Кількість користувачів ICQ перейшла вже всі мислимі і немислимі межі. І не секрет, що серед них - більше половини повних чайників, яким по барабану безпеку їх інформації. А чого їм приховувати?
- Здрастуй Пусик
- Здрастуй, Лапа; Як справи?
- Нормально, тільки що погодувала кішечку.
- Ой! Як добре-то! А я тільки що видавив ще 3 прища
- Ой! Чудово! Як все добре!
Ось через таких користувачів ICQ, яких більшість - страждаємо і ми, тому як хлопці з Мірабліса - не паряться про захист таких користувачів. А чого паритися, адже ламеркам - безпека фіолетовий. Але ми якось не придурки і підставлятися не будемо. Тому давайте поговоримо про захист аськи. А головне - про напад, тому як мережеві війни до цього зобов'язують. Особливо з огляду на те, що купа «хакерів» випендрюються один перед одним саме по асьці.
З чого все починалося ...
При стандартних налаштуваннях спілкування з іншими користувачами відбувається TCP пакетами, на відміну від всіх інших випадків, коли використовується UDP. Коли користувач отримує повідомлення, клієнт відкриває TCP-з'єднання, яке стоїть до тих пір, поки один з цих двох бюлетенів не піде у оффлайн.
Це базовий набір знань про те, як здійснюється зв'язок клієнт-сервер ICQ.
Паролі аськи - одне з найслабших місць в захисті. Всі вони зберігаються відкритим текстом в спеціальних .dat файлах. Щоб їх отримати, існує спеціальна прога і не одна. Отримати такий файл можна було також використовуючи ICQ і її сервіс (з'явився у версії ICQ99a) web-aware. Ця фіча дозволяє створити у себе на гвинті подсервер www.icq.com, який дозволяє робити безліч цілком приємних речей. Наприклад, швидко залити файл, поновлення, стеження за сторінками з оповіщенням, коли хто-небудь заходить на них. Але це все шняга, головне - це те, що той же самий сервіс дозволяє хакерам вломитися на комп клієнта, хоча б тим же телнетом. Після цього зломщик отримає доступ до вмісту гвинта і перехопить потрібну інформацію, наприклад
або get c: / ... ./. html / progra
Запис з чотирма точками необхідна, щоб обійти захист сервера - він не дозволяє завантажувати файли з розширеннями, відмінними від jpg, gif, html. Правда, в більш пізніх версіях ICQ-клієнтів цю дірку заткнули, і при підключенні хакера йому виповзе «connection refused», і коннект обрубати.
Крім того, в тій же версії був другий величезний баг: на всі паролі накладається обмеження - вони не повинні бути довше 8 знаків. І якщо при підключенні користувача сервер отримував довший пароль - він вважався введеним правильно, і юзер підключався незалежно від того, що він там нагнав. Прикинь, як класно! Пишеш прогу, яка емулює основні команди Асі, робиш так, щоб UIN і пароль ти вводив ручками (причому пароль до 10 символів). Коннект, вводиш замість пароля кожні 10 символів і, якщо користувач не в онлайні, то ти заходиш під його номером. Усе! Міняй пароль, і тітка Ася твоя!
Спуфінга - термін, що позначає підміну, обдурювання, в даному випадку помилкове визначення користувача, що підключається до асьці. Загалом, повне динамо.
Виконати спуфинг без допоміжних утиліт майже неможливо: необхідна програма, яка буде створювати TCP-пакети, косити під асю і ігнорувати її правила. Таких прог дуууже багато. Наприклад, LameToy зможе здійснити будь мессаги і сміття від імені інших користувачів, ICQProof - тільки мессаги. Поки я скачував ці спуфери, напоровся на ICQ Watch v.6. Це непогана фішка для захисту власної аськи від всякого роду icq-сніфферов.
Так, способів зламати ICQ величезна кількість, тому потрібно подумати, як захистити себе від всіх цих злісних товаришів. Насамперед можна злити deflooder - утилітки для аськи, яка видалить все неповагу повідомлення. Цілком підійдуть ICQ bombsquad, ICQ deflooder, ICQ SWAT або фірмовий WarForge ICQBomb Protection System. Взяти їх можна з www.warforge.com. Взагалі - найпростіший метод захисту від флуду: поставити галку в Messeges only from user from my contact list.
Ну, захистити щось ти захистиш, а ось як дізнатися, хто ж був той мерзотник, який посмів на тебе наїхати? Легко! І нічого качати не потрібно. Є в Windows така штучка, як netstat (Пуск -> Виконати -> netstat.exe). З його допомогою можна запросто визначитися: що, де, коли і з яким IP. Щоб визначитися з сполуками, потрібно викликати netstat з опцією a: