На традиционной конференции хакеров DefCon в Лас-Вегасе три программиста из ЮАР продемонстрировали новую технологию взлома защитных сетевых экранов. Они заявляют, что с ее помощью можно запустить на компьютер троянского коня, позволяющего воровать данные. Причем этот троянский конь будет маскироваться под браузер Internet Explorer.
В принципе, о возможности использования троянских коней для обхода сетевых экранов специалисты по компьютерной безопасности предупреждают уже два года. И вот на этой конференции DefCon, идея была реализована в виде демонстрационной троянской программы Setiri, деятельность которой не может обнаружить ни сам пользователь, ни сетевой экран. Правда, создатели Setiri заявляют, что они не собираются выпускать этого троянца в мир, где им могут воспользоваться хакеры. Тем не менее, они понимают, что аналогичную программу может создать какой-то другой человек, не слишком обремененный нравственными принципами. Поэтому они призвали Microsoft заделать дыры в Internet Explorer, позволяющие внедрять в компьютер троянский код.
Запустить троянца Setiri на компьютер жертвы можно самым обычным способом. Пользователь может получить его в письме электронной почты в присоединенном файле или загрузить из Интернет под видом какой-то программы. Кроме того, троянца можно установить на компьютер с флоппи- или компакт-диска.
Правда, Setiri отличается о прочих троянцев тем, что он не содержит исполняемых команд (поэтому сетевой экран и не может его обнаружить). Вместо этого Setiri открывает в браузере Internet Explorer невидимое окно для тайного подключения к Web-серверу через анонимный прокси-сайт Anonymizer.com. Этот сайт должен обеспечивать анонимные перемещения по Интернет, но троянец Setiri использует его для скрытного исполнения команд на компьютере жертвы. В результате выполнения такой команды на компьютер может загружаться программа записи всех нажатий на клавиши или инициироваться пересылка файлов и паролей жертвы на какой-то другой удаленный ПК. Так как украденные данные передаются через тот же прокси-сайт Anonymizer.com, то отследить местоположение компьютера, на который ушла ворованная информация, не представляется возможным.
Этот троянец использует имеющуюся в браузере Internet Explorer стандартную функцию, позволяющую открывать в нем невидимое окно и подключаться к Internet. Это окно открывается в фоновом режиме, оно не появляется на рабочем столе, поэтому пользователь не может видеть, что в нем происходит. В менеджере задач Windows Task Manager это невидимое окно будет указано как IEXPLORE.EXE, то есть как обычное окно Internet Explorer.
РОЛ отмечает, что невидимые окна в Internet Explorer выполняют полезные функции (например, через них отправляется информация о регистрации на Web-сайты). Поэтому простое отключение этой функции запретит выполнение браузером некоторых операций. Поэтому, создатели троянца Setiri предлагают другой способ защиты от него: сконфигурировать сетевой экран таким образом, чтобы он запрещал доступ на сайт Anonymizer.com. Но это не кардинальное решение проблемы, так как можно создать троянца, который будет использовать другой прокси-сайт.
По словам докладчиков, представитель Microsoft сказал им, что его компания собирается тщательно изучить эту проблему и, возможно, ограничить функции невидимых окон, хотя это будет нелегко.
А пока пользователям придется защищать себя самим. Прежде всего, они не должны открывать присоединенные файлы в письмах, присланных из неизвестных источников, и с осторожностью относиться к загрузке программ с Web-сайтов.
Повторим еще раз, что троянец Setiri был создан только для демонстрационных целей. Но один из его создателей сообщил, что после доклада на конференции к нему подошел какой-то человек и сказал, что он и его приятели уже создали троянца, которые может делать то же самое, что и Setiri. А они никаких обязательств по нераспространению на себя не брали.
ITnews - Новости Информационных Технологий