Похищение стопа

Москва, 29.03.2010
«D`» №6 (93)
Можно ли устроить «засаду» на чужие торговые заявки? Можно, так же как и самому оказаться жертвой

IPhone и смартфонам на базе Google Android, которые так любят гики — люди, одержимые технологиями, — не хватает приложений для биржевой торговли на российских фондовых площадках. Нет даже элементарных информеров, которые позволяют следить за котировками российских акций.

Смартфон с Android у меня появился недавно, и я решил попробовать создать для него простейшее приложение. Загрузил и установил средства для разработки от Google, научился конфигурировать и запускать на PC эмуляторы смартфонов от различных производителей, начал примеряться к библиотекам функций… И тут очень некстати (или, наоборот, кстати) задумался о трафике. Уже установленный на смартфон информер от Yahoo! Finance довольно заметно опустошает мой мобильный счет. А так как мобильный оператор не дает детально изучить GPRS-трафик, то я решил замерить его самостоятельно. Но как получить сетевой лог (log — протокол событий) телефона?

Дело номер 201.224.73.222

В принципе для персонального компьютера отследить сетевой обмен и снять слепок полученного и отправленного по Сети — несложно. Для этого достаточно установить снифер — специальную программу перехвата и анализа сетевого трафика. Поэтому если пропустить сетевые пакеты от мобильного через PC, то можно отследить и трафик смартфона. Для этого достаточно просто подключить к USB-разъему компьютера дополнительный Wi-Fi-адаптер, настроить PC на работу в режиме шлюза и проанализировать сетевые пакеты, которые проходят через него. Если вы решите дома проделать нечто подобное, то учтите, что Wi-Fi-адаптер USB должен иметь встроенную точку доступа. Иначе подсоединить к нему смартфон просто не получится.

В качестве снифера я использовал Netasyst Network Analyzer — программа далеко не самая свежая, зато обладающая массой достоинств. Например, она позволяет подключать фильтры-анализаторы, сигнализирующие о наличии трафика от программ-шпионов (malware). На сайте антивируса McAfee можно даже найти списки и загрузить такие фильтры, которые помогут обнаружить в Сети активность вредоносного кода, еще не распознаваемого антивирусами.

Итак, после настроек всех программ и устройств я решил сравнить трафик от смартфона с сетевой прожорливостью своего торгового биржевого терминала. Я закрыл все возможные программы, которые способны проявлять сетевую активность, и стал изучать, сколько различных интернет-запросов отправляет терминал и насколько велики пакеты-отклики от сервера брокера. Выставляя различные торговые заявки, посылая запросы на построение и перестроение графиков, изменяя отображение «стакана» котировок и т. д., удалось выяснить, что в некоторых случаях происходит соединение компьютера еще с одним сервером, на который осуществляется односторонняя пересылка небольшого пакета. IP-адрес получателя 201.224.73.222. Браузер с установленным Flags-плагином (определителем местонахождения серверов) показал, что получатель пакетов находится в Панаме. Whois-сервисы, например сайт www.lacnic.net/cgi-bin/lacnic/whois, информируют о том, что IP-адрес зарегистрирован за Cable & Wireless Panama. Если воспользоваться программой-трассировщиком, мы обнаружим, что этот узел находится вблизи мощного магистрального канала связи, а это свидетельствует о промышленном подходе к делу его владельцев.

Сам факт того, что биржевой терминал отправляет сетевые пакеты кому-то еще, кроме брокера, настораживает. А то, что получатель находится в Панаме, настораживает вдвойне. Еще свежи истории борьбы российских спецслужб с сайтами чеченских сепаратистов, которые размещались именно у хостинг-провайдеров Латинской Америки. Не самые законопослушные интернетчики уже давно облюбовали этот регион из-за его абузоустойчивости (от англ. abuse — «стойкость») — то есть игнорирования местными хостинговыми компаниями жалоб на спам, возможности размещения незаконного контента и осуществления другой противоправной деятельности с помощью своих серверов.

Civilization Iv

Расследование того, как, зачем и какие байты понадобились из моего терминала людям в Панаме, заняло два дня. Главная трудность заключалась в том, что панамский трафик был очень незначителен и потому трудноуловим. В течение первых наблюдаемых мною биржевых торгов было отослано всего три пакета по 512 байт. Пришлось тщательнейшим образом изучить, в каких же ситуациях это происходило. К слову сказать, я подключен к биржевым торгам через демо-счет и потому был относительно спокоен по поводу возможного хищения ключей электронной цифровой подписи системы интернет-трейдинга. Кроме того, на компьютере, где я держу все приложения для разработки и прочий зоопарк программ, у меня нет даже интернет-кошельков. Этот компьютер для того и предназначен, чтобы полазить по пиринговым сетям, послушать музыку, поиграть, попрактиковаться в создании веб-приложений и ковыряться в средствах разработчика…

В общем, с компьютера практически нечего похищать, поэтому я незамедлительно занялся изучением вопроса появления несанкционированных байтов. Потратив несколько долгих часов и перепробовав массу вариантов, я выяснил, что пересылку панамского пакета вызывает стоп-заявка. Выставление или снятие тейк-профита и стоп-лосса вызывает пересылку подозрительных байтов.

Netasyst Network Analyzer позволяет записывать все пересылаемое через Сеть, поэтому, когда знаешь, что искать, ответ находится очень быстро. Расшифровывать содержание пакетов в размере 512 байт даже не пришлось: они не кодировались, и это были данные о размере стоп-заявки, ее цене плюс какая-то служебная информация. Судя по всему, это код-идентификатор эмитента и признак того, снята заявка или выставлена. Осталось разобраться в том, кто же отправляет панамскую посылку.

Для вычисления программы-отправителя я использовал монитор системных ресурсов. У меня была установлена еще старая версия системных мониторов Sysinternals Suite, но ради такого случая я загрузил новую версию монитора VMMap уже под лейблом Microsoft. Вычислять вредоносный код оказалось не очень сложно. Вместе с запуском биржевого терминала запустился компактный модуль kbdd_panam_1_04, который «присасывается» к csrss.exe (стандартному обработчику необработанного ввода с клавиатуры и мыши в Windows) и работает как прокладка между ним и драйвером устройства. Способ довольно изощренный, и, возможно, поэтому мой Norton Antivirus никак не отреагировал на его присутствие. Кстати, название модуля может меняться от запуска к запуску, но модифицируются только последние цифры, оставляя неизменной заглавную сигнатуру. Как эта зловреда ухитряется отличать выставление стоп-заявок от прочих действий, честно сказать, для меня осталось загадкой. Но главной задачей было найти способ обезвреживания вредоносного кода.

Решение оказалось простым и исключительно эффективным. Все компьютеры, смартфоны, ноутбуки и даже недавно купленный ЖК-телевизор у меня подключены в домашнюю сеть через Wi-Fi-роутер. Он позволяет не только «раздавать интернет» по всему множеству домашней машинерии, но и обеспечивает некоторые другие полезные функции: защиту от внешних DDOS-атак, маскирование и подмену IP, простейшую фильтрацию. Эти возможности роутера я и задействовал для защиты, просто исключив адрес 201.224.73.222 для обращения. Читателю, который подключен к интернет-провайдеру напрямую или если настроить маршрутизацию невозможно (слабые возможности роутера или техническая неосведомленность пользователя), придется проделать следующую процедуру. В меню «Пуск» Windows выберите пункт «Выполнить», введите CMD и нажмите Enter. Вы оказались в командной строке. Далее набираете команду Netsh. Вы попадете в консоль сетевой маршрутизации Windows. Даете команду «Routing IP NAT». Теперь осталось только запретить трансляцию пакетов по нашему злосчастному адресу. Печатаем «delete addressmapping InterfaceName=’имя_интерфейса’ public=201.224.73.222» — и дело в шляпе. Вместо «имя интерфейса» вам надо напечатать то же, что указано на вашем компьютере в окне «Сетевые подключения» в качестве интернет-соединения. Все. Если команда отработала (то есть никаких сообщений об ошибке не возникло), нажимаем Ctrl + C — и можем вздохнуть спокойно. Теперь у вашего компьютера просто физически нет доступа к адресу, собирающему информацию о стоп-заявках. Остается написать письмо с описанием проблемы в антивирусную компанию.

Единственно, о чем остается задуматься, так это о том, зачем кому-то понадобилось собирать мои стоп-заявки. Тут можно только строить гипотезы. Наиболее вероятно, что я случайно стал мишенью шпионажа, нацеленного на какого-то крупного биржевого игрока или управляющего фондом. Прокручивая в голове, как я мог подцепить вирус, у меня появился вариант. Я пустил его в компьютер, устанавливая игру Civilization IV. Каюсь, нелицензионную. Больше взяться вирусу было неоткуда. Так что если вы крупный управляющий и любите играть в стратегические игры, то вы потенциальная жертва «украденных “стопов”», которые в один из дней могут сработать в пользу панамских трудящихся.

Эту статью Сергей Еремин прислал нам по e-mail, и я готовлю ее в ближайший номер. Он довольно регулярно исчезает на несколько дней, но сейчас я почему-то не могу с ним связаться, чтобы попросить скриншоты программ. Напишу-ка я пока письмо Марку Русиновичу — специалисту по «изнанке» Windows и создателю утилит Sysinternals, и запущу Process Explorer, но писать получается с трудом, так как компьютер очень сильно тормозит, вNосит $амосTоятельно и$правления в тек$т и постоянно перезагружа…

У партнеров

    «D`»
    №6 (93) 29 марта 2010
    M&A по-казахски
    Содержание:
    Вам пригодятся выдержка и реакция

    Рынок слияний и поглощений дает заработать миноритарным акционерам, однако требует огромной выдержки и молниеносной реакции

    Реклама