Дело Левина: 11 лет спустя; Sony устанавливает закладки в системы пользователей; Персональные защиты: что новенького; Visual Studio 2005; Blizzard защищает WoW с помощью spyware.

#213, 02.11.2005

Дело Левина: 11 лет спустя
dl // 02.11.05 08:35
Независимый обзор провайдеров опубликовал воспоминания ArkanoiD'а о том, как на самом деле происходил нашумевший в свое время взлом Ситибанка. И хотя информация о том, что Левин просто воспользовался результатами чужой работы, в общем не слишком новая и много раз публиковалась (с фигурирующими в тексте характерными никами типа Мегазоид, Буказоид и т.п.), нельзя не признать, что текст от первого лица с практически полным раскрытием инкогнито публикуется впервые, ну и само по себе это достаточно интересное чтение. Заодно это сподвигло меня преодолеть трехлетнюю лень и выложить на веб введение в "Атаку из Internet", в которое включен рассказ еще одного из участников той истории (насколько я знаю, более-менее подробное изложение технической стороны дела впервые было приведено именно в нем).
Источник: Независимый обзор провайдеров, Атака из Internet

Sony устанавливает закладки в системы пользователей
dl // 01.11.05 20:52
Как-то раз Марк Руссинович (Mark Russinovich), автор множества полезных системных утилит для Windows, отлаживал свою очередную программу RootkitRevealer, занимающуюся поиском закладок (или руткитов, rootkits). Под закладками в данном случае понимаются любые вредоносные программы, помимо прочего всячески скрывающие свое присутствие в системе, как правило, за счет перехвата системных функций, отвечающий за перебор имен файлов на диске, процессов в памяти и т.п. И вдруг RootkitRevealer обнаружил на машине своего хозяина спрятанный таким образом каталог, после чего нашелся и системный драйвер, занимающийся его сокрытием.

Будучи человеком вменяемым и представляющим, что и откуда он запускает, Марк заинтересовался, где же он мог подхватить эту заразу. Дальнейшие исследования привели его к компании "First 4 Internet", занимающейся выпуском средств, поддерживающих DRM (Digital Rights Management). Тут-то он и вспомнил, что некоторое время назад приобрел диск, выпущенный Sony, который мог быть проигран на компьютере только с помощью своего плейера. Для полного счастья возможность штатного удаления этот подарок от Sony не предусматривал в принципе, а простой ручной снос каталога привел к неработоспособности дисковода - один из удаленных драйверов был включен в цепочку фильтров устройства. Так что для оживления системы пришлось еще и покопаться в реестре.

Финальный вывод - Sony слишком далеко зашла с DRM и своей борьбой за авторские права.
Источник: Mark's Sysinternals Blog

Персональные защиты: что новенького
dl // 31.10.05 01:40
Даже самые рьяные охотники за новым софтом рано или поздно в каждом классе задач останавливаются на определенном продукте, после чего удовлетворяют остатки стремления к новому традиционной погоней за последними версиями. Однако иногда случается непредвиденное и привычная программа тихо умирает или убивается производителем, как это случилось с Kerio, после чего поневоле приходится начинать гонку заново.

Мой личный поиск совершенства еще далеко не завершен, притирка к новому софту - это как покупка новой обуви. Однако попавшиеся в его процессе на глаза продукты нескольких отечественных компаний вполне заслуживают внимания и поддержки, так что я решил мимоходом пройтись по ним в обзоре.

Долгое время для меня абсолютно естественным было использование Agnitum Outpost, за развитием которого я наблюдал с самых ранних версий и функциональность которого более чем устраивала. Год назад пришлось изменить ему с Kerio из-за возникших проблем на системе с hyperthreading'ом и постоянных танцев с бубнами, которые приходилось проделывать, чтобы работать с ftp на машине с ICS. За прошедший год часть проблем вроде бы ушла, этой осенью вышла третья версия, в которую добавился модный модуль для борьбы со spyware, позволяющий отследить критичные изменения в реестре и системных файлых. К сожалению, количество синих экранов за последние пару недель все же превысило привычный уровень, так что точку в поиске ставить рановато.

Достаточно неожиданным для меня оказалось то, что компания Агава, более известная своими web-сервисами, выпустила целую линейку продуктов, направленных на защиту пользователя. Agava Firewall включает в себя полный джентльменский набор - честная stateful фильтрация, защита от ARP-атак, обучающий режим, поддержка плагинов, инспектор приложений, система обнаружения атак, почтовый и web-фильтры, кэширование DNS. Я бы сказал, что основная проблема этого файрволла - отсутствие за спиной длинной истории развития и связанная с этим естественная настороженность пользователей, но потенциал у него очень неплохой. Agava AntiSpy занимается очисткой системы от spyware. Работает, правда, только в режиме сканирования, хотя постоянный мониторинг критичных системных объектов был бы, конечно, более эффективным. Найденные угрозы отсортированы просто по алфавиту, вне зависимости от опасности, что не слишком облегчает работу. Наконец, SpamProtexx представляет собой спам-фильтр, включающий механизмы, направленные на борьбу с рядом традиционных проблем, характерных для байесовской фильтрации. Работа с ним прозрачна для пользователя и не требует специальной настройки почтового софта. Доступен плагин для Bat, поддерживается автоматически пополняемый белый список. Русскоязычный интерфейс и простота установки/настройки делают эту линейку достаточно привлекательной для пользователей средней квалификации.

Довольно любопытный продукт от компании StarForce, специализирующейся на защите программного обеспечения - Safe’n’Sec, версия 2.0 которого вышла в конце сентября - предлагает несколько иной подход к персональной защите. Safe’n’Sec перехватывает и анализирует все вызовы системных функций на уровне операционной системы (фактически получается аналог явской песочницы). На основе заданных правил принимается решение об уровне опасности запрашиваемых действий, которые после этого запрещаются либо разрешаются. Перехватчик запускается при старте операционной системы и встраивается в цепочку вызовов системных функций до загрузки большинства сервисов. Возможно использование разных политик - от жесткой, при которой контролируются все действия пользователя, до доверительной, при которой контролируется только потенциально опасная активность - работа с реестром, системными файлами и т.п. Возможен вариант поставки с лицензированным антивирусным движком от BitDefender. Выглядит неплохим дополнением к традиционным персональным файрволлам, которые в последнее время (как тот же Outpost) тоже стали отслеживать локальную активность приложений, но пока делают это не столь тотально.

Visual Studio 2005
dl // 30.10.05 12:40
Visual Studio 2005 достигла стадии релиза и ушла в производство. Официальные продажи начнутся чуть позже, но подписчикам MSDN она уже доступна. Всего будет пять вариантов поставок - Express edition (отдельные облегченные варианты Visual Basic, Visual C#, Visual C++, Visual J#, ориентированные на начинающих; бета-версии доступны бесплатно, окончательные варианты предполагается продавать за 49 долларов); Standard Edition (базовый вариант "полноценной" системы), Professional Edition (среди добавлений - 64-битный компилятор, интеграция с SQL Server 2005, отладка удаленных приложений); Visual Studio Tools for Office (по сравнению с Professional Edition - в комплекте только VB и VC#, плюс возможность разработки приложений для Office 2003) и, наконец, Visual Studio Team System, включающая профайлер, средства коллективной разработки, тестирования и т.п.

Первые впечатления очень приятные. Освеженный интерфейс (например, файлы можно не только открывать в закладках, но и формировать несколько групп закладок, которые видны одновременно - очень удобно при одновременной работе с несколькими файлами, хелпом и т.п.), куча нового функционала. Основной праздник, конечно, на улице разработчиков под .NET вообще и С# в частности. Навскидку - поддержка шаблонов и анонимных функций в языке, новые управляющие элементы от .NET 2.0, Class Designer, дающий нарисовать иерархию классов, которая сразу воплощается в код, Object Test Bench, позволяющая потестировать объекты сразу при написании кода, конвертер ява-кода в C#, возможность посмотреть дерево вызовов функций (кого вызывала эта функция, кто вызывал ее и далее по цепочке), средства рефакторинга (более-менее интеллектуальный rename, выкусывание части кода в отдельные функции, создание свойств из полей, удаление параметров и т.п.).

На долю С++ осталось несколько меньше. Дерево вызовов функций работает и тут, что весьма полезно при анализе кода (хотя к хорошему быстро привыкаешь и начинаешь обижаться на то, что оно не срабатывает с виртуальными функциями из потомков, вызыванных через предков - впрочем, ссылка на функцию из предка при этом все же показывается, так что не все потеряно). Усилен Class View, превратившийся практически в полноценный броузер классов, теперь в нем можно просматривать потомков и предков, унаследованные функции, прятать/показывать закрытые/открытые функции и атрибуты. Добавилось Code Definition Window - быстрый read only просмотр классов/функций, выбранных в Class View или просто в коде. Любопытна закладка Property Manager, позволяющая быстро добавить ряд заранее определенных настроек проекта (как стандартных, так и самостоятельно добавленных, удобно при переносе настроек для однотипных проектов без нудного прохода по свойствам проекта). Можно забыть об отладочных печатях и макросах TRACE - помимо привычных точек останова появились tracepoints, которые можно устанавливать на лету, задавая вывод значений переменных, имен сработавших функций и т.п. Добавилась встроенная поддержка OpenMP, упрощающая разработку параллельно исполняющегося кода. Довольно любопытно стало наблюдать за сборкой проекта, включающего несколько подпроектов - их номера теперь выводятся перед именами файлов, и четко видно, как одновременно компилируются файлы из разных подпроектов. Ушла оптимизация под различные процессоры, осталась только blended model.

При переносе старого кода стоит учесть гораздо более строгую работу с указателями на функции-члены, объявление устаревшими (deprecated) огромного количества потенциально опасных функций (типа strcpy, scanf, ворох приходящих от этого предупреждений пока отключается, но в дальнейшем вместо них рекомендовано использовать более безопасные версии, включающие в имена суффикс _s и, как правило, дополнительный параметр, задающий длину буфера). Также стоит учесть, что при настройках по умолчанию областью видимости переменных, объявленных в заголовке цикла, является только сам цикл (т.е. параметр /Zc:forScope, которым можно было пользоваться и раньше, теперь по умолчанию включен). Наконец, все это хозяйство спокойно встает рядом с VS.NET 2003, так что можно позволить себе плавный переход.
Источник: MSDN

Blizzard защищает WoW с помощью spyware
dl // 14.10.05 03:43
Каждые 15 секунд программа-"привратник", автоматически загружаемая с близзардовских серверов при подключении к World of Warcraft, проделывает с компьютерами 4.5 миллионов игроков следующее:
- получает список всех dll, отображенных в адресное пространство исполняемого файла игры;
- использует функцию GetWindowTextA для получения заголовков всех окон в системе, проверяя их на совпадение со строками из черного списка;
- подключается к каждому запущенному процессу и с помощью функции ReadProcessMemory считывает ряд адресов в диапазоне с 0x0040xxxx по 0x0041xxxx.

В своем комментарии Blizzard замечает, что в подобном сканировании нет ничего незаконного, что так защищаются многие игры, что предупреждение о возможных проверках записано в EULA (во-первых, кто ж его читал, во-вторых, договоры, противоречащие текущему законодательству, любым судом будут признаны ничтожными), и что вообще человек, обнародовавший эту информацию, занимается разработкой hack/cheat-программы для WoW (попросту говоря, бота). Мнения игроков разделились.
Источник: Schneier on Security