В Громов - Энциклопедия безопасности
2. Сбор информации о том, на каких каналах вы находитесь, с последующей идентификацией вашей личности.
Итак, первое. Если вы хотите быть анонимны, не указывайте свой настоящий адрес e-mail в соответствующем поле в Setup. Во-вторых, станьте "невидимы". Это свойство позволяет вам оставаться необнаруженным при попытке любого пользователя, не знающего точное написание вашего nick, найти вас в IRC по имени вашего домена или userid (часть вашего e-mail, стоящая перед знаком @), используя команду /who или /names. (см. ниже). Это делается командой /mode $me +i, которая может быть для удобства включена в список команд, автоматически выполняемых при подключении (mIRC Options=>Perform). В последних версиях mIRC 5.** надо просто поставить галочку напротив Invisible Mode в диалоговом окне Setup. В-третьих, не давайте свой адрес людям в IRC, в добропорядочности которых вы не уверены. Или, по крайней мере, давайте свой альтернативный адрес. Вот, пожалуй, и все, что можно сделать. В-четвертых отключите всевозможные ident в ваших IRC клиентах. А теперь рассмотрим, что и как другие люди в IRC могут о вас узнать (или вы о них).
Вы - охотник
Оговорюсь, что мы будем исходить из предположения, что имя домена или IP адрес пользователя в IRC подделать очень сложно, и подавляющее большинство людей этим не занимаются, хотя такие методы и есть.
На ум приходят два метода: IP spoofing и использование специального прокси сервера, способного поддерживать IRC протокол. Техника, называемая IP spoofing (обман IP), весьма сложна в применении. Хакерские сайты предлагают пользователям Windows 95 с версией Winsock 2.0 и выше несколько программ для подобных проделок.
1. Поиск пользователей по домену, имени, и userid. Довольно мощным средством поиска по какой-либо известной части информации о пользователе (или группе пользователей) является команда /who, о которой почему-то нет ни слова в mIRC'овском Help файле. Странно, правда. Делая запрос о пользователе командой /whois, мы обычно получаем примерно такой текст:
ShowTime [email protected]_12.linknet.net * May flower ShowTime on #ircbar #newbies ShowTime using Oslo-R.NO.EU.Undernet.org [194.143.8.106] Scandinavia Online AS End of /WHOIS list.
Команда /who позволяет задать маску для поиска пользователей по любой части их доменного имени, userid или имени (то, что в поле Real Name). Допустим, мы ищем людей из домена global.de. Синтаксис таков:
/who *global.de*
Или ищем всех пользователей из Сингапура:
/who *.sg*
Или мы уже общались с господином ShowTime, и хотим найти его опять:
/who *mouse*, или /who *flower*
Так же могут найти и вас, если вы не воспользуйтесь командой /mode $me +i, как было описано выше.
2. Определение адреса электронной почты. Задача довольно сложная, но иногда выполнимая. Начнем с "лобовой" атаки. Команда /ctcp ShowTime userinfo (или, проще, через меню) покажет нам e-mail address, указанный самим пользователем. Поскольку мало кто сообщает свой настоящий адрес, надежды на правдивый ответ мало. Если домен полученного адреса совпадает с тем, что следует за знаком @ в ответе, полученном на запрос /whois, то вероятность того, что адрес указан правдивый, повышается.
Следующая возможность - использовать информацию, содержащуюся в ответе на запрос /whois. Имя домена подделать крайне сложно, поэтому мы наверняка знаем, что пользователь ShowTime из домена linknet.net. Это первый шаг. Часто вместо буквенной строки после знака @ следует цифровой IP адрес, который по той или иной причине не определился при подключении пользователя к серверу. Его можно попытаться определить командой /DNS ShowTime. Если результат получен, то переходим к следующему абзацу. Если нет, то попробуем еще один способ. Воспользовавшись программой WS Ping32 (http://www.glasnet.ru/glasweb/rus/wsping32.zip), или CyberKit (http://www.chip.de/Software/cyber.zip), сделаем TraceRoute с указанием цифрового адреса. Программа проследит путь от вашего IP адреса до искомого IP, принадлежащего ShowTime. Последний из определившихся по имени адресов укажет, скорее всего, на имя домена пользователя.
Едем дальше. У нас есть либо полное имя, соответствующее IP адресу пользователя под кличкой ShowTime (ml1_12.linknet.net), либо, в худшем случае, только имя домена (linknet.net). В первом случае мы можем попытаться, воспользовавшись командой finger (либо в одной из двух вышеупомянутых программ, либо прямо в mIRC, где есть кнопка Finger прямо на Tool Bar'е), определить всех текущих пользователей из домена linknet.net. Для этого мы делаем finger адреса @linknet.net (userid не указываем). При удачном стечении обстоятельств мы получим что-нибудь в этом роде:
Trying linknet.net Attempting to finger @linknet.net
[linknet.net] Login Name TTY When Where root 0000-Admin console Fri 16:27 henroam John Brown pts/1 Tue 10:57 pckh68.linknet.net pailead Jack White pts/2 Tue 11:03 ml4_17.linknet.net oneguy Michael Lee pts/3 Tue 11:08 ml1_12.linknet.net sirlead6 Joan Jackson pts/4 Tue 11:05 ml4_16.linknet.net
End of finger session
Вот он наш ml1_12, принадлежит [email protected] Отметим, что иногда информация в ответ на finger-запрос может быть выдана только пользователю из того же домена, к которому принадлежит адрес, который вы хотите идентифицировать. Решение простое: найдите пользователя из искомого домена (/who *linknet.net*), и попросите его сделать finger запрос.
И в первом, и во втором случае есть еще одна возможность. Если "охотнику" известно реальное имя или фамилия искомого пользователя, можно послать figer-запрос в виде имя@домен или фамилия@домен. Например, finger на [email protected] может нам дать список всех пользователей по имени John с их login'ами.
Вот, пожалуй, и все известные автору средства, которые есть у "охотника". А выяснив ваш e-mail адрес, "охотник" может выяснить и ваше реальное имя. Как? Читайте в разделе ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ ПО E-MAIL.
11.6. БЕЗОПАСНОСТЬ ICQ
ICQ - иначе Интернет-пейджер - стал для многих незаменимым средством оперативного общения с друзьями, коллегами и просто интересными людьми. Но технология ICQ такова (если не принять соответствующих мер) что вас легко могут идентифицировать (узнать ваш IP адрес). Существует несколько рекомендаций по защите от этого:
- при регистрации в системе ICQ ни в коме случае не указывайте вашего настоящего E-Mail, адреса, имени и т.д. (все данные должны быть вымышленными);
- не забудьте установить режим обязательной авторизации (вашего согласия) при попытках других пользователей сети добавить ваш UIN (персональный номер в сети ICQ) в свою записную книжку;
- отключите в настройках ICQ отображение вашего IP адреса и других идентификаторов. В противном случае - в сети довольно много шутников которые могут например напустить на вас Nuke Attack;
- никогда не используйте какие-либо дополнительные утилиты и русфикаторы для ICQ, все они, как правило, содержат в себе "троянцев";
- по возможности (если у вас получится) настройте ICQ для роботы через анонимный прокси-сервер.
11.7. ЗАЩИТА ОТ NUKE ATTACK
В Интернете можно найти множество программ для т.н. Nuke Attack, Winnuke, Land Attack и пр. - большинство из этих программ осуществляют атаку по указанному IP адресу (чаще всего используя порт 139) что как правило вызывает зависание атакуемого компьютера. Сущность и сама возможность этих атак связана с особенностями протокола TCP/IP - мы не будем углубляться в эти дебри, а лишь кратко остановимся на способах защиты:
- Если Вы используете операционную систему Windows (95, 98 или NT) то все что Вам нужно так это периодически заглядывать в:
http://www.microsoft.com
и скачивать свежие апдейты для своих операционных систем устраняющих подобные проблемы;
- Также существует много бесплатных программ защищающих от подобных атак. Их можно поискать на бесплатных серверах программного обеспечения. Мы рекомендуем NukeNabber 2.9, его можно скачать на:
http://www.download.com
Эта программа, позволит вам защититься от распространенных атак на 95 и NT через Интернет. Она прослушивает до 50 портов, которые чаще всего атакуются и дает вам достаточно информации, чтобы выследить нападающего. В том числе есть методы, позволяющие вычислить псевдоним, используемый нападающим в IRC.
11.8. МОШЕННИЧЕСТВО В ИНТЕРНЕТ
Для защиты от мошенничества в Интернет мы можем дать следующие рекомендации:
- никогда не осуществляйте покупок через Интернет, особенно с использованием кредитных карточек (это излюбленное лакомство для многих хакеров);
- никогда и ни где не вводите каких либо настоящих данных о себе (ФИО, адрес, E-Mail и т.д.) - все данные должны быть вымышленными!
11.9. ЗАЩИЩЕННЫЙ РАЗГОВОР
В то время как существуют десятки программных продуктов, позволяющих шифровать файлы и сообщения, передаваемые по электронной почте, средств для защиты разговоров в режиме on-line все еще очень мало. Какой бы из известных программ для разговора в текстовом режиме (chat) мы ни пользовались, наш разговор может стать объектом для любопытных ушей. Я не хочу сказать, что провайдеру или любой другой заинтересованной организации так уж легко прочесть то, что мы печатаем на клавиатуре в процессе общения на IRC или ICQ, но если им будет очень интересно послушать наши разговоры, они это сделают. Простой текст (а любой стандартный chat - это простой текст) может быть выделен из IP пакетов с помощью специального оборудования и/или программного обеспечения (sniffers).