Полит Х - Телевизионный Интернет-канал
 Авторское
 Телевидение
Полит Х - Телевизионный Интернет-канал
Сегодня 
18.11.2018 
Главная страница > X-Архив > Дмитрий Скляров и Дмитрий Леонов
X-Сайт
X-Архив
X-Форум
X-Справка
X-Эксперт
X-Команда
X-Партнеры
X-Контакты

Дмитрий Скляров и Дмитрий Леонов

26 марта 2004 года
Компьютерная "Прайвэси": Кто залез в мой компьютер?

Часть 1
Часть 2

Дмитрий Скляров
Дмитрий Скляров
X-Справка
Дмитрий Леонов
Дмитрий Леонов
X-Справка

С. Корзун: Здравствуйте! Добро пожаловать на очередную Интернет-телевизионную дискуссию в наш клуб "Полит Х". Тема сегодня - не политическая (хотя, как я говорю обычно, политикой может быть все): "Компьютерная прайвэси: кто залез в мой компьютер?" Об этом сегодня беседуем с нашими экспертами. У нас две группы экспертов - одни слушают, другие принимают участие в дискуссии. Я представляю вам Дмитрия Склярова, Дмитрия Леонова. Дмитрий Скляров - научный сотрудник МГТУ и программист компании "Элком-софт". Дмитрий Леонов - специалист по сетевой безопасности, уже во второй раз гость нашей программы. В этом составе мы дискуссию начинаем, вас ожидает еще встреча с Максимом Мошковым и Ильей Гофманом.

Понятно, что специальные средства и специальные службы с Вашего компьютера могут снять все, что им заблагорассудится после несанкционированного проникновения в ваше помещение. Сам по себе компьютер, без Интернета, защищен или нет? То есть, если нет Интернета, можно ли не опасаться за то, что содержимое Вашего компьютера не будет известно окружающим, кроме детей и близких - тех, кто заходит напрямую в Ваш компьютер?

Д. Леонов: Если к Вам пришли с ордером и взяли винчестер на анализ, понятно, что...

С. Корзун: ...против лома нет приема.

Д. Леонов: Если же в компьютер нет физического доступа извне, то естественно бояться нечего.

Д. Скляров: Не считая маленьких нюансов, как излучение, которое идет от различных каналов, соединяющих блоки компьютера. В частности я собственными глазами видел, как на экран телевизора, на обыкновенную телевизионную антенну ловилось изображение компьютера, стоящего этажом выше. Правда это был 91-й год, и компьютеры были тогда чуть-чуть другие, сейчас с этим сложнее, но, тем не менее, такая техника существует. И если компьютер не очень хорошего качества, то теоретически такую информацию он может отдавать наружу...

Д. Леонов: Я не уверен, что удастся снять чего-то там...

Д. Скляров: Там идет сигнал по проводу от монитора до компьютера, и теоретически он излучает. И если иметь соответствующее оборудование, его можно снимать. Но почему я сказал, что это был 91-й год, - было другое разрешение экрана, другие частоты, другие стандарты передачи информации. Сейчас частоты гораздо более высокие, сигналы - аналоговые, или наоборот - цифровые, но защищенные. И соответственно эта аппаратура может не работать, но может и работать - гарантировать можно только после экспертизы. Если кто-то проверит конкретный компьютер на излучение, соответственно можно будет сказать - есть или нет.

С. Корзун: Есть организации, которые занимаются этим, можно вызвать мастера на проверку излучения?

Д. Скляров: Я не знаю, есть ли такие открытые организации в России, но на Западе такие организации существуют. Там существуют технологии, которые занимаются как раз снятием этой информации, и есть компании, которые предоставляют средства по защите от этого снятия.

Д. Леонов: В принципе все правильно, но снимается только то, что проходит с монитора в основном...

С. Корзун: Мы не говорим о спецслужбах, которые могут снимать с чего угодно.

Д. Леонов: Там затраты такие, что дешевле прийти с обыском.

С. Корзун: То есть если Ваш капитал исчисляется несколькими миллионами долларов, то можете за это опасаться, если меньше, то смысла связываться с Вашим компьютером никакого нет. Если только кто-то другой не хранит там свои секреты.

Д. Леонов: Это обычная ситуация: затраты и что он получит.

Д. Скляров: Кстати на тему излучения. Доходит до курьезов: была реальная история, когда человек в Соединенных Штатах сидел у себя дома, пытался что-то делать за компьютером, и вдруг, после того как он открыл Word, у него начал набираться текст с жалобой в коммунальные службы. Выяснилось, что у соседа за стеной точно такая же беспроводная клавиатура, как и у него. В результате его клавиатура печатала на 2 машины.

С. Корзун: То же самое было раньше с радиотелефонами. Частоты были пониже, вполне можно было врубаться в разговоры соседей. Все ходили с одинаковыми трубками.

Проблемы начинаются тогда, когда компьютер начинает соединяться с окружающим миром - через модем или выделенную линию. Если он соединен через модем по телефонной линии: соответственно сеанс связи и разрыв связи. Когда компьютер связан, понятно, что информация идет в обоих направлениях. Какая именно, об этом чуть позже. Когда разорван этот канал, уходит какая-то информация из компьютера или нет?

Д. Леонов: Нет.

С. Корзун: То есть, здесь никакой загадки нет, если само по себе физическое подключение к линии без модемной связи не дает возможности получать у Вас информацию?

Д. Леонов: Если не допустить теоретических возможностей, что телефоны позволяют спецслужбам подключиться извне и так далее...

С. Корзун: Это форс-мажорные случаи. Дружите с законом, чтобы не было проблем.

Д. Скляров: Опять же если Вы просто поставили себе некую конфигурацию, подключились к модему и сами в Интернет не звоните, это еще не значит, что компьютер и программа, установленная на этом компьютере, не будут делать эту же процедуру. В частности опять реальная история: какое-то из майкрософтовских аппаратных решений, которое втыкается в Интернет. Человек был немножко удивлен, когда обнаружил, что в 3 часа ночи, когда он должен спать, компьютер почему-то звонит в Интернет. Выяснилось, что та железяка, которую он купил, имеет функцию автообновления, и там сказано: "В три часа ночи позвоните на бесплатный номер и скачайте оттуда обновление". Ему об этом забыли сказать.

Д. Леонов: В принципе также есть возможности у провайдеров настраивать call back, то есть не когда Вы звоните и отвечают, а когда провайдер Вам перезвонивает. Сюда тоже можно вклиниться, что если Ваш модем настроен на такой режим работы, то в принципе можно к Вам снаружи подключиться. Опять же все конфигурируется.

С. Корзун: Программными средствами этого можно избежать?

Д. Скляров: Можно сделать так, чтобы при отключенном телефоне ничего не произошло.

С. Корзун: Дальше, выделенная линия, постоянное соединение с Интернетом. Какие здесь проблемы?..

Д. Леонов: Здесь масса проблем, потому если в том же сегменте сети находятся еще компьютеры, то в принципе они могут прослушать весь поток данных, который от Вас проходит. Это основная головная боль домашних сетей, которые сделаны на коленке: это обычно большой источник утечки паролей и так далее. Правда если поверх этого стоит какое-то криптографическое решение, то обычно проблем нет. Плюс если у Вас действительно постоянное подключение к сети, Вас могут снаружи пытаться сканировать, проверять, что у Вас открыто, и так далее. Точно так же, как если у Вас модем постоянно подключен.

С. Корзун: Это как занавеску отдернули, и с улицы все может быть видно, если Вы что-то начинаете делать. Теперь, что может быть видно в компьютере при подключении через модем либо при выделенной линии, если Вы находитесь на связи?

Д. Леонов: Это зависит от того, какие службы запущены на Вашем компьютере. Обычный пользовательский компьютер можно настроить так, что снаружи никто ничего не заберет. Другое дело, что когда Вы читаете почту, Вы какую-то информацию все равно обязаны отдать сами: чтобы попросить информацию, нужно вначале ее отправить. Вот тут чего-то тоже может утечь.

С. Корзун: Что именно? Самое главное, могут ли залезть на Ваш винчестер и посмотреть тексты, которые Вы храните, любую другую информацию?

Д. Леонов: Теоретически, если Вы запустили службу доступа к своим файлам, если открыли доступ всему миру к ней, - конечно, могут. Возможна ситуация, когда нашли очередную ошибку в операционной системе или в Вашем программном обеспечении, - тоже могут. Другое дело, вопрос затрат. Среднего, обычного пользователя, скорее всего, так атаковать не будут. Он просто никому не нужен. Другое дело, что он может попасть под широкомасштабное сканирование и в этом случае действительно пострадать.

С. Корзун: То есть дорожка, которая проложена извне в Ваш компьютер, кончается где, и какие программные средства существуют, чтобы ограничить это? Можно настроить папки для общего доступа - это понятно. Тогда можно в любой момент заходить и смотреть все, что есть в их содержимом. Где должен нормальный пользователь поставить границу? Если он не заводит такую папку, что можно из его компьютера получить?

Д. Леонов: Сейчас куча всяких программ, тот же ICQ - встроенный web-сервер. Он вначале был жутко дырявый, прошел стабильно через все дырки, когда он отдавал содержимое всего диска. Обычный популярный Интернет-пейджер. Если человек включал в нем тоже вроде бы удобную службу - отдавать всем пользователям файлы, которые он выбрал, эта штука позволяла отдавать не только эти файлы. То есть программ много, и открыть такую лазейку может какая угодно.

Д. Скляров: В общем и целом я согласен, потому что действительно что-то должно быть неправильно на компьютере пользователя, для того чтобы снаружи можно было что-то извлечь из него. Вопрос в том, откуда эта неправильность может взяться. В принципе таких неправильностей три. Первое происхождение - это неправильно сконфигурированная программа, то, о чем Дмитрий говорил - web-сервер ICQ. Человек его включил, по умолчанию он у него работает. Кто-то может ходить и смотреть ту страничку, которую он создал, и которая прямо у него на винчестере лежит. Вроде как удобно, но при этом, из-за того, что где-то в настройках этого сервера сделано что-то неправильно, человек, приходящий снаружи, может туда пролезть и получить гораздо больше, чем ожидал человек, предоставляющий такую возможность.

Второе - это ошибки в программах. Разумеется, что они есть, всегда будут, и их с некоторой периодичностью будут находить. Например, полгода назад эта ошибка еще существовала, ее еще "Майкрософт" не успела закрыть, я собственными глазами видел - при заходе на определенную страницу с сервера скачивался файл. Просто нужно было в Internet Explorer открыть страницу, файл скачивался с сервера и запускался на машине, не задавая пользователю вопросов.

Был такой сайт malware (malicious software - программы, написанные со злобными целями). Они злобных целей не преследовали, а просто показывали уязвимость. И реальна была ситуация, что можно было любой код таким образом запихнуть и выполнить на машине человека, не выдавая никаких предупреждений. Стандартный способ подразумевает, что пользователю выводится окошко: "Код такой-то, Вы хотите его выполнить? Да или нет". И третья причина появления - это когда пользователь отвечает "да". Это большинство вирусов, которые основаны на социальной инженерии. Тот же самый Love Letter, когда человек должен был сам запустить программу, после чего она выполняла свои вредные действия.

Вот три источника: неправильная конфигурация, дыра в программном обеспечении и глупость пользователя.

С. Корзун: Откуда такой термин "социальная инженерия"?

Д. Леонов: Это просто калька перевода с social engineering...

С. Корзун: Суть его в том, что человек как бы сам выполняет необходимые действия в Интернете?

Д. Скляров: Суть - заставить человека сделать то, что понизит его уровень защищенности. Есть такой легендарный Кевин Митник. После того как его арестовали, какую-то девушку из его команды, про него долго говорили как про гениального хакера. На самом деле он не хакер гениальный, а гениальный социальный инженер. Его технические познания не мизерные, конечно, но в технике он не гениален. Он был гениален в том, как он использовал психологию.

С. Корзун: То есть слабости не техники, а людей.

Д. Скляров: Совершенно верно, потому что человек всегда остается. В любой автоматизированной системе есть человек, можно действовать через него. И когда проводили следственный эксперимент, эта девушка открывала web-сайт какого-то государственного, военного американского учреждения, получала с него информацию о том, что генерал такой-то находится на такой-то конференции, после этого звонила в его приемную по телефону, который указан на сайте, общалась с его секретарем. Она ей говорила: "Я звоню по поручению генерала такого-то, который находится сейчас на конференции. Он не может получить доступ к своим файлам. Вы должны установить на его имя пользователя пароль такой-то. Соответственно секретарь отвечает: "Я не имею права этого сделать". На что следует короткая фраза: "Вам не нравится Ваше место работы?", и после этого вешается трубка. Соответственно у девушки, которая отвечала, два варианта: либо поверить и дать доступ, либо не поверить и возможно лишиться работы. В некоторых случаях, и очень часто, она решает ситуацию в пользу своей работы и меняет пароль. Все, доступ получен просто за счет человеческой глупости.

Д. Леонов: То есть это обычная типовая схема - грубо говоря, развод лохов.

Д. Скляров: Это и есть социальный инжиниринг.

Д. Леонов: Или вполне типичный пример, когда пользователи получают письмо с ящика, который похож на администраторский или звонят якобы из службы техподдержки со словами, что мы обновляем сервер, пожалуйста, скажите свой пароль. Это самый примитивный вариант. Есть, конечно, более изысканные, когда вначале берется часть информации из открытых источников, потом с ее помощью разыскивается другая информация и по цепочке проходят. В книге Митника достаточно много таких любопытных примеров, когда он именно так по цепочке проходил.

С. Корзун: Хорошо, другая проблема: обычного пользователя - не профессионала, как я, такого же лоха в Интернете, когда заходишь на какой-то сайт, уже приветствуют. То есть узнали уже номер твоей машины... кстати говоря, машину провайдера узнают, если я получил доступ в Интернет по модему, или личную машину?

Д. Леонов: Можно узнать лично Вас. Давно, еще во 2-ом Netscape Navigator (когда еще не было никакого Internet Explorer) появились такие штуки под названием cookie, которые на русский язык нормально не переводятся (не "пирожками" же переводить). Это такая текстовая строчка, которую сервер может попросить сохранить на стороне клиента. Это в принципе удобно. Например, работать в электронном магазине, заполнять свою корзину. Это текстовая информация хранится на Вашем локальном компьютере, и когда Вы в следующий раз заходите, Вас узнают. В идеале эта система - достаточно надежная, то есть отправить эту cookie можно только на тот сервер, который Вам ее отдал, никто в это дело вклиниться не может. Но проблема в том, что периодически находятся многочисленные ошибки, которые позволяют с помощью фреймов или как-то еще забраться и вытащить cookie пользователя. Таким образом, например, можно украсть пароль к электронной почте: многие схемы краж паролей к почтам используют такую схему с кражей cookie.

Кроме того возможна ситуация отслеживания поведения пользователя в сети. Хотя Вы работаете только с одним сервером, Вы же ходите по страницам и наверняка видите баннеры рекламной сети. Они загружаются с одной-единственной баннерной сети - с одного сервера. Поэтому с таким сервером Вы можете общаться, то есть он может сохранять эти cookie. Соответственно владельцы баннерной сети в принципе вполне могут отследить Ваше поведение, Ваш маршрут по сайтам, на которых стоят баннеры этой сети.

Д. Скляров: Владелец баннерной сети знает, на какой странице Вы увидели его баннер. Он знает, что Вы сейчас смотрите.

Д. Леонов: Он может определить Ваши предпочтения.

С. Корзун: Кто реально являются владельцами баннерной сети? Они связаны с провайдерами или нет?

Д. Леонов: Это независимая служба, просто электронная коммерция в Интернете - продажа рекламы рекламными агентствами, они или сами иногда владеют или просто работают с ними.

Д. Скляров: Сейчас бум баннеров давно прошел, но баннеры стоят везде. Пять лет назад баннеры можно было обращать в живые деньги и достаточно быстро.

Д. Леонов: Практически на каждую рунетовскую страницу ставили счетчик или Rambler, или Rax, или еще кого-то. В принципе никаких проблем нет владельцам Rambler это дело отслеживать. Я не говорю, что они это делают, но никто им не мешает.

С. Корзун: Где-то стоит знак замочка, то есть на кого-то статистику можно посмотреть, а на кого-то нельзя.

Д. Леонов: Это со стороны нельзя. Такая утечка может быть достаточно интересной информацией. Может быть не привязана к конкретному пользователю, то есть они не знают, что это конкретно Вы, но портрет среднего пользователя вполне получается.

С. Корзун: Как иногда возникает желание убраться в квартире, так иногда смотришь на эти временные Интернетовские файлы, находишь там и cookie, и чего угодно, надо ли это их чистить нормальному пользователю, если там 600-700 этих cookie набралось, или что с ними делать?

Д. Скляров: Смотря о чем заботится пользователь. Есть две противоречивые концепции. Одна концепция - безопасная работа в Интернете, другая концепция - удобная работа в Интернете. Вместе не бывает. Вот что для себя человек выбирает, то он и делает. Если он предпочитает безопасную работу, то после каждого закрытия Explorer он будет вычищать все временные файлы и cookie, либо вообще их запретит, и JavaScript запретит. При этом он не сможет посмотреть половину страниц, не сможет вообще ничего купить в электронном магазине и так далее, но тем не менее шансов, что что-то из его личной информации утечет наружу, становится меньше. То есть компромисса нет: либо Вы боретесь за безопасность, либо, игнорируя эту проблему, получаете максимум удобства.

С. Корзун: Существуют ли фильтры тогда, или можно отменить временно? Скажем, магазин - это удобно, удобно, когда меня узнаёт моя почта.

Д. Скляров: Существуют, разумеется, средства настройки даже в Explorer: там сайты можно помещать в хорошие зоны, в плохие зоны, и так далее. Но проблема в том, что автоматически это не настраивается, а на то, чтобы настроить это правильно руками, у многих не хватает квалификации или терпения.

Д. Леонов: Есть много сторонних программ, которые индивидуально настраивают: на этом сайте исполняем JavaScript, на этом отдаем cookie, на этом подсовываем вообще фиктивные адреса, с которых мы зашли, и так далее. Но пользуются этим, дай бог, 10% пользователей.

Д. Скляров: Вообще задумываться, о том, что безопасность может представлять проблему, начинают только после того, как у них начались эти проблемы. А до этого удобно и хорошо.

С. Корзун: А как узнать, начались или нет? Кто его знает, может провайдер потихоньку на тебя информацию копит, а потом...

Д. Скляров: Копит он ее наверняка, а вот когда он ее использует, тогда Вы это и узнаете.

С. Корзун: Кому обязан провайдер отдать на Вас информацию, если ею интересуются компетентные органы?

Д. Скляров: Если я не ошибаюсь, то по нынешнему законодательству - только правоохранительным органам и только по постановлению суда. Прокурор не имеет права выдавать постановление на выдачу материалов.

С. Корзун: А что вообще у провайдера может быть на пользователя?

Д. Леонов: Теоретически все, что проходит от Вас.

С. Корзун: И там тот же самый вопрос затрат - пишет ли он все...

Д. Скляров: Писать все невозможно технически, потому что объемы одного домашнего пользователя... у меня через модем, когда использую его активно, в месяц проходит 2 гигабайта. Соответственно пользователей у этого провайдера - несколько тысяч.

Д. Леонов: Но теоретически нет проблем писать одного конкретного пользователя.

С. Корзун: У нас идет голосование: "Лучшая защита компьютера от проникновения - это...". "Отсутствие компьютера" - ответов не так мало, это естественно, "если у Вас нету тети, то Вам ее не потерять". "Отсутствие Интернета" - максимальное число ответов. Если нет Интернета, то компьютер во многом защищен, кроме специальных средств, о которых мы говорили. "Защитные программы", "хороший провайдер" или "примерное поведение в Интернете", то есть на плохие сайты не ходить, к Бен Ладену не лазить...

Д. Леонов: Скорее просто не делать глупостей, не запускать всякий мусор, который приходит по почте.

С. Корзун: Дайте общие рекомендации, как защитить себя. С одной стороны, мы поняли, что удобства без опасности определенной не бывает. Где нормальный пользователь должен поставить себе границу?

Д. Леонов: Давайте договоримся, что вариант, когда нет Интернета, нас не устраивает. Хочется все-таки поработать, что-то посмотреть. В принципе все не так уж страшно, для отдельного пользователя достаточно соблюдать какие-то базовые правила гигиены: не запускать файлы из вложений, регулярно обновлять операционную систему, желательно поставить антивирус и, может быть, уже с меньшей необходимостью поставить локальную программу защиты.

С. Корзун: Например, какие есть программы?

Д. Леонов: Norton Internet Security, "Касперский Антихакер". Достаточно много программ - так называемые персональные firewall, которые стоят у Вас и отслеживают все Ваши сетевые соединения. Они не необходимы, но если Вы поймали "троянского коня", они могут проследить, что он пытается соединиться наружу. Они могут отловить те моменты, которых не хватает антивирусу: если антивирус еще не успел отловить, то какие-то вещи может отловить Ваш firewall.

С. Корзун: Достаточно ли они просты в настройке? Может ли обычный пользователь их настроить, или это достаточно сложные программы?

Д. Скляров: Обычно у них есть режим обучения, но на собственной практике могу сказать, то даже когда я, имея некоторый опыт в этой области, пытаюсь его настроить через режим обучения, у меня не все получается.

Д. Леонов: Иногда просто непонятно, нужны ли эти программы, чтобы нормально работать. Поэтому всем подряд его не стоит ставить.

Д. Скляров: На мой взгляд, настройка такого, даже не самого сложного firewall требует достаточной квалификации. По-хорошему, если человек подключается через Интернет, провайдер тоже должен обеспечивать какие-то действия, например, провайдер, которым я пользуюсь, по-моему, имеет функцию блокировки всех запросов на порты, относящиеся к службам Windows. То есть разделяемые папки я у себя могу открывать сколько угодно, из Интернета их никто не увидит, потому что все обращения к ним "откусывает" провайдер. Мне не надо об этом заботиться. Потому что у большинства пользователей, у которых дома больше одного компьютера, эти папки открыты, и открыты они для всех. Это как бы нормальная политика. Если опять же больше одного компьютера, то имеет смысл поставить выделенную машину, поставить на ней firewall, либо если Вы используете постоянное подключение (сейчас появился ADSL относительно дешевый в Москве), поставить простейший железный firewall, который 90% проблем, связанных с теми же Троянами, может снять. Но, разумеется, не 100.

С. Корзун: А гарантированная защита корпораций, которые заботятся о безопасности своих секретов?

Д. Леонов: Стопроцентной защиты все равно никогда не бывает. Безопасность - это всегда процесс.

С. Корзун: Даже такой специалист по сетевой безопасности, как Вы, не может гарантировать, что сто процентов поставят защиту?

Д. Скляров: Всегда есть пользователь, который может что-то испортить.

Д. Леонов: Всегда есть пользователь, всегда есть возможные дырки в сервисах, которые еще не нашли, которые кто-то успеет найти до того, как о них станет известно, и до того, как я их успею залатать. Вопрос, как быстро удастся эту атаку отловить и как быстро после нее удастся восстановиться.

Д. Скляров: И кроме этого, если речь идет о корпорациях, то по статистике больше половины взломов инициируются изнутри, а не снаружи.

Д. Леонов: Проще заплатить секретарше...

С. Корзун: Человеческого "троянского коня" туда поставить, чем послать извне.

Кстати, Дмитрий, как Ваша судьба складывается после того дела? Проблем не возникает?

Д. Скляров: Нормально живу, работаю...

С. Корзун: Въезд в Соединенные Штаты закрыли?

Д. Скляров: Понятия не имею. Не пробовал, и почему-то не тянет.

С. Корзун: Ну что ж, спасибо Вам огромное. Дмитрий Скляров и Дмитрий Леонов - в первой части нашей программы о компьютерной безопасности. Через минуту встретимся с Максимом Мошковым и Ильей Гофманом.

Часть 1
Часть 2

Полит Х - Телевизионный Интернет-канал
Главная страница > X-Архив > Дмитрий Скляров и Дмитрий Леонов
Программа и трансляция — Авторское Телевидение © 2003-2004
© «Полит Х». При полном или частичном использовании материалов ссылка на этот сайт обязательна.
Rambler's Top100 Рейтинг@Mail.ru
Полит Х - Телевизионный Интернет-канал