Интернет-разведка. Руководство к действию - Евгений Ющук
Шрифт:
Интервал:
Закладка:
И почему она помогла ему – она уже знала его. Она только познакомилась с ним через телефон, но они установили деловую дружбу, которая является основой для доверия. Однажды она приняла его как менеджера в той же компании, доверие было установлено, а остальное было уже как прогулка в парке.
Сообщение от Митника.
Техника построения доверия является одной из наиболее эффективных тактик социальной инженерии. Вы должны подумать, хорошо ли вы знаете человека, с которым вы говорите. В некоторых редких случаях, человек может быть не тем, кем он представился. Следовательно, мы должны научиться наблюдать, думать, и спрашивать о полномочиях.
Социальная инженерия может быть применена где угодно и к какому угодно случаю. Защититься от нее можно лишь при одном условии: если люди знают о ее существовании (но даже в этом случае нельзя гарантировать, что социальный инженер не достигнет цели).
Как распознать, что письмо по электронной почте фактически пришло не с того адреса, который указан в заголовке письма
Если в письме написано, что оно пришло с определенного адреса, это не значит, что оно действительно пришло именно с этого адреса.
Существуют программы, вроде персонального SMTP-сервера Spectral (http://spsmtp.net.ru), и онлайновые сервисы по рассылке почты от любого имени.
Spectral превращает ваш собственный компьютер в почтовый сервер и отправляет письма от имени адреса, который пользователь введет в строку «от кого». При этом сообщение выглядит так, как если бы оно и впрямь пришло с того адреса, который указан в строке координат отправителя. И если получатель ответит на такое послание, номинальный отправитель действительно получит его письмо.
Существует техническая возможность определить при использовании персонального SMTP-сервера, с какого ip-адреса письмо отправлено. Раздел «помошь» этого сервера написан очень понятно и снабжен иллюстрациями, поэтому настройка программы не представляет никаких проблем.
Онлайновые сервисы по отправке писем от имени любого адресата обеспечивают более полную анонимность, и при их использовании люди, не являющиеся сотрудниками правоохранительных органов, расследующими преступление, узнать ip-адрес отправителя не могут. Такие сервисы называются ремейлерами (remailers). Они полезны в случае, если нет уверенности в порядочности получателя письма и в том, что тот не использует конкретное сообщение в противоправных целях. Нам известны случаи, когда специалисты конкурентной разведки и просто граждане отправляли письма с домашних или служебных компьютеров незнакомым людям, с которыми знакомились в Интернете, а те устанавливали местонахождение корреспондента и использовали эту информацию в своих целях, оказывая на отправителя психологическое воздействие.
На момент написания книги работоспособный ремейлер был доступен по адресу https://zerofreedom.homeip.net/cgi-bin/mixemail-user.cgi
Для того, чтобы попытаться проследить реальный путь письма, которе было получено по электронной почте, требуется зайти в его свойства. В почтовой программе Outlook Express это можно сделать, наведя курсор на письмо, нажав правую кнопку мыши и выбрав затем «Свойства». В почтовой программе The Bat! это же можно сделать, нажав клавишу F9 (либо тоже нажать правую кнопку мыши и затем пройти по меню «Специальное» > «Исходный текст письма»).
В исходном тексте письма видны ip-адреса, через которые сообщение шло от отправителя к получателю. Важно знать, что ip-адрес, с которого отправитель зашел в Интернет, транслируется каждый раз, когда используется почтовый клиент, а также в тех случаях, когда отправитель, войдя в Интернет, сразу открывает почтовый ящик, которым управляет через веб-интерфейс.
И только в случае, когда отправитель после входа в Интернет, сначала прописывает в своем браузере ip-адрес прокси-сервера, а затем идет через этот прокси-сервер в свой почтовый ящик, управляя им через веб-интерфейс, в «теле» письма, как часто его называют специалисты, подлинный ip-адрес этого пользователя фигурировать не будет.
После того, как установлены ip-адреса, через которые шло письмо, нередко представляется возможным определить город отправителя, а иногда – и физический адрес. Последнее чаще всего возможно в случае, когда письмо было послано из корпоративной сети, даже если при этом использовался веб-интерфейс бесплатной почтовой службы.
Вот пример «тела» письма, вызванного с помощью клавиши F9 в почтовой программе The Bat! (ip-адрес, адрес электронной почты и имя отправителя – вымышленные). Более крупным шрифтом выделены значимые участки текста, комментарии даны ниже этого текста.
Received: from YAMAIL (camay.yandex.ru) by mail.yandex.ru
id <S16642AbWEPEbg>; Tue, 16 May 2006 08:31:36 +0400
Received: from [87.89.236.115] ([87.89.236.115]) by mail.yandex.ru with
HTTP; Tue, 16 May 2006 08:31:36 +0400 (MSD)
Date: Tue, 16 May 2006 08:31:36 +0400 (MSD)
From: «Ulyana Petroff-Smit» <[email protected]>
Sender: [email protected]
Message-Id: <[email protected]>
MIME-Version: 1.0
X-Mailer: Yamail [http://yandex.ru]
Errors-To: [email protected]
To: [email protected]
Subject: Re: Re[76]:
In-Reply-To: <[email protected]>
Reply-To: [email protected]
References: <S2078897AbWD3TAg/[email protected]> <[email protected]>
X-Source-Ip: 87.89.236.115
Content-Type: text/plain;
charset=«KOI8-R»
Content-Transfer-Encoding: 8bit
Проверка ip-адреса на ресурсе Vline:
http://www.vline.ru/ip/?ip=87.89.236.115
– дала приведенный ниже результат.
Network Whois record
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http: //www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http: //www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the «-B» flag.
% Information related to 87.89.76.0 – 87.90.255.255
inetnum: 87.89.76.0 – 87.90.255.255
netname: T-ONLINEFRANCE-ADSL
descr: Pools for VoIP ADSL customers
country: FR
admin-c: NOCT1-RIPE
tech-c: NOCT1-RIPE
status: ASSIGNED PA
mnt-by: T-ONLINEFRANCE
mnt-lower: T-ONLINEFRANCE
mnt-routes: T-ONLINEFRANCE
source: RIPE # Filtered
role: Network Operation Centre T-ONLINE FRANCE
address: T-Online France – Club Internet
address: 11 rue de Cambrai
address: 75019 Paris
address: France
phone: +33 1 55 45 45 00
fax-no: +33 1 55 45 47 78
e-mail: [email protected]
admin-c: AV-RIPE
tech-c: AV-RIPE
tech-c: OB346-RIPE
tech-c: DA3757-RIPE
tech-c: OT1274-RIPE
nic-hdl: NOCT1-RIPE
mnt-by: T-ONLINEFRANCE
source: RIPE # Filtered
% Information related to 87.88.0.0/14AS5410
route: 87.88.0.0/14
descr: T-Online France – Club Internet
origin: AS5410
mnt-by: T-ONLINEFRANCE
source: RIPE # Filtered
Итак, если рассматривать приведенные фрагменты служебной информации последовательно сверху вниз, то можно увидеть, что в самом начале фигурирует некий ip-адрес 87.89.236.115.
Письмо оформлено от имени Ulyana Petroff-Smit (это видно из записи «From: „Ulyana Petroff-Smit“ [email protected]») и направлено на адрес [email protected] (что отражено в строке «To: [email protected]»). Далее в тексте тела письма видно, что оно шло через серверы Яндекса: присутствуют многочисленные служебные адреса, принадлежащие данному ресурсу. В самом низу тела письма фигурирует ip-адрес, с которого был осуществлен вход в Яндекс (X-Source-Ip: 87.89.236.115). Проверка этого адреса показала, что он принадлежит французскому провайдеру и закреплен за ADSL. По всей вероятности, это фиксированный ip-адрес.
Причем, учитывая, что в «теле» письма нет никаких упоминаний о почтовом клиенте, это письмо уходило через веб-интерфейс. Тем не менее, реальный ip-адрес зафиксирован, поскольку именно с ним был произведен вход в почту Яндекса.
На практике, при проверке действительно содержавшихся в документе данных, наши предположения подтвердил отправитель письма, которому мы показали полученные результаты.
Если письмо отправляется с помощью почтового клиента, текст в «теле» письма удлинняется, поскольку содержит информацию о том, каким именно почтовым клиентом пользовался отправитель и через какие почтовые серверы письмо проходило. Таким образом, можно проследить весь путь сообщения при его отправке почтовым клиентом.
Тем, кому кажется слишком сложным разбираться во всех нюансах строчек, приведенных в теле письма, мы можем дать универсальный совет: «пробивать» все ip-адреса, которые содержатся в сообщении, особенно те, которые находятся в начале и в конце письма.
Как восстановить стертую с жесткого диска информацию и как удалить информацию без возможности восстановления
Все пользователи Windows знают, что для того, чтобы стереть файл, его надо поместить в корзину.
Многие из пользователей осведомлены, что корзину надо очистить.
Однако о том, что же происходит после очистки корзины, люди обычно не задумываются.
Для того чтобы понять, почему очистка корзины сохраняет возможность восстановления файла, попробуем разобраться в вопросе, как выглядит запись файла на жесткий диск и его удаление оттуда.
Винчестер компьютера при форматировании разбивается на радиальные сектора и концентрические дорожки. Все они пронумерованы, поэтому можно считать, что каждая точка физической поверхности диска имеет свои координаты. Это позволяет компьютеру при обращении к файловой системе безошибочно находить нужные файлы и их фрагменты. В момент, когда физически производится магнитная запись на жесткий диск компьютера, информация о координатах и имени записанного файла появляется и в специальном разделе, который можно уподобить таблице, фиксирующей положение файлов и их привязку к поверхности диска. Итак, можно сказать, что в момент записи происходит два события: файл физически записывается на жесткий диск и информация о нем заносится в таблицу.
