Computer Crime Problems Research Center

К. Касперски

СЛЕДСТВИЕ ВЕДУТ ЗНАТОКИ

Высокая цена и небольшие габариты ноутбуков делают их весьма притягательным объектом воровства, а подчас - и неприкрытого грабежа. Найти же похитителя при помощи традиционных средств удается лишь в исключительных случаях. Компьютер - это вам не автомобиль. Перед носом автоинспекторов на нем не разъезжают и номерной знак не вывешивают.

Поймать преступника при попытке продать краденое - шанс невелик, к тому же ноутбуки воруют не только для перепродажи. С тем же успехом злоумышленник может пользоваться им лично, порой вообще не вынося из квартиры! Милиция в такой ситуации вряд ли поможет (хотя подать заявление все же стоит), и остается рассчитывать лишь на собственную хитрость и смекалку. Хотите узнать, как найти похитителя? Пожалуйста!

Способ №1: Ловля на "живца"

Независимо от того, выходите вы в Интернет с ноутбука или нет, создайте на нем одно или несколько соединений удаленного доступа, поставьте галочку "Сохранять пароль" и введите свои сетевые реквизиты. (Внимание: система сохраняет пароль лишь после первого удачного подсоединения к Интернету!) Это и есть "живец". То-то же обрадуется похититель, обнаружив, что вместе с ноутбуком он стащил ваш пароль, позволяющий бродить по сети за чужой счет! Ну как тут устоишь, когда халява сама идет в руки?

Если наживка сработает (а срабатывает она на удивление часто), похититель окажется на крючке. Первый же звонок провайдеру выдаст его телефонный номер, а телефонный номер - это зацепка. Пусть даже похититель выходит в сеть через чужую телефонную линию, круг поиска все равно сужается.

Причем наличие АОН'а у провайдера совершенно необязательно. Засечь звонившего может и стационарная аппаратура определения номера на АТС (она, кстати, и понадежнее будет). Вообще-то, МГТС не обязана предоставлять такие услуги по первому требованию, поэтому, на всякий случай, заручитесь поддержкой милиции и провайдера.

Способ №2: Ловля на "жучка"

Умный похититель, конечно, на "живца" не клюнет и все удаленные соединения недрогнувшей рукой отправит в "Корзину". А вот жесткий диск догадается переформатировать далеко не каждый злоумышленник. Максимум - переустановит операционную систему (от чужой, действительно, можно всякого ожидать).

Идея ловли на "жучка" в общих чертах сводится к внедрению в собственный ноутбук специальной программы-маяка, скрыто передающей кодовые сигналы, что и облегчает поиск пропажи. Приблизительно так агенты ФБР следят за пользователями. Кстати, одну из таких ранее засекреченных программ слежения - Magic Lantern ("Магический маяк") - теперь можно свободно скачать с ftp://ftp.uinc.ru/.

В чем же заключается принцип слежки? Каждый компьютер, подключенный к сети Интернет, в обязательном порядке имеет так называемый IP-адрес, уникальный для всей сети. Строго говоря, IP-адрес может быть как статическим, так и динамическим, то есть действительным лишь в течение одного сеанса связи, после чего тот же самый IP-адрес разрешается присвоить любому другому компьютеру. Однако сути дела это не меняет - пара чисел адрес/время однозначно идентифицирует узел и его владельца. Сервер провайдера, выдавая клиенту IP-адрес, запоминает, кому, когда и какой IP-адрес был выдан. Благодаря этому появляется возможность установить сетевое имя клиента (логин) и его реквизиты - данные, сообщенные провайдеру при регистрации. Поскольку достаточно многие провайдеры при заключении договора требуют предъявлять паспорт или иное удостоверение личности, есть хороший шанс выйти либо непосредственно на похитителя, либо на того, кому он сбыл краденый ноутбук. В любом случае, появляется возможность определить телефонный номер клиента, и вполне вероятно, что персонал провайдера сможет описать его внешность.

Остается лишь найти подходящего "жучка" и засадить его в свой компьютер. Протестировав множество путешествующих по сети программок, мы отвергли все. Одни детектировались антивирусом (а почему бы, в самом деле, новому владельцу ноутбука не пройтись по диску антивирусом?), другие и вовсе обнаруживались невооруженным глазом (например, лампочка модема мигала, когда к сети не происходило никакого обращения, - подозрительно однако ж!). Третьи либо прописывали себя в "Автозагрузке" (что оч-ч-чень заметно), либо "умирали" при переустановке системы. И уж совсем мы опечалились, как вдруг нам в голову пришла одна идея.

Вероятно, вы знаете, что многие web-серверы ведут протокол посещений сайта, записывая, в частности, время подключения, IP-адрес удаленной машины, версию браузера и т. д. Разместив свою домашнюю страничку на таком сервере и назначив ее стартовой страничкой web-обозревателя, вы добьетесь того, чтобы при каждом запуске браузера он лез на ваш сервер и оставлял там свой IP.

Как отличить свои IP-адреса от IP-адресов злоумышленника? Очень просто - по дате. Все IP, занесенные в протокол до похищения ноутбука, - ваши, ну а после - похитителя (нового владельца ноутбука). Разумеется, URL этой странички категорически воспрещается сообщать своим знакомым, иначе злоумышленник затеряется среди множества адресов ни в чем не повинных людей. Не стоит также забывать о поисковых машинах: они бродят по Интернету и без спроса индексируют все встретившиеся им странички, занося обнаруженные ключевые слова в свои базы. Лучше всего создать пустую страничку, не привлекающую ничье внимание.

Как разместить свою страничку на сервере и получить доступ к файлам протокола? Увы, заочно об этом рассказать невозможно. Все зависит от конфигурации сервера и в каждом отдельном случае осуществляется по-разному. Лучший рецепт - обратитесь с этими вопросами к вашему провайдеру.

Способ №3: Ловля на "червя"

На червя?! Что это такое? Червь - программа, самостоятельно распространяющаяся по сети, - совсем не то же самое, что вирус, хотя эти понятия даже специалисты частенько путают. Компьютерный вирус, равно как и вирус биологический, размножается исключительно путем внедрения своего тела в файлы, неизбежно модифицируя их содержимое. Целостность же файлов охраняется как законом о собственности информации, так и законом об авторском праве. Поэтому вирус по своей природе - существо незаконное. Червь же может вообще не обращаться ни к каким ресурсам компьютера, за исключением, пожалуй, оперативной памяти и модемной линии. В этом смысле он ничуть не менее законен, чем, скажем, массовая рассылка корреспонденции, которая, кстати, нашим законодательством не запрещена. (Правда, запрет на рассылку может наложить ваш провайдер, но это - ваши личные с ним отношения, к закону никакого отношения не имеющие.)

В чем суть червя? Попав на машину, подключенную к Интернету, червь рассылает себя по максимально возможному количеству почтовых адресов (взятых, как правило, из адресной книги). Для облегчения расчетов предположим, что червь разослал себя по десяти адресам.

На каждой из этих десяти машин червь повторяет попытку рассылки. Легко подсчитать, что количество пораженных машин растет в геометрической прогрессии. Через два поколения червь поразит 110 машин, через три - 1110, через четыре - 11 110, а через пять - и вовсе астрономические величины!

Рано или поздно червь заползет и на украденный у вас ноутбук - где бы он ни находился, пусть даже совсем в другой части света. И тогда... Тогда червю останется лишь передать IP-адрес компьютера. Все остальное - дело техники. Отличить же ваш ноутбук от чужих очень просто. Практически все компьютерные комплектующие (видеокарты, жесткие диски, материнские платы, даже процессоры!) имеют зашитые в них серийные номера, которые, собственно, и должен опрашивать червь.

Конечно, выпускать в сеть червя ради поиска ноутбука следует лишь в самых крайних случаях, когда ноутбук (или хранимая на нем информация) представляет собой огромную ценность. Ведь это чрезвычайно увеличивает нагрузку на магистральные серверы и, кроме того, вызывает протесты у обнаруживших у себя червя посторонних пользователей. Так что запастись хорошим адвокатом будет отнюдь не лишним.

Впрочем, адвокат - не проблема. А вот где раздобыть самого червя? Да, это сложный вопрос. Несмотря на то что формально черви вполне законны, разработчики антивирусов ведут с ними активную борьбу, поэтому всякий червь живет недолго. Единственный выход - научиться искать свежих червей самостоятельно. Это вовсе не так трудно, как может показаться вначале. Есть множество специализированных сайтов, посвященных этому вопросу. Один из самых знаменитых - http://www.rootshell.com/. Здесь представлено множество самых разнообразных червей - выбирай на вкус.

Способ 4-й, но не последний

Все описанные выше способы требуют от злоумышленника обязательного выхода в Интернет. Не то чтобы это условие было слишком жестким (кто ж сегодня обходится без Интернета!), но мало ли с кем придется иметь дело. Вот было бы здорово, если бы ноутбук, попав в чужие руки, автоматически дозванивался до его законного владельца, то есть до вас, высвечивая на АОН'е телефонный номер похитителя. И это можно устроить!

Возьмите свою любимую "звонилку" (то есть программу, умеющую самостоятельно набирать на модеме требуемый телефонный номер) и скопируйте ее в системный каталог Windows. (На Windows 9x/Me он называется System, а на Windows NT/2000/XP - System32.) Скопировали? Теперь, щелкнув по "Экрану" в "Панели управления" перейдите к закладке "Заставка" и выберите любую из них. Пусть для определенности это будут "Переключающиеся каналы". Найдите в системной папке одноименный файл с расширением SCR (от SCReen - экран). Заставкой может стать любой исполняемый файл, достаточно лишь переименовать его из ".exe" в ".scr", что нам, собственно, и надлежит сейчас сделать.

Чего мы добились? Теперь, если за ноутбуком никто не работает (и, вероятнее всего, за ним не следит), автоматически запускается "хранитель экрана", пытающийся набрать на модеме ваш телефонный номер.

К сожалению, подложная заставка погибает при переустановке операционной системы, так что такой метод не слишком надежен. Поэтому рекомендуется создать несколько линий обороны. Кликните по иконке с часами и календарем, расположенной в правом нижнем углу, - откроется окно "Назначение задания". Щелкните по иконке "Добавить задание" и, выбрав один из понравившихся вам сценариев "Планировщика", укажите путь к программе автоматического набора номера. Есть ненулевой шанс, что в назначенный момент запуска этой программы злоумышленник будет либо чем-то отвлечен, либо просто не обратит внимания на мигающий огонек модема. (Многие "звонилки" выключают динамик модема при наборе номера, чем чрезвычайно затрудняют свое обнаружение.)

Замечательно, что назначенные задания "Планировщика" не удаляются при переустановке системы, да и вообще далеко не всякий пользователь знает об их существовании.

В заключение нам бы хотелось вдохновить читателей на поиск и изобретение собственных ловушек для похитителей. Пусть у вас будет собственная, совершенно оригинальная и непредсказуемая "фенечка", которая обхитрит даже опытнейшего злоумышленника.

Источник: Mobile News on-line

Обсудить на Форуме
Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты

Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.