AIN - all about hi-tech 21/03/02

AIN - all about hi-tech
21/03/02
http://ain.com.ua

**

ТЕМА ДНЯ
Осторожно: D.I.R.T. на свободе!
Скандально известная программа удаленного администрирования, мониторинга и перехвата
информации D.I.R.T. стала доступна широкой общественности
http://ain.com.ua/communication/2002/03/21/1028.html

а также

COMMUNICATION
Укртелеком пока не будет <наезжать>
Госкомсвязи и Укртелеком не планируют до окончания расследования по делу "Голден
Телеком" обращаться в правоохранительные органы с просьбой о расследовании деятельности
других частных операторов
http://ain.com.ua/communication/2002/03/20/1027.html

**

http://ain.com.ua/communication/2002/03/21/1028.html
Осторожно: D.I.R.T. на свободе!
Скандально известная программа удаленного администрирования, мониторинга и перехвата
информации D.I.R.T. стала доступна широкой общественности

(Данная статья опубликована на сервере Украинского центра информационной безопасности
Bezpeka.com)

Скандально известная программа удаленного администрирования, мониторинга и перехвата
информации D.I.R.T.T (Data Interception by Remote Transmission) в течение последней
недели вновь привлекла внимание общественности.

D.I.R.T.T был разработан и распространяется компанией Codex Data Systems Inc.,
основателем которой является Фрэнк Джонс (Frank Jones) - бывший полицейский Нью-Йорка,
судимый по обвинению в нарушении параграфов 2511(1)(a), 2511(1)(b), 2511(4)(a),
2512(1)(a) и 2512(1)(b) статьи 18 свода законов США (US Code). В частности, параграф
2512 гласит: "Производство, распространение, владение и рекламирование устройств
для перехвата передающейся по проводам, устной или электронной информации запрещено".
Характерно, что в первом пункте руководства по D.I.R.T. имеется ссылка на данный
параграф законодательства США.

Согласно информации, опубликованной 14 марта 2002 года агентством The Register
под заголовком "Law-enforcement DIRT Trojan released", веб-сайт Фрэнка Джонса
подвергся атаке хакеров. В результате атаки, по сообщению сайта http://cryptome.org,
около 140 файлов стало доступно широкой общественности. Среди них - документация
на различные продукты и технологии Codex Data Systems, а также исполнимые файлы
и дистрибутив системы D.I.R.T.

Утечка информации нанесла серьезный урон и без того сомнительной репутации компании.
Система D.I.R.T., согласно официальной политике CDS, предназначается для использования
исключительно правоохранительными органами и имеет стоимость, в зависимости от
конфигурации, от 2 до 200 тысяч долларов. Независимые же эксперты утверждают,
что по функциональности система D.I.R.T. не намного превосходит широко известные
бесплатные хакерские программы Back Orifice и SubSeven.

По утверждению разработчиков, D.I.R.T. используется для борьбы с терроризмом,
детской порнографией и распространением наркотиков. Однако специалисты видят
серьезную опасность в применении столь мощной системы мониторинга и удаленного
администрирования для промышленного шпионажа и ведения информационной войны.

Теперь же, с появлением "боевого" варианта D.I.R.T. в свободном доступе на сайте
http://cryptome.org, следует ожидать опасности и для обычных пользователей, подключенных
к сети Интернет. Следует отметить, что целью открытого предоставления программы
является, прежде всего, ознакомление с ней специалистов для исследования используемых
механизмов и выработки эффективных средств защиты от программ подобного рода.
Интересен тот факт, что для получения из демонстрационного варианта, в котором
отсутствует ключ для активации (http://cryptome.org/dirty-war.zip), рабочей версии
(http://cryptome.org/moredirt.zip) независимым специалистам потребовалось около
20 минут времени и изменение всего шести байт кода.

Вопреки маркетинговой политике компании Codex Data Systems, многие называют D.I.R.T.
не иначе, как троянской программой. Антивирусные компании с самого момента появления
D.I.R.T. в 1998 году находятся в замешательстве и не знают, как реагировать на
данный факт. Некоторые из них все же пошли на решительный шаг и включили D.I.R.T.
в свои вирусные базы. Так, например, антивирусные программы производства "Лаборатории
Касперского" и Trend Micro определяют файл coredll.dat, являющийся компонентом
D.I.R.T., как троянскую программу под названием Trojan.PSW.Johar, или просто
JOHAR. Кроме того, клиентская часть D.I.R.T., устанавливаемая на компьютер, являющийся
объектом контроля, имеет по умолчанию такие же файлы, что и JOHAR - desktop.exe,
desktop.log и desktop.dll.

Ведущий разработчик D.I.R.T., Эрик Шнайдер (Eric Schneider), ушел из компании
в 1999 году по этическим причинам. По его словам, он разрабатывал D.I.R.T. для
того, чтобы помочь полиции в борьбе с педофилией, но CDS продавала его иностранным
разведкам. Интересен тот факт, что, по заявлению Шнайдера, D.I.R.T. не является
таким всемогущим продуктом, каким его преподносит руководство CDS, и некоторые
из рекламируемых возможностей просто не существуют.

Каковы же принципы работы D.I.R.T.?

Система состоит из клиентской и серверной частей. Основные функции программы
- это перехват всех нажатий клавиш и невидимая отсылка информации на заданный
адрес электронной почты, который контролируется командным центром D.I.R.T. При
этом отсутствует необходимость в физическом доступе к клиентскому компьютеру.
Дополнительные возможности D.I.R.T. включают удаленный доступ к файлам через
Интернет или локальную сеть, удаленное управление системой (запуск программ,
редактирование реестра и др.), возможность перехвата информации в режиме реального
времени, удаленный захват экрана и звука (если к клиентскому компьютеру подключен
микрофон).

Основой клиентской части является "жучок", встроенный для маскировки в какой-либо
обычный исполнимый файл или документ Microsoft Office. При запуске или открытии
"зараженного" файла, жучок активизируется и невидимо устанавливается в системе.
В его задачи входит перехват нажатий клавиш, выполнение команд, поступающих от
серверной части, отправка зашифрованных файлов отчета на заданный адрес электронной
почты.

Главные компоненты серверной части:

D.I.R.T.T Control Center Configuration - предоставляет удобный доступ к двум
наиболее важным конфигурационным файлам системы D.I.R.T. - "Import Files", где
содержится перечень файлов с журналами регистрации, полученными от клиентских
компьютеров, и "D.I.R.T.T Generator", где настраиваются параметры конфигурации
для генерирования новых "жучков". После импортирования в базу новых клиентов
можно просматривать их журналы регистрации в html формате с настраиваемыми шаблонами.
Target Manager - менеджер "целей". Содержит перечень всех клиентских компьютеров,
находящихся под наблюдением и позволяет добавлять, удалять, редактировать, активировать/деактивировать
"цели", а также генерировать "жучки" для новых "целей".
D.I.R.T.T Remote Access - терминал для связи с клиентской частью. Позволяет записывать
файлы на клиентский компьютер или с него, запускать программы на клиентском компьютере,
давать различные команды и управлять "жучком", устанавливать/обновлять дополнительные
компоненты и многое другое.
Таким образом, видно, что даже минимальные возможности D.I.R.T.T дают серьезный
повод задуматься специалистам по сетевой безопасности.

Дополнением к D.I.R.T. является технология с романтическим названием H.O.P.E.
(Harnessing the Omnipotent Power of the Electron - "управление всемогущей силой
электрона"), имеющая отнюдь не столь романтическое предназначение - автоматизация
процесса генерирования "жучков" и их массового внедрения на клиентские компьютеры
через сеть Интернет. В числе вышеупомянутых 140 файлов, добытых хакерами, самой
программы H.O.P.E. не оказалось, зато была получена презентация в формате PowerPoint,
описывающая возможности и функции этой технологии.

Программно-аппаратный продукт H.O.P.E. поставляется тем агентствам, которые обладают
сайтовой лицензией на D.I.R.T. Принцип его работы состоит в том, что, при посещении
сервера H.O.P.E. пользователем, автоматически генерируется "жучок" системы D.I.R.T.,
который снабжается уникальным кодом для идентификации и определения местоположения
клиента. Все перемещения "жучка" фиксируются в журнале регистрации сервера. Таким
образом, сложно предположить масштабы распространения системы D.I.R.T.

Даже межсетевые экраны не являются помехой на пути D.I.R.T. Обход защиты достигается
за счет использования технологии AntiSecT. Предназначается AntiSec для поиска
всех известных межсетевых экранов и их незаметной нейтрализации.

Среди прочих продуктов CDS следует отметить следующие:

B.A.I.T. - создание "отслеживаемых" электронных документов;
PC PhoneHome - отслеживание и определение местоположения похищенных или утерянных
ноутбуков и компьютеров;
KeyKatch - аппаратный перехватчик сигналов клавиатуры, позволяющий записывать
все нажатия клавиш и хранить их в собственной флэш-памяти;
ACHTUNG! - позволяет системным администраторам осуществлять полный удаленный
контроль над всеми компьютерами корпоративной сети, работающих на платформе Windows
(другое название продукта - "гражданский" вариант D.I.R.T.);
N.E.S.T. - программно-аппаратный комплекс, позволяющий операторам кабельной связи
обнаруживать утечки трафика;
H.E.R.F. - аппаратный продукт, основанный на использовании радиочастот высокой
энергии для вывода из строя электронных устройств противника;
Кроме того, у CDS есть и другие продукты и технологии, однако информация о них
очень скудна или вообще отсутствует. Официальный же сайт компании - http://www.codexdatasystems.com
- в последнее время сильно поредел и отличается крайне низкой информативностью:
лишь несколько общих слов о программе D.I.R.T.

Будем надеяться, что произошедшая утечка информации о продуктах и деятельности
компании Codex Data Systems даст только положительные результаты и будет способствовать
повышению квалификации специалистов по информационной безопасности и осведомленности
компьютерных пользователей, работающих в сети Интернет.

По материалам сайтов http://cryptome.org и http://www.theregister.co.uk.

**

http://ain.com.ua/communication/2002/03/20/1027.html
Укртелеком пока не будет <наезжать>
Госкомсвязи и Укртелеком не планируют до окончания расследования по делу "Голден
Телеком" обращаться в правоохранительные органы с просьбой о расследовании деятельности
других частных операторов

Госкомитет связи и информатизации Украины и национальный оператор связи ОАО "Укртелеком"
не планируют до окончания расследования по делу ООО "Голден Телеком" обращаться
в правоохранительные органы с просьбой о расследовании деятельности других частных
операторов.

Об этом сообщил председатель Госкомсвязи, глава наблюдательного совета "Укртелекома"
Станислав Довгий, отвечая на вопросы журналистов во время совместной коллегии
Госкомсвязи и Министерства внутренних дел во вторник, сообщает интернет-газета
ForUm с сылкой на Интерфакс-Украина.

При этом он сообщил, что "Укртелеком" проводил мониторинг нескольких операторов,
который показал, все они пропускают международный трафик под видом местного.

Ущерб национального оператора связи ОАО "Укртелеком" и украинского оператора
международной связи ЗАО "Утел" от пропуска международного трафика под видом местного
частными операторами достигает 300 млн. грн. в год. Кроме того, по его словам,
полученная в ходе экспертных оценок цифра на порядок превышает убытки компаний
от краж имущества.

"Если сравнивать телефонные разговоры с товаром, ввозимым в Украину через границу,
то пропуск международного трафика под видом местного равноценен контрабанде,
когда товар ввозится без уплаты таможенных сборов и налогов", - сказал С. Довгий.

По его словам, вследствие такой деятельности компании "Голден телеком" лишь в
местных сетях Одессы и Львова "Укртелекому" причиняется ущерб на 3,2 млн. грн.
в год. Довгий также сообщил, что международный трафик под видом местного приходит
из сети не только "Голден телекома", но и компаний "Цифровые системы связи" (Одесса),
киевского филиала "Фарлеп", Торгово-промышленного дома ИПС, "Телекоминвест-Киев"
и ряда других.

Как уже сообщалось, прокуратура Киева в настоящий момент расследует аналогичные
действия, совершенные "Голден Телекомом", в результате которых государству был
причинен ущерб на сотни миллионов гривень.

По информации прокурора столицы Юрия Гайсинского, уголовное дело по факту злоупотребления
служебным положением должностными лицами ООО "Голден Телеком" было возбуждено
в конце февраля по заявлению "Укртелекома".

Также на вчерашней совместной коллегии Госкомсвязи и МВД были озвучены следующие
факты.

Убытки от воровства имущества отрасли связи выросли с 19,6 миллионов гривен в
2000 году до 22,1 миллиона в прошлом. При этом на 43% выросло число привлеченных
к ответственности за преступления, сообщает интернет-газета ForUm.

По словам г-на Довгого, в прошлом году, по сравнению с 2000-м увеличилось количество
обращений в органы МВД по фактам разворовывания имущества предприятий отрасли.
В частности в прошлом году разворовано имущество на 326 действующих АТС (2000г.
- 259), причем убытки составили более 2 млн.грн., а также на 512 усилителях (469).
В то же время, по словам Довгого, на 9% уменьшилось количество случаев воровства
и порчи телефонов-автоматов. «Также замечена тенденция: преступники начали переориентироваться
с воровства цветных металлов на воровство драгоценных», -- отметил он.

продолжение http://ain.com.ua/communication/2002/03/20/1027.html


**

В случае, если Вас заинтересовал какой-то конкретный материал, но Вы не имеете
возможности наблюдать его через http, мы вышлем Вам этот материал отдельно по
Вашему запросу на адрес ain@brams.com