по этой части. «Обнаружена программа для нестандартного доступа в сеть» — изрек экспет. Я ухмыльнулся. Остальные лица этой трагикомедии вопросительно на него уставились. «Ну», — с важным видом произнес эксперт — «здесь мы можем видеть, что в программе сохранен логин и пароль… и… если мы сверимся с распечаткой, то можем увидеть, что данный логин для доступа в сеть принадлежит… эээ… ООО "******".». Стоит добавить, что на мгновение, жопа у меня покрылась мелкой испариной, потому как на винте был все тот же пресловутый файлик в 800 строк формата «логин:пасс».
Далее мне сообщили, что меня хотят свозить на допрос, а затем сразу обратно. «Ну, ладно» — сказал я — «Поехали». И уехал в СИЗО на две недели. Там я увидел замечательный девайс под названием параша, небо в клеточку (я никогда так не радовался солнцу, которое светило в камеру только на протяжении 15 минут примерно в 16.00) и конечно же деревянные нары. А еще я там подцепил тюремную болезнь, туберкулез :( Мир перевернулся. Первые сутки я был в шоке. Меня пугало даже не то, что меня будут судить, или что посадят. Я думал о том, что ждет меня в тюрьме. Ведь по слухам, беспредел там был знатный. К счастью, я жестоко ошибался. Решив, что лучше ничего не говорить вообще, я молчал. Никаких подъебок не было. По какой статье меня приняли, я тоже не знал. Жопа, поняв, что ей в СИЗО ничего не грозит вроде бы успокоилась, но тут же вспомнила о причинах своего пребывания здесь и в голову снова полезли вопросы. Думал обо всем. Ждал непонятно чего. Сокамерники просвятили, что либо должны мне предъявить обвинение, и избрать меру пресечения (подписка о невыезде, либо арест).
На третьи сутки мне дали подписать какую то бумажку, о том, что мое задержание продлевается еще хрен пойми на сколько, промотивировав тем, что если не подпишу, то получу по почкам. Внимательно прочитав данный документ, я сделал вывод, что страшного в нем ничего нет и подписал. Потом, как выяснилось, эта бумажка ничего в принципе не решала, и сделал я все правильно. С первой передачкой мне приехали продукты, теплое одеяло и книги по компам, которые я попросил привезти. Представляете себе картину — я лежу на нарах на одеяле и читаю «Администрирование TCP/IP сетей»? :) Впрочем, две недели довольно быстро пролетели и я оказался в суде. Там меня ознакомили с делом, и я узнал, что мне вменяются преступления по ст. 272 ч.2 и ст. 165 ч1 (если память не изменяет). Сказали также, что это первый прецедент в России по этим статьям. «Я охуенно рад» — подумал я. Рассмотрев материалы дела а также результаты двух (!) экспертиз (первая в местном университете (почему так не знаю), а вторая в местном УФСБ (!!!)) (системный блок и все носители информации ясен хрен изъяли) — судья вынесла решение — дело закрыто за отсутствием других улик и отзывом заявления от пострадавшей стороны. «Хы!» — подумал я.
Провалявшись дома три дня и отойдя от всей этой эпопеи, я понял, что меня спасло. По той паре логин/пароль, которую нашли в диалере, родители компенсировали все убытки ее владельцу, и он отозвал заяву. А остальные файлы не нашли :) Еще через неделю мне купили новый компьютер и первое, что я сделал — я накатал огромное благодарственное письмо (даже не знаю зачем) Циммерману, в котором сообщил ему, что я ему обязан если не жизнью, то свободой точно, ибо если бы не крипто-контейнер PGP, который автоматически демонтировался по истечении 10 минут неактивности, пока милиционеры обьясняли суть своего визита ко мне домой, то я бы наверно сидел бы и дальше, и наверно значительно больше двух недель.
Мораль такова — не храните любые улики, которые могут вас скомпрометировать, на рабочем столе :)
P.S. Самое забавное, что удалось следователя уговорить отдать мне мой комп обратно, с целью переписать файлы/фотки и т.д. Ну и, ессно, криптоконтейнер со всеми делами я себе тогда тоже вернул :) Делаем перекур и читаем дальше :) Все только начинается.
Это было 10 лет назад, а как дело обстоит теперь?
Вернемся к современным реалиям. Крипто-контейнеры никуда не делись, и я по прежнему настоятельно рекомендую хранить все там и выключить кэш нахрен, либо тереть его при логоффе. Если я возьмусь сейчас писать полномасштабное руководство по действию для параноиков — это займет не один день и не уместится даже на 10 страницах этой ветки. Поэтому, в следующих абзацах я постараюсь все свести к основным вещам, которые максимально обеспечат вашу безопасность.
1. Юзаем крипто-контейнеры
Я рекомендую использовать TrueCrypt для хранения любых вещей, которые могут вас скомпрометировать. Берете любую флэшку, делаете из нее аппаратный контейнер, обязательно юзаете длинные и сложные пароли вроде: Q9)q6rs*k*HVE^c (генерить можно на Maord.com (http://maord.com)). Кроме авторизации по паролю, обязательно юзаем кей-файлы. Например, любую фотку или картинку.
2. Ни в коем случае не работаем из дома
Я думаю, это и так всем давно известно и понятно, но лучше еще раз напомню. Если работаете более менее серьезно, не надо делать этого из дома. Не будьте наивными, не стоит полагать, что прокся или впн вас спасут. Не спасут. Почему так, обьясню ниже.
3. Не советую использовать паблик VPN
Вспоминаем логику и начинаем думать. Вариантов два — первый — вам повезло, и хозяин впна простой парень. Забудьте о том, что пишут «мы не ведем логи». В большинстве случаев, паблик впн сервисы для того и создаются, чтобы вести логи и сниффать ваш трафик, вылавливая из него вкусное и интересное. Вариант второй — вам не повезло, и впн сервис красный. То есть принадлежит милиции. Тут, я думаю, и пояснять ничего не надо — логи на таких сервисах ведутся по умолчанию. Что рано или поздно вам может довольно больно аукнуться. Впн можно юзать либо если он свой, либо если вы очень хорошо лично знаете селлера и у него безупречная репутация (!). Однако и это не может являться гарантией того, что вы в безопасности.
4. Советую использовать мозг
Получилось что то намутить? Поздравляю. Не надо болтать об этом налево и направо в асе, подружке, маме и папе. Не надо бегать и орать о том, какой вы крутой. Не надо бежать в магазин и скупать все, что так давно хотелось. Не надо покупать Порш. Не надо выделяться из толпы. Ваша жизнь, я подчеркиваю, НИКАК не должна измениться с точки зрения окружающих.
5. Мля, а как же тогда быть вообще?
К счастью, сейчас на дворе 21 век и вам судьба уготовила классные подарки, которых увы не было у меня 10 лет назад. Эти подарки — WiFi и нетбуки. Покупаете нетбук, ориентируясь на время работы от батареи. Покупаете ExpressCard 34 WiFi к нему. Выпрямляете руки, паяете к карте внешний разъем. Покупаете внешнюю направленную антенну WiFi, и вуаля. Думаю, вокруг вас довольно много незащищенных или слабо защищенных точек доступа. В паблике полно софта, способного менять мак-адрес карты. Также, не забывайте, весь софт упаковывается в крипто-контейнер, сам ноут ЧИСТ. И работайте удаленно :) Отдел "К" не сможет вас вычислить, ибо такие железки есть только у ФСБ, и то, они смогут только примерно (!) вычислить направление и расстояние до вас. А если работаете из машины, и список операций подготовлен заранее — то как показывает практика, на это уходит не более 5 минут :)
Могу написать еще много статей :) Только подскажите направление :)))
Вместо предисловия
Написать эту краткую статью меня подтолкнуло массовое непонимание массами основ сетевой безопасности, а также базовых принципов логики, психологии и социальной инженерии. То тут, то там возникают вопросы из серии «а впн поможет?» или «а прокси спасут?»… В этом эссе, я постараюсь разжевать свою собственную точку зрения, основываясь на собственных знаниях, умениях и личном (!) опыте. Прошу ногами сильно не бить, ибо это моя первая статья на ачате :)
Лирическое отступление в стиле голливудских боевиков
На дворе была осень 1999 года. Мне на тот момент было 17 лет. Жил я на первом этаже обыкновенной пятиэтажки. За окном смеркалось, а я ждал друга, который должен был прийти ко мне в гости. В окно я увидел, как подъехал друг и припарковал свою машину около моего окна. И тут в дверь позвонили. Когда я подошел к двери, у меня в подсознании на мгновение промелькнула мысль о том «а как это он так быстро дошел до двери», но было уже поздно — дверь я открыл. Дальше все разворачивалось очень грустно. В квартиру зашли шесть человек, у одного из них была в руках работающая видеокамера. «Приехали, бля» — подумал я. Окончательно мои сомнения развеялись, когда мне задали вопрос «Ну показывай, где тут у тебя компьютер…». В голове с огромной скоростью замелькали страшные картины и мысли о том, что все, пиздец пришел и он неминуем. Затем голова попыталась понять, а в связи с чем, собственно вся свистопляска?!
Надо сказать, что на тот момент рынок только только начал захватывать обычный диалап, никакими выделенными линиями или ADSL не пахло и в помине, а час работы в сети стоил огромных по тем временам денег — 75р. Естественно, молодой и пытливый ум быстро нашел выход в виде довольно популярного на тот момент троя Back Orifice, кой и был втулен многочисленным физическим и юридическим лицам. Результатом стал бесплатный диалап на скорости в 28.800 — а что еще тогда надо было для счастья? Музыка в форматах .XM, .S3M и .IT лилась мегабайтами, компьютер не выключался ночами и вообще счастью не было предела :) Затем, впаривать трой надоело и мы с друзьями обратили свой взор на одного местного довольно крупного провайдера. Не вдаваясь в технические детали (я уже не помню, ведь 10 лет прошло) нам удалось добыть файлик, кусок дампа базы, содержащий в себе логины и пароли для доступа в сеть примерно 800 клиентов. Полгода мы сидели в сети сами, на этих паролях, затем кто то слил файл в паблик и…
Родители были в шоке, адвокат был у нас через 15 минут, но меня это не спасло :( «Ага, а вот и орудие преступления (компьютер)» — сказал человек в форме. «Ну-ну» — буркнул я. Из толпы принимающих разительно выделялся так называемый «компьютерный эксперт». Парень, ростом метра под два, в огромных очках, сутулый, как и подобает истинному компьютерщику, с деловитым видом уселся за мой комп, запустил нортона и стал шарить по винту. Я же все это время старался понять, хуле им надо. Винда в том время не умела перезванивать при обрыве линии, а посему на компе стояла штука под названием Advanced Dialer, которая восполняла пробелы в винде по этой части. «Обнаружена программа для нестандартного доступа в сеть» — изрек экспет. Я ухмыльнулся. Остальные лица этой трагикомедии вопросительно на него уставились. «Ну», — с важным видом произнес эксперт — «здесь мы можем видеть, что в программе сохранен логин и пароль… и… если мы сверимся с распечаткой, то можем увидеть, что данный логин для доступа в сеть принадлежит… эээ… ООО "******".». Стоит добавить, что на мгновение, жопа у меня покрылась мелкой испариной, потому как на винте был все тот же пресловутый файлик в 800 строк формата «логин:пасс».
Далее мне сообщили, что меня хотят свозить на допрос, а затем сразу обратно. «Ну, ладно» — сказал я — «Поехали». И уехал в СИЗО на две недели. Там я увидел замечательный девайс под названием параша, небо в клеточку (я никогда так не радовался солнцу, которое светило в камеру только на протяжении 15 минут примерно в 16.00) и конечно же деревянные нары. А еще я там подцепил тюремную болезнь, туберкулез :( Мир перевернулся. Первые сутки я был в шоке. Меня пугало даже не то, что меня будут судить, или что посадят. Я думал о том, что ждет меня в тюрьме. Ведь по слухам, беспредел там был знатный. К счастью, я жестоко ошибался. Решив, что лучше ничего не говорить вообще, я молчал. Никаких подъебок не было. По какой статье меня приняли, я тоже не знал. Жопа, поняв, что ей в СИЗО ничего не грозит вроде бы успокоилась, но тут же вспомнила о причинах своего пребывания здесь и в голову снова полезли вопросы. Думал обо всем. Ждал непонятно чего. Сокамерники просвятили, что либо должны мне предъявить обвинение, и избрать меру пресечения (подписка о невыезде, либо арест).
На третьи сутки мне дали подписать какую то бумажку, о том, что мое задержание продлевается еще хрен пойми на сколько, промотивировав тем, что если не подпишу, то получу по почкам. Внимательно прочитав данный документ, я сделал вывод, что страшного в нем ничего нет и подписал. Потом, как выяснилось, эта бумажка ничего в принципе не решала, и сделал я все правильно. С первой передачкой мне приехали продукты, теплое одеяло и книги по компам, которые я попросил привезти. Представляете себе картину — я лежу на нарах на одеяле и читаю «Администрирование TCP/IP сетей»? :) Впрочем, две недели довольно быстро пролетели и я оказался в суде. Там меня ознакомили с делом, и я узнал, что мне вменяются преступления по ст. 272 ч.2 и ст. 165 ч1 (если память не изменяет). Сказали также, что это первый прецедент в России по этим статьям. «Я охуенно рад» — подумал я. Рассмотрев материалы дела а также результаты двух (!) экспертиз (первая в местном университете (почему так не знаю), а вторая в местном УФСБ (!!!)) (системный блок и все носители информации ясен хрен изъяли) — судья вынесла решение — дело закрыто за отсутствием других улик и отзывом заявления от пострадавшей стороны. «Хы!» — подумал я.
Провалявшись дома три дня и отойдя от всей этой эпопеи, я понял, что меня спасло. По той паре логин/пароль, которую нашли в диалере, родители компенсировали все убытки ее владельцу, и он отозвал заяву. А остальные файлы не нашли :) Еще через неделю мне купили новый компьютер и первое, что я сделал — я накатал огромное благодарственное письмо (даже не знаю зачем) Циммерману, в котором сообщил ему, что я ему обязан если не жизнью, то свободой точно, ибо если бы не крипто-контейнер PGP, который автоматически демонтировался по истечении 10 минут неактивности, пока милиционеры обьясняли суть своего визита ко мне домой, то я бы наверно сидел бы и дальше, и наверно значительно больше двух недель.
Мораль такова — не храните любые улики, которые могут вас скомпрометировать, на рабочем столе :)
P.S. Самое забавное, что удалось следователя уговорить отдать мне мой комп обратно, с целью переписать файлы/фотки и т.д. Ну и, ессно, криптоконтейнер со всеми делами я себе тогда тоже вернул :) Делаем перекур и читаем дальше :) Все только начинается.
Это было 10 лет назад, а как дело обстоит теперь?
Вернемся к современным реалиям. Крипто-контейнеры никуда не делись, и я по прежнему настоятельно рекомендую хранить все там и выключить кэш нахрен, либо тереть его при логоффе. Если я возьмусь сейчас писать полномасштабное руководство по действию для параноиков — это займет не один день и не уместится даже на 10 страницах этой ветки. Поэтому, в следующих абзацах я постараюсь все свести к основным вещам, которые максимально обеспечат вашу безопасность.
1. Юзаем крипто-контейнеры
Я рекомендую использовать TrueCrypt для хранения любых вещей, которые могут вас скомпрометировать. Берете любую флэшку, делаете из нее аппаратный контейнер, обязательно юзаете длинные и сложные пароли вроде: Q9)q6rs*k*HVE^c (генерить можно на Maord.com (http://maord.com)). Кроме авторизации по паролю, обязательно юзаем кей-файлы. Например, любую фотку или картинку.
2. Ни в коем случае не работаем из дома
Я думаю, это и так всем давно известно и понятно, но лучше еще раз напомню. Если работаете более менее серьезно, не надо делать этого из дома. Не будьте наивными, не стоит полагать, что прокся или впн вас спасут. Не спасут. Почему так, обьясню ниже.
3. Не советую использовать паблик VPN
Вспоминаем логику и начинаем думать. Вариантов два — первый — вам повезло, и хозяин впна простой парень. Забудьте о том, что пишут «мы не ведем логи». В большинстве случаев, паблик впн сервисы для того и создаются, чтобы вести логи и сниффать ваш трафик, вылавливая из него вкусное и интересное. Вариант второй — вам не повезло, и впн сервис красный. То есть принадлежит милиции. Тут, я думаю, и пояснять ничего не надо — логи на таких сервисах ведутся по умолчанию. Что рано или поздно вам может довольно больно аукнуться. Впн можно юзать либо если он свой, либо если вы очень хорошо лично знаете селлера и у него безупречная репутация (!). Однако и это не может являться гарантией того, что вы в безопасности.
4. Советую использовать мозг
Получилось что то намутить? Поздравляю. Не надо болтать об этом налево и направо в асе, подружке, маме и папе. Не надо бегать и орать о том, какой вы крутой. Не надо бежать в магазин и скупать все, что так давно хотелось. Не надо покупать Порш. Не надо выделяться из толпы. Ваша жизнь, я подчеркиваю, НИКАК не должна измениться с точки зрения окружающих.
5. Мля, а как же тогда быть вообще?
К счастью, сейчас на дворе 21 век и вам судьба уготовила классные подарки, которых увы не было у меня 10 лет назад. Эти подарки — WiFi и нетбуки. Покупаете нетбук, ориентируясь на время работы от батареи. Покупаете ExpressCard 34 WiFi к нему. Выпрямляете руки, паяете к карте внешний разъем. Покупаете внешнюю направленную антенну WiFi, и вуаля. Думаю, вокруг вас довольно много незащищенных или слабо защищенных точек доступа. В паблике полно софта, способного менять мак-адрес карты. Также, не забывайте, весь софт упаковывается в крипто-контейнер, сам ноут ЧИСТ. И работайте удаленно :) Отдел "К" не сможет вас вычислить, ибо такие железки есть только у ФСБ, и то, они смогут только примерно (!) вычислить направление и расстояние до вас. А если работаете из машины, и список операций подготовлен заранее — то как показывает практика, на это уходит не более 5 минут :)
Могу написать еще много статей :) Только подскажите направление :)))