Игорь Гульев - Создаем вирус и антивирус

Пейджер стал для многих незаменимым средством оперативного общения. Но мало кто знает, что технология пейджинга позволяет организовать прослушивание (мониторинг) пейджинговых сообщений с помощь несложной аппаратуры (сканер+компьютер+соответствующее программное обеспечение). Поэтому пейджинговые компании контролируются не только ФСБ, ФАПСИ и прочими силовыми подразделениями, но и всеми, кому не лень, в том числе криминальными структурами и новоявленными Джеймс Бондами в лице отечественных фирм, занимающихся так называемой защитой информации.

Получение E-mail

Иногда у пользователя возникает ситуация, когда хотелось бы выявить реального автора полученного сообщения. Например, получено сообщение от вашей жены, в котором она пишет, что уходит к другому. Вы можете либо вздохнуть с облегчением, выпить на радостях рюмку-другую и отправиться с друзьями на дачу праздновать это событие, либо попытаться выяснить, не является ли это чьей-то шуткой.

Ваши друзья могли легко изменить поле From в отправленном сообщении, поставив туда вместо своего обратного адреса хорошо известный вам адрес вашей жены, например masha@flash.net. Как это делается, можно прочесть в разделе «Отправление e-mail». Так что стоящая перед нами задача сводится к следующему: определить, соответствует ли указанный адрес отправителя адресу, с которого в действительности было отправлено сообщение.

Итак, каждое электронное сообщение содержит заголовок (header), который содержит служебную информацию о дате отправления сообщения, названии почтовой программы, IP-адресе машины, с которой было отправлено сообщение, и так далее. Большинство почтовых программ по умолчанию не отражают эту информацию, но ее всегда можно увидеть, открыв с помощью любого текстового редактора файл, содержащий входящую почту, или используя функцию почтовой программы, позволяющую просматривать служебные заголовки (как правило, она называется Show all headers). Что же видим?

Received: by geocities.com (8.8.5/8.8.5) with ESMTP id JAA16952

for ; Tue, 18 Nov 1997 09:37:40 −0800 (PST)

Received: from masha.flash.net (really [209.30.69.99])

by endeavor.flash.net (8.8.7/8.8.5) with SMTP id LAA20454

for ; Tue, 18 Nov 1997 11:37:38 −0600 (CST)

Message−ID: <3471D27E.69A9@flash.net>

Date: Tue, 18 Nov 1997 11:38:07 −0600

From: masha@flash.net

X−Mailer: Mozilla 3.02 (Win95; U)

MIME−Version: 1.0

To: petya@geocities.com

Subject: I don’t love you any more, you *&$%# !!!!

Да, много всякого. Не вдаваясь в технические подробности, в общих чертах: заголовки Received сообщают путь, который прошло сообщение в процессе пересылки по сети. Имена машин (geocities.com, endeavor. flash.net) указывают на то, что сообщение, скорее всего, пришло к вам в geocities.com из домена вашей жены flash.net. Если имена машин не имеют ничего общего с flash.net (например, mailrelay.tiac.net), это повод задуматься о подлинности сообщения. Но самая главная строка для нас – последняя из строк, начинающихся со слова Received:

Received: from masha.flash.net (really [209.30.69.99])

Она отражает имя машины (masha.flash.net) и уникальный IP-адрес, с которого было отправлено сообщение. Указанный домен (flash.net) соответствует адресу вашей жены. Впрочем, ваши друзья могли подделать и строку masha.flash.net (в Windows 95 это делается через Control Panel=>Network=>TCP/IP Properties=>DNS Configuration, указав masha и flash.net в полях Host и Domain соответственно), поэтому важно определить имя, соответствующее данному IP-адресу: 209.30.69.99.

Для определения имени, соответствующего цифровому адресу, можно воспользоваться одной из доступных программ, например WS-Ping32 (http://www.glasnet.ru/glasweb/rus/wsping32.zip), а лучше CyberKit (http://www.chip.de/Software/cyber.zip). Набрав цифровой адрес, даем команду NS LookUp (Name Server Lookup) и смотрим на полученный результат. Когда имя определено, дальше все просто: если получено что-либо похожее на ppp303.flash.net или p28-dialup.flash.net, то сообщение отправлено вашей женой (или кем-то, имеющим почтовый адрес во Flashnet, но выяснить это подробнее уже нельзя). Если указано нечто весьма далекое от flash.net – скорее всего, отправляла сообщение не ваша жена. Иногда адрес не определяется. В этом случае можно воспользоваться функцией TraceRoute той же программы. Эта функция поможет проследить путь от вашей машины до указанного IP-адреса. Если этот адрес (он будет последним в списке узлов, через которые сигнал прошел от вашего компьютера до компьютера с указанным IP-адресом) снова не определяется, то последний из определенных по имени узлов все-таки укажет на примерное географическое положение компьютера отправителя. Еще более простым и изящным способом определения страны и даже названия провайдера или сети является использования вот этого адреса:

http://www.tamos.com/bin/dns.cgi

Итак, в результате получилось что-то вроде Brasilian Global Network. Ваша жена не бывала последнее время в Бразилии? Нет? Ну, тогда она от вас и не уходила. Вас разыграли. Будьте бдительны!

Отправление E-mail

Даже вполне добропорядочные граждане иногда хотят сохранить в тайне свою личность при высказывании своего мнения, скажем, автору сайта, пропагандирующего фашизм, или президенту Лукашенко. Вопросы приобретения второго (анонимного) электронного адреса вынесены в отдельный подраздел «Второй адрес».

Remailer (Ремейлер) – это компьютер, получающий сообщение и отправляющий его по адресу, указанному отправителем. В процессе переадресации все заголовки (headers), содержащие информацию об отправителе, уничтожаются, так что конечный получатель лишен всякой возможности выяснить, кто является автором сообщения. Таких программ в сети много, некоторые из них позволяют указывать фиктивный адрес отправителя, большинство же прямо указывают в заголовке, что сообщение анонимно. Чтобы узнать, как пользоваться ремейлером, нужно отправить сообщение по адресу remailer@replay.com, указав в поле Subject remailerhelp. Через некоторое время придет ответ с подробными инструкциями об отправке анонимных сообщений. Еще более простой способ – это отправиться по адресу

http://www.replay.com/remailer/

Там расположен ремейлер, позволяющий посылать сообщения прямо из WWW. На этом же сайте также можно воспользоваться цепочкой из ремейлеров, так что отправленное сообщение пройдет через несколько компьютеров, каждый из которых старательно уничтожит все заголовки предыдущего. Но делать это, скорее всего, нецелесообразно. Во-первых, одного ремейлера вполне достаточно (если, конечно, отправитель не секретный агент), во-вторых, сообщение может затеряться и не дойти до получателя, в-третьих, оно может идти очень долго. Вот пример полученного сообщения:

Date: Mon, 31 Mar 1997 12:33:23 +0200 (MET DST)

Subject: The rest is silence:

To: petya@glasnet.ru

From: nobody@REPLAY.COM (Anonymous)

Organization: Replay and Company UnLimited

X−URL: http://www.replay.com/remailer/

X−001: Replay may or may not approve of the content of this posting

X−002: Report misuse of this automated service to abuse@replay.com

Теоретически определить реального отправителя сообщения с использованием ремейлера можно, но практически это сделать очень сложно. На это способны лишь люди из ФСБ, ФАПСИ, ЦРУ и им подобных организаций. Но и они должны будут предварительно запастись решением суда, чтобы ремейлер открыл им требуемую информацию. А если использовалась цепочка ремейлеров, то придется обойти всю цепочку. Но если отправитель к тому же пользовался анонимным proxy-сервером и (или) анонимайзером, то шанс найти его становиться еще меньше (не забудьте отключить использование файлов Cookies).

Читать дальше