Фоновая интеллектуальная служба передачиsvchost.exe — k netsvcs
Диспетчер подключений удаленного доступаsvchost.exe — k netsvcs
Сетевые подключенияsvchost.exe — k netsvcs
Система событий COM+svchost.exe — k netsvcs
Служба обнаружения SSDP svchost.exe — k LocalService
Служба сетевого расположения (NLA)svchost.exe — k netsvcs
Службы терминаловsvchost — k DComLaunch
Телефонияsvchost.exe — k netsvcs
Windows Audiosvchost.exe — k netsvcs
Доступ к HID-устройствамsvchost.exe — k netsvcs
Маршрутизация и удаленный доступsvchost.exe — k netsvcs
Оповещатель svchost.exe — k LocalService
Планировщик заданийsvchost.exe — k netsvcs
Служба сообщений svchost.exe — k netsvcs
Итого шесть процессов при работе всех служб
Защита Wi-Fi сетей. Методы защиты
Автор: securityfocus
Источник: http://www.xakep.ru/
Исправляем WEP
Существует несколько процедур, при помощи которых вы можете улучшить безопасность своей сети. На самом деле все ниже перечисленные пункты необходимы на этапе становления сети, но если у вас они не реализованы, то лучше их сделать — чем быстрее тем лучше.
Используйте длинные WEP ключи, это затруднит хакеру работу. Если оборудование поддерживает 128-битное шифрование, то конечно юзайте его. Периодически меняйте ключи. Размещайте точки доступа за файрволом, вне локальной сети. Используйте VPN для всех протоколов, которые могут передавать важную информацию. Используйте несколько техник для шифрования трафика, например IPSec. Вероятно надо будет устанавливать софт на клиентах, установить IPSec сервер в локальной сети, использовать VLAN между точкой доступа и сервером. В таком варианте пользователи сети будут организовывать IPSec туннель к серверу и передавать через него все данные.
Если есть возможность, то нужно менять прошивки на всех сетевых устройствах. Например, разработчики AirSnort (см. предыдущую статью) отмечают, что уже не все точки доступа поддаются взлому и на них невозможно взломать WEP ключ. Это работа производителей — обновления постоянно улучшают свои устройства и чем быстрее вы внедрите эти улучшения в свою сеть тем лучше.
Но это конечно не панацея. WEP использует алгоритм RC-4, который по определению уязвим из-за постоянства ключа. Единственное, что в протоколе помогает бороться с этим и изменять значение ключа — 16-битное значение IV. Оно каждые 65.536 пакетов меняет свое значение, и с точки зрения хакера уже не важно какая прошивка используется в сетевом оборудовании — если значение повторяется, следовательно его можно подобрать и проникнуть внутрь. Апгрейд оборудования не стоит игнорировать, но лучше обратить внимание и на сами алгоритмы защиты сети.
WPA-PSK и WPA-Enterprise
Следовательно, надо что-либо делать с самой концепцией. Решения уже разработаны, в частности WPA, или Wi-Fi Protected Access. Основа WPA — Temporal Key Integrity Protocol (TKIP). Вкратце, TKIP намного превосходит WEP: механизм шифрования его более стойкий, к тому же его можно внедрить на существующем оборудовании. TKIP меняет ключ для каждого передаваемого пакета и тем самым устраняет любую возможность подбора. (Существует и облегченная версия WPA — WPA Pre-Shared Key (WPA-PSK). Она больше подходит для небольших сетей. В ней как и в WEP существует статический ключ, но используется и TKIP, автоматически меняющий ключ в определенных временных интервалах.) Другая вариация WPA — WPA-Enterprise, использующая TKIP, а плюс к этому аутентифицирующий сервер или устройство, которое работает по Extensible Authentication Protocol (обратите внимание, что тут необходим дополнительный сервер, который будет раздавать привилегии, например RADIUS, такую ситуацию называют EAP-over-RADIUS; есть и иное, более дешевое решение — так называемый Wireless Guard, он авторизует пользователя именем и паролем).
Естественно, технология WPA не лишена и своих проблем. Robert Moskowitz из ICSA Labs обнаружил, что ключевая фраза WPA может быть взломана. Это происходит из-за того, что хакер может заставить точку доступа регенерировать обмен ключами менее чем за 60 секунд. И даже если обмен ключами достаточно безопасен для мгновенного взлома, его можно будет сохранить и использовать для оффлайнового перебора. еще один вопрос заключается в том, что EAP передает данные открытым текстом. Изначально для шифрования EAP сессий использовался Transport Layer Security (TLS), но для его работы на каждом клиенте требуется сертификат. TTLS несколько исправил эту проблему, но Microsoft (в Windows XP SP1 есть поддержка WPA) и Cisco решили вопрос по своему и создали Protected EAP, отличную от TTLS. Сейчас две технологии конкурируют и вероятно поддержка таких грандов склонит победу к PEAP.
Будущее
В перспективе нас ждет спецификация 802.11i (профильный комитет Institute of Electrical and Electronic Engineers (IEEE) проголосовал за утверждение нового стандарта для локальных беспроводных сетей 802.11i буквально в прошлом месяце), которая является действительной панацеей от всех головных болей с шифрованием. Новая спецификация включает более эффективный способ отлова злоумышленников, стойкий TKIP, Advanced Encryption Standard (AES), который поддерживает длинные и более безопасные потоки данных нежели TKIP в одиночестве (хотя длинна ключа такая же, 128 бит, алгоритм шифрования во много раз более стойкий). AES уже сейчас широко используется, в частности американским правительством.
802.11i кроме того поддерживает все 802.1x, а так же EAP, а следовательно RADIUS-based аутентификацию, регулярное обновление ключей у клиентов, раздачу уникальных ключей каждому индивидуальному клиенту (что еще уменьшает риск атаки, так как один ключ не даст доступа ко всему трафику остальных клиентов).
Серые кардиналы Веба
Автор: Евгений Золотов
Источник: http://www.computerra.ru/
Интернет давно вышел из младенческого возраста с присущей ему простотой. Глобальная сеть сегодня — невообразимо сложная, многоярусная структура, в которой взгляду рядового путешественника доступна лишь незначительная часть. Нырять глубже, в тёмные глубины виртуальных вод, решаются немногие — одной смелости для этого мало, нужно особое оснащение. Но диковинки, которые приносят с собой исследователи, стоят и труда, и риска. На днях немецкие специалисты по информационной безопасности опубликовали отчёт об одной такой экспедиции, длившейся несколько месяцев: осенью прошлого года группа специалистов начала изучение яруса ботнетов и сейчас делится своими находками.
Ботнеты (от англ. botnets) — онлайновый андеграунд, преисподняя Веба — множество субсетей, протянутых по каналам интернета автономными клиентами, в роли которых выступают вирусные и шпионские программы (боты). Паразитирующие на обычных персоналках и серверах, боты в значительной степени самостоятельны (репликация, поддержание связи с другими узлами, выполнение различных задач на заражённых машинах — всё это они делают сами), но в конечном счёте всегда подчинены своим хозяевам. Последние управляют ботнетами удалённо, обычно через публичные IRC-каналы. Антивирусным компаниям и специалистам по защите систем и сетей сегодня известно несколько десятков популярных разновидностей ботов, анализ их позволяет судить и о задачах, выполняемых сетями таких программ (проведение DdoS-атак, рассылка спама, кража данных). Считается, что компьютеры, входящие в состав бот-сетей, составляют значи! тельную часть сети глобальной, но какова в точности их массовая доля, сказать, по понятным причинам, трудно: создатели ботнетов не афишируют свою работу, а доступ к этим сетям требует знания закрытой информации.
Пролить свет на киберкриминальный феномен удалось немецким исследователям, участвующим в интернациональном проекте Honeynet Project. Для изучения ботнетов они применили оригинальную технику, позволившую взглянуть на проблему изнутри: сеть-приманку (honeynet), составленную из нескольких машин под управлением Microsoft Windows, замаскированных под обычные домашние персоналки, но на самом деле оснащённых особым программным обеспечением для мониторинга. Подключение «подставных» машин к Сети уже через несколько минут приводило к их заражению какой-либо заразой, которая часто подключала инфицированную PC к одной из развёрнутых в интернете ботнетов. Анализируя исходящий трафик и исследуя по выловленным из него ссылкам различные веб-ресурсы, авторы работы получили уникальные результаты. Подробности можно найти в увлекательном отчёте, опубликованном на сайте honeynet.org ("Know Your Enemy: Tracking Botnets"), здесь же хотелось бы остановиться на самых интересных общих моментах.