Под картинкой ниже – ссылка на видео (YouTube + файл wmv, качеством получше), запечатлевшее испытание перехватчика для ПРО от Lockheed Martin 2 декабря 2008. Демонстрируют способность устройства висеть и перемещаться в одном направлении. Напомню, что эта штука должна в перспективе моментально наводиться на цель – боеголовку баллистической ракеты – и эту цель атаковать с помощью имеющихся на борту средств поражения.

Ссылки:

(Видео YouTube)

[Видео на dxdt.ru (копия видео MDA)]

Источник: Lockheed Martin



Комментарии (8) »

Фишеры незаметно перенаправляют пользователей на свои вредоносные сайты разными способами. Часто спрашивают о простых примерах реализации этих перенаправлений. Вот как раз в этом году очень популярно обсуждать открытые “шлюзы” с редиректами на разных сайтах. Публиковалось даже одно или два подробных исследования. О чём идёт речь? Вот о чём.

Возьмём для примера новостную обменную сеть “Новотеки” – http://nnn.novoteka.ru. Здесь есть услужливый интерфейс в click.cgi, полностью открытый. При передаче скрипту на сервере “Новотеки” специально подготовленного URI, этот скрипт отправит браузер клиента по заданному произвольному адресу. При этом пользователь будет видеть в адресе ссылки URL “Новотеки”. Выглядит это, скажем, так:

http://nnn.novoteka.ru/click.cgi?url=%68%74%74%70%3A%2F%2F%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D

По такой ссылке “Новотека” отправляет пользователя на www.google.ru. Понятно, что можно сделать так: http://nnn.novoteka.ru/click.cgi?url=http%3A%2F%2Fwww.google.ru. В первом случае скрипт просто услужливо разбирает закодированную строку. (Для запутывания пользователя можно приписать ещё какие-нибудь параметры к строке.)

Сеть “Новотека” – это не самый узнаваемый ресурс, поэтому подобным образом хитрые хакеры могли бы заманивать только пользователей этой банерообменной сети (тоже, кстати, востребованный вариант). Хуже всего, что подобные “шлюзы” позволяют себе открывать узнаваемые массовой аудиторией лидеры Рунета, например “Яндекс”. Ну и “шлюзов” этих в Сети великое множество.



Comments Off on Фишерское перенаправление пользователей

Ботнеты активно используют DNS. В том числе для такой жизненно важной своей функции, как обеспечение связи с центрами управления. Вот в статье по ссылке разобран механизм генерации доменных имён червями ботнета Srizbi. (Текст по ссылке техничный, будет интересен только специалистам.)

Речь о том, что ботнет Srizbi, насчитывающий чуть ли не сотни тысяч машин в своём составе, сперва отключили от центров управления, так как черви ходили за командами на серверы с конкретными IP-адресами (по крайней мере, так пишут те, кто изучал этот ботнет). После того как серверы отключили (поскандалив с провайдерами), внутри ботнета активировался второй механизм установления связи с “центром” – черви принялись генерировать “псевдослучайные” имена доменов по заданному алгоритму и стали пытаться обращаться к сайтам под этими доменами. По логике, такое поведение – это способ восстановить контакт с хозяином: под доменами из последовательности могут быть размещены новые инструкции для ботнета. (Не совсем ясно, впрочем, почему механизм “доменной связи” не был обнаружен исследователями ботнета изначально.)

Вообще, тут интересно отметить несколько моментов, которые, несомненно, определят развитие ботнетов уже в ближайшем, 2009, году.

Скажем, код червя, формирующего ботнет, обязательно доступен аналитикам для изучения, так что создателям ботнетов (квалифицированным, по крайней мере) нужно это понимать и учитывать фактор открытости кода в своих алгоритмах. Так, в описанном только что случае Srizbi, последовательность “связных доменов” была определена при помощи анализа исходного кода червя, после чего оставалось лишь зарегистрировать нужные домены раньше хозяев ботнета и перехватить часть зомби-машин – те из них, которые в данный период времени обратились за новыми инструкциями: понятно, что ботнет обновляется постепенно. Естественно этот эффект учтут разработчики следующего поколения червя.

Использование зашитого в код списка IP-адресов управляющих узлов – это, видимо, уже очень отсталая практика. Отсталость следует из только что описанной “открытости кода”. А современное решение – это как раз использование DNS (странным образом реализованное и в Srizbi). Дело в том, что DNS – это такое универсальное средство для придания хорошей анонимности жизненным сигналам центральной нервной системы ботнета. Заражённые машины находят IP-адреса центров управления не в собственном локальном списке хостов, доступном аналитикам, а в глобальной DNS, анализ которой куда как сложнее.

Как это происходит? Регистрируется некоторый набор доменов второго уровня, возможно, с приватной или, скорее, с вымышленой персональной информацией об администраторе (доступно в самых разных зонах, в том числе в .com, и даже в .ru). Далее в этих доменах создаются зоны на несколько уровней ниже (третий, четвёртый, пятый и т.д.). Имена, понятно, регистрируются в соответствии с алгоритмами, заложенными в ботнет. Получается набор абракадабр, что-то типа f148.hsjo71gh.w2-8xnb.qf297dhna.com. При этом серверы имён, связанные тут с доменами уровнем ниже второго, постоянно изменяют информацию об адресах. То есть запросы по именам доменов ведут на самые разные машины в разные моменты времени (понятно, с учётом особенностей DNS).

А эти машины – вовсе и не центры управления, а такие же зомби, только из другого ботнета, попроще. Машины работают proxy-серверами, перенаправляя запросы на некий, возможно вполне себе официальный, хостинг. На этом хостинге уже работает настоящий центр управления ботнетом. Впрочем, наилучший вариант – какой-либо заражённый сайт, с которого незаметно забирают команды черви ботнета.

Особенность схемы в том, что сложно найти концы: сделав запрос в DNS, можно узнать адрес proxy, за которой скрывается “нервный центр”. Но proxy оказывается лишь чьим-то заражённым компьютером – пользы от такой информации не так уж и много. При этом задействованные компьютеры, как и имена доменов, постоянно меняются, а серверами имён, обслуживающими домены, также могут служить компьютеры-зомби. Таким образом, собранные исследователем сведения о структуре управления ботнетом быстро устаревают. Владелец же хостинга, где расположен центр, оказываясь, так сказать, с другой стороны стены из proxy, лишь видит некий трафик с изменяющегося набора IP-адресов на свои серверы, то есть вообще ничего подозрительного.

Концы хорошо спрятаны.

Можно искать тех, кто настраивает DNS для зловредных доменов, но это весьма непросто уже и для доменов второго уровня: нужно связываться с регистратором, запрашивать данные (а регистратор их так просто не может выдать), проверять полученные данные, убеждаться, что они липовые, и так далее. А для доменов ниже третьего уровня – ситуация ещё сложнее, регистратор их напрямую вообще не контролирует: кто там правит файлы зон – неизвестно.

В принципе, все эти технологии уже освоены. Проблема Srizbi, видимо, в том, что механизмы выживаемости реализованы в нём неполно, по каким-то там внутренним инженерным причинам создателей. Возможно, использовали недостаточно современный комплект библиотек и средств разработки. А вот уже в следующем году, так как в DNS ситуация равным счётом не поменялась (несмотря на все усилия), появятся уже куда более отлаженные библиотеки и модули и, как результат, более живучие ботнеты. А живучий ботнет – это большой ботнет, потому что численность машин-зомби находится в прямой зависимости от времени активной жизни (в контакте с “нервным центром”) одного червя.

Вот.



Комментарии (3) »

Обсуждения записок

Возникло бурное обсуждение записки про электронное голосование – в комментариях уже рукой подать до системы, где центральный сервер уполномочен хранить персонализированные логи голосования (по каждому избирателю). В принципе, отсюда уже очень близко до концепции машины, которая и результаты выборов сама будет объявлять, ну или там ещё какие-нибудь определяющие решения выносить.



Комментарии (17) »

Технологии, как известно, дешевеют. Скажем, дешевеет элементная база, средства разработки и доступ к мат. аппарату, потребные для создания сложных сетевых систем локации: узлы разнесены в пространстве и обмениваются между собой информацией. Узлы тут не обязательно наземные. Подобные системы сильно уменьшают полезность классической радиолокационной “Стелс”, потому как позволяют малозаметные самолёты обнаруживать (самолёты тут один из примеров).

Выходит, что уменьшающие одно из ключевых преимуществ того же F-22 системы скоро будут доступны даже странам, не являющимся лидерами технологий. Ну, им просто продадут нужные системы и помогут их развернуть, ввести в эксплуатацию.

Значит ли это, что “Стелс” на F-22 вообще не нужен был? Вовсе нет. Во-первых, не малозаметный самолёт (танк, корабль) можно было бы обнаруживать традиционными средствами, экономя на развёртывании новых сложных систем. Во-вторых, остаются трудности с точным наведением ракет и снарядов на малозаметные цели (трудности решаемые, но, опять же, требующие дополнительных систем). Ну и, в-третьих, без разных F-22 ответная часть систем вооружений развивалась бы хуже.

При этом сетевые системы, за которыми будущее, полезны вовсе не только для обнаружения “Стелсов”. Напротив, имея в распоряжении активно взаимодействующую “локационную сеть” можно, скажем, гораздо эффективнее противодействовать помехам. Сеть, кстати, должна содержать в своём составе вовсе не только радары, но и оптические системы (в том числе ИК).

А со стороны “малой заметности”, следующий шаг – создание действительно “невидимых” объектов, отличных по физическим принципам от классического “Стелса”. Но вот тут ещё придётся подождать лет двадцать.



Комментарии (4) »


Comments Off on Что почитать, понедельник

Популярная сейчас тема: электронное голосование, да не простое, а через Интернет. Речь не об интернет-опросах, а о настоящем, государственном голосовании на выборах. То есть вместо посещения избирательного участка голосуют с домашнего (или офисного?) компьютера. Понятно, что наиболее привлекательный “транспорт связи” в таком случае – Интернет.

Вообще у подобных схем электронного голосования есть одна очень важная, определяющая, особенность, о которой забывают. Как ни странно, особенность эта довольно хорошо изучена на примере систем контекстной интернет-рекламы. (Правда, не слишком радостные результаты изучения, в случае с интернет-рекламой, как-то не очень популяризируют.) Так вот, особенность в том, что люди не могут голосовать через Интернет – через Интернет голосуют только компьютеры.

Как так? Очень просто: именно компьютер подключен к Сети, поэтому центр сбора и обработки результатов получает “сигнал” именно от компьютера. Что там за человеческий гражданин находился в момент голосования за компьютером, и находился ли он там вообще – об этом ничего не известно.

Да, можно раздать гражданам специальное программное обеспечение (ПО) на избирательных участках. Но если на участке наблюдатели видят, как гражданин размещается в кабине для принятия решения, то в случае интернет-голосования определить, кто там использовал голосовательное ПО – нет возможности.

Понятно, что выбор конкретного голосовальщика можно зашифровать во время передачи по публичным сетям (а Интернет, конечно, делает такую передачу обязательной). Можно практически исключить повторную подачу голоса и изменение результатов злоумышленниками “на лету”. С тайной голосования, правда, возникают трудности: простое решение не даёт никакой анонимности, так как сессии процесса голосования могут сохраняться на многих промежуточных узлах.

В принципе, криптологами предлагались и предлагаются схемы голосования, где выбор остаётся секретным даже при условии хранения и доступности логов. Беда с подобными схемами одна, зато фундаментальная – они вообще не понятны людям без специального образования, соответственно вопрос достоверности результатов для большинства представителей заинтересованных сторон сводится к вопросу о доверии “занудам, разговаривающим непонятными словами о каких-то алгебрах”. Бумажные же бюллетени каждый может пересчитать, даже не математик.

Фиксирование легитимности конкретного голосования, в случае с интернет-подходом, вообще просто провальный момент. И даже не обязательно гражданин осознанно “торгует голосом” и передал кому-то свои реквизиты. Предположим, что домашний компьютер, которым этот гражданин собирается воспользоваться для голосования, заражён вирусом и является частью ботнета. Это специальный вирус, специальный ботнет, настроенные именно для голосований. Когда пользователь вводит какие-то там свои персональные ключи, а программное обеспечение для голосования подключается к центру избирательного комитета, то троянский код просто изменяет ввод пользователя в нужную владельцу ботнета сторону.

Тут важно понимать, что в случае достаточно продвинутого хакерского кода практически нет способов противодействия “перехвату волеизъявления” на стороне голосующего компьютера. Из-за того что между человеком и центром приёма результатов всегда есть неизвестный компьютер, весьма затруднительно проверить, что выбор сделал гражданин, а не хакерская программа, обманувшая гражданина. Особенно если такая проверка должна сохранять тайну голосования. При этом программа злоумышленников может “всплывать” на уровень выше всяких программных систем контроля и защиты, оказываясь строго между человеком и интерфейсом специального ПО голосования. (Собственно, так работают различные сниферы паролей.)

Если в схеме задействован достаточно большой ботнет, то его силами можно довольно быстро набрать нужный материал для анализа используемых в данных конкретных “электронных выборах” протоколов и ключей, что поможет эффективному вредительству. (Понятно, кстати, что протоколы должны бы быть заранее открыты для публики.)

А вот заразить троянцем деревянную кабинку для голосования или бумажный бюллетень, вроде бы, пока хакеры не умеют. Такие дела.



Комментарии (35) »

Фантасты уверенно предсказывают стрелковое оружие с самонаводящимися пулями. Интересно, что самонаводящиеся снаряды – уже есть действующие. Пуль придётся подождать. Видимо, лет пять – не долго, в общем, так как пули уже заказали.

Так что определяющая отличительная особенность “персонального” стрелкового оружия следующего поколения – управляемые пули, умные боеприпасы, а не какая-то там особенная компоновка или техническое решение “механизма заряжания”.

Уже первые образцы пуль будут использовать аэродинамические поверхности для управления полётом и наводиться по сигналам от, скажем, выпустившей их винтовки. Почему? Потому что такая схема уже отработана в большем масштабе.

Кстати, при потере сигнала “от ствола” управляемая пуля сможет просто продолжить полёт, запомнив последние данные целеуказания. В принципе, уже сейчас нет непреодолимых проблем с размещением внутри пули программируемого микроконтроллера и приёмников сигнала. А вот сделать индивидуальную активную систему наведения для пули – это дело далёкого будущего.

Как необходимый элемент эффективного использования управляемых пуль – развитая электронная система измерения параметров цели, интегрированная в прицел. В общем-то, уже имеется. Отличие, важное для следующего поколения вооружений, в том, что данные передаются не только (и не столько) стрелку, сколько пуле.



Комментарии (14) »

Между прочим, IPv6 затруднит деятельность владельцев ботнетов. И дело тут не в безопасности протокола. Просто, весомая часть деяттельности хакера-ботнетчика – “организационная” работа с IP-адресами. А IPv6 – делает адреса трудночитаемыми, если сравнивать с IPv4. Выходит, что инфраструктура усложняется, понимание её потребует больше времени, больше интеллектуальных усилий, а это всё затруднения.

С другой стороны, учитывая современный уровень ботнетостроения, с его визуальным средами и “тулзами”, с его саморастущими “фермами зомби”, вряд ли стоит расчитывать на то, что злые хакеры не преодолеют трудности восприятия IPv6. Преодолели же они в своё время появление сложных многорежимных процессоров от Intel (i386 имеются в виду).



Комментарии (5) »
Навигация по запискам: « Позже Раньше »