Често задавани въпроси

От Symantec съобщават за нова “drive-by”¹ атака срещу домашни рутери. Атаката представлява спам e-mail, който се наподобява поздравителна картичка от компанията Gusanito.com, но всъщност се опитва чрез web-интерфейса на рутера да смени DNS настройките му. Подмяната на DNS-а от своя страна цели да пренасочи потребителите на голяма мексиканска банка, към сайт на измамници със същият дизайн и последващо прехващане на потребители/пароли. Web-интерфейсът се манипулира с използването на паролата по подразбиране и всъщност уязвими са само потребители, които не са сменили паролата, с която е дошъл рутера им. За новия тип атака е измислено името “drive-by pharming”. Нужно е да се отбележи, че поддатливи на подобен род атаки са осново малките домашни рутери, а не инсталираните в офисите на по-големи фирми, тъй като последните са поддържани по-добре и има по-голяма вероятност да са сменени паролите. Най-неприятното е факта, че е твърде възможно потребителя да не усети никакви издайнически белези на атаката.

1. термин използван за атаки, които не са насочени пряко към дадена цел, а целят много потребители. Същия прийом се използва при т.нар. “килимни” бомбардировки през Втората Световна Война - разчита се на масовост и поразяване на цял район, за да се поразят желаните цели [обратно горе↩]

Появи се нов проект за защита на отворени портове на дадена машина - като алтернатива на portknocking. Генерално, човек има няколко избора за защита, когато трябва да пусне някаква услуга на машината си, а услугата не може/не трябва да бъде защитена чрез самият сървър:

• пускане на нестандартен порт - практиката показва, че използването на нестандартен порт спестява огромна част от опитите за проникване, както и затруднява идентифицирането на конкретната услуга. В повечето случаи това е лесно да се направи и е добра защита за по повърхностен портскан. При по-задълбочено наблюдение и сканиране обаче, нестандартният порт излиза наяве и се връщаме обратно на изходна позиция. Типичен пример - http сървър, работещ на порт 3442, ssh сървър на порт 37999
• portknocking - всички портове са затворени, така че дори и обстоен портскан не дава никакъв резултат, но след последователни опити за връзка на определени портове в рамките на няколко секунди се отваря порта на избраната услуга. Например - след заявки на портове 34842, 2049 и 16542 се отваря порт 22 за достъп от адреса, иницииращ заявките. Важно е портовете да не са последователни, за да не бъде задействан механизмът от обикновенно сканиране. Самите заявки могат да се генерират и на ръка ( telnet <host> <port> ) или да се използва инструмент за целта.
• shimmer - новият проект, на който се натъкнах. Тук във всеки един момент има отворени 16 порта, при което при опит за връзка на 15 от тях, адресът опитал връзката директно отива в черният списък. Един единствен порт води то услугата. Хитрото е, че 16-те отворени порта се сменят на всяка минута по определен алгоритъм, базиран на парола. Идеята е, че оторизираният за връзка човек ще знае паролата и ще стартира софтуер на собствената си машина, който ще следва отвореният порт на услугата, когато скача¹

Личното ми мнение е, че shimmer защитата е прекалено усложнена и сътветно - трудна за подкарване ( най-малкото изисква много добро синхронизиране на часовниците на клиента и сървъра ), но пък кой знае - сигурно има специфичен случай, в който точно този тип защита ще бъде идеалното решение.

1. подобна идея е реализирана в Frequency-hopping spread spectrum модулацията, но на хардуерно ниво [обратно горе↩]

Червеят с име Nugache е стар познайник - за първи път се появи преди две години, като червей, специализиран в чат протоколи. Наскоро обаче някой ( подозирани са Russian Business Network ) сериозно е променил поостарелия червей, като го е направил многократно по опасен. Гадта вече е криптирана, използва web като средство за разпространение и инсталира rootkit и различен зловреден код. За разлика от Storm мрежата обаче, този ботнет няма централен сървър, от който да получава командите си, а работи на peer-to-peer принцип, което го прави многократно по-устойчив. Подобно развитие е качествено нова стъпка при криминалните мрежи и все повече компютри са част от подобни ботнет-и. Един от основните начини за разпространение на подобни червеи е чрез спам съобщения, маскирани като предложения за евтини акции, виагра или линк за сваляне на нужен кодек за гледане на филм. При килимна бомбардировка от 1 милион спам съобщения, дори и 0.01% от хората да щракнат на подобен линк, това представлява 100 нови компютъра, заразени с червея ( а 0.01 % е доста оптимистично предположение. В действителност този процент е по-голям ), а спам съобщенията се изпращат почти непрекъснато - когато мрежата не е заета за препращането на спам съобщения на плащащи клиенти¹  или някое друго пъклено, добре заплатено, дело.

До следващият път и не внимавайте къде кликате.

1. как ви звучи оферта от $100 за 1 милион изпратени писма ? [обратно горе↩]

I stand corrected, както се казва на чист български. Извинете ме, дами и господа, но това, което написах вчера, вече не е вярно. FreePOPs вече работи с abv.bg ( и с трите домейна ) - просто изтеглете обновения плъгин и го сложете в директория LUA_UNOFFICIAL¹ и вече имате POP3 достъп до пощата си.

Другата новина е, че се появи нова блогърска платформа, която обещава да съчетае предимствата на Wordpress и Twitter.  Платформата се казва Chyrp и е базирана на PHP & MySQL, както и Wordpress, поръсени с малко AJAX.  Според твърденията на автора не иска много ресурси, а интерфейса е много улеснен, независимо дали искате да публикувате текст, аудио пост, картинка или линк. Добрата новина е, че вече има Akismet API вградено за контрол на спам-а, както и работещи модули ( плъгини ) за платформата. Според мен, идеалният кандидат за тази платформа ще е eenk.com или velqn.com

1. цялата процедура на инсталацията е описана тук [обратно горе↩]

И така, дами и господа, след повече от година чакане, nmap v 4.50 e налице. Основните подобрения включват графичен интерфейс, подобрено разпознаване на операционни системи, подобрена производителност, скриптов език, нови TCP и IP опции и много други.

Силно се препоръчва ъпгрейд на всички заинтересовани.

и TCP/IP върху Ethernet в частност, тъй като това е най-популярната инкарнация на компютърните мрежи напоследък

Когато се появила нуждата от комуникация между компютрите, този проблем бил твърде сложен за да бъде решен наведнъж. Затова било решено проблемът да бъде разбит на няколко по-малки ( тъй де, разделяй и владей ). Така се появил известния 7-слоен модел на ОСИ ( OSI - Open System Interconnection ). Този модел описва комуникацията между 2 компютъра, като дефинира напълно отделни модули или слоеве. Другото уточнение е, че всеки слой е прозрачен за тези над него, тоест каквато информация навлезе в слоя в единият компютър, абсолютно същата ще излезе от съответния слой/модул в приемащия компютър.
Прочетете цялата статия »