Альтруизм – это наивно? Иногда – да. Но в каждой области, по которой прокатилась война, находятся энтузиасты-поисковики, тратящие свое время и свои деньги на розыск останков поныне не похороненных солдат.
   Дело государства
   Не проверял сам, но практически все историки, за исключением выполняющих ведомственные поручения, жалуются на трудности доступа к архивам МО.
   А в годы Великой Отечественной войны был написан уникальный исторический труд, "Крымская война" академика Евгения Викторовича Тарле (Тарле Е. В. Крымская война: в 2-х т. – М. – Л.: 1941—1944). Труд, обнажающий масштаб некомпетентности правительства СВОЕЙ страны, императорского правительства Николая I. "В том, что Николай I был непосредственным инициатором дипломатических заявлений и действий, поведших к возникновению войны с Турцией, не может быть, конечно, сомнений. Царизм начал и он же проиграл эту войну, обнаружив свою несостоятельность и в дипломатической области, и в организации военной обороны государства…"
   Масштаб казнокрадства в императорской России: "Доходы, получаемые от этой систематической кражи солдатского довольствия, имели свое общепризнанное, правильно исчисленное финансовое значение в русском быту. Например, в 1855 г. один командир пехотной бригады выдал свою дочь замуж, дав в приданое половину того, что он будет отныне красть из сумм, отпускаемых на продовольствие солдат".
   Подход к индустриализации, век все же был пара и гальванических мин академика Якоби: "Вот что докладывал московский генерал-губернатор:“Имея в виду неусыпно всеми мерами охранять тишину и благоденствие, коими в наше время под державою вашего величества наслаждается одна Россия, в пример другим державам, я счел необходимым отстранить всякое скопление в столице бездомных и большей частью безнравственных людей, которые легко пристают к каждому движению, нарушающему общественное и частное спокойствие. Руководствуемый этой мыслью, сообразной с настоящим временем, я осмелился повергнуть на высочайшее воззрение вашего величества всеподданнейшее мое ходатайство о недозволении открывать в Москве новые заводы и фабрики, число коих в последнее время значительно усилилось, занимая более 36 000 фабричных, которые состоят в знакомстве, приязни и даже часто в родстве с 37 000 временно-цеховых, вольноотпущенников и дворовых людей, не отличающихся особенно своей нравственностью”. Но как же все-таки быть без фабрик?“Чтобы этим воспрещением не остановить развития русской нашей индустрии, я предположил дозволить открытие фабрик и заводов в 40 или 60 верстах от столицы, но не ближе”".
   Горькие слова историка Тимофея Николаевича Грановского: "За несколько дней до смерти, 2 октября 1855 г., он пишет:“Вообще наша публика более боится гласности, нежели третье отделение…”"
   Ужасающие цифры потерь, из 16 000 матросов, приведенных Павлом Степановичем Нахимовым на бастионы Севастополя, "из которых было перебито 15 200 человек".
   Но книга Тарле не учит втыкать штык в землю. Поскольку показывает, как умно и компетентно оберегающий интересы своей экономики великобританский премьер Эбердин вместе с талантливым политическим авантюристом Наполеоном III втягивают в войну малообразованного Николая. Пороки СВОЕГО правительства не означают, что правительства соседние наделены высокими моральными достоинствами, а уж полагать, что интересы, которые эти правительства преследуют, совпадут с ВАШИМИ, может разве что микроцефал. Чего стоит хотя бы сие деяние просвещенных мореплавателей – обстрел Одессы 10 апреля 1854 года "чтобы потребовать у властей этого города репараций за ВОЗМУТИТЕЛЬНОЕ НАПАДЕНИЕ ПОРТОВЫХ БАТАРЕЙ НА АНГЛИЙСКИЙ ФРЕГАТ…" (Выделение мое. – М.В.).
   Книга Тарле стала возможна благодаря ОТКРЫТИЮ для историков самых секретных архивов. И вряд ли открытие архивов Второй мировой и даже их массовый перевод в цифровую форму способны привести к разглашению гостайны. А вот значение свободного доступа к решениям об операции, боевым приказам, схемам наблюдения и огня (все это хранится в архивах!), да и к горестным спискам боевых потерь, будет огромно. Лучший памятник павшим придумать трудно. И, видимо, представители российского крупного бизнеса охотно сформируют необходимый для покрытия расходов на такую работу внебюджетный фонд.
   Власти боятся возможного ущерба для репутации страны от наглядной правды об отступлении до Москвы и Волги, о гигантских потерях? Лучше вынести урок из старой энциклопедии: "Советские офицеры в своем большинстве (около 80%) были коммунистами и комсомольцами, обладали высокими морально-политическими и боевыми качествами. Однако значительная часть старшего и высшего командного состава не была в должной мере подготовлена к руководству войсками, что было связано с недостатком боевого опыта в ведении крупных операций в условиях современной войны, а также с серьезным ослаблением командных кадров ввиду необоснованных репрессий в результате нарушений социалистической законности в 1937–38" (БСЭ 3-изд. Ст. "Великая Отечественная война").
   Некомпетентность – штука страшная. И бороться с нею можно только знанием и опытом, опирающимися на воспитанную моралью ответственность. И правда этому никак повредить не может.
 
СТРОКИ
   Стараясь выбраться из тины,
   Шли в полированной красе
   Осатаневшие машины
   По всем незападным шоссе.
 
   Казалось, что лавина злая
   Сметет Москву и мир затем.
   И заграница, замирая,
   Молилась на Московский Кремль.
 
   Наум Коржавин, «16 октябрь», 1945
 
 
 
   Провинциальная сценка
   "Большой драп" в столице случился 16 октября 1941 года. У областных бюрократов машин было меньше, и бежали они скромнее. А 29 октября наступающая вдоль шоссе Орел–Тула 2-я танковая армия Гейнца Гудериана подошла к Туле. Но 30 октября – 1 ноября две танковые дивизии и одна пехотная бригада вермахта, пытавшиеся лобовыми атаками овладеть городом, были остановлены. В том числе и Тульским рабочим полком. Городское ополчение, сошедшее с мировой сцены после гуситских войн, вступило в бой с лучшими механизированными войсками мира, легко бравшими европейские столицы.
   Старая крепость так ни разу и не была взята врагом. У ополченцев из боя вышел лишь каждый десятый. Тула стала городом-героем. Командиру полка А. П. Горшкову звание Героя так и не присвоили. Заезжающие в Тулу сотрудники военного атташата ФРГ называют оборону Тулы поворотным пунктом войны на Восточном фронте. В Туле сегодня порой пишут о больших потерях, плохом вооружении и низкой подготовке ополченцев. Но ополчение вообще НЕ МОЖЕТ вступать в войну армий индустриальной эпохи.
   Представляется, что лучшим ответом на такие высказывания было бы создание исчерпывающей и общедоступной БД об обороне Тулы в ходе Тульской оборонительной операции, о подвиге людей, вставших со старыми «лебелями» и собранными своими руками из бракованных деталей самозарядками Токарева на пути превосходно подготовленных и опытных солдат.

Ботнет Великий и Ужасный

   Автор: Родион Насакин
   Для многих не станет откровением тот факт, что рассылка львиной доли спама в Интернете, а равно и хакерские DDoS-атаки на корпоративные и государственные серверы предпринимаются с использованием компьютерных сетей, зараженных вирусами.
   Владельцы машин, как правило, даже не подозревают, для каких неблаговидных целей используют их ПК отрицательные персонажи интернет-андеграунда. Год от года сети компьютеров-зомби – ботнеты – становятся все шире, совершенствуется их структура, выявляются новые возможности их использования в криминальных целях. В начале текущего года проблема «заразных» сетей достигла апогея.
Лихая година
 
   Хит-парад
   По данным PandaLabs, самыми распространенными заражающими ботами являются Sdbot и Gaobot, на которые приходится 80% всех «новоиспеченных» компьютеров-зомби за первый квартал сего года. За ними с большим отрывом идут Oscarbot, IRCbot и RXbot.
 
   Косвенным признаком, указывающим на серьезность вопроса, можно считать доклад о ботнетах, сделанный не на очередной конференции по информационной безопасности, где затрагиваются темы и пострашнее, а на Мировом экономическом форуме в Давосе. Впрочем, докладчик – один из создателей TCP/IP Винт Серф – не был оригинален. Он в очередной раз рассказал, что такое ботнеты, кому и зачем они нужны, а затем привел статистику. По его данным, четверть компьютеров, подключенных к Интернету во всем мире (а это около 150 млн. машин), может находиться в ботнетах. Джон Маркофф из New York Times в развитие темы вспомнил случай с подключением одной из зараженных сетей к Yahoo, в результате чего 15% пропускной способности поискового сервиса было направлено на обработку запросов сети по скачиванию текстовых фрагментов для маскировки спам-писем. В общем, участники дискуссии сошлись на том, что к борьбе с ботнетами нужно привлечь всех: от пользователей и провайдеров до вендоров аппаратного и программного обеспечения, надзорных органов и правительств.
   Конечно, делать выводы об обреченности Интернета рано, однако повод для беспокойства все же имеется. В общем-то, эволюция ботнетов следует по накатанной колее и повторяет тенденцию, свойственную киберпреступности в целом, а именно коммерциализацию хакеров. Хулиганы-идеалисты остались в голливудских сюжетах. В реальности речь идет о серьезном и уже зрелом рынке, на котором ботнеты – просто инструмент, помогающий выполнять хорошо оплачиваемые заказы.
   На днях журналисты Washington Post подвели итоги минувшего года в интернет-сфере и назвали его "самым киберпреступным". Правда, поводом для такого заявления стали не прозвучавшие в Давосе цифры, а рекордный уровень спама в прошлом октябре. Тогда соответствующий показатель перевалил за 90% от всего почтового трафика. Активизация спамеров и угроза почтового мусора для интернет-сообщества констатирована в итоговом аналитическом отчете IronPort, авторы которого утверждают, что объемы спама в глобальном трафике за год удвоились. А в ноябре дважды был зарегистрирован резкий скачок спама до 85 млрд. писем в сутки. По данным экспертов, существенная доля спама рассылается силами организованных групп, которые уже выстроили глобальную инфраструктуру для своей деятельности в онлайне и способны отправлять миллиарды сообщений примерно со 100 тысяч серверов из 120 стран.
   Интересно, что в прошлом году резко изменилась и временная динамика активности хакеров. Если еще в 2005-м подавляющее число инцидентов приходилось на ночи и уик-энды, то сейчас хакеры не спят и в будни. Таким образом, делает вывод Washington Post, «разведение» и использование ботнетов из экзотического развлечения превратилось в основное занятие немалого числа людей. А поскольку профессионалов в этом «бизнесе» прибыло, то повысился и спрос на зомбированные компьютеры, так что минувший год охарактеризовался еще и огромным количеством обнаруженных дыр в ПО. Солидная доля из них относилась к уязвимостям, найденным уже после того, как ими воспользовались хакеры. Вдобавок если раньше ряды ботнетов пополнялись преимущественно за счет заражения через дыры в браузерах, то теперь злоумышленники освоили и другие виды софта, в том числе текстовые редакторы, плееры и электронные таблицы.
   Также резко участились случаи инфицирования через баннеры. Причем речь не идет о рекламе на порносайтах или других маргинальных ресурсах. Вспомним хотя бы инцидент с MySpace в июле прошлого года, когда выяснилось, что транслируемый в крупнейшей социальной сети баннер загружает на пользовательский компьютер троянца, а тот, в свою очередь, – прочий зловредный софт. Всего владельцам баннера удалось заразить 1,07 млн. компьютеров.
История возмездия
 
   Потрясение основ
   В 2002-м с помощью ботнетов была проведена одна из самых крупных DDoS-атак на корневые DNS-серверы, породившая небольшую панику относительно перспектив существования Сети. Но помаленьку все утихло. И вот в минувшем феврале было совершено еще одно масштабное нападение, в результате которого три сервера вообще остановились на час. Это послужило поводом для начала новых обсуждений о надежности централизованной веб-инфраструктуры на базе тринадцати серверов.
 
   Уголовное преследование владельцев ботнетов – пока чрезвычайно редкое событие, и количество подобных дел за последние несколько лет можно пересчитать по пальцам одной руки. Самым нашумевшим случаем остается дело Дженсона Джеймса Анчете, который с помощью сети зомбированных компьютеров распространял и устанавливал adware, то есть бесплатный софт, за пользование которым приходится расплачиваться просмотром рекламы. Причем речь шла о продукции относительно «культурной» компании – 180solutions, которая в контрактах с агентами жестко ограничивает методы распространения своих программ, дабы не навлечь бед и не вызвать недовольства пользователей. По крайней мере, так утверждали представители фирмы.
   Однако двадцатилетний Анчете оказался чрезвычайно старательным партнером и использовал для инсталляции adware созданный им ботнет, насчитывающий около 400 тысяч компьютеров. Тогда в 180solutions пришли люди из ФБР и легко убедили компанию сотрудничать с ними в поимке и сборе доказательств о преступлениях Анчете. Впрочем, круг интересов последнего был гораздо шире, нежели установка adware. Хакер охотно сдавал ботнет в аренду спамерам. В число зараженных попали машины авиабазы ВМС США в Чайна-Лейк, что и привлекло внимание спецслужб и породило невиданную прежде ретивость в поимке киберпреступника. После ареста и закрытия ботнета уровень спама в общем почтовом трафике резко пошел на убыль.
   По вынесенному в мае прошлого года приговору Анчете лишился свободы на 57 месяцев, вернул $60 тысяч незаконной прибыли и был оштрафован на $15 тысяч за проникновение в компьютеры военного объекта.
   Еще один приговор по делу о ботнетах был вынесен уже в этом году, на сей раз в Нидерландах. Тамошний суд приговорил к тюремному заключению и штрафам в размере 4 тысяч и 9 тысяч евро двух хакеров, организовавших ботнет из нескольких миллионов компьютеров. Впрочем, сразу после оглашения приговора подсудимых отпустили, так как они уже отсидели свои сроки во время предварительного заключения.
   В деле снова фигурировала 180solutions. Пару лет назад сотрудники компании заметили у одного из своих голландских агентов необычно высокий объем установок adware, заподозрили его в нарушении условий партнерского договора и попытались выйти на связь, но безуспешно. Тогда сотрудничество было прервано по инициативе 180solutions. Прекратив получать деньги, экс-агент тут же отреагировал, однако вместо того, чтобы покаяться, начал вымогать у компании причитающуюся ему, как он считал, сумму, угрожая в противном случае устроить DDoS-атаку. Когда хакер получил отказ и перешел к действиям, 180solutions уже сама обратилась в ФБР. Компания «согласилась» с требованиями рэкетира и перевела запрашиваемые деньги на указанный банковский счет, не забыв передать реквизиты правоохранительным органам. После этого ФБР обратилось в свое юридическое представительство в Нидерландах, через которое о преступлении были проинформированы голландские власти. В ходе расследования полицейским удалось установить личности авторов троянца W32.Toxbot, «плетущего» из компьютеров ботнеты.
Спам и фишинг
   Использование сетей зараженных ПК дает возможность проводить масштабную спам-рассылку за несколько часов, оперативно меняя источник отправки сообщений и тем самым обходя средства фильтрации на основе правил и черных списков. В IronPort полагают, что сейчас более 80% спама рассылается с ботнетов, а средняя продолжительность использования одного компьютера-зомби не превышает месяца.
   Гади Эврон, израильский специалист по информационной безопасности, оценил доходность сетей компьютеров-зомби в 2006 году в $2 млрд. Владельцы ботнетов, по его сведениям, в основном зарабатывают на фишинге, рассылая миллионы электронных писем-завлекалок. Трафик от пользователя к «подставному» сайту все чаще проходит через ботнет, что позволяет обойти защиту браузерных антифишинговых систем. Главной целью атак остается финансовый сектор, а самыми популярными логотипами фишеров по-прежнему являются eBay и PayPal.
   При этом эффективных средств противодействия ботнетам на сегодняшний практически не существует, что отчасти связанно с тем, что технологии управления зомбированными компьютерами постоянно модифицируются. Дефицит оборонительных возможностей ярко подчеркивает прошлогодний случай с компанией Blue Security, которая работала над антиспамовой системой, и, похоже, небезуспешно. Во всяком случае, она привлекла внимание одного из спамеров под ником PharmaMaster (говорят, наш соотечественник), который настоятельно порекомендовал разработчикам свернуть проект, угрожая в противном случае обрушить корпоративные серверы DDoS-атакой. В Blue Security угрозу проигнорировали, и, как выяснилось, зря. Под валом мусорных запросов все серверы компании стали недоступными. Специалисты в срочном порядке стали просчитывать варианты защиты и пришли к неутешительному выводу, что практически ничего не могут противопоставить злоумышленнику. Компания признала свое поражение и решила испытать силы в менее опасных сферах.
   Вторит экспертам и TrendMicro, исследователи которой, изучив криминальную обстановку в Сети в 2006-м, считают, что в текущем году инструментарий для криминальных атак будет состоять преимущественно из комбинированного ПО, оснащенного средствами маскировки и защиты от систем сетевой безопасности, а практика использования преступными группировки ботнетов получит еще большее распространение. Это, в свою очередь, повысит спрос на вирусы, троянцы и spyware, позволяющие «рекрутировать» в сети зомби новые компьютеры, и укрепит альянс между спамерам, разрабатывающими вредоносное ПО, фишерами и прочими представителями интернет-криминалитета.
Децентрализация
 
   $50 000 за эксплойт
   Департамент ФБР, занимающийся хакерами и прочими киберпреступниками, по количеству сотрудников уступает только подразделениям, ведающим разведкой и борьбой с терроризмом. По данным этого департамента, основная преступная активность сосредоточена в странах Восточной Европы, в том числе России. Но больше отличился за последнее время все же румынский онлайн-сегмент, где на одном из хакерских форумов за $50 тысяч уже предлагался эксплойт под Windows Vista, позволяющий создать ботнет.
 
   Традиционной средой для организации ботнетов являются IRC-серверы. После заражения компьютера вирус инсталлирует программу-робота, которая через заданные промежутки времени обращается к одному или группе IRC-серверов за командами так называемого мастера, то есть лица, управляющего ботнетом. Такая схема предусматривает взаимодействие всех ботов с одним центральным звеном, что делает сеть уязвимой, поскольку удаление сервера полностью нейтрализует ботнет.
   Однако в декабре 2006 года выяснилось, что злоумышленникам удалось решить эту проблему. Специалисты SecureWorks обнаружили в Интернете нового троянца SpamThru, который объединяет компьютеры-зомби по принципу децентрализации. В создаваемом таким образом ботнете каждый участник получает информацию о других, и если управляющий сервер вдруг отключается, достаточно дать одному из ботов координаты нового источника команд, чтобы возобновить работу. Устойчивость ботнетов в этом случае заметно возрастает, и представители MessageLabs полагают, что в текущем году пиринговые зомби будут интенсивно плодиться. Также специалисты компании соотносят появление SpamThru, который, по их сведениям, был запущен в октябре прошлого года, со скачком спам-трафика в тот же период.
   Получив доступ к файлам командного сервера, в SecureWorks выяснили, что разработчики SpamThru, по всей видимости, родом из России. Об этом свидетельствуют имена файлов и текст исходного кода. Также удалось выявить структуру сформированного ботнета. Сеть состоит из 73 тысяч инфицированных компьютеров, которые распределяются между портами сервера в зависимости от модификации SpamThru и группируются в пиринговые сегменты – по 512 машин в каждом. География зараженных зомби тоже впечатляет. Компьютеры ботнета обнаружены в 166 странах, хотя более половины все же сосредоточены на территории США. Интересно, что около половины ботов были установлены на компьютерах, работающих под управлением Windows XP SP2. Так что интерес Microsoft к этой угрозе вполне оправдан. Штат отдела корпорации по борьбе с ботнетами – Internet Safety Enforcement, в котором раньше работало только три человека, недавно был расширен до 65 сотрудников, а представитель Microsoft отметил, что в 2007 году ботнеты станут одной из самых серьезных проблем безопасности в Интернете.
   Дабы укрепить неуязвимость ботнета, его владельцы установили беспрецедентно высокую частоту обращений ботов при сбое или отказе сервера – до 3 млн. запросов в сутки. Троян также занимается сбором почтовых адресов с винчестеров зараженных машин для формирования спамерской базы. Кроме того, на сервере был найден софт для взлома сайтов финансово-новостной тематики. Причем целью взломщика тоже служили списки почтовых адресов, по которым впоследствии рассылалась реклама биржевых услуг. Генерируются спам-письма по шаблонам, позволяющим избежать обнаружения большинством распространенных фильтров. Сообщения включают как текст, так и картинки со случайным набором пикселов. Дабы не попасть в спам-списки, хакеры наладили циркуляцию в ботнете регулярно обновляемого списка прокси-серверов, доступного всем ботам.
 
Грабь награбленное
   Большие сети компьютеров-зомби формируются, как правило, вследствие распространения червей, использующих свежую уязвимость или просто талантливо (в определенном смысле) написанных, так что создать свой ботнет "на ровном месте" могут немногие. И те, кто не в состоянии сформировать сеть с нуля, но испытывают в ней настоятельную потребность, иногда приобретают уже готовый ботнет или «уводят» его у своих "коллег". Для этих целей даже разработаны специальные хакерские утилиты.
 
 
 
В поисках особого пути
   Децентрализация ботнетов в случае со SpamThru – не единственное новшество в организации зараженных сетей. Уже в 2007 году представители компании Apbor Networks заявили, что им удалось обнаружить несколько ботнетов, не использующих IRC-каналы. Вместо этого боты связывались по не вызывающим подозрений веб-соединениям. В случае с такими сетями становятся неэффективными алгоритмы многих IPS/IDS-систем, выявляющих вторжения по подозрительной IRC-активности. А чтобы опознать контактирующих через веб ботов, необходимо задать в сигнатурах, то есть в профилях атак в IDS/IPS, конечные адреса обращений ботов или команды управления сетью зомби. Разумеется, этих данных у специалистов по безопасности зачастую нет.
   И наконец, в марте о свежей возможности организации ботнетов сообщил Билли Хоффман, сотрудник компании SPI Dynamics. Он написал на JavaScript приложение Jikto, которое позволяет заставить зараженные компьютеры искать дыры на сайтах и в случае обнаружения устраивать атаки или красть информацию. В отличие от ранее применявшихся хакерами сканеров уязвимостей, Jikto работает непосредственно через браузер. Скрипт получает команды от своего разработчика, не оставляя следов пребывания на компьютере-зомби, и делает практически невозможным обнаружение виновника атаки, так как сканирование фактически осуществляют сами пользователи зараженных машин. Хозяин может отдавать Jikto приказы, сообщая, какой сайт и на какого рода уязвимость нужно проверить.
   Код Jikto можно подхватить как на сайте самого хакера, так и на других ресурсах в случае их взлома с использованием дыры в XSS. Запускается скрипт практически на любом браузере в тайне от пользователя и не может быть обнаружен антивирусом. Появление таких аналогов в руках злоумышленников тоже представляет собой глобальную угрозу, хотя бы на первый взгляд. Если наличие пропатченного браузера, антивируса с обновленными базами, эффективного спам-фильтра и правильно настроенного файрволла делает риск зомбирования компьютера через троянца или червя относительно низким, то против Jikto, как и любого другого вредоносного JavaScript-скрипта, буде такой появится, все эти средства бессильны.
   Сам Хоффман полагает, что его творение кардинально меняет представление о возможностях JavaScript, и собирается продемонстрировать Jikto на конференции Black Hat в Лас-Вегасе этим летом. Есть, правда, надежда, что хакеры со скепсисом отнесутся к детищу Хоффмана из-за сравнительно низкой скорости его работы в качестве сканера уязвимостей. Такие мнения уже встречаются на некоторых форумах. А что касается возможности скрыть личность злоумышленника, то аналогичного эффекта можно достичь, использовав в ботнете цепочку из прокси-серверов.

ОПЫТЫ: Параноидальный бэкап

   Автор: Филипп Казаков
   Так и подмывает начать тему с традиционного занудства о необходимости резервного копирования, печальных последствиях утраты информации, бренности жестких дисков и прочих страшилках, приправленных парой примеров «из жизни» о пропавшей за день до сдачи дипломной работе. В действенности подобные занудства сродни советам переходить улицу на зеленый свет, вовремя ложиться спать, делать зарядку по утрам, бросить курить и стать, наконец, человеком. А потому, хоть и хочется вставить пару нравоучительных абзацев, я волевым усилием воздержусь.