Forums.Avtograd.Ru: Статьи - Forums.Avtograd.Ru

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Статьи

#1 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 01 Январь 2008 - 22:56

Выкладываем статьи. Указание автора/линка обязательно. Вся информация в целях ознакомления.
0


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Другие ответы в этой теме

#2 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 01 Январь 2008 - 23:01

Броня для Висты: создание безопасного кода для Windows Vista

Автор: Николай Байбородин

О нововведениях в Windows Vista не говорил только ленивый. Набили оскомину и рассуждения о том, насколько трудно разработчикам софта обеспечить совместимость их программных продуктов с новой концепцией безопасности, реализованной в этой ОС. Но хватит нытья, пора заставить работать систему на себя, использовав средства обеспечения безопасности Windows Vista в своем ПО. Сегодня мы поговорим о том, как новая система помогает бороться с атаками на переполнение.

Новая концепция безопасности
По сравнению с Windows XP, Vista более устойчива перед такими ошибками (читай: атаками), как переполнение буфера. Ряд технологий позволяет избежать этой досадной неприятности или хотя бы смягчить ее последствия. Ты легко можешь реализовать поддержку всех этих новых средств защиты программного кода в своих проектах. При этом все, что от тебя потребуется, - это включить соответствующие опции компоновщика.

Однако вышесказанное вовсе не означает, что теперь для разработчиков программного обеспечения настало безмятежное золотое время и больше не надо ломать голову. Любое из предлагаемых Microsoft средств защиты при желании относительно легко можно обойти. Тем не менее как средство защиты от случайных ошибок и действий пионеров рассмотренные ниже способы, безусловно, будут эффективны. Тем более что от тебя, как от разработчика, не требуется никаких особых усилий – в большинстве случаев достаточно указать соответствующе ключи компоновщика на этапе сборки проекта.

Мы рассмотрим такие технологии защиты от переполнения, как ASLR, случайная адресация стека и кучи, NX, GS и SafeSEH. Некоторые из них являются принципиально новыми, другие представляют собой улучшенные версии технологий, входящих в состав Windows XP SP2 и Windows Server 2003. Большинство из рассмотренных технологий имеют реализацию не только от самой Microsoft, но и от других производителей как программного обеспечения, так и железа.

Введение в ASLR
Технология случайного распределения адресного пространства, или ASLR (Address Space Layout Randomization), нацелена на то, чтобы защитить системный API от различной нечисти. Принцип действия этой технологии ясен уже из названия - случайному распределению подвергаются адреса загрузки системных библиотек, начальный указатель стека и начальный указатель кучи. В Windows XP все эти адреса были статичными и, соответственно, были хорошо известны создателям эксплойтов.

Если говорить откровенно - а у меня нет никаких причин излишне льстить парням из Редмонда, хотя... если они мне хорошо заплатят, то такие причины моментально найдутся :) - так вот если говорить откровенно, то в ASLR не было бы никакой необходимости, не будь архитектура операционных систем семейства Windows, мягко говоря, немного странной. Вот что я имею в виду. Все системные файлы в Windows-системах загружаются в память с заранее определенным смещением. Именно этой особенностью и пользуются авторы эксплойтов, поскольку всегда заранее точно известно, по какому адресу находится дырявая функция, для которой веселые парни приготовили маленький, но очень полезный патчик. Будь архитектуры Windows изначально ориентированы на случайное распределение адресного пространства, многих проблем удалось бы избежать.

ASLR включает в себя случайное распределение следующих элементов:

адреса загрузки исполняемых файлов и системных библиотек,
начальный адрес стека,
начальный адрес кучи.

В общем виде атака на переполнение сводится к двум вещам: поиск участков кода, в которых возможно возникновение неотслеживаемых исключительных ситуаций, и поиск диапазонов адресного пространства, в которых может быть расположен вредоносный код с последующей передачей ему управления. Одним из обязательных условий успешного завершения атаки является идентичность адресного пространства программы на машине жертвы и адресного пространства программы на машине хакера. В результате случайного распределения адресного пространства в Windows Vista дырявый модуль, расположенный по определенному адресу, при следующей загрузке системы или на другой машине окажется совершенно в ином месте. Аналогично с модификацией кода через загрузку посторонних DLL – для того чтобы подцепить к программе свою библиотеку, хакеру нужно отыскать функцию LoadLibrary. Но при каждом запуске программы адрес, по которому она расположена, будет разный!

Возможно, у тебя возник вопрос о том, что произойдет в результате многократного перезапуска системы. Иначе говоря, как долго Vista сможет назначать загружаемым библиотекам и функциям неповторяющиеся адреса? На этот интересный вопрос есть вполне конкретный ответ. При каждой загрузке системной библиотеки или исполняемого файла происходит случайная адресация из 256 возможных вариантов. В результате шанс загрузить эксплойт по месту назначения равен 1/256.

Допустим, у нас есть жутко полезная программа, состоящая всего из одной функции и нескольких строк кода, выводящих на консоль основные значения адресного пространства программы: адрес загрузки Kernel32.dll, адрес функции LoadLibrary и т.д. (исходник ищи на нашем диске).

Запустив ее на выполнение, можно увидеть в консоли примерно следующее:

Kernel32 loaded at 77400000
Address of LoadLibrary = 77A04E7D

Если теперь перезагрузить компьютер и снова запустить программу на выполнение, результат будет отличаться от предыдущего:

Kernel32 loaded at 77B30000
Address of LoadLibrary = 773A0E7D

Кстати, для того чтобы воспользоваться технологией ASLR, при компиляции проекта в Visual Studio необходимо выставить опцию компоновщика /dynamicbase.

Запрет на выполнение
Следующий инструмент защиты программного кода отличается своей бескомпромиссностью. Это технология NX (No eXecute). Для тех, кто не в теме, поясню. Согласно этой концепции, которая реализована, кстати, не только компанией Microsoft, но и другими авторитетными конторами и известна под разными именами, программный код условно делится на две части. Первой может быть передано управление, но она не может быть перезаписана произвольными данными. Вторая может перезаписываться, но запуск на выполнение здесь уже запрещен. То есть по отношению к участку программного кода одновременно не могут быть реализованы обе привилегии – на запись и на выполнение. Как говорится, одно из двух. И никаких компромиссов.

Нельзя сказать, что в Microsoft в этом плане изобрели что-то принципиально новое. Стек с защитой от выполнения реализован в солярке от Sun Microsystems на несколько лет раньше, чем в Windows. Ну а самыми первыми такой подход к организации структуры программного кода опробовали разработчики OpenBSD. Другими словами, NX есть не что иное, как широко известная технология DEP (Data Execution Prevention). Реализация же NX-защиты сводится к присвоению особых меток сегментам памяти, предназначенным исключительно для хранения данных. Обнаружив попытку выполнения кода, записанного в такой сегмент, система устроит хакеру большой облом.

Для того чтобы реализовать в программном коде поддержку NX, в свойствах компоновщика выставляй ключ /NXCOMPAT. Кстати, софт, компоновка которого осуществлялась с упомянутым выше ключом, может воспользоваться преимуществами технологии NX или другой аналогичной технологии не только в среде Windows Vista, но и в Windows XP со вторым сервис-паком. Именно в Windows XP, а не в WV, как пишут многие, Microsoft впервые реализовала NX.

Давай испытаем NX. Как происходит внедрение шелл-кода, тебе уже хорошо известно (ну не зря же ты читаешь наш журнал). Вот одна из наиболее распространенных схем: запускаем уязвимую программу (или дожидаемся ее запуска), находим адрес, по которому располагается вершина стека, определяем его размер. После этого перезаписываем содержимое стека шелл-кодом и передаем ему управление (подробности ищи на диске).

Стек под угрозой

const unsigned char scode[] = ... //зло ^_^
typedef void (*RunShell)(void);

int main (int argc, char* argv[]){
char StackBuf[256];
RunShell shell = (RunShell)(void*)StackBuf;
strcpy_s (StackBuf, sizeof(StackBuf), (const char *)scode);
(*shell)();
return 0;
}

Если попытаться запустить приведенный пример (естественно, соответствующим образом его доработав, реализовав боевые функции), выбрав в качестве жертвы программу, собранную без поддержки технологии NX, то шелл-код будет успешно скопирован в адресное пространство стека со всеми вытекающими отсюда последствиями. В случае сборки программы с ключом /NXCONPAT такой финт ушами не останется незамеченным, и система незамедлительно сообщит о нем пользователю.

Сообщение об ошибке содержит в себе адрес, по которому возникло исключение. В моем случае это 0x0012fe98. Что это за адрес? Это адрес, по которому расположился массив StackBuf. То есть причиной исключения стала попытка интерпретировать секцию с данными как набор инструкций.

Я уже упоминал, что подобная технология разрабатывается не только Microsoft, но и другими компаниями, в том числе и производителями железа. Достаточно часто встречаются технологии, аналогичные NX, реализованные на аппаратном уровне. Так что можешь еще раз изучить возможности BIOS своей тачки и поискать в ней соответствующий пунктик. Кстати, в Windows Vista можно посмотреть, защищен тот или иной компонент системы (либо стороннее приложение) технологией NX, с помощью диспетчера задач, в котором теперь есть колонка Data Execution Prevention.

Флаг GS
Это еще одна опция, которая, будучи использованной при сборке программы, повышает ее надежность в среде Windows Vista. Фишка здесь в следующем. При использовании опции /GS в момент записи содержимого регистра EBP в стек между локальной переменной, записанной в стеке, и ее адресом не существует прямой и однозначной связи. Вместо этого соответствие устанавливается через специальный посредник – сookie.

Благодаря этому становится невозможным прямое обращение к стеку и изменение содержащихся в нем значений переменных.

Защита стека с помощью cookie

void VulnerableFunc( const char* input, char* out )
{
// Готовим адресное пространство для локальных переменных
00401000 sub esp,104h
// Копируем секретный cookie в регистр eax
00401006 mov eax,dword ptr [___security_cookie (403000h)]
// Ксорим указатель вершины стека с помощью cookie
0040100B xor eax,esp
// Записываем результат в буфер
0040100D mov dword ptr [esp+100h],eax
char* pTmp;
char buf[256];

strcpy( buf, "Prefix:" );
00401014 mov ecx,dword ptr [string "Prefix:" (4020DCh)]
// Прячем аргументы функции за cookie
0040101A mov eax,dword ptr [esp+108h]
00401021 mov edx,dword ptr [esp+10Ch]

В качестве дополнительного бонуса от использования опции /GS мы получаем еще один уровень обнаружения переполнения стека. По утверждению представителей Microsoft, все исходники Windows Vista собраны с включенной опцией /GS. Так что делай выводы и пользуйся на здоровье.

Защита кучи
Еще относительно недавно атаки на переполнение кучи были экзотикой. Сегодня это одна из распространенных тенденций, и тому есть ряд вполне объяснимых причин. Все они сводятся к тому, что на протяжении многих лет основной мишенью хакерских атак являлся стек. Пристальное внимание к стеку со стороны хакеров вынудило разработчиков бросить все свои силы на защиту этого элемента программной архитектуры. В то время как защита стека оттачивалась в бою и становилась все изощреннее (но так и не стала совершенной), безопасности кучи не уделялось практически никакого внимания. В результате, когда стали известны первые случаи успешных атак на переполнение кучи, многие оказались не готовы к такому повороту событий – эффективных методов защиты просто не было.

Одна из разновидностей атаки на переполнение кучи заключается в заполнении ее большим объемом данных, после которого должна последовать не менее большая серия NOP’ов, что в конечном счете приведет к ошибке переполнения и передаче управления на шелл-код. Описанная технология достаточно стара и впервые серьезно посадила на измену пользователей по всему миру в далеком 2001 году в виде сетевого червя Code Red. С тех пор атаки на переполнение кучи стали более изощренными.

IT-сообщество осознало необходимость защиты кучи, и не только Microsoft, но и многие другие компании активизировали свою деятельность в этом направлении.

В довистовую эпоху (а не закрепить ли мне за собой авторские права на этот термин?) для защиты кучи приходилось сбрасывать в null все неиспользуемые указатели.

Что же нам предлагает Vista? Вот неполный список улучшений, призванных защитить кучу от переполнения:

проверка валидности ссылок, связывающих с предыдущим и последующим элементом кучи;
случайное размещение блока метаданных (генерируется случайное число и ксорится с первоначальным адресом);
проверка целостности данных;
случайное размещение начального адреса кучи (работает только при использовании ASLR);
случайная адресация элементов, хранящихся в куче.
В том случае если проверка валидности ссылок, связывающих между собой элементы кучи, закончится неудачей, приложение будет аварийно завершено с целью предотвращения передачи управления на нелегитимный участок кода. В Windows XP при возникновении проблем со ссылками они просто игнорировались и выполнение программы не прерывалось. Это позволяло без особых усилий спровоцировать разрушение практически любого процесса.

Пример кода, подверженного атаке на переполнение кучи

char* pBuf = (char*)malloc(128);
char* pBuf2 = (char*)malloc(128);
char* pBuf3 = (char*)malloc(128);

memset(pBuf, 'A', 128*3);
printf("Freeing pBuf3\n");
free(pBuf3);
printf("Freeing pBuf2\n");
free(pBuf2);
printf("Freeing pBuf\n");
free(pBuf);

В Windows Vista, даже при отключенной опции terminate on corruption, обеспечивающей защиту кучи, при первой же попытке вызвать функцию free() из нашего примера выполнение программы будет прервано. На других системах, включая Windows XP и Windows Server 2003, проблема останется незамеченной. Однако радости в том, что процесс в лучших самурайских традициях скорее сделает себе харакири, чем даст себя опозорить грязному эксплойту, мало. Поэтому для того чтобы, обнаружив проблемы с защитой кучи, приложение не падало замертво, а отслеживало подобные инциденты и реагировало на них менее кровавым способом, верным решением будет использование опции terminate on corruption.

Для превращения программы из паникера–камикадзе в доблестного самурая необходимо добавить в функцию Main() или WinMain() несколько несложных строк:

bool EnableTerminateOnCorrupt()
{
if( HeapSetInformation( GetProcessHeap(),
HeapEnableTerminationOnCorruption, NULL, 0 ) )
{
printf( "Terminate on corruption enabled\n" );
return true;
}
printf( "Terminate on corruption not enabled - err = %d\n",
GetLastError() );
return false;
}

Естественно, при создании финального релиза отладочные функции printf() нужно будет заменить вызовом обработчика ошибок.

Дополнительно к этому ты можешь использовать кучу с низким уровнем фрагментации в противовес стандартной куче, которая подвержена значительной фрагментации. Реализовать подобное не просто, а очень просто:

bool EnableLowFragHeap()
{
ULONG ulHeapInfo = 2;
if( HeapSetInformation( GetProcessHeap(),
HeapCompatibilityInformation, &ulHeapInfo, sizeof( ULONG ) ) )
{
printf( "Low fragmentation heap enabled\n" );
return true;
}
printf( "Low fragmentation heap not enabled - err = %d\n",
GetLastError() );
return false;
}

SafeSEH
И под занавес еще одна полезная опция. Наверняка, тебе уже приходилось иметь дело с такой фишкой, как Structured Execution Handler (SEH). SafeSEH, поддержка которой включена в Windows Vista, предоставляет собой еще более надежный механизм мониторинга динамических исключений. Эта опция компоновщика позволяет в момент вызова функции запоминать адрес, по которому этот вызов был осуществлен. После этого периодически осуществляется сравнение фактического адреса с тем, что запомнила система. И если обнаруживается несовпадение, значит что-то нарушило штатный ход выполнения программного модуля, и процесс тихо, без пыли и шума отправляется к праотцам.

Однако возможности этой технологии, как и других упомянутых в статье, не безграничны. В частности, она не защитит твой код в том случае, если в результате атаки на переполнение буфера будет модифицирована структура EXCEPTION_REGISTRATION, предназначенная для хранения адреса, по которому возникло исключение.

Проще простого
Как видишь, вопреки сомнениям скептиков (весьма, кстати, обоснованных), Vista значительно продвинулась в плане защиты от атак на переполнение. Более того, все эти возможности доступны и тебе. Все, что от тебя требуется, – не полениться выставить соответствующие опции компоновщика. Конечно, можно попенять на некоторое снижение производительности, но... Будь откровенен сам с собой и признайся, что гораздо более серьезные накладные расходы тянет за собой код, написанный твоими же руками. Ведь времени на оптимизацию всегда не хватает, так же как и на обстоятельное тестирование. Так что, может быть, лучше, потеряв в производительности за счет повышения безопасности приложения, поискать эту производительность в другом месте?
0

#3 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 01 Январь 2008 - 23:13

Безопасность с человеческим лицом

Установив систему защиты, не ждите благоприятных отзывов от пользователей

Законы Мерфи для информационной безопасности, А.Лукацкий

Постоянно приходится слышать мнения о том, что безопасность это сложно и неудобно. Последнее и вызывает основные проблемы с повсеместным внедрением систем защиты. Во многих книгах можно прочесть о том, что занимаясь безопасностью нужно соблюдать баланс между удобством и защищенностью. Нельзя создать бронированный автомобиль, который ездит как Ferrari. Нельзя защитить свое жилище, не возведя вокруг него высоких стен или установив на окнах решеток, которые мешают любоваться красотами. Нельзя построить денежное хранилище и открыть доступ к нему всем желающим. Но… стремиться к компромиссу необходимо обязательно. Более того. Современные технологии позволяют сделать то, что раньше было невозможно представить. Например, объединение карты доступа в помещения и токена для доступа к компьютеру. Теперь это возможно, что сразу сняло множество проблем с забыванием одной из карт дома, путаницей с этими картами на входе в здании и создании очередей из-за этого и т.д.

Смежная безопасность и удобство

Но внедряя систему безопасности нельзя забывать о том, что не она является самоцелью (хотя для многих специалистов по защите это именно так). Безопасность, если мы не говорим об отдельных сферах нашей жизни носит второстепенный характер. Однако это не умаляет ее важности. Как же разрешить этот конфликт интересов и можно ли вообще это сделать? Как показывает практика – можно. Возьмем 2 примера – положительный и отрицательный. Начнем с последнего, как наиболее близкого по времени.

Предотвращенный теракт в Великобритании. После ареста террористов в аэропортах по всему миру были введены «драконовские» меры к пассажирам – «для их безопасности». Любые жидкости были запрещены для провоза в ручной клади; электроника тоже. Сильно ли это подняло безопасность? Не знаю. Но вот проблем доставило много. Во-первых, запрет на провоз жидкостей снизит доходы магазинов Duty Free. Во-вторых, запрет на перевозку лэптопов и КПК мог «убить» сегмент бизнес-перевозок, т.к. путешествующие бизнес-классом бизнесмены врядли с энтузиазмом отнесутся к многочасовым полетам без своих инструментов ведения бизнеса. В-третьих, как быть с теми, кому жидкость нужна «по определению»? Например, для хранения контактных линз. А если мне нужно лекарство, которое продается без рецепта, но от этого оно не становится менее важным для меня. И это не говоря про многочасовые очереди в аэропортах на пунктах досмотра, отказ от полетов, сдача купленных билетов, ущерб репутации, недовольство клиентов и т.д. Выиграли от этого, пожалуй, только компании, занимающиеся железнодорожными перевозками. И все это ради безопасности. Со временем все встало на свои места. Большинство запретов было снято под давлением общественности. Проносить в салон самолеты лэптопы, напитки Duty Free и т.д. все-таки разрешили.

У данной проблемы есть и другая сторона. Лишний раз было продемонстрировано, что только реактивный подход к безопасности неэффективен. Неужели, достигнув своей цели, террористы захотят немедленно повторить свой «успех»? Врядли. В этом случае теряется эффект «нагнетания страха», а именно он является движущей силой терроризма. Возникает парадокс. Преступление произошло, а меры по его предотвращению принимаются после, а не до. Неужели спецслужбы не знали о жидкой взрывчатке? Неужели никто не думал, что электронные приборы могут выступать в качестве детонатора? Знали, но действовали по принципу «пока гром не грянет…». В итоге введенные меры существенно ухудшили отношение простых граждан к безопасности.

Теперь посмотрим на другую область, в которой также невозможно обойтись без безопасности, - автомобилестроение. Здесь производители демонстрируют совершенно иное отношение к вопросам защиты водителей и пассажиров. Возьмем хороший автомобиль, сядем за руль и тронемся с места. Нарастающий сигнал предупредит вас о том, что вы и ваши пассажиры не пристегнуты. Вы можете проигнорировать сигнал и он через некоторое время отключится, но всю вину за возможное ДТП вы будете уже нести сами – ведь «железный друг» вас предупреждал. Вы начинаете движение и постепенно увеличиваете скорость. Попав на скользкий участок или крутой поворот вы даже не чувствуете как вас заносит или «уводит» в сторону – незаметно работает система курсовой устойчивости, антиблокировочная система и множество других полезных и невидимых подсистем. Сталкиваетесь ли вы с системами безопасности автомобиля? Практически нет. Видимое проявление происходит только в минуту опасности. В крайнем случае срабатывают подушки безопасности, уберегая вас от серьезных повреждений. В некоторых моделях автомобилей дошло до того, что они оснащаются ограничителями максимальной скорости (даже если машина может и больше) и алкотестерами (мотор не заработает, если в салоне будет «чувствоваться» запах спиртных напитков).

Налицо 2 подхода к безопасности клиента. В первом случае безопасность ставится во главу угла и только мешает; во втором – все наоборот. Мне по душе второй подход. Именно так необходимо внедрять защитные решения – они должны максимально эффективно решать свои задачи, не мешая при этом выполнению основных бизнес-функций.

Психологическая приемлемость

30 лет назад, еще в 1975 году Джером Зальтцер и Майкл Шредер определили «психологическую приемлемость» (psychological acceptability), как один из 8 ключевых принципов при построении защищенных систем. Звучит он следующим образом: «Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки». Суть этого принципа проста – механизм безопасности не должен делать доступ к ресурсу или иное действие более сложным, чем если бы этого механизма не было. Иными словами, на практике это означает, что безопасность должна вносить лишь незначительную сложность в защищаемые операции.

Однако на практике этот принцип почти не соблюдается – интерфейс многих систем защиты хоть и рекламируется как «интуитивно понятный», но проектируется без учета требований к эргономике, практичности, удобству и простоте использования. А это подчас бывает гораздо важнее, чем криптостойкость, использование двухфакторной аутентификации, эвристических алгоритмов для обнаружения вредоносных программ и т.п. Информационные системы становятся все более сложными и громоздкими, а значит возрастает вероятность совершить ошибку и неправильно сконфигурировать, эксплуатировать, обновить или поддерживать защищаемую систему. Иными словами безопасность ослабевает.

Разумеется воплотить на практике этот принцип не так то просто. Уж слишком много участников в жизненном цикле системы защиты, начиная от программиста и заканчивая самим пользователем. Реализовывать этот принцип надо в расчете на тех, кто будет использовать систему, а не тех, кто ее создает. Это простое правило известно по многим другим отраслям. Например, в маркетинге есть классический принцип – «прежде чем выпускать на рынок новый продукт, встань на место его потребителя и подумай, нужен ли ему такой продукт?». В безопасности необходимо делать тоже самое – рассчитывать надо не на сотрудника отдела системы защиты и даже не на среднестатистического пользователя. Исходить надо из худшего, т.е. в расчете на самого «тупого» потребителя. В противном случае останется только вспомнить законы Мерфи для информационной безопасности «Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так» (http://www.securitylab.ru/opinion/212050.php). На практике же разработчики систем защиты создают свои продукты «для себя» - исходя из своих собственных представлений и ожиданий. Хотя и эти представления могут сильно отличаться в зависимости от того, где они работают – одно дело компания Cisco или Microsoft со своими законами и налаженным процессом разработки, и совсем другое дело – небольшая российская компания-стартап с 5-10 программистами.

От теории к практике

Возьмем самый распространенный защитный механизм, с которым сталкивается каждый пользователь чуть ли не ежедневно. Речь пойдет о паролях. Классическая рекомендация, с которой сталкивается любой неискушенный человек – выбирайте пароли так, чтобы они не содержали известных слов или комбинаций цифр (номер паспорта, телефон, день рождения), состояли из символов в обоих регистрах, также включали цифры и знаки препинания. А еще необходимо, чтобы пароль был не менее 8 символов. В итоге мы регулярно сталкиваемся с такими паролями, как например, 8HguJ7hY. С точки зрения безопасности он почти идеален, но вот запомнить его практически нереально. А если учесть, что таких паролей пользователь может иметь несколько (для компьютера, для Интернета, для коммуникатора, для базы данных, для ключевых приложений и т.д.), то в результате пользователь запишет его или их на бумажке или сохранит в текстовом файле на своем компьютере. Если же отдать выбор пароля на откуп пользователю, то он выберет что-нибудь тривиальное. Не буду приводить результатов различных исследований, но ситуация с самостоятельным выбором действительно удручающая.

Это то, с чем нам приходится сталкиваться постоянно. Поставив во главу угла безопасность и забыв про принцип психологической приемлемости мы получаем огромное количество проблем – утерянные или легко угадываемые пароли. Разработчики просто не думают, что можно сделать что-то более эффективное. Например, графические пароли, которые не менее эффективны, но более удобны, чем обычные сложно запоминаемые последовательности символов. Но используются такой способ представления пароля редко, хотя в современных графических системах нет особых проблем в реализации этого механизма (у меня на коммуникаторе, например, реализован именно такой механизм).

Если же вспомнить, про принцип психологической приемлемости, то один из путей его реализации – парольные брелки или токены, которые хранят все пароли к разным системам. Пользователю надо знать только главный пароль к брелку. И хотя мы существенно облегчаем жизнь пользователю, это только видимое решение проблемы. Но что делать, если он забудет главный пароль или злоумышленник сможет этот главный пароль подобрать? Конечно существуют системы централизованного управления токенами, но они внедряются не везде и тоже имеют свои ограничения. Зато гораздо более эффективна с точки зрения названного принципа биометрия, т.к. пользователю не надо помнить пароли и злоумышленнику не так просто выдать себя за другого человека. К сожалению, разработчики часто идут по пути наименьшего сопротивления и поэтому биометрическая аутентификация пока редкость, несмотря на наличие достаточно эффективных алгоритмов и практических решений.

Хотя и на обычных паролях также можно реализовать достаточно эффективную систему. Например, SofToken (рис.1). На экране мы видим, что пользователю дается всего две кнопки «Get Password» и «Close». Вторая закрывает приложение, а первая генерит одноразовый пароль, который даже не надо специально копировать в буфер обмена – все делает система. Вам достаточно ввести созданный пароль в какое-нибудь приложение и пройти процесс аутентификации.

Интегрировав VPN-клиент Cisco с токеном (например, от компании Aladdin) мы исключаем и этап ввода пароля, который берется автоматически из токена.

Другой пример – патчи и системные обновления. К сожалению, программное обеспечение не совершенно, как и люди, его создающие. А значит обновления, устраняющие те или иные уязвимости или ошибки, нам будут нужны всегда. Принцип психологической приемлемости применительно к патчам означает, что они должны устанавливаться прозрачно для пользователя и системного администратора. Пока же на практике это происходит не всегда, хотя многие производители систем управления патчами уже на полпути к решению этой проблемы. Например, у нас в компании все патчи и ПО распространяются и устанавливаются централизованно с помощью решений компании Altiris. И происходит это абсолютно прозрачно для пользователей. Даже инсталляция такой системы защиты как Cisco Security Agent на 47000 лэптопов по всему миру произошло абсолютно прозрачно и без участия пользователей в этом процессе.

Заключение

Пройти в открытую дверь гораздо проще, чем в закрытую. Но современный мир диктует нам свои условия – без безопасности нам уже не обойтись. И у нас остается два пути – оставить все как есть или попробовать реализовывать принцип психологической приемлемости. Безопасность – это не только какие-то механизмы или алгоритмы. Это продукт, включающий также и другие компоненты, такие как человеческий фактор и различные правила и политики. Игнорирование или недооценка любого из этих факторов приводит к неудаче.

Безопасность очень тесно связана с человеческим фактором. Даже лучшие политики безопасности или методы защиты могут быть разрушены или обойдены, если пользователь найдет их сложными в реализации или «мешающими жизни». Поэтому прежде чем пускать ту или иную системы в «свободное плавание» необходимо проверить ее на следование принципу психологической приемлемости. Тестирование на пользователях – вот обязательное условие его реализации. Недостаточно проверить систему на программистах или сотрудниках отдела тестирования. Нужно привлечь тех, кто затем будет использовать эту систему. Только в этом случае мы можем быть уверенными, что система будет не только безопасной, но и удобной. Будьте как злоумышленники, которые обращают больше внимания на человеческий фактор, чем разработчики средств защиты (достаточно вспомнить действия Кевина Митника и многих других хакеров, применяющих социальный инжиниринг).

Хотя конечно надо понимать, что реализация принципа психологической приемлемости может обойтись дороже, чем отказ от него и следование стандартной практике создания защищенных систем. Возможно это тоже является препятствием на пути повсеместного внедрения принципов создания эргономичных систем защиты. Ведь любой разработчик системы безопасности думает о рентабельности, а любые дополнительные шаги (особенно тестирование) не только ее снижают, но и увеличивают время вывода продукта на рынок с жестокой конкуренцией. Остается только надеяться, что со временем разработчики систем защиты поймут свою ошибку и начнут уделять внимание не только самым современным алгоритмам и методам безопасности, но и такой «простой» теме, как удобство и практичность.
Дополнительная информация

http://www.ischool.b..._usability.html - набор ссылок на различные публикации об удобстве и безопасности

Security and Usability. Lorrie Faith Cranor, Simson Garfinkel. O’Reilly. 2005 – отличная книга, полностью посвященная данной теме

Об авторе:

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems, alukatsk@cisco.com
0

#4 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 02 Январь 2008 - 14:12

Методы защиты от DDoS нападений

-----------------------------------
Попасть под воздействие DDoS атаки – кошмарный сценарий для любого системного администратора, специалиста по безопасности или поставщика доступа. Обычно атака начинается мгновенно и без предупреждения и не прекращается со временем – система не отвечает, канал заблокирован, маршрутизаторы перегружены. Эффективный и быстрый ответ на нападение затруднителен и часто зависит от третих лиц, типа ISP провайдеров. В этой статье исследуется методы, которые должны использовать системные администраторы, если они когда-либо оказались в этой, довольно нежелательной, ситуации.
Обнаружение DDoS нападения
DDoS нападение распознать просто – замедление работы сети и серверов, заметное как администратору системы, так и обычному пользователю. Первым шагом в нашей защите мы должны идентифицировать тип трафика, который загружает нашу сеть. Большинство нападений DDoS посылает очень определенный тип трафика - ICMP, UDP, TCP, часто с поддельными IP адресами. Нападение обычно характеризует необычно большое количество пакетов некоторого типа. Исключением к этому правилу являются DDoS нападения, направленные против определенных служб, типа HTTP, используя допустимый трафик и запросы.

Чтобы идентифицировать и изучить пакеты, мы должны анализировать сетевой трафик. Это можно сделать двумя различными методами в зависимости от того, где исследуется трафик. Первый метод может использоваться на машине, которая расположена в атакуемой сети. Tcpdump - популярный сниффер, который хорошо подойдет для наших целей. Анализ трафика в реальном масштабе времени невозможен на перегруженной сети, так что мы будем использовать опцию "-w", чтобы записать данные в файл. Затем, используя инструмент типа tcpdstat или tcptrace, мы проанализируем результаты. Результаты работы tcpdstat, на нашем tcpdump файле:

DumpFile: test
FileSize: 0.01MB
Id: 200212270001
StartTime: Fri Dec 27 00:01:51 2002
EndTime: Fri Dec 27 00:02:15 2002
TotalTime: 23.52 seconds
TotalCapSize: 0.01MB CapLen: 96 bytes
# of packets: 147 (12.47KB)
AvgRate: 5.56Kbps stddev:5.40K PeakRate: 25.67Kbps

### IP flow (unique src/dst pair) Information ###
# of flows: 9 (avg. 16.33 pkts/flow)
Top 10 big flow size (bytes/total in %):
26.6% 16.5% 14.7% 11.6% 9.8% 7.6% 5.4% 5.4% 2.5%

### IP address Information ###
# of IPv4 addresses: 7
Top 10 bandwidth usage (bytes/total in %):
97.5% 34.1% 31.2% 21.4% 10.7% 2.5% 2.5%
### Packet Size Distribution (including MAC headers) ###
<<<<
[ 32- 63]: 79
[ 64- 127]: 53
[ 128- 255]: 8
[ 256- 511]: 6
[ 512- 1023]: 1
>>>>

### Protocol Breakdown ###
<<<<
protocol packets bytes bytes/pkt
------------------------------------------------------------------------
[0] total 147 (100.00%) 12769 (100.00%) 86.86
[1] ip 147 (100.00%) 12769 (100.00%) 86.86
[2] tcp 107 ( 72.79%) 6724 ( 52.66%) 62.84
[3] telnet 66 ( 44.90%) 3988 ( 31.23%) 60.42
[3] pop3 41 ( 27.89%) 2736 ( 21.43%) 66.73
[2] udp 26 ( 17.69%) 4673 ( 36.60%) 179.73
[3] dns 24 ( 16.33%) 4360 ( 34.15%) 181.67
[3] other 2 ( 1.36%) 313 ( 2.45%) 156.50
[2] icmp 14 ( 9.52%) 1372 ( 10.74%) 98.00
Как видно, эти простые утилиты могут быстро помочь определить тип преобладающего трафика в сети. Они позволяют сэкономить много времени, анализируя и обрабатывая зафиксированные пакеты.

Для контроля входящего трафика может использоваться маршрутизатор. С помощью списков ограничения доступа, маршрутизатор может служить основным пакетным фильтром. Скорее всего он также служит шлюзом между вашей сетью и интернетом. Следующий пример от Cisco иллюстрирует очень простой способ использовать списки доступа, чтобы контролировать входящий трафик:


access-list 169 permit icmp any any echo
access-list 169 permit icmp any any echo-reply
access-list 169 permit udp any any eq echo
access-list 169 permit udp any eq echo any
access-list 169 permit tcp any any established
access-list 169 permit tcp any any
access-list 169 permit ip any any
interface serial 0
ip access-group 169 in
Используя команду "show access-list", система покажет количество совпавших пакетов для каждого типа трафика:

Extended IP access list 169
permit icmp any any echo (2 matches)
permit icmp any any echo-reply (21374 matches)
permit udp any any eq echo
permit udp any eq echo any
permit tcp any any established (150 matches)
permit tcp any any (15 matches)
permit ip any any (45 matches)
Результаты просты, но эффективны – обратите внимание на высокое число ICMP echo-reply пакетов. Подробная информация может быть собрана о подозреваемых пакетах, добавляя в конец команду "log-input" к специфическому правилу. Это правило будет регистрировать информацию о любом ICMP трафике:

access-list 169 permit icmp any any echo-reply log-input
Маршрутизатор теперь более подробно регистрирует собранные данные (которые можно посмотреть используя "show log") о соответствующих пакетах. В пример ниже, файл регистрации показывает несколько пакетов, соответствующих правилу DENY ICMP:

%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.142 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.113 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.72 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.154 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.15 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.142 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.47 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.35 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.113 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.59 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.82 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.56 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.84 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.47 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.35 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.15 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.33 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
Обратите внимание на информацию, содержавшуюся в каждой строке: источник и адрес назначения, интерфейс и правило, которому оно соответствует. Этот тип детальной информации поможет определить нашу защиту.
Реакция
После того, как мы идентифицировали подозреваемый трафик, пришло время исследовать, как нам ответить на нападение. К сожалению, варианты несколько ограничены, потому что большинство DDoS нападений использует поддельные исходные IP адреса, которые вероятно сгенерированы случайным образом. Так что же нам делать?
Отслеживаем источник атаки
Первое, что приходит в голову, это попытаться "проследить" источник атаки. Однако DDoS, в отличие от традиционного DoS, исходит из множественных источников. Поэтому неплохо было бы определить транзитный маршрутизатор, через который проходят большинство пакетов. К сожалению, для этого потребуется сотрудничать с несколькими источниками, так как вы не способны исследовать пакеты на вышестоящих маршрутизаторах. Каждый участник процесса (главным образом ISP провайдеры) будут использовать очень похожие методы. Идентифицировав злонамеренный тип трафика, используя вышеописанные методы, будет создан новый список ограничения доступа. Добавив его к правилам, которые применены к интерфейсу, который посылает трафик атакуемому адресату, мы снова используем команду "log-input". Регистрация подробно запишет информацию об исходном интерфейсе и MAC адресе источника атаки. Эти данные могут использоваться, чтобы определить IP адрес маршрутизатора, отправляющего злонамеренный трафик. Процесс будет повторен на следующем маршрутизаторе в цепочке. После нескольких итераций, источник (или один из них) будет обнаружен. Тогда можно создать соответствующий фильтр, который заблокирует атакующего. Недостаток в этом методе защиты от DDoS нападения – время и сложность. Получение таких данных требует работы с несколькими сторонами, и иногда использование правового принуждения.
Ограничение допустимого предела (“rate limit”)
Лучший способ немедленной помощи, доступный большинству ISP провайдеров, должно быть “ограничение допустимого предела” злонамеренного типа трафика. Ограничение допустимого предела ограничивает пропускную способность, которую определенный тип трафика может потреблять в данный момент времени. Это может быть достигнуто, удаляя полученные пакеты, когда превышен некоторый порог. Полезно, когда определенный пакет используется в нападении. Cisco предлагает способ, который позволяет ограничить ICMP пакеты, используемые в нападении:

interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
Этот пример поднимает интересную проблему, которая была отмечена ранее. Что, если злонамеренный трафик полностью законный? Например, ограничение SYN flood, направленное на Web сервер, отклонит и хороший и плохой трафик, так как все законные подключения требуют начального установления связи. Это трудная проблема, не имеющая простого ответа. Нельзя просто защитится от таких типов хитрых DDoS нападений, не принося в жертву часть законного трафика.
Фильтрация черной дыры
ISP провайдеры могут использовать другие способы защиты, которые зависят от изменения маршрутизации, типа фильтрации “черных дыр”. “Black hole” фильтрация отправляет злонамеренный трафик к воображаемому интерфейсу, известному как Null0 – подобный /dev/null на Unix машинах. Так как Null0 - не существующий интерфейс, трафик, направленный к Null0, по существу удаляется. Кроме того, эта методика минимизирует воздействие производительности, так как остальная часть сети остается устойчивой при тяжелых загрузках.

Важно отметить, что адресная фильтрация - не лучший способ защиты против DDoS нападений. Даже если вы заблокировали нападение на своем маршрутизаторе или межсетевой защите – все еще большие порции входящего трафика могут затруднить прохождение законного трафика. Чтобы действительно облегчить эффект от DDoS нападения, трафик должен быть блокирован в вышестоящей цепочке – вероятно на устройстве, управляемом большим провайдером. Это означает, что многие из программ, которые утверждают, что предотвращают DDoS нападения, в конечном счете, бесполезны для маленьких сетей и их конечных пользователей. Кроме того, это означает, что предотвращение DDoS нападения, в некоторый момент, не зависит от нас. Это печальная правда, понятная любому, кто когда-либо имел дело с проблемой.
Предотвращение
Если вы удачно защитились от DDoS нападения, удостоверьтесь, что вы используете следующие предосторожности, которые будут препятствовать вашей собственной сети участвовать в DDoS нападениях.

Нужно включить команду "ip verify unicast reverse-path" (или не Cisco эквивалент) на входном интерфейсе подключения восходящего потока данных. Эта особенность удаляет поддельные пакеты, главную трудность в защите от DDoS нападений, прежде, чем они будут отправлены. Дополнительно, удостоверьтесь, что блокирован входящий трафик с исходными адресами из зарезервированных диапазонов (то есть, 192.168.0.0). Этот фильтр удалит пакеты, источники которых очевидно неправильны.

Входящие и исходящие методы фильтрации, также критичны для предотвращения DDoS нападений. Эти простые списки ограничения доступа, если внедрены всеми ISP провайдерами и большими сетями, могли бы устранить пересылку поддельных пакетов в общедоступный интернет, сокращая тем самым время, требуемое для розыска атакующего. Фильтры, помещенные в граничные маршрутизаторы, гарантируют, что входящий трафик не имеет исходного адреса, происходящего из частной сети и что еще более важно, что трафик на пересекающихся курсах действительно имеет адрес, происходящий из внутренней сети. RFC2267 - большой основа для таких методов фильтрации.

Наконец важно составить точный план мероприятий ПРЕЖДЕ чем, произошло нападение.
Заключение
DDoS нападения – вызов Internet сообществу. В то время как существует большое количество программ для предотвращения DDoS атак, большинство из них не применимо для небольших сетей или провайдеров. В конечном счете, вы сами должны защитится от DDoS. Это значит, что вы должны четко знать, как реагировать на нападение - идентифицируя трафик, разрабатывая и осуществляя фильтры. Подготовка и планирование, безусловно, лучшие методы для того, чтобы смягчить будущие DDoS нападения.

http://www.inattack.ru/
0

#5 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 21 Февраль 2008 - 21:26

Строим телефонную сеть: Asterisk - самый популярный сервер IP-телефонии

Несмотря на развитие различных систем обмена информацией, таких как электронная почта и службы мгновенного обмена сообщениями, обычный телефон еще долго будет оставаться самым популярным средством связи. Ключевым событием в истории телекоммуникаций и интернета стало появление технологии передачи голоса поверх IP-сетей, поэтому за последние годы изменилось само понятие телефона. Использование VoIP современно, удобно, дешево, так как можно объединить удаленные офисы, даже не прибегая к услугам операторов телефонной связи. Какие еще доводы нужны для того, чтобы поднять свой сервер IP-телефонии?
Проект Asterisk

По адресу en.wikipedia.org/wiki/List_of_SIP_software находится один из самых больших списков серверов и клиентов SIP (протокол установления сессии для работы пользовательских сеансов, включающих передачу видеоданных и голоса). В этом списке 10 серверов, распространяемых под свободной лицензией, но администраторы чаще всего предпочитают Asterisk.org">Asterisk IP-PBX. Этот проект возник, можно сказать, случайно - его создатель Марк Спенсер (Mark Spencer, кстати, Gaim/Pidgin тоже его рук дело) не имел достаточно денег, чтобы купить для своей компании обычную АТС, и потому вынужден был создавать его софтовую реализацию. Открытость кода способствовала быстрому росту популярности нового продукта как среди разработчиков, так и среди потребителей. Выпускается Asterisk под двойной лицензией. Кроме GNU GPL возможно создание закрытых модулей, содержащих проприетарный код. Такой подход позволяет включить поддержку закрытых кодеков и оборудования.

Несмотря на свою софтовость, Asterisk обладает всеми функциями классической АТС, и даже больше. Вот только некоторые из них: центр обработки вызовов, голосовая почта, возможность проведения конференций, что в итоге делает его мощной и легкорасширяемой платформой для создания телекоммуникационного сервиса любого масштаба. Поддерживаются практически все популярные протоколы IP-телефонии (SIP, H.323, MGCP, Skinny/SCCP, Google Talk, Skype), собственный IAX и некоторые другие для работы видео и факса. Кроме обслуживания локальных клиентов Asterisk умеет передавать голосовой трафик между серверами. Есть модули для сопряжения с аналоговыми (FXO/FXS) и цифровыми (Т1/E1) линиями.

Если функциональности недостаточно, для написания диалплана норма можно воспользоваться собственным языком Asterisk, создать модуль на Cи либо использовать универсальный интерфейс интеграции с внешними системами обработки данных AGI. Чтобы упростить разработку модулей, предназначенных для решения различных задач, предложено несколько уровней API (channel, application, codec, file format). Поэтому новые возможности (например, кодеки) появляются в Asterisk очень быстро и их внедрение проходит безболезненно. Кроме этого, модульность Asterisk позволяет администраторам подключать только необходимые функции, модифицируя систему под свои нужды. Сервер Asterisk можно установить на компьютерах, работающих под управлением GNU/Linux, Free/Net/OpenBSD, Mac OS X/Darwin, Open/Solaris. Клиенты доступны практически для всех систем, в том числе и Windows. Исключение составляют драйверы Zaptel и ISDN-устройств, реализации которых пока есть не для всех платформ.
Установка Asterisk

К сожалению, четких указаний насчет аппаратных средств дать невозможно - слишком много тонкостей и нюансов, поэтому за примерными конфигурациями компьютеров отсылаю на страницу сайта voip.rus.net «Asterisk+dimensioning">Производительность Asterisk-систем». Если твоя цель - знакомство с Asterisk, можно использовать один из дистрибутивов, в которых уже имеется настроенный и полностью готовый к работе сервер: Asterisknow.org">AsteriskNow, Trixbox, VoIPonCD.

Asterisk присутствует в репозитариях пакетов большинства дистрибутивов. Так, в Ubuntu команда sudo apt-cache search Asterisk выдает приличный список пакетов, после установки которых сразу же можно приступать к настройке. Но установка из репозитария имеет один минус - как правило, в нем версия Asterisk прилично отстает от текущей, которую можно скачать с официального сайта. Поэтому рассмотрим универсальный способ установки на примере того же Ubuntu, хотя все сказанное (за редким исключением) относится и к остальным дистрибутивам.

Устанавливаем пакеты, необходимые для компиляции:

$ sudo apt-get install build-essential automake
autoconf bison flex libtool libncurses5-dev libssl-dev

Кроме того, настоятельно рекомендуется установить библиотеку libpri, даже если не нужна поддержка Primary Rate ISDN (первичный тип цифровой сети с интеграцией услуг). Это можно сделать либо через репозитарий: sudo apt-get install libpri1.2, либо используя исходные тексты:

$ wget -c downloads.digium.com/pub/libpri/libpri-1.4-current.tar.gz

Компиляция библиотеки стандартна, поэтому не будем на этом останавливаться.

Теперь скачиваем с сайта исходные тексты Asterisk и конфигурируем:

$ wget -c downloads.digium.com/pub/Asterisk/Asterisk-1.4.11.tar.gz
$ tar xzvf Asterisk-1.4.11.tar.gz
$ cd Asterisk-1.4.11
$ ./configure --prefix=/usr

По окончании работы скрипта в консоли мы увидим эмблему проекта и некоторую информацию о настройках.

$ make
$ sudo make install

Примечание: если производится установка версии 1.2, то для поддержки формата mp3 перед командой make следует ввести «make mpg123», версия 1.4 уже никак не реагирует на эту команду.

После компиляции, помимо всего прочего, будут установлены следующие исполняемые файлы:
/usr/sbin/Asterisk - демон сервера Asterisk, который и обеспечивает всю работу;
/usr/sbin/safe_Asterisk - скрипт для запуска, перезапуска и проверки работы сервера Asterisk;
/usr/sbin/astgenkey – скрипт для создания закрытого и публичного RSA ключей в формате PEM, которые необходимы для работы Asterisk.

Чтобы установить шаблоны конфигурационных файлов и документацию, набираем:

$ sudo make samples

Примеры конфигурационных файлов будут скопированы в /etc/Asterisk. Если в этом каталоге уже находятся файлы конфигурации, они будут переименованы с префиксом «.old». Для сборки документации потребуется пакет doxygen, если его нет, устанавливаем:

$ sudo apt-get install doxygen
$ sudo make progdocs

Аналогично ставим и пакет с расширениями Asterisk-addons (этот шаг не обязательный, его можно смело пропустить). Многие модули, входящие в состав этого набора, являются экспериментальными. Их стоит устанавливать, только если требуется запись информации в БД, поддержка mp3-файлов и протокола ooh323c (Objective Systems Open H.323 for C):

$ wget -c downloads.digium.com/pub/Asterisk/Asterisk-addons-1.4.2.tar.gz
$ tar xzvf Asterisk-addons-1.4.2.tar.gz
$ cd Asterisk-addons-1.4.2
$ ./configure; make; sudo make install; sudo make samples

Установка Asterisk закончена. Сначала рекомендуется запустить сервер в отладочном режиме и просмотреть вывод на наличие ошибок:

$ sudo /usr/sbin/Asterisk -vvvgc

Если получаем сообщение «Asterisk Ready» и приглашение консоли управления, значит все в порядке. Выходим:

*CLI> stop now

Теперь можно переходить к дальнейшей настройке.
Настройка поддержки интерфейсных карт

Если планируется подключение сервера Asterisk с помощью специальных интерфейсных плат к обычным телефонным сетям, следует позаботиться о наличии соответствующих драйверов, реализованных в виде модуля ядра. Но даже если таких устройств в компьютере нет, эти драйверы все равно рекомендуется установить. Дело в том, что во всех Zaptel-устройствах есть таймер, и для полноценной работы сервера IP-телефонии он является необходимым. Но если Zaptel-устройства под рукой нет, для его эмуляции можно использовать специальный драйвер — ztdummy.

Из репозитария устанавливаем пакеты zaptel, zaptel-source и собираем модули под свою систему:

$ sudo apt-get install zaptel zaptel-source
$ sudo module-assistant prepare
$ sudo m-a -t build zaptel

В /usr/src появится пакет zaptel-modules-*_i386.deb, устанавливаем его с помощью dpkg. После этого проверяем работу модулей ядра:

$ sudo depmod -a
$ sudo modprobe ztdummy

И если нужна поддержка устройств:

$ sudo modprobe zaptel
$ sudo modprobe wcfxo

Чтобы обеспечить их автоматическую загрузку, выполняем следующую команду:

$ echo 'ztdummy\nzaptel\nwcfxo' >> /etc/modules

Создаем правила для UDEV:

$ sudo mcedit /etc/udev/rules.d/51-zaptel.rules

KERNEL="zapctl", NAME="zap/ctl"
KERNEL="zaptimer", NAME="zap/timer"
KERNEL="zapchannel", NAME="zap/channel"
KERNEL="zappseudo", NAME="zap/pseudo"
KERNEL="zap0-9*", NAME="zap/%n"

Также можно использовать исходные тексты или CVS-версию драйвера. При самостоятельной компиляции понадобятся заголовочные файлы ядра (или исходные тексты):

$ sudo apt-get install linux-headers-`uname -r`

Создадим символическую ссылку, чтобы Asterisk нашел исходники ядра:

$ sudo ln -s /usr/src/linux-headers-2.6.20-15-generic /usr/src/linux-2.6

Теперь получаем последнюю версию драйверов:

$ cd /usr/src
$ wget -c downloads.digium.com/pub/zaptel/zaptel-1.4-current.tar.gz

Компилируем и устанавливаем:

$ tar xzvf zaptel-1.4-current.tar.gz
$ cd /usr/src/zaptel-1.2.17.1
$ ./configure
$ make
$ sudo make install

И чтобы вручную не создавать конфигурационные файлы:

$ sudo make config

После этой команды будет создан скрипт для автоматического запуска модулей, входящих в состав Zaptel, и конфиг /etc/default/zaptel (или /etc/sysconfig/zaptel), в котором будет указано, какие модули необходимо загружать. Рекомендую в этом файле оставить только необходимое. Пробуем загрузить модуль:

$ sudo modprobe ztdummy
$ lsmod | grep ztdummy
ztdummy 6184 0
zaptel 189860 1 ztdummy

Все нормально. После установки в системе появятся еще два файла:
/etc/zaptel.conf – описывает конфигурацию аппаратного обеспечения;
/etc/Asterisk/zapata.conf - настройки сервера Asterisk для работы драйвера Zap-канала.

Подробные указания для всевозможных устройств даны в документации. На русском по этому поводу можно почитать в документе «Asterisk+config+zaptel.conf">Конфигурация драйвера ядра Zaptel». Но на этом не останавливаемся, впереди у нас еще много работы. После настройки проверяем работу командой ztcfg -vv.
Регистрация пользователей

Если теперь посмотреть в каталог /etc/Asterisk, можно обнаружить большое количество файлов. Но размер журнальной статьи позволит нам познакомиться только с некоторыми из них. Так, в Asterisk.conf указаны каталоги, которые будет задействовать Asterisk во время работы, расположение и владелец сокета, используемого для подключения удаленной консоли управления, а также дефолтные параметры запуска сервера. Некоторые каталоги во время установки не создаются, это придется сделать вручную:

$ sudo mkdir -p /var/{run,log,spool}/Asterisk
$ sudo adduser --system –-no-create-home Asterisk
$ sudo addgroup --system Asterisk

Добавим пользователя Asterisk в группу audio:

$ sudo adduser Asterisk audio
$ sudo chown Asterisk:Asterisk /var/run/Asterisk
$ sudo chown -R Asterisk:Asterisk /var/{log,spool}/Asterisk

Дальше нас интересует файл sip.conf, где определяются серверы и клиенты SIP, с которыми будет дружить наш Asterisk. Каждый из них представлен в файле отдельным блоком, который начинается с оглавления, заключенного в квадратные скобки. Параметров в sip.conf довольно много, ограничимся лишь добавлением SIP-аккаунта:

$ sudo mcedit /etc/Asterisk/sip.conf

[grinder]
type=friend
host=dynamic
; defaultip=192.168.1.200
username=grinder
secret=password
language=ru
nat=no
canreinvite=no
context=office
callerid=grinder <1234>
mailbox=1234@office
; перед использованием параметра allow следует отключить все кодеки
disallow=all
; порядок следования кодеков не имеет значения
allow=ulaw
allow=alaw

Поле type указывает, что может делать этот клиент. При значении user ему будет разрешено только принимать входящие звонки, при peer он сможет только звонить, а friend означает все действия сразу, то есть user+peer. В поле host указывается IP-адрес, с которого разрешено подключение этого клиента. Если он может подключаться с любого адреса, указываем host=dynamic. А чтобы в этом случае вызвать клиента, когда он еще не зарегистрирован, в defaultip следует записать IP-адрес, по которому его всегда можно будет найти. В username и secret указываем логин и пароль, используемые клиентом при подключении. Параметр Language задает код языка приветствий и специфичные настройки сигналов телефонов, которые определены в файле indications.conf. При работе клиента за NAT'ом в соответствующем поле необходимо установить значение yes. Отключение canreinvite заставляет весь голосовой RTP-трафик проходить через Asterisk. Если клиенты поддерживают SIP re-invites, им можно разрешить соединяться напрямую, указав canreinvite=yes. Поле сontext определяет план набора, в который попадают вызовы, поступающие от этого клиента, а callerid - строку, которая будет выводиться при звонке от клиента. По умолчанию используется контекст default, который берет все настройки из контекста demo. Последний предназначен исключительно для демонстрационных целей, в рабочей системе необходимо создать свой контекст. Поле mailbox указывает на голосовой ящик 1234 в контексте office. Остальные клиенты настраиваются аналогично.
После определения SIP-аккаунтов наши клиенты могут регистрироваться на сервере Asterisk и совершать исходящие вызовы. Чтобы у них была возможность принимать звонки, следует обратиться к файлу extensions.conf, в котором описывается план набора (Dialplan), распределяющий звонки в системе. Здесь же указываются все разрешенные расширения.

$ sudo mcedit /etc/Asterisk/extensions.conf

[office]
include => default
exten => 1234,1,Dial(SIP/grinder,20)
exten => 1234,2,Voicemail(grinder)

Здесь все просто. За пользователем grinder закрепляем номер 1234, и, если он не ответит на звонок, ему можно будет оставить сообщение в голосовой почте. Цифра после номера означает приоритет, который определяет последовательность выполнения задач. Теперь, если Asterisk запущен, следует подключиться к его консоли, выполнив на той же машине Asterisk -r, и с помощью команды reload заставить его перечитать конфигурационные файлы. Есть и команды для перезагрузки конкретного файла. Например, план набора перечитывается командой extensions reload.

Сервер готов к приему клиентов. По адресу Asteriskguru.com/tutorials/configuration_Asterisk_softphone.html">www.Asteriskguru. com/tutorials/configuration_Asterisk_softphone.html выбираем себе софт-клиент и пробуем соединиться. Мне, например, нравится бесплатная версия простой и понятной в использовании программы ZoIPer (ранее Idefisk). Есть версии для Linux, Windows и Mac OS X. Еще один неплохой и также мультиплатформенный клиент - X-Lite.

Если все нормально, в консоли должно появиться сообщение вроде «Registered SIP 'grinder' at 192.168.0.1 port 5060», набираем номер и звоним.

Мы настроили Asterisk в минимальной конфигурации, но это далеко не все, что он может. За кадром осталось подключение к другому серверу IP-телефонии, парковка вызова, музыка во время ожидания, биллинг, использование GUI для администрирования сервера и прочее, но мы постараемся восполнить эти пробелы в следующих статьях.

http://www.xakep.ru/
0

#6 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 22 Февраль 2008 - 13:28

Бронежилет для файрвола: как защитить свой файрвол и антивирус от набега малвари

Очень часто антивирусы и брандмауэры превращаются из охотников в жертвы. В борьбе с активной малварью еще и не такое случается. И хотя разработчики всячески пытаются защититься от посягательств со стороны зловредного кода, воздвигая целый комплекс средств противовоздушной обороны, при схватке с грамотно спроектированным зловредным кодом они обречены на поражение. Как усилить защиту уже существующих антивирусов/брандмауэров, не вмешиваясь в их машинный код и не ковыряя исходные тексты, которых у нас все равно нет? Реально ли это вообще? Еще бы!

Мужская часть населения еще помнит те давние время, когда антивирус (вместе со всеми базами и самой MS-DOS) умещался на одной «стерильной» дискетке с защитой от записи откуда его настоятельно рекомендовалось запускать. Запуск антивируса из-под зараженной операционной системы часто приводил к ложным негативным срабатываниям. То есть антивирус не находил даже известные ему вирусы, а все потому, что зловредный код слишком хорошо знал антивирус и модифицировал его код, отвечающий за распознавание заразы.

Современные антивирусы на дискету уже не влезают и вынуждены сражаться с активной малварью, в арсенале которой помимо многочисленных маскировочных методов имеется и оружие возмездия. Аналогичным образом дела обстоят и с персональными брандмауэрами. Их тяжело пробить снаружи (то есть с удаленной машины), но легко отключить локально, внедрившись в адресное пространство брандмауэра или поигравшись с элементами управления путем эмуляции клавиатурного/мышиного ввода (атаки типа WM_).

Конечно, разработчики всячески защищаются от нападок со стороны вредоносного кода (например, путем проверки целостности собственного тела). Однако получается у них не очень хорошо, и вообще создается впечатление, что они в первую очередь озабочены качеством детекции и количеством распознаваемых вирусов, то есть предпочитают нападать, а не обороняться. Вот только, вырвавшись вперед, они рискуют оказаться в плотном кольце окружения. «Независимые» обзоры также не уделяют защите никакого внимания, тестируя антивирусы/брандмауэры в лабораторных условиях.

Проактивные технологии, проверяющие все открываемые файлы на лету, действительно имеют хорошие шансы остановить распространение заразы, поскольку малварь уничтожается еще до того, как получит управление. А вот автономные сканеры, запускаемые раз в несколько дней (а то и недель), намного более уязвимы и, как показывает практика, очень плохо справляются с поиском руткитов. А если вспомнить, что зловредный код часто распространяется через дыры в безопасности (антивирусами не контролируемые), их судьба становится совсем незавидной.

Статья построена на основе анализа большого количества малвари. Мыщъх исследовал наиболее популярные техники противодействия антивирусам/брандмауэрам и разработал простые и эффективные «бронежилеты», пригодные для защиты уже существующих программ без какой бы то ни было их переделки. Поэтому не волнуйся: дизассемблер тебе не понадобится!
Стратегические ракеты межпроцессорного назначения

Как работает малварь? Какие приемы используются для ослепления защитных механизмов? Возможных способов очень много, и каждый день появляются все новые и новые. Чтобы навести в этом хаосе хотя бы какое-то подобие порядка, необходимо классифицировать основные методы, а также их производные. Тогда станет понятно, от кого и как нам обороняться.

Порядка 80% зловредных программ открывают процесс-жертву API-функцией OpenProcess, получая (в случае успешного завершения операции) дескриптор процесса, передаваемый API-функции ReadProcessMemory. Последняя читает содержимое памяти процесса-жертвы и копирует его во внутренний буфер малвари, которая путем сигнатурного поиска пытается отловить все известные ей защитные программы (список активных процессов можно получить средствами TOOLHELP32). Если подобная программа обнаруживается, малварь смотрит в свою базу сигнатур, извлекая смещение машинных команд, которые надлежит нейтрализовать, что осуществляется путем перезаписи памяти жертвы API-функцией WriteProcessMemory. В большинстве случаев достаточно заменить пару условных переходов, навсегда отучив антивирус/брандмауэр ругаться грязными словами.

В более сложных случаях малварь впрыскивает внутрь защитной программы свой код, ведущий партизанскую войну с защитным механизмом с учетом конкретных ситуаций, что намного более предпочтительно, поскольку новые версии антивирусов/брандмауэров выходят достаточно часто и создателю малвари приходится постоянно обновлять базу сигнатур. С закрытых позиций (то есть из соседнего процесса) нанести прицельный удар не так-то просто! Ошибка в один единственный байт может привести к зависанию, что не есть хорошо. Напротив, оказавшись внутри антивируса/брандмауэра, хакерский код без проблем обезвредит все «детонаторы» вполне универсальным путем: например, установит еще один перехватчик открываемых файлов поверх установленного антивирусом, а перед передачей управления последнему сотрет в проверяемом файле все следы своего присутствия (естественно, сотрет только в памяти).

Внедрение в посторонние процессы осуществляется различными путями. Классический способ (работающий только в NT-подобных системах) — создать удаленный поток вызовом API-функции CreateRemoteThread или NativeAPI-функции NtCreateThread, однако перед этим необходимо забросить зловредный код внутрь атакуемого процесса. И тут хакеру на помощь приходят API-функции: AllocateVirtualMemory (для выделения блока памяти) или QueryVirtualMemory (для поиска уже выделенного блока, пригодного для внедрения) с последующим вызовом WriteProcessMemory.

Внедрение в стиле модерн апеллирует к манипуляциям с процессорным контекстом. Новые потоки при этом не создаются. Внутрь процесса-жертвы записывается зловредный код (и тут без WriteProcessMemory никак не обойтись!), а затем API-функциями GetThreadContext/SetThreadContext регистр-указатель команд перемещается на начало зловредного кода, длина которого обычно составляет несколько десятков байт — вполне достаточно, чтобы загрузить свою динамическую библиотеку или «открыть портал». Но это уже детали реализации.

Некоторые (между прочим, достаточно многие) антивирусы/брандмауэры перехватывают вызовы WriteProcessMemory/SetThreadContext и поднимают тревогу, если запись происходит в секцию кода. Однако этот перехват достаточно легко обойти: например, вызывать API-функции не с первого байта, эмулируя выполнение пропущенных команд; или же внедряться в область данных. Правда, при активном аппаратном DEP попытка внедрения в область данных ведет к исключению, завершающему работу атакуемого приложения в аварийном режиме.

Обойти контроль за SetThreadContext можно путем подключения псевдоотладчика (созданного малварью) к процессу-жертве API-функцией DebugActiveProcess, за которой не следит ни один известный мне защитный механизм; и хакер может преспокойно получать контекст потока в свое распоряжение через генерацию отладочных событий. Такой способ внедрения в антивирусы/брандмауэры встречается все чаще и чаще.

Примерно 10% зловредных программ лезут в следующую ветку системного реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, добавляя туда свою динамическую библиотеку, которую операционная система будет проецировать на адресное пространство всех GUI-приложений, передавая ей бразды правления до их запуска. Практически все современные защитные комплексы следят за AppInit_DLLs и начинают жутко материться, если там обнаруживается новая DLL. Однако, если малварь хакнула AppInit_DLLs до запуска антивируса/брандмауэра, им остается только утереться, поскольку кто первый получает управление, тот царь и король.

Еще приблизительно 10% зловредных программ борются с защитами через оконный интерфейс. Что может быть проще! Находим окно по его заголовку (API-функции FindWindow или EnumWindows), добираемся до элементов интерфейсного управления и начинаем хачить их по своему усмотрению. Зловредный код может подавить появление нежелательных окон (например, сделав их невидимыми — API-функция ShowWindow), найти кнопку с надписью «Yes» и «надавить» на нее путем посылки соответствующих Windows-сообщений. Или же заблокировать все кнопки (API-функция WindowDisable). Наконец, можно забраться в настройки и отключить защиту, а чтобы пользователь ничего не заметил, каждый раз подсовывать ему поддельный экран. И это не фантастика! Такие вирусы уже есть, причем совсем не один, а написать их может даже школьник, едва осиливший Delphi и пролиставший по диагонали SDK.

Другой излюбленный объект атаки - файл \WINNT\System32\Drivers\etc\hosts, позволяющий сопоставлять IP-адреса с доменными именами и имеющий приоритет над DNS-сервером. То есть если малварь не хочет, чтобы антивирус обновлялся, то она просто добавляет в hosts-файл одну строчку, перенаправляя запросы к серверу обновлений куда-нибудь еще, например на локальный узел жертвы (которому соответствует адрес 127.0.0.1) или, что еще хуже, на сервер самого создателя малвари, распространяющий вредоносные обновления, которые содержат не только сигнатуры, но и машинный код. И хотя антивирусные базы в большинстве своем защищены цифровыми подписями и другими криптографическими средствами, при большом желании со стороны хакера их можно обойти.

Впрочем, пора уже разобрать несколько эффективных приемов обороны от всего этого безобразия.
Способ 1. Используем «бронежилет»

Малварь нужно бить еще на взлете. Самое простое, что можно только сделать, — это упаковать антивирус/брандмауэр достойным протектором, препятствующим сигнатурному поиску и внедрению в охраняемый процесс постороннего кода. Крутых протекторов сейчас как никогда много, взять хотя бы туже Themid'у (которая в просторечии завется Фемидой). Правда, на официальном сайте (www.oreans.com) лежит только демонстрационная версия…

Чем хороша Фемида? А тем, что перехватывает и блокирует следующие API-функции: NtAllocateVirtualMemory, NtCreateThread, NtQueryVirtualMemory, NtReadVirtualMemory, ZwTerminateProcess, NtWriteVirtualMemory. Префикс Nt означает, что мы имеем дело с NativeAPI-функциями, самыми низкоуровневыми системными функциями, доступными на прикладном уровне, что одним махом срубает до примерно 80% всей малвари. Конечно, если малварь работает на уровне ядра, то это другое дело, но и в этом случае ей придется изрядно напрячься, поскольку тело упакованного файла зашифровано и расшифровывается динамически по ходу его исполнения, тут же зашифровываясь вновь.

Без функции NtReadVirtualMemory малварь обломается с чтением содержимого защищенного процесса, а значит, не сможет отличить антивирус/брандмауэр от остальных программ. Запрет на создание удаленных потоков NariveAPI-функцией NtCreateThread не позволит внедриться в адресное пространство жертвы, тем более что NtWriteVirtualMemory все равно не работает. Ну и как бедная малварь должна копировать зловредный код?

Аналогичным образом обстоят дела и с другими атаками. Обработанный Фемидой файл практически неуязвим. Зачастую настолько неуязвим, что вообще неработоспособен. Фемида не самый корректный упаковщик, и простейший контроль целостности, выполняемый антивирусом/брандмауэром, тут же показывает, что с файлом что-то не то. Как следствие, антивирус/брандмауэр выдает на экран предупреждающее сообщение или вообще отказывается работать. В такой ситуации нам остается либо взять в лапы hiew и вырезать из антивируса/брандмауэра систему самоконтроля, которая нам только мешает, либо же, поигравшись с настройками протектора, выбрать компромиссный вариант, который и от малвари защищает и ругательств со стороны защиты не вызывает.
Способ 2. Зовем на помощь отладчик

Если примирить защиту с протектором никак не получается, имеет смысл обратиться за помощью к отладчику, например к бесплатно распространяемому OllyDdb. Просто загружаем защищаемую программу в Ольку (или прицепляется к уже запущенному процессу: «File -> Attach») и нажимаем <F9> (Run) для нормального продолжения выполнения программы без трассировки.

Что это дает? Во-первых, поскольку отладка в Windows нереентерабельна, то процесс, находящийся под покровительством Ольки, не может отлаживать никто другой, и попытки малвари зацепиться за него ни к чему не приведут. Так же Олька позволяет отслеживать появление новых потоков (как локальных, так и удаленных). Достаточно в меню «Options -> Debugging Options» взвести галочку «Break on new thread» во вкладке Event. Тогда отладчик будет останавливаться всякий раз при создании нового потока. И хотя антивирусы/брандмауэры активно создают свои собственные потоки в целях производственной необходимости (что очень надоедает), все-таки такая защита лучше, чем совсем никакой.

А если еще взвести и галочку «Break on new module» (DLL), то отладчик будет останавливаться при загрузке всякой динамической библиотеки. И хотя опять-таки антивирусы/брандмауэры могут подгружать библиотеки по ходу дела, обычно это происходит в строго определенных ситуациях при совершении пользователем тем или иных действий. Беспричинная загрузка DLL с вероятностью, близкой к единице, свидетельствует об атаке!
Способ 3. Используем биты NX/XD

Наконец, высший пилотаж — защита кодовых секций от внедрения. Работает только на процессорах с поддержкой битов NX/XD (то есть достаточно современных процессорах) и с XP SP2 с задействованным аппаратным DEP для всех приложений (по умолчанию DEP распространяется только на системные компоненты).

В отладчике нажимаем <ALT-M>, чтобы увидеть карту адресного пространства. Находим там модуль, имя которого совпадает с именем антивирусного процесса; видим секцию .text (реже CODE), щелкаем правой клавишей мыши, в контекстом меню выбираем пункт «Set Access -> Execute» - и все! С этого момента любая попытка чтения секции кода приведет к исключению, отлавливаемому отладчиком и блокирующему атаку. Напоминаю, что этот трюк действует только при соответствующей поддержке со стороны операционной системы и процессора (за подробностями отсылаю к своей статье, где все это описано). Правда, если антивирус/брандмауэр попытается подсчитать контрольную сумму кодовой секции для проверки собственной целостности, то его встретит жестокий облом. Впрочем, мы можем нажать <F9> для продолжения выполнения кода или на время снять запрет на чтение кодовой секции, только это все равно не спасет от малвари, модифицирующей стек или секцию данных. Но, к счастью, умной малвари в живой природе практически не встречается, и все больше приходится бороться со студенческими поделками.

Другая возможная проблема - антивирус/брандмауэр может не захотеть запускаться из-под отладчика, например, потому что доверху нашпигован различными антиотладочными приемами. Ну и что нам делать?!
Способ 4. Настраиваем права доступа

Хорошая идея — запустить антивирус/брандмауэр от имени администратора, а самим работать в пользовательской сессии. Тогда малварь, обладающая пользовательскими правами, просто не сможет открыть процесс защищенного приложения. Запуск программ от имени другого пользователя (в данном случае администратора) осуществляется штатной командой runas с ключами /profile и /env, копирующими профиль и среду текущего пользователя. Без этих ключей антивирус/брандмауэр, не найдя своих настроек, может просто не запуститься!

Запуск приложений от имени администратора - достаточно надежное средство защиты от посягательств на адресное пространство защищаемого процесса со стороны малвари, но! Эмуляция клавиатурного/мышиного ввода продолжает работать, что не есть хорошо. Как этому противостоять?! Увы, ответ обескураживающий. Даже со всеми нововведениями Windows Vista — никак. Единственная зацепка — заголовок окна. Большинство зловредных программ именно так и «палит» антивирусы/брандмауэры. Ну, изменить заголовок не проблема. Это умеет делать любой продвинутый твикер, например старый-добрый Customiser. Он же умеет двигать элементы управления (например, кнопки), изменяя их размеры. Зачем это нужно?! А затем, что более продвинутая малварь не смотрит на заголовок главного окна, а сечет раскладку дочерних элементов управления, поскольку положение и размеры элементов управления уникальны для каждого приложения, и их (в целях маскировки) рекомендуется слегка изменять. Customizer (как и большинство других твикеров подобного типа) позволяет сохранять профили изменений, автоматически восстанавливая их при каждом запуске и освобождая нас от необходимости делать эту рутинную работу вновь и вновь.
Способ 5. Защищаем hosts-файл

Следи также за файлом \WINNT\System32\Drivers\etc\hosts, удаляя посторонние записи. В принципе ничего не мешает грохнуть и сам файл hosts, поскольку очень мало пользователей использует его по назначению.



Следуя обозначенным рецептам защиты, мы намного увеличим безопасность своего компьютера, нанося малвари сокрушающий ответный удар. Но в мире нет и не может быть защиты, которую нельзя обойти. Поместив антивирус/брандмауэр в «бронежилет», мы всего лишь уменьшаем вероятность прямых попаданий, отсекая большое количество «шрапнели», пущенной пионерами. Приемы, предлагаемые нами, не претендуют ни на универсальность, ни на полноту. Однако они не требуют никакой квалификации и доступны каждому пользователю. А многолетний опыт автора показывает, что защищаться от малвари можно и нужно.

Используй описанные методы на свой страх и риск. Учти, что в случае неумелого использования и в некоторых других конкретных случаях можно не увеличить защиту, а скорее навредить.

Автор: Крис Касперски
0

#7 Пользователь офлайн   Wer.cfg

  • Пользователь
  • PipPip
  • Группа: Пользователи
  • Сообщений: 225
  • Регистрация: 05 Декабрь 07

Отправлено 29 Март 2008 - 23:25

Это все можно в www найти. Вы лучше что-нибудь сами напишите
напишите тут) http://forums.avtogr...?showtopic=1500
0

#8 Пользователь офлайн   Macro-Y

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 844
  • Регистрация: 01 Ноябрь 07

Отправлено 29 Март 2008 - 23:33

Просмотр сообщенияWer.cfg (29.3.2008, 23:25):

Это все можно в www найти. Вы лучше что-нибудь сами напишите

Напишем, увы времени мало и темы исчерпаны в том же www :) Делали и по-круче, чем в этих статьях. Молчание - золото.
0

#9 Пользователь офлайн   Wer.cfg

  • Пользователь
  • PipPip
  • Группа: Пользователи
  • Сообщений: 225
  • Регистрация: 05 Декабрь 07

Отправлено 08 Апрель 2008 - 11:04

Ну что за люди :) сами знают, а с другими знаниями поделится не хотят ;)
напишите тут) http://forums.avtogr...?showtopic=1500
0

#10 Пользователь офлайн   ikz

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 132
  • Регистрация: 01 Ноябрь 07

Отправлено 08 Апрель 2008 - 12:55

Тебе информации в www мало?

А вообще, нечего сказать по теме - молчим.
0

#11 Пользователь офлайн   Clamp

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 133
  • Регистрация: 01 Ноябрь 07

Отправлено 10 Апрель 2008 - 19:27

Евгений Касперский - Человек и антивирус
Интервью сайту Sostav.ru от 21.03.08


Цитата

Любой вирус - это всегда головная боль и мгновенная реакция организма. К сожалению, а может быть и к счастью, электронные устройства не обладают естественным иммунитетом от рождения и со всеми болезнями им пока помогает бороться человек. Впрочем, от головной боли никто не застрахован и при другом раскладе: когда к тебе на рабочий инструмент (например, компьютер) прописался раздражитель, помучиться придется долго. Евгений Касперский борется с «зловредами» уже почти двадцать лет, и год от года излеченных «пациентов», как машин, так и людей, становится больше. На любой вирус найдется вакцина, констатирует «врач».

Рецепт успешного бизнеса для Евгения Касперского прост и мудр одновременно, что уже само по себе признак умного руководителя. «Во-первых, твое дело должно тебе нравиться. Во-вторых, в нем ты должен добиться максимального совершенства. В-третьих, дело должно приносить деньги. И, наконец, о бизнесе ты должен думать больше, чем о себе», - делился в одном из интервью Касперский. Но куда сложнее для него оказалась борьба с собственной судьбой. Некогда молодой криптограф с изощренным по тем временам хобби расшифровывать вирусы, Евгений Касперский совершил стремительный по меркам рынка взлет до генерального директора известнейшей компании с собственным именем. Американская мечта? Нет, он всего добился на родине.

С детства увлекавшийся точными науками, впоследствии определившими полученную после окончания института специальность, Касперский не остался в военной организации, где он познакомился и с первым в своей жизни персональным компьютером, и с первым вирусом, кстати, удачно разоблаченным. В начале «горячих» 90-х Евгений Касперский начал работать в «Ками», а через некоторое время заручился поддержкой двух коллег, ныне соучредителей «Лаборатории». Первые победы не заставили долго ждать, в 1994 году Тестовый центр Гамбургского Университета опубликовал результаты сравнительных тестов 32 ведущих антивирусных программ. Кто бы мог подумать: первую строчку занял проект Касперского!

Сегодня «Лаборатория Касперского» - самый известный в России производитель защиты от вирусов, спама и хакерских атак. Кроме того, компания входит в пятерку ведущих мировых производителей программных решений для обеспечения информационной безопасности. В «Лаборатории» работает 850 специалистов, а партнерская сеть объединяет 500 партнеров первого уровня более чем в 60 странах мира. Выручка «Лаборатории Касперского» на территории стран СНГ и Балтии в 2007 году составила около 40 миллионов долларов, причем российский рынок занимает львиную долю (35 миллионов долларов).

Евгений Касперский Евгений Касперский Евгений Касперский Евгений Касперский

«Какая забавная фамилия, - удивился как-то портье в одном из отелей Мадрида, заглянув в паспорт Касперского. - У нас так антивирус называется». Да, в лицо Евгения знают куда больше в России, нежели за рубежом. Но это не мешает продуктам компании обращать на себя внимание иностранных пользователей. С открытия офиса в Англии в 1999 году «Лаборатория Касперского» интегрируется в зарубежные рынки. Сегодня среди клиентов «Лаборатории», известной на рынке антивирусного ПО более 10 лет, крупнейшие зарубежные холдинги, такие как Airbus в странах ЕС, La Poste во Франции, Stemcor и BBC Worldwide в Великобритании.

Несмотря на свою известность, Евгений Касперский не любит излишней публичности. Неформальная атмосфера в коллективе, преданность своему делу и чутье на «ветер перемен», - вот главные условия успешного бизнеса по Касперскому. И тогда слова «о бизнесе нужно думать больше, чем о себе» приобретают почти универсальный смысл.

Дмитрий Захаркин, Sostav.ru

19.03.2008 09:38 Koteg
Здравствуйте, Евгений.

Как вы считаете, во что эволюционируют вирусы в ближайшем или отдаленном будущем? Кто победит в гонке "вооружений": антивирусные приложения или злоумышленники?

21.03.2008 11:27 Евгений Касперский
Эволюция вирусов, заражающих MS Windows, закончена. Эра стремительного роста разнообразия Windows-насекомых прошла лет несколько назад – ничего выдающегося с тех пор не появилось и не предвидится. Технологии отполированы, методы отточены – и даже автоматизированы (подробный рассказ про всё это займёт не одну страницу текста).

Нас ждут эпидемии и эволюции вирусов для Linux, MacOS, мобильников, затем под ударом будут умные дома, а может быть и похуже… (смотрите примеры: Ссылка, Ссылка

Кто победит? Победителей не будет. Злоумышленники будут продолжать делать свой незаконный бизнес, правоохранительные органы будут их отлавливать и отсаживать, антивирусные компании будут по мере сил вас всех защищать.

19.03.2008 09:42 Я, дядька
Евгений, скажите пожалуйста, компании, занимающиеся борьбой с вирусами, и сейчас занимаются разработкой поводов для усовершенствования своих решений?

20.03.2008 20:08 Евгений Касперский
«Разработка поводов для…» - такой же вопрос, как и следующий, но как элегантно задан! Зачёт.
Ответ – читать ниже.

19.03.2008 09:43 Koteg
И еще, каждый день появляется огромное количество различных вирусов, троянов, кейлогеров и тд, что вынуждает потребителя покупать все более "продвинутый" антивирусный пакет приложений. Может это сами "защитники пользовательских ПЭВМ" пишут на досуге? Интересно ваше мнение, спасибо.

20.03.2008 20:06 Евгений Касперский
Так… Опять этот стандартный вопрос… Ну конечно же! Тот, кому выгодно – тот и в ответе! Пожарники – поджигатели, врачи – убийцы, и страшно подумать, чем занимается ведомство Шойгу... Хотя если подумать – кому выгодны всяческие наводнения, пожары, землетрясения, цунами и прочие природные и технологические катаклизмы? Кому? Правильно – журналистам! Вот кто за всё в ответе!

Если серьёзно, то этот вопрос меня уже «достал» настолько, что ответ на него опубликован в самом начале моей недавно изданной книжки «Компьютерное зловредство», где про это самое зловредство рассказано практически всё и достаточно простым языком. И ответ на заданный вопрос там звучит так:

Кому это нужно. Кто и почему создает вредоносные программы – ключевая проблема. Кому это выгодно? Сразу необходимо ответить на ставший уже обычным нехороший вопрос: не выгодно ли это антивирусным компаниям, не ими ли эти вирусы создаются и распространяются? Ответ звучит следующим образом.

1.это невозможно по элементарным причинам профессиональной этики.
2.любой доказанный случай написания и распространения вируса полностью дискредитирует компанию и фактически поставит крест не её деятельности.
3.уголовно наказуемое деяние: УК РФ, статья 273, лишение свободы на срок до трех лет, да по предварительному сговору группой лиц – и это надо?
4.антивирусным компаниям и так есть чем заняться.
5.подобные вопросы могут задаваться только людьми, которые подсознательно допускают подобные действия, что говорит о “тайнах подсознания” задающего вопрос.

19.03.2008 10:14 ruby
Всегда ли зло то, что считается "вирусом"?

20.03.2008 20:08 Евгений Касперский
Раньше, когда компьютеры были большие, модемы были не ископаемыми, а терабайтов не было вообще – компьютерные вирусы были злые и не очень. Попадались и вирусные «шутки», приколы, «исследовательские» вирусы.

Сейчас вирусы в подавляющем своём большинстве – это не зло. Это – статья. Причём не обязательно компьютерная. Даже совсем не компьютерная – воровство, мошенничество, неправомерный доступ к информации. Вирусы уже давно пишутся не детьми, а преступниками, которые воруют деньги с банковских счетов, шантажируют пользователей Сети, используют заражённые компьютеры в корыстных целях своего автора и т.п. Вирусы давно перестали быть забавой малолетних «кул-хацкеров». Современные вирусы – это деньги, деньги и еще раз деньги, зарабатываемые нелегальными методами.

19.03.2008 10:30 Zaraki Kenpachi
Евгений, расскажите, создание антивирусного ПО - ваша мечта с самого детства? Или это был вынужденный шаг с целью заработать. Если б повернуть время вспять и вернуться на 20 лет назад, с учетом вашего нынешнего жизненного опыта, кем бы вы стали?

20.03.2008 19:44 Евгений Касперский
Когда я был в детстве – еще не было компьютеров  Я тогда жил с родителями в г.Новороссийске и мечтал стать директором цементного завода (Новороссийск – не только порт, там также есть пара больших цементных заводов, на другой стороне бухты).

Посему с компьютерами (и компьютерными вирусами) я познакомился значительно позже – в конце 1980х. Анализ (вскрытие) первого вируса оказался настолько интересным для меня делом, что я просто «заболел» вирусами, они стали моим хобби, затем работой, а потом и бизнесом. И если повернуть обратно лет на 20 – я бы пошел той же самой дорогой.

19.03.2008 10:47 artperson
вопрос из свежего...
евгений, можете ли вы более точно спрогнозировать дату вирусной эпидемии на маках (включая ай*о*)? при увеличении доли на рынке макоси - это понятно. хочется конкретных прогнозов, не зависящих от развития индустрии в целом. вы ведь поддерживаете коммуникацию со сторонними программистаами. например, я считаю, что это будет конец 08 начало 09 года.
какая часть макоси на ваш взгляд будет подвержена атаке в первую очередь? почему то я уверен, что закоренелые маководы даже после слета системы не поверят, что у них был вирус )))
не хотите ли вы сами (вы - как компания) сделать первый официальный (если так можно сказать) вирус для макоси? понимаю, что звучит смешно, но возможно, это будет неплохая площадка для новой пиар кампании :) учитывая то, что апдейты на макось выходят очень часто, возможно, это облегчит задачу? :)
заранее благодарен за конкретику :)

21.03.2008 09:20 Евгений Касперский
Подобными прогнозами славился барон Мюнхгаузен: «11 утра – подвиг». «хнадцатое хх-бря, 11 утра – глобальная эпидемия червя под Мак» :) С такими прогнозами – не к нам, а к тем, кто нас работой загружает…

А проблема уверенности «маководов» в своей безопасности – очень большая проблема. Они со своими заблуждениями будут самыми легкими жертвами компьютерных преступников в неотдалённом будущем…

Про написание вирусов – см. выше. Да и написано уже – читайте Ссылка (там есть информация про Мак-зловредов)

19.03.2008 10:47 Прокоп
Здравствуйте, как Вы считаете, чем отличалась специфика вашего взаимодействия с представителями "горячих 90-ых" как у представителя ИТЕЛЛЕКТУАЛЬНОГО бизнеса? Какой жизненный опыт Вы вынесли с тех времён???

20.03.2008 19:46 Евгений Касперский
Впервые вижу, чтобы бандитов называли «представителями» :)
Если серьёзно – никаких контактов не было, никакого опыта не вынес. Насколько мне известно, вообще вся (или почти вся) IT-индустрия избежала «деловых отношений» с «представителями». Причина, как мне кажется, - банальна: компьютеры и софт были слишком новым и необычным явлением, которое оказалось за пределами широты мировоззрения «представителей».

19.03.2008 10:52 Евгений Кустов
Евгений, добрый день!

Как бы Вы отнеслись к использованию вашего образа (не имени) в рекламе стороннего производителя, например в вирусном ролике, распространяемом по интернету?

Спасибо!

20.03.2008 19:46 Евгений Касперский
Крайне осторожно, десять раз бы подумал и посоветовался с окружающими – прежде чем дать добро. По самым разным причинам – от «не хочу бренд размывать» до «не хочу, чтобы узнавали на улицах и магазинах».

19.03.2008 10:52 Алексей
Евгений, добрый день!
1. Интересно было бы услышать ваши комментарии по поводу недавней шумихи вашей "дочки" Infowatch и вновь испеченным Perimetrix.
2. Если Периметрикс выпустит обещанный продукт, кто будет №1 на рынке? :)

Спасибо за ответ

21.03.2008 09:06 Евгений Касперский
Меня иногда спрашивают о примерах неудачных проектов – увы, Инфовотч является как раз примером неудачи. Блестящая идея защиты от внутренних угроз попала не в самые умелые руки – в результате потребовались изменения, причем серьёзные. Как известно – перемены (любые) нравятся далеко не всем и не всегда, и незначительная часть сотрудников Инфовотч перешла в новую компанию. Честно говоря, я сильно сомневаюсь в успехах Периметрикса – эти люди не смогли выпустить нормальный продукт в Инфовотч, что поменялось от перемены мест?

19.03.2008 10:58 Василий С
Уважаемый Евгений,
1. Помните ли Вы своего первого клиента, оплатившего работу?
2. Каждый месяц большинство людей тратит больше на игры, хобби, ресторанную еду, кино, и т.д., чем на то, чтобы формировать

себе доход к пенсионному возрасту каждый месяц.

А каким вы видите свое будущее через 15 лет?
3. Каковы миссии компании и ваша личная? В чем они схожи и чем различны?
4. Если бы вам дали задачу придумать антивирус к хамству, что бы вы предприняли?
Спасибо.


20.03.2008 19:48 Евгений Касперский
1.Кооператив «Алибек» (торговля компьютерами), 1989 г., работа: вылечил от загрузочного вируса несколько компьютеров, заработал коробку дискет.
2.Через 15 лет? Т.е. мне будет 57… Пенсия, наверное. Дом на берегу теплого моря, яхта, гости (друзья). Плюс, конечно же, пенсионерские путешествия (надо же и мир посмотреть – а то был примерно в 50 странах, а посмотрел от силы десяток…). Хотя может быть и хватит мотора (и шила в одном месте) – и буду впахивать как и сейчас. Такого варианта я тоже не исключаю :)
3.Миссия компании совпадает с моей личной, и звучит она просто и коротко: «спасти мир». Уточнение: спасать мир можно от астероидов, перенаселения, экологии и прочего глобального потепления. Но это – не наша задача. Наша миссия – спасти мир от компьютерных хулиганов, преступников и [censored].
4.Хамство? Типичная проблема просторов нашей необъятной?... Рот склеивать – как было с Нео в Матрице (если хамство вербальное). Временно. В зависимости от степени этого самого хамства.

19.03.2008 11:02 Андрейка
Евгений добрый день.
Как человек, построевший свой бизнесс с 0, причем бизнесс не связанный с природными ресурсами нашей Родины вы мне очень симпатичны и вызываете уважение. Теперь вопросы.

1. 15 лет назад, начиная свое дело, во что, как Вам казалось, оно должно было вырасти и совпали ли видения 15 летней давности с тем что есть сейчас?
2. Уданые результаты теста Гамбурского универститета как то способствовали развитию Вашего бизнесса?
Спасибо за ответы

21.03.2008 09:07 Евгений Касперский
1. Цели и видения 15-летней давности реализовались достаточно давно. Целью того времени было «создать лучший в мире антивирус». Создали! Теперь цели несколько выше, сложнее и интереснее. Играть в большие игры – это много адреналина, поверьте.

2. Безусловно – да! Нас заметили «за бугром», появились первые дистрибуторы в Европе и США. Вообще для продвижения любого нового продукта от неизвестной компании (а мы именно такими и были) нужны либо миллионы долларов – или нечто, что серьёзно и заметно отличает продукт от конкурентов.

19.03.2008 11:21 Michael
Евгений, как вы отнесётесь или относитесь к созданию и распространению вирусов, как к инструменту продвижения компании разрабатывающей антивирусное ПО? Ловили ли вы когда-нибудь своих сотрудников, желающих таким образом "помочь" родной компании? Как бы вы оценили мотивы создателей вирусов (если конечно есть такие данные, или приблизительное представление). Сколько хулиганства, сколько прагматики (промышленный шпионаж), сколько продвижения индустрии в общем объёме создаваемых вирусов? С чем по вашему мнению связано то, что Россия занимает лидирующие позиции среди "производителей" вирусов?

20.03.2008 20:09 Евгений Касперский
Отвечаю по пунктам:
1. См. выше.
2. Сотрудников не ловили – и такая «помощь» нам не нужна.
3. Мотивы – деньги. Подробнее – в книжке. Е.Касперский, «Компьютерное зловредство», Глава 1, «Кто и почему создаёт вредоносные программы», стр. 15-32. С фотографиями авторов этого самого зловредства. Рекомендую :)
4. Хулиганства практически не осталось, шпионаж – редок и незаметен. Почти 100% современного вирусного потока – криминал.

19.03.2008 11:35 Пользователь
Когда Вы прекратите создавать вирусы, с которыми предлагаете бороться с помощью вашего очень неоправдано дорогого программного обеспечения?

Спасибо

20.03.2008 19:52 Евгений Касперский
Вопрос из цикла «когда вы прекратите пить водку по утрам и орать на свою жену»?

И почему «неоправданно дорогое»? 1. Если бы это было так – его бы никто не покупал, верно? 2. Работать "за бесплатно" не предлагать – я тут не один, тут помимо меня еще почти 800 человек трудится. Что-то мне подсказывает, что мне не всех удастся уговорить работать по-коммунистически.

19.03.2008 11:44 Андрей Кь
Евгений а какую антивирусную программу Вы используете на своём компьютере?
Спасибо!

20.03.2008 20:10 Евгений Касперский
На каком из них? :)
Естественно, Internet Security имени себя!

19.03.2008 11:46 Константин
Евгений, здравствуйте.

Представьте ситуацию. Вы умерли, ваши похороны. Вы видите зал, где с вами прощаются, стоит гроб. Пришли все: семья, родственники, работники, партнёры по бизнесу, вирусописатели, хакеры.

Что бы вы хотели услышать от них в этот момент?

20.03.2008 19:50 Евгений Касперский
Вы с ума сошли? Каким местом я должен слышать – если мёртвый?
Прямо картинка стоит перед глазами: гроб, покойник, вокруг родственники, знакомые, коллеги по работе, все говорят разные хорошие и добрые фразы – а покойник улыбается и одобрительно кивает головой…

19.03.2008 11:48 Константин
Идеальное антивирусное программное обеспечение - какое оно?

20.03.2008 20:12 Евгений Касперский
1. Ловит 100% вирусов.
2. Кушает 0% памяти, 0% диска, 0% времени процессора.
3. Молча.

19.03.2008 11:49 Константин
Если вы решите уйти в отпуск на год, оставите бизнес и уйдете, то как вы думаете каким он будет?

20.03.2008 19:49 Евгений Касперский
Думаю, что за год ничего радикального не произойдёт. Корабль – плывёт, и будет плыть тем же курсом. А вот если на два-три-более, то, боюсь, его может и занести не совсем туда. Хотя команда управленцев в компании – весьма грамотная, может и обойтись :)

19.03.2008 11:54 artperson
2Пользователь: 900 руб в год (стоимость кис'а) за спокойствие - это много? 75 руб в месяц )))) смешно ))))

21.03.2008 09:16 Евгений Касперский
И я про то же!

19.03.2008 11:58 Николай
Добрый день, Евгений.

Как Вы относитесь к тому, что продукт вашей компании стараются потеснить иностранные производители на российском рынке? Ведь не секрет, что последнее время ваша компания принимает большие усилия чтобы удержать позиции на нашем рынке, прибегая, например к PR (заказные статьи).

С уважением, Николай

21.03.2008 09:17 Евгений Касперский
Иностранные производители – это нормально. Они пытаются пролезть к нам – мы их тесним на их территориях. Это было, есть и будет. Но мы этого не боимся - несколько лет назад в Россию пыталась войти Панда. Вошла, пошумела, исчезла. Сейчас за свою долю рублей дерётся Есет. Подерётся, пошумит, исчезнет. Потом придут БитДефендер, Авира и прочие. Придут, побудут, исчезнут. А мы – останемся.

«Удержать позиции на нашем рынке» - в 2007 году в России у нас был рост более 160%, это теперь называется «удержать позиции»??? Я что-то пропустил? Раньше это называлось иначе – «масштабное наступление». Да, оно не даётся даром, нужно прикладывать большие силы (Слава и Ура! нашему российскому офису!), но для этого совершенно необязательно прибегать к услугам заказного PR.

19.03.2008 12:16 Вел
Евгений, скажите кто на Ваш взгляд ваш главный конкурент?

21.03.2008 09:07 Евгений Касперский
Symantec, естественно, - поскольку именно эта компания является лидером рынка. Как в домашнем сегменте, так и в корпоративном.

19.03.2008 12:27 АКМ
Евгений, добрый день!
А сами Вы когда-нибудь пробовали разработать вирусную программу? И как Вы считаете, если бы Вы были "по другую сторону баррикад" были бы Ваши вредоносные программы столь же знаковыми, как и Ваша от них защита?
Спасибо!

20.03.2008 20:13 Евгений Касперский
Однажды отечественные журналисты на каком-то мероприятии так достали меня этими вопросами, что я не выдержал, взял фломастер и на листе бумаги в одну строчку написал вирусный BAT-скрипт. Устраивает?

А по ту сторону баррикад я себя представить просто не могу… Не получается.

19.03.2008 12:35 Дмитрий
Евгений, здравствуйте!

Восхищаюсь Вами как человеком и бизнесменом, хотя никогда Вас не видел вживую!
Мой вопрос звучит так: Все что о Вас пишут, это правда?

20.03.2008 19:49 Евгений Касперский
Конечно же – нет! Вообще, давным-давно, когда про меня начали что-то печатать в прессе, я был удивлён и шокирован искажениями и «творческими доработками». С тех пор я не верю прессе (если они про меня так – то, скорее всего, и про остальных тоже).

19.03.2008 12:37 Анна
Евгений, добрый день!

Скажите как Вам удалось добиться такоего широкого присутствия продукта на китайском рынке? Возможно ли Ваше выступление на конференции, например, по опыту продаж в Китае?

С уважением,
Анна

21.03.2008 09:08 Евгений Касперский
Моя личная роль здесь весьма незначительная – нам удалось найти «правильного человека» на руководство операциями в Китае, человека опытного и (не побоюсь этого слова) мудрого, умеющего рисковать и при этом ждать результата, полностью уверенного в себе – и не ошибающегося в решениях. А во-вторых, мы поверили в его план развития бизнеса в Китае – и дали полную свободу действий:

- несколько лет раздавать продукт «на халяву».
- а потом конвертировать «халявщиков» и пиратов на легальные версии продукта.

При этом качество продукта должно быть заметно выше конкурентов – иначе пираты и «халявщики» просто перейдут на другой продукт.

Вот и все секреты.

19.03.2008 13:13 Василий Зайцев
Здраствуйте,
Ответьте, пожалуйста, положив руку на сердце.
Грешили ли Вы (лично, компания ...) сами создавая вирусы и пуская их "в народ" дабы их же лечить?

20.03.2008 20:13 Евгений Касперский
За двумя зайцами погонишься… Тут надо выбирать – либо ты их создаёшь, либо лечишь. На двух стульях не получится :)

19.03.2008 13:27 alefran
Добрый день, Евгений!

Вы уже двадцать лет боретесь с инородными программами, занимаясь криптоанализом очередного вируса, сможете ли Вы составить психологический портрет его создателя?

20.03.2008 20:14 Евгений Касперский
Раньше это были дети, подростки, выражавшие своё «я» в виде вирусных «граффити». Сейчас это - преступники, причем самого разного возраста и внешнего вида (см. фотки в «Компьютерном зловредстве»). IT-ворьё – вот такой портрет.

19.03.2008 13:36 Пилот
Добрый день, Евгений!
Среди програмистов и прочих представителей IT-сообщества, ходит интересная поговорка - "...двухядерный процессор очень серьезно мог бы повысить быстродействие компьютера, если бы одно ядро не было занято Касперским!...", а вот если серьезно, многие пользователи начинают приобретать антивирусы других производителей только по этой причине, хотя по эффективности Касперский на порядок их превосходит. Решается ли сейчас эта пролема? Спасибо.

21.03.2008 09:18 Евгений Касперский
Эта проблема производительности была актуальна в наших продуктах версии 4.0 в 2000-2002 годах. Сейчас у нас продукты версии 7.0, а на улице уже 2008 год уже 81 день. Проблема решена уже несколько лет как.

19.03.2008 14:04 Nit_z
Доброго дня Евгений. Планируете ли заниматься другими видами компьютерного бизнеса? Или разработка новых антивирусов не надоест никогда? И еще какая любимая компьютерная игра?

21.03.2008 09:09 Евгений Касперский
Разработка анти-*.* систем (не только антивирусы – еще и анти-спам, файрволл, прочие защитные технологии) – занятие весьма и весьма захватывающее, поскольку индустрия компьютерной безопасности развивается очень стремительно. Поверьте, это очень интересно!

Любимая игра – Duke Nukem из прошлого столетия. Потом уже было просто некогда… Так что кроме Пинболла сейчас уже ни во что не играю…

19.03.2008 14:37 Бернард Шоу
Здравствуйте, Евгений.

Понятно, что компьютер Вы лечите от вирусов при помощи АВК, а при помощи чего Вы лечите от вирусов собственный организм?

Спасибо.

20.03.2008 19:51 Евгений Касперский
Шотландский виски. В малых дозах. Вообще предпочитаю народные средства. Всякую химию – в крайних случаях.

19.03.2008 15:22 |shaydee|
Добрый день, Евгений.

Всем вашим бизнесом фактически управляла Ваша жена, но в прошлом году Вас "назначили" генеральным директором компании, результат ли это конфликта между мужчиной или женщиной?

21.03.2008 09:09 Евгений Касперский
Нет. (честная правда - нет).

19.03.2008 15:22 napplebee
Здравствуйте, Евгений.
Как вы относитесь к таким проблемам Антивируса Касперского:
1. "Погоня": нахождение вируса в корзине, удаление его в корзину, находжение в корзине, и.. не поверите, опять удаление...какой-то замкнутый круг получается)
2. "Китайская стена": Касперский стоит на страже вашего компьютера как китайкая стена, не давая вирусам просочиться, а знаете почему?) он на столько сильно грузит систему, что ни один вирус загрузится не может...
3. "Войнушка": Различные антивирусы принимают друг друга за вирусы и пытаются захватить власть (удалить друг друга), активней всего ведет себя нод, ни разу еще не удалившийся полностью и скачивающий себя же из интернета и Касперский, который этот нод постоянно убивает..)

21.03.2008 12:15 Евгений Касперский
1. Честно говоря - не знал о такой проблеме... Обращайтесь в техподдержку или на Ссылка
2. Аналогично.
3. Ссылка читать "проблема 5".

20.03.2008 00:24 Скавыш Евгений, skavysh@mail.ru
Здравствуйте, Евгений. Скажите пожалуйста, так как мы сейчас перекликаемся с Вами на сайте sostav.ru, помогла ли реклама Вашему становлению на рынке? Какую роль Вы можете ей отвести? Представляете ли вы Вашу деятельность вообще без рекламы как таковой?
И последний вопрос: портал sostav.ru пользуется продукцией Вашей компании?

Зарание большое спасибо.

21.03.2008 09:11 Евгений Касперский
Развитие нашего бизнеса – история захватывающая… Как из неизвестной мелкой компании из кризисной России дорасти до сегодняшнего состояния… Но рекламы там практически не было! На неё раньше просто не было денег :) Выкручивались другими способами:

- качество технологий, антивирусный движок высочайшего класса – это послужило толчком для развития нашего технологического бизнеса (лицензирование технологий) в конце 1990-х. На этом бизнесе мы фактически построили все остальные продукты компании. Реклама здесь была не нужна – поскольку покупатели «в теме», всех и вся знают, рекламировать себя для них не нужно.

- экспертная отстройка. Мы не просто продаём технологии и продукты – мы рассказываем про то, что происходит в Сети, кто и почему пишет вирусы, чего ждать завтра и послезавтра. Такой «просветительской» деятельностью практически никто не занимался в конце 1990-х – начале 2000-х, мы были единственными «просветителями» – и рынок нас заметил. Сначала пресса, потом эксперты, потом пользователи. Это и было нашей «рекламой».

Чем защищается sostav.ru – без понятия, это у Состава надо спрашивать…

20.03.2008 12:27 wattman
Евгений, здравствуйте

Скажите, почему для Маков вирусы не пишутся? Т.е. возможно они есть, но я за 8 лет пользования Маком ни разу не встречал. И почему, сколько бы защит, гейтов, антивирусов не стояло бы на ПиСи, как сложно не был бы он запаролен, заходишь в интернет или чужую флешку загружаешь - всё, "поймал" вирус? Вирус внедряется в те немногие файлы которые нужны и тот же антивирус предлагает, для безопасности игры "солитер" или еще какого барахла на компе, их удалить.

21.03.2008 09:23 Евгений Касперский
Пишутся-пишутся, но крайне мало, поскольку компьютерным преступникам невыгодно гоняться за Маками – гораздо проще найти и заразить Windows-машину. Зачем они это делают – я уже отвечал выше.

20.03.2008 12:45 Лев
Евгений, чего-то я и не видел таких роликов раньше (очень неплохая серия). Скажите, кто пишет сценарии и кто снимает?

21.03.2008 09:15 Евгений Касперский
Пишут сценарии и снимают ролики профессиональные команды. Иногда их нарочно делают любительского качества.

20.03.2008 13:47 Мария К
Евгений,
сколько челоек работает в вашей компании и как они распределяются по отделам?
Иначе, какова структура компании?

21.03.2008 09:16 Евгений Касперский
Структура компании достаточно стандартна: директора – топ-менеджеры – подразделения. Всего на начало этого года в компании почти 800 человек, из них 500+ в Москве в головном офисе. Остальные – в локальных офисах по всему миру (маркетинг, продажи, поддержка). В Москве примерно половина личного состава – технари (вирус- и спам-лабы, разработка, тестеры, поддержка).

20.03.2008 15:15 KT
Предположим, Microsoft когда-нибудь проиграет рыночную войну, и подавляющее большинство пользователей перейдет на Макинтоши, вирусов для которых практически не существует. Будете ли Вы радоваться этому (вирусы-то побеждены!) и чем могла бы заниматься Ваша компания в такой обстановке?

21.03.2008 09:23 Евгений Касперский
Туда мигрируют не только подавляющее большинство пользователей, но и подавляющее большинство кибер-преступников. Что поменялось, кроме названия операционки-жертвы?

20.03.2008 16:19 Penetrator
Евгений, скажите, а вас раздражают ограниченные люди, которые постоянно спрашивают: "Зачем вы пишете вирусы, когда вы прекратите писать вирусы"?

Или вы уже смирились и не обращаете на них внимания? Может, вами действительно стоит уже написать какой-нибудь вирус, чтобы они успокоились и заткнулись?


21.03.2008 09:24 Евгений Касперский
Я человек не раздражительный - пусть себе болтают. Но вирусы писать не буду, и не надейтесь! :)

20.03.2008 16:19 Коля
Когда KAV перестанет использовать непомерное кол-во системных ресурсов под свои нужды?

21.03.2008 09:25 Евгений Касперский
Начиная с версии 5 (а тем паче 6 и 7) эти проблемы решены. Если же всё равно тормозит - обращайтесь в техподдержку, скорее всего проблемы несовместимости с каким-либо софтом...

20.03.2008 18:40 Павел Канахистов
Уже, я думаю, всем стало понятно, что ИИ (Искусственный Интеллект), создается не в НИИ и закрытых институтах, а в интернет компаниях.

Спамеры пишут роботов, которые обходят защиту, сводят с ума софт-защиты письмами с явным бредом, пишут программы, которые генерируют связный текст и распознают любые изображения.

Анти-спамеры – развивают софт, который отличает сгенерированные роботом тексты, от человеческих писем. Пишут софт, который разбирается в стилистике.

Вирусописатели пишут все более умные вирусы.

Борцы с вирусами постоянно развивают свой софт, делают его настолько умным – что он может отличать обычную программу от вируса. Даже если этого вируса нет в базе.

Как вы думаете через, сколько лет Антивирус Касперского станет полноценным ИИ?
И захватит управление компанией в свои виртуальные лапы. }:->

21.03.2008 12:19 Евгений Касперский
Я к термину "искусственный интеллект" отношусь весьма скептически. Хотя есть гипотезы, что весь существующий интеллект - искусственный. Одна из этих гипотез подробно изложена в Библии.

20.03.2008 19:43 Александр II
Евгений, существуют ли у антивирусных программ-конкурентов преимущества по сравнению с Вашим софтом?

21.03.2008 09:26 Евгений Касперский
Есть конкурирующие продукты, в которых некоторые технологи реализованы лучше, чем у нас - пока лучше :) Бывают "фичи", которых у нас вовсе нет - иногда они весьма спорные, как тюнинг и бэкап в OneCare от Майкрософта. Но в целом наш продукт по функционалу и его качеству опережает конкурентов - и это является одной из главных причин стремительного роста бизнеса компании за предыдущие пару лет.

0

#12 Пользователь офлайн   Clamp

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 133
  • Регистрация: 01 Ноябрь 07

Отправлено 10 Апрель 2008 - 19:34

Продолжения интервью с Касперским...



Цитата

21.03.2008 11:18 КАСАТКА
Интернет-сообщества, блогосфера, горячие новости и бизнес-процессы, тенденция к уменьшению наличных денег и перевод самых разных транзакций в Сеть, первые попытки кибервойн... Уже пятая часть населения планеты так или иначе живет в интернете. "Кто владеет информацией, тот владеет миром". Вы начали всерьез осваивать "земной шарик", продвигать корпоративные версии, сотрудничать с провайдерами (в РФ).
Насколько вообще Вы хотели бы ВЛАДЕТЬ ИНФОРМАЦИЕЙ?
Или быть к этому очень близко? :)
Спасибо.

21.03.2008 13:11 Евгений Касперский
Кто владеет информаций - тот владеет властью над миром.
Была эпоха власти силы. Потом - эпоха власти денег. Сейчас мы переходим к эпохе информации - абсолютно согласен.

21.03.2008 11:20 Femina dentata
Евгений, не собираетесь ли вы переименовать свой антивирус)

21.03.2008 13:13 Евгений Касперский
Постоянно переименовываем. Под разными именами - Internet Security, Hosted Security Services, Mobile Security и т.п. Но у всех у них есть неизменное первое слово. Угадайте какое :)

21.03.2008 11:23 Trojan Worm
Как часто вам дарят сувениры в виде коней или червяков?

21.03.2008 13:15 Евгений Касперский
Очень редко. Чаще в виде дубинок, прочей разной экзотической ботвы и бутылочек с вкусным содержимым :)

21.03.2008 11:33 alexxx
На Ваш взгляд законодательными мерами возможно ли уменьшение числа вирусов? И если да то могли бы Вы дать рекомендации законодателям по составлению законов в данной сфере? И имеет ли это смысл без принятия таких законов в других странах, т.е. не станут ли законы бездействующими при отсутствии аналогичных законов в других странах. И последний вопрос вытекающий из предыдущих: Интернет представляет собой систему с очень размазанными (а точнее сказать практически отсутствующими) границами т.е. структура наднациональная. На Ваш взгляд имеет ли смысл создать наднациональные (независящие от какой-либо страны) законы регулирующие деятельность в интернете.

21.03.2008 13:21 Евгений Касперский
Законодательства существуют и даже применяются. Аресты кибер-преступников исчисляются сотнями за год. Однако это не решает проблему - общее число популяции кибер-ворья я оцениваю в десятки тысяч человек (в мире). И - абсолютно согласен - одной из самых больших проблем является отсутствие границ в Инете и их наличие в реале. Если преступник - в Бразилии и хакает немецкого бюргера через проксю в Панаме - всё. Можно даже и не пытаться его найти. Посему я с настойчивостью дятла долблю уже не первый год про Интернет-Интерпол. Например, здесь: Ссылка . Подробнее - Google (Kaspersky Internet Interpol).

Вот где законодательства не хватает - по поводу спама. Везде уже приняли необходимые законы - у нас пока тормозят. Вернее, что-то сделали, но оно слишком абстрактно и не работает.

21.03.2008 11:40 Scumbria
Евгений, недавно у себя в ЖЖ в ленте друзей наткнулась на такой забавный диалог:

"прикинь, у меня тут антивирусы друг друга за вирусы приняли - войну развернули - вот уррроды!))))
так прикольно - вчера каспер убил нода,
а седня остаточные файлы нода самостоятельно скачали себя и подкрепление из инета за счет моего трафика, даже не спросив - и вместе мочат каспера)))
ес каспЕр проиграет - у меня пол системы, грят, рухнет))
но се равно за нод сёня болею - живучий падла)" (Взято у ЖЖ-юзера uliiss)

Это случайно не Ваш пиар-менеджер сочиняет?

21.03.2008 13:22 Евгений Касперский
Баян. Кто сочиняет - мне неизвестно.

21.03.2008 11:41 Н
Работают ли в Вашей компании бывшие хакеры????

21.03.2008 13:23 Евгений Касперский
Скорее всего - нет.
Если узнаю - выгоню.

21.03.2008 11:42 Выбирающий
"Во-первых, твое дело должно тебе нравиться.
Во-вторых, в нем ты должен добиться максимального совершенства.
В-третьих, дело должно приносить деньги"

А если все пункты не совпадают в одном деле.
Какое из трех выбрать?

21.03.2008 13:25 Евгений Касперский
"У меня три знакомые девушки. А жениться можно только на одной. Какую выбрать?"
Ту, которая больше нравится! Добиться с ней максимального совершенства и научиться зарабатывать деньги для семьи.

21.03.2008 11:49 Сергей
Планируется ли в недалёком будущем покупка других компаний (на пример CорреrЕуе) для развития и расширения спектра ваших сервисных решений?

21.03.2008 13:25 Евгений Касперский
Да - планируем. Пока подробности не раскрываем.

21.03.2008 11:59 PaRadoXX
Расскажите, пожалуйста, про своё первое знакомство с ЭВМ, каким был ваш первый язык программирования?какой стал "любимым"?

21.03.2008 13:29 Евгений Касперский
1981 год, ФМШ 18 при МГУ - там стоял большой электронный ящик под названием Мир, в который вставляли перфоленту - на которой на языке Алмир были пробиты разные дырочки. // уже выросло поколение, которое ни разу не видело дискет - а я тут про перфоленты... Кстати, на эту супер-эвм того времени можно посмотреть в Политехническом музее.

Любимый язык программирования - C. А вот C++ я так и не начал осиливать... Да и не нужно мне было.

21.03.2008 12:02 Мячин Дмитрий (Umnik на официальном форуме)
Евгений Валентинович, чем все-таки закончилась история с ФНС? Проводит ли МинОбороны конкурсы, или Доктор там засел прочно? Я слышал, что создается аналог VB100. Как Вы считаете, будет ли у него будущее? И, в продолжение, почему вендоры не могут реально оспорить столь сомнительные результаты VB100, когда продукт (не будем называть имя) сначала проваливает тест, затем оказывается в списке тех, кто прошел; когда проверка идет не по требованию, а простым копированием массы файлов; когда семплы вызывают подозрения?..

21.03.2008 13:32 Евгений Касперский
История с ФНС еще не закончена.
Подробности дел с МО мне неизвестны.
Как неизвестно и про аналог VB100...
Почему же не назвать имя продукта? Нод32 его название. Как я к этому отношусь - жульничество это. Как и многое другое от компании Есет (передергивание цифр, сомнительные комментарии и тп).

21.03.2008 12:14 Александр StFoster
Евгений, я думаю вас постоянно озадачивают тем, что антивирус, в том числе касперсокго, отъедает намалую часть системных ресурсов, в т.ч. оперативной памяти и процессорного врмени, не велись ли разработки или не планируются ли, по созданию, например, отдельной платы под PCI-E со своим процессором и памятью - эдакая антивирусная плата, котороя максимально освобождала от нагрузки ПК? Да и маркетинговый ход неплохой - приятно когда защиту можно пощупать...) Я думаю это вполне реализуемо, да и согласных поратить чуть больше, что бы получить защиту и скорость было бы немало.

21.03.2008 13:34 Евгений Касперский
Над этим думали - и периодически эти идеи появляются снова и снова. Но пока только на уровне идей - поскольку на современных компьютерах проблем с тормозами практически нет (тормоза - исключение, а не правило). А в старые компы плату втыкать уже поздно...

21.03.2008 12:18 Валентина
Евгений,кто для Вас Эрнесто Че Гевара?

21.03.2008 13:35 Евгений Касперский
Эрнесто Че Гевара. Первый фин-директор Острова Свободы. Что еще добавить?...

21.03.2008 12:19 alexxx
В далеком 1999 году на встрече с Вами в МАИ (эх студенческие годы) был затронут вопрос по поводу высокой цены (особенно для студентов) на Ваши продукты и Ваш ответ плавно перетек к вопросам пиратства. В итоге Вы признались, что сами только перешли на легальные продукты и нам (в то время студентам) "разрешили" скачать с интернета и пользоваться антивирем. Что мы и делали без зазрения совести, тем более с Вашего личного разрешения;).
Сейчас, к слову, практически все ПО используемое мной легально (бывает и такое :) ), интересует как Вы сейчас относитесь к пиратству вообще и по отношению к Вашим продуктам в частности.

21.03.2008 13:40 Евгений Касперский
Ой, рука уже колоть устала... Да и тему эту комментировали неоднократно - читать здесь: Ссылка

21.03.2008 12:24 K@T@STROFF
Добрый день Евгений.
Вот вы борец за полноценную жизнь "компьютера" вы практически ВРАЧ, но внешне очень похожи на натуралиста, который путешествует по миру, и снимает репортажи о всевозможных животных.
Первый вопрос: "Вы знали что вы похожи на натуралиста?" )
Второй вопрос: "Есть ли что-то общее в работе натуралиста и ЧЕЛОВЕКА-АНТИВИРУСА"
Ведь оба образа борются за сохранение некой целостности окружающей среды...
виртуальной или природной...

21.03.2008 13:42 Евгений Касперский
Честно говоря - я не очень волнуюсь на тему на кого я похож... На вокалиста из Аббы или Бреда Пита. Мне это как-то всё равно. И сравнивать меня надо не с натуралистом, а с исследователем или завоевателем. Новых территорий... Сначала - исследуем, потом - завоёвываем! :)

21.03.2008 12:28 U976
Евгений,

Быстрыми темпами развивается такая услуга, как оплата по кредитке через интернет. Может ли антивирус защитить мою кредитку от хакеров? Если нет, то какой способ защиты кредиток самый правильный?

21.03.2008 13:44 Евгений Касперский
Мы защищаем от всех троянских программ - включая те, что воруют персональную банковскую информацию. А самый надёжный способ - постоянно контролировать транзакции. Например, получать СМС-подтверждения.

21.03.2008 12:29 КРЕАТИN
Уважаемый Евгений Валентинович!
Скажите пожалуйста, изучали ли Вы психологию "вирусописателей". Если да, то повлияло ли это на Вашу работу, и, что более интересно, на общее отношение к жизни и принципам взаимоотношений ее субъектов?

21.03.2008 13:45 Евгений Касперский
Конечно да. Повторюсь: Компьютерное Зловредство, Глава 1, стр. 15-32.
Помогает понять куда катится этот чертов е-мир, и что надо делать для того, чтобы он туда катился не очень быстро.

21.03.2008 12:32 Виктория
Добрый день, Евгений!
Мы знаем, что Вы родом из Новороссийска.
Хотели бы задать Вам три вопроса:
Ваше детство прошло в нашем городе?
Учились ли в новороссийской школе, если да, то в какой?
Связаны ли у Вас с нашим городом какие-то особые воспоминания?

21.03.2008 13:51 Евгений Касперский
До 7 лет жил на улице Революции 1905г. - но в школу пошел уже в Подмосковье.
Воспоминаний, конечно же, много. И в основном - хорошие!
Окно на втором этаже - моё.


21.03.2008 12:34 АКМ
Здравствуйте, Евгений!
А какой Ваш любимый литературный персонаж? И почему?

21.03.2008 13:52 Евгений Касперский
Сложный вопрос... Я читать люблю... Нравятся многие. Кого же выбрать... Боюсь показаться банальным - Фандорин. Почему? Уж больно ярко нарисован.

21.03.2008 12:40 Сергей
Уважаемый Евгений.
Скажите, насколько сложно сделать продукт более конфигурируемым (для кухарки - понятно, "Далее"-"Далее"-"Закончить") и по каким причинам это не реализуется?
Продвинутый пользователь не всегда рад тому, чтобы, например, антивирус работал "Молча" (как Вы это описали в идеальном антивирусе) - порой мне, как сисадмину, приходится пользоваться (с благими намерениями) софтом, который антивирусу представляется страшной угрозой.
Конечно, замечательно, что антивирус встраивается глубоко в систему, обеспечивая себе преимущество в борьбе с заразой. Но невозможность полноценно деинсталлировать Ваш продукт (к слову сказать, не только Ваш, некоторые тоже грешат) - это не есть Дао. Это целая наука - как убрать предустановленный антивирус с ноутбука...
По крайней мере, почему это нельзя сделать опционально???

21.03.2008 13:56 Евгений Касперский
Вопрос про интерфейс - теологический. Определённо конкретного ответа не имеет. Сделаешь проще - не нравится "одминам", сделаешь сложнее - у "бабушек" ступор, сделаешь два - недовольны все.

Неверная деинсталляция - это не фича, а бага - которую надо сообщить для дальнейшего исправления.

21.03.2008 12:44 NNN
Детский вопрос!

К примеру я нашёл у себя в подвале древний компьютер с первым процессором Пентиум на котором сидит злобный вирус и случайно перенёс его на современный компьютер. Ваш антивирус будет знать как поступать или древние вирусы уже не хранятся в его памяти?
Если каждый год появляется по несколько тысяч вирусов, то база данных с начала 90-х должна быть в несколько десятков гигабайт?

21.03.2008 14:00 Евгений Касперский
Инфа про вирусы хранится в базе вечно! Ну или почти вечно, так что - тащите свой Пентиум.
Вирусов появляется не тысячи - в этом году мы прогнозируем отловить 20-30 миллионов(!!!) разных вариантов разного вирья. Однако детектятся эти варианты меньшим количеством записей - под конец этого года их будет около 2 млн (прогноз). Да, размер базы растёт - но мощность компьютеров растёт пока быстрее. Пока быстрее.....

А вот размер коллекции заражённых файлов уже измеряется терабайтами...

21.03.2008 12:49 Учительница пения
Евгений, изложите, пожалуйста, свою точку зрения на дело учителя Александра Поносова

21.03.2008 14:06 Евгений Касперский
Мне кажется - заказной пиар. Непонятно чей - Микрософта или против оного...

21.03.2008 12:49 Наталья
Доброго дня, Евгений Валентинович.

Как Вы отмечаете победы (моменты достижения целей, выдающиеся результаты и т.п.) своей компании и свои собственные?

Успехов Вашему светлому делу!

21.03.2008 14:12 Евгений Касперский
Чаще всего - в кругу соратников, с бокалом в руке, стоя и с красивым тостом на языке!
Особые победы отмечаются особо... Когда мы таки запустили прототип 6-ки на Маке и Линуксе (на единых компонентах), то я... второй справа :)


21.03.2008 12:50 Системный администратор, живущий на стипендию
Антивирус Касперского когда-нибудь станет бесплатным?

21.03.2008 14:14 Евгений Касперский
Есть бесплатные пробные версии.
Вообще бесплатным не будет - тут несколько сот человек работает, вы знаете сколько мы тут за аренду платим? А за электричество, чтобы тестировать вам апдейты? А за прочее?

Даёшь бесплатную рекламу и маркетинг даром! Всем составом!

21.03.2008 12:52 вирус-квартирус
Евгений Валентинович, а сюжеты вирусных роликов, опубликованных на "Составе", ваши креативщики утверждали у Вас? Или область Вашей деятельности никак не соприкасается с тем, что касается продвижения вашей продукции?

21.03.2008 14:15 Евгений Касперский
Естественно они сами принимали решения - они взрослые и грамотные тёти и дяди. Да и не царское это дело...
А продвижением продуктов "имени себя" я занимаюсь всё время когда не сплю!

21.03.2008 12:53 ~!Nope
а качество презервативов, выпускаемых под маркой Касперский такое же как и у антивируса?

21.03.2008 14:16 Евгений Касперский
Какого именно антивируса?

21.03.2008 12:56 REKS
Добрый день, Евгений!
Для меня большая честь прочитать ваши ответы! Очень занимательно! Поучительно!
Так, ближе к теме: как то прочитал несколько статей о том как защитить комп от вирусов.
ответ большинства авторов однозначен - ни один антивирус не дает 100% защиты. И максимальная защита достигается тремя составляющими: платный антивирус + другой антивирус бесплатный (или платный) + фаэрволл (типа аутпоста). ВЫШЕ МНЕНИЕ?
второе: правда ли после проверки одного анивируса другим антивирусом все таки находятся вирусы?
третье: существуют ли конфликты АВ Касперского с другими антивирусами? Еслиесть то с какими?

21.03.2008 14:20 Евгений Касперский
1. Мой рецепт:
- AV+FW (или Internet Security).
- никому не верить и вести себя очень осторожно.
- отключить скрипты в браузере.
- минимизировать кол-во используемых приложений.

2. Неправда. Иногда выживают не все вирусы. Зависит от качества защиты, обеспечиваемого первым антивирусом (и количества ложных срабатываний антивируса второго...)

3. Уже отвечал выше, Ссылка Проблема 5.

21.03.2008 13:06 Непродвинутый Пользователь
Евгений, еще вопрос.

Заниматься защитой компьютеров и сетей, как Вы говорите, крайне увлекательно.
А если через пару лет Ваша компания нарастит производственные ресурсы? Чем бы еще хотели заниматься? Писать компьютерные игры, наверное, не менее увлекательно. Наверняка сможете придумать пару оригинальных блокбастеров. А то в последнее время этой индустрии явно недостает свежих идей.

Да... А перед уходом на пенсию... Дайте кляву, что не уйдете на пенсию, пока не напишете операционную систему, которая похоронит Windows. И благодарное человечество увековечит Вас в бронзе и в легендах.

21.03.2008 14:22 Евгений Касперский
1. Пока - фокусироваться на решениях по безопасности. Сначала был просто антивирус, потом у нас появился файерволл, потом прикупили анти-спам, грядет интерес к DLP, что будет дальше - посмотрим.
2. Я подумаю ;)

21.03.2008 13:08 Alekz
Евгений, добрый день.
А что вы скажете о нелегальном распространении вашего продукта, или о всевозможных "крэков" итд ?
Как намереваетесь с ними боротся ?

21.03.2008 14:23 Евгений Касперский
Уже ответил - ищите выше.

21.03.2008 13:15 Вячеслав Ярков
Как избежать проблем с регистрацией Вашего программного обеспечения, когда вирусная программа не даёт возможности установить Вашу антивирусную программу. В данном случае у меня не ставиться программа Антивирус Касперского 7.0 с временным ключом. Если она не устанавливается, так зачем её покупать? Снимки экрана я отправлял на e-mail, указанный на Вашем сайте, но мне ясно дали понять, что Вы работаете только с зарегистрированными пользователями. Как решить этот абсурд?


21.03.2008 14:25 Евгений Касперский
Поддержка оказывается только зарегистрированным пользователям, увы - всё стоит денег... Поддержка в том числе.
Всем остальным - читайте базу знаний на сайте или ищите помощи на форуме forum.kaspersky.ru

21.03.2008 13:28 miss flash
20.03.2008 20:12 Евгений Касперский
1. Ловит 100% вирусов.
2. Кушает 0% памяти, 0% диска, 0% времени процессора.
3. Молча.

egro отсутствие внешних "портов" (всех от модема до флешки) ; )))

21.03.2008 14:27 Евгений Касперский
Вопрос был про идеальный антивирус - а не про идеальный (с точки зрения безопасности) компьютер. Который должен соответствовать след. требованиям:
1. Интернет - отключен.
2. Порты - отсутствуют.
3. Внешние носители - отключены.
4. Сам компьютер - выключен.
5. Юзер - спит или умер.

21.03.2008 13:39 alexxx
Касаемо законодательства еще раз
Вопрос:
При аудите компаний часто можно обнаружить действующий троян написанный специально для "клиента". Проводя расследование мне как внешнему аудитору частенько удается выйти и на реальных злоумышленников (часто и с вашей непосредственной помощью ;) ). Но...
Наши правоохранительные органы СОВЕРШЕННО НИЧЕГО не могут сделать. Говорят что ничего в этих вопросах не понимают и дело постепенно скатывается на тормозах. Т.е. на готовой доказательной базе очень часто не могут ничего сделать. Отсюда вопрос проводятся ли какие тренинги для сотрудников правоохранительных органов. И есть ли результаты?

21.03.2008 14:30 Евгений Касперский
Правоохранительные органы (наши и не только) достаточно эффективно проводят расследования локальных инцидентов - надо только как-то их в этом заинтересовать. Как - не знаю. Или Вы не туда обращаетесь - очевидно, что в районном УВД компьютерных спецов нет...

21.03.2008 13:55 Степанов
21.03.2008 12:46
<Евгений Касперский
<Решение проблемы с тормозами по телефону не делается.
Тот же Семантек предлагает своим клиентам icq-саппорт. Тупо ждать ответ саппорта "пришлите мне конфиг" в течении суток они не заставляют - этот запрос сапорт вполне может сообщить пользователю и по телефону, и по аське СРАЗУ после вопроса пользователя.

Видимо, люди в Семантеке думают не только о том, чтобы продать свой продукт? Вы уверены, что с таким подходом к тех. поддержке вам удастся их обогнать?

<"Доктор, у меня тут внутри всё болит" - думаете, что вас по телефону вылечат и быстро?
Т.е. вы считаете режим ответа техподдержки на вопрос пользователя за сутки и более - это нормальная ситуация?
У меня диалог с вашим сапортом тянется с 15 марта, и края пока не видно. А проблема есть.
Как-то, знаете ли, напрягает такой ненавязчивый сервис...

< (и бесплатно :)
Я купил годовую защиту KIS. В том числе и опцию тех. поддержки этого продукта. Или у вас саппорт уже платный?

21.03.2008 14:33 Евгений Касперский
Еще раз - у нас помимо мыла и телефона есть форум, который мониторится практически постоянно.
Еще раз - если проблема серьёзная, то увы - её решение занимает время.
Саппорт - бесплатный для легальных пользователей наших продуктов.

21.03.2008 13:56 Джульетта
Добрый день! Почему так мало известно о Вашей личной жизни?

21.03.2008 14:34 Евгений Касперский
Это - моя личная жизнь, и пиарить её я не собираюсь.
Хотя некоторые подробности можно найти на нашем фан-клубе kasperskyclub.com

21.03.2008 13:57 Вопрос
Евгений, а на сегодняшний день удалось решить проблему поддельных коробочных версий KAV?

21.03.2008 14:35 Евгений Касперский
Можно побольше информации в наш отдел продаж? (на сайте есть координаты). Сам я о таком не слышал...

21.03.2008 14:26 вирус-квартирус
Евгений, как Вы считаете, есть ли смысл запретить детям пользоваться компьютерами? Мне кажется, полезной информации как таковой в детском возрасте он оттуда не почерпнёт. Зато риск, что он будет часами просиживать за играми - есть. То же самое и с телевизором.

Есть ли у Вас своя точка зрения на этот вопрос? Или Вы над этим пока не задумывались?

21.03.2008 14:37 Евгений Касперский
Компьютер очень сильно влияет на психику человека IMHO. Тем паче - на неокрепшую психику. Посему время за компом у ребёнка должно быть СТРОГО ОГРАНИЧЕНО. Сколько - не знаю. Час-два в неделю. Или меньше. Иначе будет "тихий ребёнок" - ни шума, ни битых стёкол, никаких проблем - только шелест клавиатуры... Навсегда.

21.03.2008 14:28 Важная информационная составляющая
Евгений, как вы думаете, спамеров надо сажать? или лучше штраф? А может, расстрел? :)

21.03.2008 14:40 Евгений Касперский
Да повесить парочку в Битцевском парке с табличкой "ЗА СПАМ" - и все дела! :)
Если серьёзно - в США и Европе давно приняты нормальные анти-спам-законы, спамеров отлавливают и отсаживают, например: Ссылка . В России - увы, законы пока недоделанные, они вроде есть - но штраф масштаба 500 руб. вряд ли их остановит.

21.03.2008 14:31 Непродвинутый Пользователь
Евгений, какие-то непонятки с Вашим интернет-магазином. Задав Вам пару вопросов, вспомнил, что истекает срок моей лицензии на KAV. Пошел продлевать. До этого покупал по спецпредложению в ROL. Перешел уже на 7-ю версию и пользуюсь ей.
Так посмотрите, на сайте вашего интернет-магазина даже не указано, на какой срок я могу продлить лицензию за 588,01 руб.
Там сказано, что цена продления = цене продукта - 40%. А цена продукта - это что? На всю жизнь? А продление на сколько? На месяц? На год? В разделах "Продукты" и "Как оформить заказ в электронном магазине" тоже ни слова не сказано про сроки действия лицензии.

Это "случайно" забыли написать? Верю, что где-то далеко-далеко на далекой странице портала эта информация имеется.

И еще, Вы так и не ответили на мой вопрос: можно ли проверять на вирусы весь интернет-трафик, проходящий через серверы провайдеров (чтобы освободить от этой рутины пользователей)? Или это невозможно технически?

21.03.2008 14:44 Евгений Касперский
1. Про интернет-магазин - это не ко мне, а к моим интернет-продавцам. Перешлю.
2. Даже если проверять весь интернет-трафик, риск заражения всё равно не ноль - что-то может проскочить и добраться до Вашего компьютера. Так что защищаться надо не только на уровне провайдера - но и на персональном тоже. К тому же флешки и СД никто пока не запрещал...

21.03.2008 14:32 wattman
Евгений,

В каждой профессии существуют свои профессиональные "болезни". К примеру, учителя, приходя домой, пытаются учить мужей, дизайнеры и пре-пресс специалисты маниакально в голове раскладывают все цвета на составляющие, а режиссёры и актёры излишне драматизируют каждый момент жизни. Компьютерные вирусологи не пытаются взломать ангину или грипп... или текущие проблемы? :)

21.03.2008 14:47 Евгений Касперский
Профессиональная болезнь безопасников (компьютерных в том числе) - паранойя! :) Видеть врага везде и во всём!
Серьёзно - иногда во снах вижу людей программами, которых можно лечить от болезней антивирусным софтом - вот так в матрице и сплю :)

21.03.2008 14:38 Редакция Sostav.ru


21.03.2008 14:52 Евгений Касперский
Всем спасибо за вопросы! Увидимся в Инете! Или заходите к нам на фан-клуб www.kasperskyclub.ru .

Лучший вопрос - про покойника: 19.03.2008 11:46 Константин. Очень нестандартный, никогда такое не задавали :)
Также понравился тон, которым был задан "самый популярный вопрос" - 19.03.2008 09:42 Я, дядька

Кстати, а конкурса с призовым пивом за самый лучший ответ - не предусмотрено?...
Жаль, я так и знал...

Всем пока! Не болеть!
Е.К.

0

#13 Пользователь офлайн   Alex Z. Saver

  • Старожил
  • PipPipPipPipPip
  • Группа: Модераторы
  • Сообщений: 3 890
  • Регистрация: 01 Ноябрь 07

Иконки сообщения  Отправлено 12 Май 2009 - 03:16

До чего же я люблю справку Windows! Сорри за инглиш.

Making your network more secure
If you are setting up a home or small office network, here are some best practices you can follow to enhance the security of your computer and your network.

General network security recommendations
The following are general security guidelines for all home and small office networks.

Keep your computer up to date
To help keep the computers on your network safer, turn on automatic updating on each computer. Windows can automatically install important and recommended updates, or important updates only. Important updates provide significant benefits, such as improved security and reliability. Recommended updates can address non-critical problems and help enhance your computing experience. Optional updates are not downloaded or installed automatically.

Use a firewall
A firewall can help prevent hackers or malicious software (such as worms) from gaining access to your computer through a network or the Internet. A firewall can also help stop your computer from sending malicious software to other computers.

Run antivirus software on each computer
Firewalls help keep out worms and hackers, but they're not designed to protect against viruses, so you should install and use antivirus software. Viruses can come from attachments in e‑mail messages, files on CDs or DVDs, or files downloaded from the Internet. Make sure that the antivirus software is up to date and set to scan your computer regularly.

Use a router to share an Internet connection
Consider using a router to share an Internet connection. These devices usually have built-in firewalls, network address translation (NAT), and other features that can help keep your network better protected against hackers.

Don't stay logged on as an administrator
When you're using programs that require Internet access, such as a web browser or an e‑mail program, we recommend that you log on as a standard user rather than an administrator. That's because many viruses and worms can't be stored and run on your computer unless you're logged on as an administrator.

Wireless network security recommendations
If you have a wireless network, there are some additional security precautions that you should take.

Use a network security key
If you have a wireless network, you should set up a network security key, which turns on encryption. With encryption, people can't connect to your network without the security key. Also, any information that's sent across your network is encrypted so that only computers that have the key to decrypt the information can read it. This can help avert attempts to access your network and files without your permission. Wi-Fi Protected Access (WPA or WPA2) is the recommended wireless network encryption method.

Note
We don't recommend using WEP for network security. WPA or WPA2 are more secure. If you try WPA or WPA2 and they don't work, we recommend that you upgrade your network adapter to one that works with WPA or WPA2.

Change the default administrator name and password on your router or access point
If you have a router or access point, you probably used a default name and password to set up the equipment. Most manufacturers use the same default name and password for all of their equipment, which someone could use to access your router or access point without your knowledge. To avoid that risk, change the default administrator user name and password for your router. Check the information that came with your device for instructions about how to change the name and password.

Change the default SSID
Routers and access points use a wireless network name known as a service set identifier (SSID). Most manufacturers use the same SSID for all of their routers and access points. We recommend that you change the default SSID to keep your wireless network from overlapping with other wireless networks that might be using the default SSID. It makes it easier for you to identify which wireless network is yours, if there's more than one nearby, because the SSID is typically shown in the list of available networks. Check the information that came with your device for instructions about how to change the default SSID.

Position your router or access point carefully
Wireless signals can transmit a few hundred feet, so the signal from your network could be broadcast outside of your home. You can help limit the area that your wireless signal reaches by positioning your router or access point close to the center of your home rather than near an outside wall or window.

What are the different wireless network security methods?

If you plan to have a wireless network, you should set it up so that only people you choose can access it. Here are a few options for wireless network security.

Wi-Fi Protected Access (WPA and WPA2)
WPA encrypts information, and it also checks to make sure that the network security key has not been modified. Wi-Fi Protected Access also authenticates users to help ensure that only authorized people can access the network.

There are two types of WPA authentication: WPA and WPA2. WPA is designed to work with all wireless network adapters, but it might not work with older routers or access points. WPA2 is more secure than WPA, but it will not work with some older network adapters. WPA is designed to be used with an 802.1X authentication server, which distributes different keys to each user. This is referred to as WPA-Enterprise or WPA2-Enterprise. It can also be used in a pre-shared key (PSK) mode, where every user is given the same passphrase. This is referred to as WPA-Personal or WPA2-Personal.

Wired Equivalent Privacy (WEP)
WEP is an older network security method that's still available to support older devices, but it's no longer recommended. When you enable WEP, you set up a network security key. This key encrypts the information that one computer sends to another computer across your network. However, WEP security is relatively easy to crack.

Warning
We don't recommend using WEP. WPA or WPA2 are more secure. If you try WPA or WPA2 and they don't work, we recommend that you upgrade your network adapter to one that works with WPA or WPA2.

802.1X authentication
802.1X authentication can help enhance security for 802.11 wireless networks and wired Ethernet networks. 802.1X uses an authentication server to validate users and provide network access. On wireless networks, 802.1X can work with WPA, WPA2, or WEP keys. This type of authentication is typically used when connecting to a workplace network.

What are the risks of connecting to a public wireless network?
Public wireless networks are convenient, but if they're not properly secured, connecting to one might be risky. Whenever possible, only connect to wireless networks that require a network security key or have some other form of security, such as a certificate. The information sent over such networks is encrypted, which can help protect your computer from unauthorized access. In the list of available wireless networks, each unsecured network is labeled. If you do connect to a network that's not secure, be aware that someone with the right tools can see everything that you do, including the websites you visit, the files you send and receive, and the user names and passwords you use. You should not send and receive documents or visit websites that contain personal information, such as your bank records, while you're connected to that network.
0

#14 Пользователь офлайн   mamonth.

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 185
  • Регистрация: 01 Ноябрь 07

Отправлено 04 Март 2010 - 15:34

http://habrahabr.ru/...security/86282/

Цитата

Как я ловил хакера

Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.
Формат атаки был следующим: со скоростью 150-200 запросов в секунду, методом GET, шло обращение к одному и тому же URL с большого количества IP адресов. Т.е. работал небольшой международный ботнет. Сам сервер и фаервол банка с атакой вполне справлялись, поэтому у меня было достаточно времени, чтобы изучить атаку и выработать план мероприятий по ее устранению.

Первым делом я проанализировал географию атакующих IP-адресов. Интенсивность была равномерно размазана по странам, и заблокировать какие-либо регионы было невозможно – банковским web-сервисом пользовались клиенты со всего мира, и блокировка какого-либо сегмента, означала бы для банка финансовые потери. Далее, предполагая возможный рост интенсивности атаки, я оптимизировал размер атакуемой страницы к минимуму. Нагрузка на сервер и фаервол упала, что не заставило себя ждать. Хакер, управлявший ботнетом, сменил адрес атакуемого URL, и атака перестроилась на картинку GIF – один из самых объемных элементов сайта. Эти действия дали мне хорошую зацепку, и я основательно подготовился к контрдействиям. Я написал ряд скриптов с использованием <a href="http://habrahabr.ru/blogs/sql/85758/">LogParser, обрабатывающие логи web-сервера и выявляющие «аномальное» поведение клиента. «Аномальным» считалось обращение к страницам в последовательности, не присущей ни клиентам банка, ни ботнету. LogParser удачно справлялся с гигабайтными логами, что давало мне хорошие шансы на оперативное реагирование.

На этот момент атака достигла 500 запросов в секунду. Таким образом, я подготовился, и бросил приманку – переименовал атакуемую картинку, сделал возвращаемую страницу с 404-й ошибкой минимальной, и стал ждать. Через какое-то время атака на мгновение остановилась. Так как ее эффективность свелась к нулю, хакер начал вручную, через браузер, «прощупывать» сайт на наличие объемных элеменов – LogParser быстро выявил такое «аномальное» поведение. Этого мне было достаточно – IP-адрес хакера был у меня в руках и он, на удивление, принадлежал не анонимному прокси-серверу, а одному из украинских хостеров, а по совместительству, и хорошему клиенту этого самого web-сервиса банка.

— Алло, Сергей Иванович, добрый день, Вас беспокоят из <%bank_name%>, c вашего сервера идет координация DDOS атаки на наш сайт
— Здравствуйте. Скажите мне IP
— XXX.XXX.XXX.XXX
— Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу, и передам вам доступ к серверу. С этими уродами нужно бороться. Кстати у меня есть его контактные данные.
— Спасибо, я сообщу службе безопасности банка, они с Вами свяжутся.
Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки. Нужно было каким-то образом дать команду прекратить атаку, иначе, «отрубив» голову, мы уже никак не смогли бы остановить DDOS. Понимая, что я и так достаточно превысил свои полномочия, я заархивировал все интересующие меня файлы на сервере, выслал себе на почту, сделал несколько скриншотов и сообщил Сергею Ивановичу, чтобы он вернул доступ на сервер хакеру.

Позже, как Сергей Иванович и обещал, он предоставил мне номер ICQ и мобильника хакера. Хакера звали Александром. Сергей Иванович рассказал, что Александр работает программистом у иностранного заказчика. Заказчик арендовал этот и несколько других серверов на их хостинге для своих нужд. Позже, Сергей Иванович также поинтересовался у заказчика, в курсе ли он, что Александр использует сервер для DDOS атаки. В тот же момент хакер был уволен. Он был в бешенстве, и не пытался ни скрыться, ни замести следы, ни отрицать то, в чем его обвиняли. Он был уверен в своей безнаказанности.

В то время, как сетевики департамента связи вместе со срочно приехавшими сотрудниками CISCO, устанавливали модуль защиты от DDOS (все-таки десятки тысяч одновременно открытых соединений давали сильную нагрузку на фаервол), я попытался выяснить, кто же такой Александр, и не ошибся ли я в своих обвинениях. Сложить интернет-образ по номеру ICQ не составило труда: этот ICQ принадлежал некоторому человеку по нику Flick из Одессы, который успешно нашел работу в Киеве и переехал туда с женой. Дела шли у них хорошо, и он даже на одном из форумов советовался о покупке автомобиля. Также среди его постов находилось несколько связанных с обсуждением организации ботнетов и предложения своих услуг. Эта информация подтвердила правильность моих мыслей, и я решил связаться с хакером по ICQ.

— Здравствуйте, Александр, я сотрудник департамента информационных технологий банка <%bank_name%>
— здравствуйте
— я задам вам вопрос напрямую – мне нужен доступ на сервер, являющийся «головой» червя
— какого червя?
— Александр, я вам предлагаю сделку – вы мне сообщаете логин и пароль на сервер с IP XX.XXX.XXX.XXX, либо сами отключаете DDOS атаку, и мои действия дальше этого диалога не пойдут. Или вы продолжаете противиться, и я передаю всю информацию о вас в службу безопасности банка, и дальше разговор уже будут вести они.
— а если вы ничего не докажете, кто мне возместит моральный ущерб?
— Александр, мы сотрудничаем или нет?
— я не имею понятия, о чем вы говорите

В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал.

Служба безопасности подала заявление в милицию и через некоторое время мне позвонили из управления по борьбе с экономическими преступлениями и попросили прийти для консультации. Предварительно, одна из начальниц службы безопасности банка, дала мне несколько полезных советов, как себя вести при разговоре в УБЭП и сообщила, что дело ведет молодой, отличный специалист, парень, в хорошем смысле помешанный на этом деле. Но также она сказала, что мы должны понимать, что для него наибольший приоритет сейчас имеет дело об организации детской порнографии в интернет, которое он ведет, и честно призналась, что, так как ущерб, причиненный банку от атаки, трудно оценить, у нас не много шансов на удачный исход дела. Но, как говорится, наше дело – кукарекать, а там рассветет — не рассветет…

На этом собственно, все и закончилось. То ли в результате передачи дела в милицию, то ли разговора в ICQ, но атака на следующий день прекратилась и история закончилась. После консультации в УБЭП в течении следующего года, мне так никто не сообщил о результатах дела, но по время от времени выходящему в онлайн короткому номеру ICQ было понятно, что все таки хакер остался безнаказанным. Или же наказан? Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.

"задача модератора состоит в том, чтобы руководствуясь своим здравым смыслом и опытом обеспечить всем участникам возможность эффективного ведения дискуссии."
1

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей