II. Эксплуатация в сети:
1) На клиентских компьютерах — WinXP, на серверах — Win2003.
2) Везде настроены автологоны, ибо разработчикам вломы было перелогиниться на этапе «настройки», да так и закрепилось.
3) Все эти ПК соединены в сеть с доменом, в которой кроме данных технологических ПК находятся и другие, с других участков, управляющие другими контроллерами/процессами.
4) Доменный пользователь, под которым работает проект, обладает правами локального администратора на ВСЕХ ПК.
5) И НА СЕРВЕРАХ ТОЖЕ — для вашего удобства.
6) На всех ПК, ВКЛЮЧАЯ СЕРВЕРА, установлен RAdmin для удобства. И Viewer для еще большего удобства. Зацикленные экраны — обычное дело.
7) Стандартный виндовый терминал и RDS тоже доступны без ограничений. Сервера тоже в деле. Пароль на Radmin состоит из названия соответствующего продукта Siemens.
9) Пароль к настройкам проекта состоит из русского слова, записанного английскими буквами (недлинного).
10) На каждом ПК лежит бумажка с табельными номерами и паролями работников и контролеров, чтобы не беспокоить людей по мелочам.
11) USB и DVD никак не защищены — вставляй что хочешь. Авторан не отключен.
12) Проект запускается из обычной виндовой шары. Порушить проект может каждый, освоивший удаление файлов в винде.
Взял интервью у человека, которого называют «спамером №1» — Игоря Гусева. Сам он заявляет, что спамом не занимается; правда это или нет — думаю, из интервью вполне понятно. К слову, Гусев произвёл на меня впечатление человека, который чувствует себя неуютно, когда приходится лгать. Как следствие, я почти уверен, что каждому его слову о его бывшем бизнес-партнёре и нынешнем враге Павле Врублевском можно верить — просто потому, что нужды лгать и изворачиваться в этом вопросе у Гусева нет.
Кажется, все уже за последние пару дней узнали чуть ли не всё (и даже больше) о неком Игоре Гусеве, гендиректоре ООО «Деспмедия», а также «спамере номер один», владельце партнёрской сети «ГлавМед», которая гонит дешёвую нелицензированную фармацевтику на Запад. Если не в курсе, на него завели уголовное дело (правда, судят не за фарму и не за спам, а за незаконное предпринимательство).
Похоже, Гусев решил окончательно выйти из тени. У меня складывается ощущение, что он готов даже уйти на дно (не залечь, а именно уйти), но в одиночестве он это делать не согласен. Вместе с собой он намерен утянуть своего бывшего партнёра Павла Врублевского, известного в обычном мире как гендиректор ЗАО «Хронопей». Досье на Врублевского (он же RedEye) в версии Гусева (он же desp) выложено сегодня здесь.
Характерная цитата:
Я ни в коем случае не хочу сказать, что я лучше Врублевского, скажу честно, я тоже говнецо порядочное и мне есть за что стыдиться, но этот год я так надеялся, что Паше хватит ума остановиться, если я не буду заниматься бросанием говна на вентилятор. Идея этого блога, да и его реализация, были готовы уже очень давно. Отсечкой для его запуска я для себя поставил возбуждение уголовного дела. С первой статьи, появившейся год назад, было понятно, что меня целенаправленно будут пиарить в качестве мирового киберзла и злостного спамера с одной лишь целью – устроить резонансное дело. Ну что же, добро пожаловать в гости к «самому-самому страшному спамеру».
В итоге, этот блог будет о ПОНТАХ, ЖАДНОСТИ, ЗАВИСТИ и АМБИЦИЯХ. И о том к каким печальным последствиям это все приводит. В этой схватке не будет победителей и пострадают все.
Радующийся жизни голландский хакер взломал 3 года назад телесуфлёр новостной программы и заставил дикторов пороть всякую чушь. Недавно на видеоролик о том, как это происходило, добрые люди наложили английские титры:
Вдруг кто не понял: в частности, дикторы рассказали миллионам телезрителей, что этому самому хакеру якобы дали Нобелевскую премию по технике (такой номинации не существуюет). До дикторов довольно быстро дошло, что кто-то играется с телесуфлёром, и они начали читать с бумажек.
Разработчики Windows Malicious Software Removal Tool (MSRT — бесплатная утилита по удалению вредоносных программ от Microsoft) похвастались в своём блоге, что в этом месяце научились распознавать и лечить компьютеры, заражённые трояном Zbot.
Смотрим на календарь. Октябрь 2010. Для справки: Zbot/ZeuS появился ещё в 2007 году, а широкое распространение получил весной 2009 года. Это специальный программный инструмент, продающийся на чёрном рынке, который используется для организации массовых почтовых рассылок с трояном и управления ботнетом — сетью заражённых компьютеров. Троян занимается тем, что крадёт пароли и пересылает их «в центр». «Пастухи» ботнета обычно интересуются паролями к системам онлайн-банкинга, откуда они и переводят средства на свои счета.
Последние года полтора Zbot/ZeuS регулярно попадает в заголовки всех онлайн-СМИ компьютерной тематики. Известно о существовании целой массы действующих ZeuS-ботнетов. Даже ФБР ещё в мае прошлого года начала расследование по делу международной группировки, пользующейся плодами деятельности одного такого ботнета — и недавно совместными усилиями (Великобритания, Нидерланды и Украина) накрыла несколько десятков человек.
...А в Microsoft только сейчас научились лечить компьютеры от этой заразы. Ну что ж, лучше поздно, чем никогда.
F-Secure опубликовала отличные (как всегда) вопросы-ответы по червю Stuxnet. Это очень хитрая и необычная зараза; существует гипотеза, что её написали в «Моссаде», чтобы провести диверсию против Ирана.
Вот ещё один факт (о котором я раньше не знал), косвенно подтверждающий эту гипотезу (перевожу с английского):
В: Как Stuxnet знает о том, что машина им уже заражена? О: Он прописывает в реестре Windows ключ со значением «19790509» в качестве пометки о заражении.
В: Что означает «19790509»? О: Это дата. 9 мая 1979 года.
В: Что произошло 9 мая 1979 года? О: Возможно, это день рождения автора [червя]? С другой стороны, в этот день в Иране был казнён иранский бизнесмен еврейского происхождения по имени Хабиб Эльганян. Его обвинили в шпионской деятельности в пользу Израиля.
На той неделе компания Microsoft выпустила «заплатку», устраняющую критическую «дыру» в обработке файлов-ярлыков. В большинстве случаев с установкой патча не должно возникнуть никаких проблем.
Однако есть одно «но»: с месяц назад завершилась поддержка Windows XP SP2, которая довольно популярна. Соответственно, патча для этой версии ОС, который бы прикрыл данную уязвимость, нет.
Тем не менее у пользователей XP SP2 имеется два варианта действий (даже три, но, поскольку я считаю, что защититься всё-таки надо, то два).
Первый — обмануть инсталлятор «заплатки», как это предлагают в компании F-Secure, притворившись, что у вас стоит XP SP3. Для этого нужно залезть в реестр Windows, заменить DWORD-значение ключа CSDVersion секции HKLM\System\CurrentControlSet\Control\Windows с 200 на 300 и перегрузить систему. Ребята из F-Secure проверили этот способ — похоже, что всё работает. Я не проверял, у меня Windows 7. В любом случае — вы делаете это на свой страх и риск (ну и в реестре надо ковыряться очень аккуратно, это разумеется само собой).
Второй способ — отказаться от родного патча в пользу примочки, которую несколькими днями ранее выпустила компания Sophos. Я её проверял на «семёрке» — устанавливалась нормально.
Дополнительная информация: Впервые т.н. LNK-уязвимость была использована авторами довольно специфического червя Stuxnet, но сейчас её берут на вооружение и другие вирусописатели.
Данный сайт задуман в первую очередь как место под своего рода «книгу» об интернет-безопасности для чайников широкого круга читателей. Но пока у меня дойдут руки до выкладки более-менее удобоваримых глав, может пройти много времени.
Поэтому я пока запущу сайт в режиме коротких новостей — тем более что время от времени мелькает полезная информация.
Пароль на Radmin состоит из названия соответствующего продукта Siemens.
