Информационная гигиена. О *.барах

Одна история про безопасность

1999 год

В порядке мозгового штурма придумывается технология работы трояна на пользовательском компе, благодаря которой происходит отсылка информации наружу и управление трояном снаружи, однако при этом (в отличие от всяких "открытых портов", контактов бота через IRC и т.п.) весь генерируемый трояном трафик выглядит совершенно благопристойно, активность не вызывает подозрений

• ни у пользователя,
• ни у максимально параноидального сисадмина
• ни у антивирусных программ.

Июнь 2011 года

Один мой хороший знакомый, который в 1999 получил информацию о возможной технологии, пригласил меня "почитать логи прокси-сервера".

• Предъявив мне лог, он спросил, не вижу ли я в этом логе каких-либо признаков работы того самого трояна, которого тогда описывал.
• Посмотрев лог, я сказал, что по поводу пары-тройки строк у меня есть лёгкие подозрения, однако в целом всё совершенно благопристойно.
• Тогда человек с гордостью сказал - этот лог весь состоит только из активности трояна, и он эту активность смог отфильтровать из полного лога.

Подробности

1. Начальные условия
   • Имеется корпоративная сеть, в основном компы виндовые.
   • Антивирус официальный, практически весь софт лицензионный.
   • Unix Firewall с прозрачным прокси-сервером, через который весь трафик. Логи хранятся достаточно долго.
   • Активность пользователей в соц сетях ограничена, хотя и не запрещена полностью.
   • Снаружи сети можно зайти в корпоративный вебмейл, имея файл сертификата, логин и пароль.
   • Фирма за два года несколько раз влетает в разные истории на деньги.
   • Падает подозрение на некоторых сотрудников, сдающих информацию "налево".
2. В логах корпоративной почты фиксируется заход на почту снаружи человеком, местонахождение которого известно, и который снаружи не заходил на почту ранее. Иными словами, некто воспользовался авторизационной информацией.
3. Вспомнив про предлагавшуюся мной технологию, админ написал программу, которая отфильтровала активность возможного трояна и убедился в том, что на внутреннем компьютере того пользоввателя троян наличествует.
4. Сравнив все файлы на незатрояненном и затрояненном компьютерах (конфигурации системы очень похожи), админ выяснил, что отличия - в DLL файлах Яндекс-бара. Иными словами, троян внедрён в систему в точности так же как Яндекс-бар, выглядит в точности так же, и НИКАКИЕ куски его кода не имеют существенных отличий от кода Яндекс-бара. "Яд, динамит, фомка... Этого всего в доме и так достаточно" (С)емейка Адамс.
5. Сравнительно очевидным отличием являлось также то, что при попытке "обновить" такой Яндекс-бар соответствующие файлы скачивались, но в системе не изменялись.

Выводы

Как показал опыт публикации в узком кругу, по приведённым выше данным разумные люди способны восстановить технологию. Поэтому здесь я её подробное описание не публикую.

Sapienti Sat.

И немного в тему из новостей

• 18 июля 2011 Мегафон сдал поисковикам тексты СМСок, отправленных через сайт
• 25 июля 2011 Данные о сделках в результатах выдачи Яндекса
• РЖД тоже порадовало
• Яндекс рассказал вебмастерам о способах защиты личных данных пользователей - они ещё и издеваются.

---