eldarm

Ок, ок, может не очень новая. Я просто хотел обратить внимание на некоторые технические детали.

Некоторое время назад - пару месяцев - мне начали приходить спам-сообщения, как обычно для спама, очень грязного и пошлого сорта, но (!) с моего собственного адреса, так что даже Гугл не ловил подвоха и честно совал мне это в Inbox.

Вот здесь для любопытных фрагменты типичного заголовка такого письма (привожу последнее, полученное сегодня):

Delivered-To: МОЙ-КОНЕЧНЫЙ-АДРЕС
Received: by 10.100.210.13 with SMTP id i13cs203927ang;
        Sat, 13 Jun 2009 19:25:00 -0700 (PDT)
Received: by 10.114.199.1 with SMTP id w1mr9040225waf.151.1244946299863;
        Sat, 13 Jun 2009 19:24:59 -0700 (PDT)
Return-Path: <МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС>
Received: from МОЙ-ДОМЕН (МОЙ-ДОМЕН [IP-АДРЕС-МОЕГО-ДОМЕНА])
        by mx.google.com with ESMTP id 15si4368125pxi.159.2009.06.13.19.24.59;
        Sat, 13 Jun 2009 19:24:59 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС designates IP-АДРЕС-МОЕГО-ДОМЕНА as permitted sender) client-ip=IP-АДРЕС-МОЕГО-ДОМЕНА;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС designates IP-АДРЕС-МОЕГО-ДОМЕНА as permitted sender) smtp.mail=МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС
Received: from [86.73.44.239] (239.44.73-86.rev.gaoland.net [86.73.44.239])
 by МОЙ-ДОМЕН (8.13.1/8.13.1) with ESMTP id n5E2OuRf016440
 for <МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС>; Sat, 13 Jun 2009 20:24:57 -0600
Date: Sat, 13 Jun 2009 20:24:56 -0600
Message-ID: <GHWADMCMRATV.VHIJIVAWPOUMFGA47439594680@[86.73.44.239]>
From: "Alayna Boron" <МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС>
To: МОЙ-ПЕРЕНАПРАВЛЕННЫЙ-АДРЕС
Subject: Suiciders online
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Кстати, подобное издевательство было бы невозможно без попустительства Китая. Это меня так озадачило, что я даже пообсуждал с супругой, а есть ли у китайцев понятие этики как таковой или оно принципиально иное? Ведь у них, если такое без разрешения партии - все просто, пуля в затылок и на запасные органы. Так почему же высокие партийные органы там подобное безобразие разрешают? Я, конечно, понимаю, что особой любви к Америке они не питают, но тут-то они мараются в таком... мерде, что о сохранении лица даже говорить смешно. Да, а почему я говорю, что помощь идет из Китая? Да очень просто - спам не работает без линков, а все линки - в Китае, на китайских серверах. Спамеры, кстати, их очень хвалят, говорят, совершенно непробиваемые для жалоб.

Ладно, это все детали, а как же все это сделано? А очень просто. Если вы внимательно посмотрите на заголовки, то окажется. что главный вонючка - это машина в сети gaoland.net.

C:\>NSLOOKUP 86.73.44.239
Server: cns.beaverton.or.bverton.comcast.net
Address: 68.87.69.146

Name: 239.44.73-86.rev.gaoland.net
Address: 86.73.44.239

Если посмотреть заголовки других таких же писем (я их аккуратно собираю), то встретятся серверы в Нью-Йорке, Пенсильвании, Миссури и еще много где. Откуда же они берутся?

Помните я недавно рассказывал как посетителей вебсайтов заражают троянами? Вот для этого в частности и заражают. Это безвинно зараженные машины обычных обывателей, которые совершенно не в курсе, что из машины используются для рассылки спама. Кстати, потом ISPs - провайдеры Интеренета - это обнаруживают и их отключают, хотя вся их вина в том, что их машину заразили всякие сволочи. В общем, рассылается это дело обычными бот-нетами или как их еще называют, зомби-сетями.

Грустно это, господа... куда-то непонятно куда развивается наша любимая компьютерная технология. Как говорил профессор Преображенский "Такой кабак мы сделали с этим гипофизом, что хоть вон беги из квартиры."

Ну, да, кросс-пост с персонального блога...

Постоянные читатели уже в курсе, что на Technet я в основном публикую кросс-посты с моего персонального блога eldar.com (например, вот этот пост находится здесь). И вот, месяца четыре назад, пришло мне такое письмо (в вольном изложении, само собой, оригинал был на буржуинском): «Здрасьте! Я интернет маркетинг менеджер компании Крибле-Крабле-Блюмс! Мы спецализируемся на Интернет рекламе на небольших сайтах. Мы готовы вам платить $20 в месяц, если вы разместите рекламу наших клиентов. Все что нужно сделать – вставить небольшой PHP код на каждую вашу страницу...»

Ок... Вы знаете, за уже скоро десять лет на Майкрософте, моя нынешняя группа – первая, где я не отвечаю за секьюрити всего продукта. Так что, как вы понимаете, у меня сформировалась некоторая, вполне здоровая в моих обстоятельствах, паранойя... Так они хотят, чтобы я вставил PHP код выполняемый на МОЁМ сервере???

Но я не стал судить резко, все-таки взял PHP код и внимательно посмотрел ему в глаза... Вроде бы все честно. Берет что-то с их сайта и выводит их в HTML на моей странице. Обычно и правда честный набор из четырех-шести линков. Первое чувство было, что они пытаются взломать мой сайт. Но вроде бы не должно получаться... Конечно, скребло чувство, а не может ли их вывод вторично интерпретироваться как PHP? Это-то точно было бы огромной дырой в секьюрити. Вроде бы нет, но все же... что-то еще скребло...

И тут до меня ДОШЛО. Достать пытались не меня, А ВАС! Позвольте обьяснить как.

Это в период переговоров этот код выдает скромный набор из четырех линков. А если бы я его вставил на свой сайт, он начал бы выдавать еще дополнительно скромный Javascript. Вы можете спросить, ну и что? Увы, еще как что. Дело в том, что если система не имеет все последние заплатки, то в ней часто есть дырки, через которые Javascript может заставить систему выполнить произвольный код. «Произвольный код» звучит заумно и не очень страшно, но на самом деле это обычно трояны. Точнее, установка троянов. Причем ныне уже не те времена, когда троян заставлял буковки сыпаться с вашего экрана, сейчас этим занимаются вполне серьезные дяди, которым совершенно неинтересно вас шокировать или пугать, им просто нужны ваши деньги. Современные трояны в основном делают очень простую вещь – они сидят тихо и ждут, когда вы сделаете что-нибудь интересное. Скажем, залогинитесь в ваш счет в банке или купите что-то на Интеренете по кредитной карточке. Тут они ловят ваш ввод и отправляют на анонимный сервер хозяину трояна, которые затем может этими данными воспользоваться или, что более часто, продать их тем, кто может ими воспользоваться.

В общем, такой вот я молодец! Защитил и свой сайт и своих читателей. Пойду, возьму с полки пирожок. Тот, что посередине...

Из мелочей, наконец обзавелся телефоном с камерой. Вообще-то камера мне была ни к чему, я просто хотел батарею, которая дольше работает без подзарядки, но как-то там же оказалась и камера. И вот три снимка с уже знакомой прогулки по лесу, о которой я уже рассказыал не раз и не два...

Шотландская метла - красиво!

По дороге окруженной желтыми цветами

Круглое озеро с утятами

Нет, правда. Взяли вы полученный откуда-то сертификат, установили в localmachine store, и вдруг ваша программа его не видит!!! Это что? Это как? Что за безобразие? Караул! Грабят! Вирус! Ну, не совсем...

Для начала, как все это дело устанавливается? Сертификат записывается в registry, так и положено, в нем же находится и публичный-общественный-открытый ключ. А вот приватный ключ в сертификате, равно как и в registry, не хранится. Если честно, не знаю с чем конкретно связана сия конспирация... ну, понятное дело, хранили бы они его где-то в секретном месте, ан, нет, место публичное – дальше некуда. Или почти некуда, о чем чуть пониже. Называется оно “%system drive%\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys”, ну или что там в локализованной верссии.

Фолдер этот (или там директория – называйте как нравится) – особенный. Во-первых, нормальной пользовательской версии Windows там хранить практически нечего, поэтому он нередко пустой. Или по крайней мере, иногда бывает пустым. Что, увы, очень важно для нашей истории, о чем я опять же скажу чуть попозже.

Так вот, устанавливаете это вы сертификат. Свеженький, только что спеченный, от самой что ни на есть Certificate Authority. Сертификат, понятное дело идет в registry, а ключ? Ключ – в тот самый фолдер (см. выше). Причем ACL на него ставится тот же самый, что и на фолдер. Что тоже логично, ведь права наследуются, верно? А дальше происходит очень умная, ну просто немного слишком умная вещь – у файла с приватным ключом удаляется доступ для Everyone (или, там, WD). Логично, правда? Нечего кому попало иметь доступ к приватному ключу! Но, как всегда, не обходится без проблем. А именно, если на самом фолдере права только этому самому Everyone и даны, то после этой вполне логичной операции к приватному ключу доступа нет вообще никому. Ни админу, ни даже SYSTEM, выше которой в Windows только ядреный режим... В общем, видит око, да зуб неймет.

Вы можете сказать, подумаешь... ну, нечего кривые права на этом фолдере иметь. И правда, нечего. Но тут начинается самое смешное. Дело в том, что иногда криптографический слой ОС просто удаляет этот фолдер, когда в нем не остается ключей. А ключей там мало, так что такое случается сплошь и рядом. В качестве следущего шага, он создает его когда нужно создать новый и первый ключ. И тут – держитесь за стулья – он, конечно, их создает под текущим пользователем. Понимаете, что это означает? Это означает, что вы заранее понятия не имеете какой доступ будет на этом фолдере и, соответственно, на ваших новых ключах. Чтоб не слушать замечания насчет MS софта, добавлю, что удаление фолдера вроде бы находится в коде партнера MS, который поставляется в составе Windows и с которым MS ничего особо сделать не может.

В общем, если соберетесь импортировать сертификаты, обратите внимание, чтобы на этом фолдере были права для встроенных администраторов и SYSTEM. Мы в это вляпались как мордой в салат, и до сих пор наталкиваемся на случаи, когда права на этот фолдер ломают что не надо.