mk

Замечу, что чаепитие не состоялось... ): и тортиков я не сЪел и табак не нюхал и в кинга не играл... а все виндос виноват -- упал, пришлось переинсталить ... гопник поганный... ятить гейтса в уши ):

Сетевая разведка сервиса электронной почты Автор: Павел П. ака UkR-XblP (UkR security team) [email protected] http://www.securitylab.ru/49847.html 3 декабря 2004 Введение: Довольно часто человек, так или иначе вовлеченный в направление информационной безопасности, сталкивался с терминами, изначально применяемыми в таких областях как армия, различные службы обеспечения безопасности граждан (к примеру, МЧС, Служба Спасения, Скорая помощь). Вы наверняка тут же вспомнили такие простые слова как атака, нападение, защита, разведка. Даже появлением западного аналога термину межсетевой экран мы обязаны армии - это всем известный firewall, в дословном переводе "огненная_стена" - огнеупорная стена, ограждение. Но почему же специалисты в области информационной безопасности (далее ИБ) зачастую берут из наработанного годами опыта, методологий, уставов (заявления командиров о том, что "каждая строчка в Уставе написана кровью солдат" имеют под собой достаточно весомое основание) только названия и термины? В данной статье я попытаюсь рассмотреть и применить методы и способы военной разведки в Вооруженных Силах к ИБ, а именно такому аспекту как проведение сетевой разведки сервиса электронной почты, в которой заинтересованы специалисты, проводящие тестирование на проникновение (penetration testing), тестирование защищенности (security testing), а также аналитики ИБ и администраторы ИБ, для которых необходимо понимание методов и способов, которыми могут воспользоваться злоумышленники для сбора информации о сервисе электронной почты и эксплуатации существующих уязвимостей. Итак, дадим определение понятию военная разведка (далее ВР), необходимое нам для понимания его проецирование на сетевую разведку (далее СР.). ВР - есть комплекс мероприятий по получению и обработке данных о действующем или вероятном противнике, его военных ресурсах, боевых возможностях и уязвимости, а также о театре военных действий. На основе этого определения постараемся дать определение СР. СР - есть комплекс мероприятий по получению и обработке данных об информационной системе (далее ИС) клиента, ресурсов ИС, средств защиты, используемых устройств и программного обеспечения и их уязвимостях, а также о границе проникновения. Современная ВР в зависимости от масштаба, целей деятельности и характера, поставленных для выполнения задач делится на: * тактическую (оперативную); * стратегическую. Тактическая разведка обеспечивает действия атакующих (к ним будем относить, как и злоумышленников, так и специалистов, проводящих тестирование) в соприкосновении с противником (целевой системой электронной почты). Она выявляет данные о возможностях противника (его техническом, программном оснащении), уязвимости противника (уязвимостей почтовых серверов, сервисов и почтовых клиентов) и районе действий (границы сегментов сети, используемые каналы связи (тип, пропускная способность), государственная (географическая и коммерческая принадлежность сети и/или сервера)), что облегчает и определяет принятие атакующими оптимальных решений по планированию и проведению атаки на информационные системы (далее ИС). В ВР все эти сведения добываются опросом местных жителей, допросом пленных и перебежчиков, перехватом информации, передаваемой радиоэлектронными средствами, изучением захваченных у противника документов, техники и вооружения. Из каких частей складывает любой разведцикл? В своем классическом понимании разведцикл принято делить на пять составных частей: 1. Планирование и целеуказание; 2. Сбор - добывание данных; 3. Обработка разведывательных данных - превращение их в разведывательную информацию; 4. Анализ и синтез разведывательной информации; 5. Распространение. А какие этапы для осуществления несанкционированного взлома используют злоумышленники? 1. Выбор исследуемой сети/сервера/информационного пространства; 2. Сканирование, тестирование, сбор информации о цели. 3. Обработка данных, выбор уязвимой точки для проникновения. 4. Эксплуатация уязвимости, проникновение в систему. 5. Далее действия хакера зависят от задачи, поставленной им, будь то изменения информации, кража, повышение полномочий и удержание системы. Мы видим если не идентичные пункты то уж очень похожие, и, используя термин "сетевая разведка", типовую схемы атаки мы можем упростить до: 1. Мероприятия сетевой разведки; 2. Проведение атаки на целевую систему; 3. Дальнейшие действия хакера в системе. Данный материал раскрывает лишь первый пункт этого списка, а именно проведение мероприятий сетевой разведки сервиса электронной почты в компании. Определение границ разведки проходит в несколько этапов. Возможные пути получения данных: * получение информации от whois-серверов; * просмотр информации DNS серверов исследуемой сети для выявления записей, определяющих маршруты электронной почты (MX записи); * информация об электронной почте, представленные на сайте исследуемой компании. К ней относятся адреса электронной почты для связи, опубликованные вакансии для системных администраторов и администраторов электронной почты, в которых зачастую есть информация о типах используемых почтовых серверов; * информация об электронной почте (адресах) и вакансиях (см. выше) сохранившиеся в поисковых системах (google.com, yandex.ru), так и в базах компаний, запоминающих состояния веб-ресурсов на определенный срок (web.archive.org). После определения границ атаки атакующие переходят к получению данных о целевой почтовой системе. Для этого используются чаще всего: * сканирование портов (сервисов) на выявленных внешних серверах. Проводится с целью определить: * доступность сервиса из различных подсетей, расположенных по всему миру. Ибо если с одного адреса сервис может быть недоступен (довольно часто блокируют соединения из азиатских сетей как основной источник спама); * выявление почтовых сервисов на нестандартных портах; * получение и анализ информации, выдаваемой почтовыми сервисами при соединении. Banner grabbing - так этот метод принято называть среди специалистов по сетевой разведке. * активная проверка сервиса (smtp, pop3, pop3pw, imap) для определения типа и версии, допуская возможность что администратор системы изменил информацию, выдаваемую сервисами, или сервис не выводит информацию о своем типе и версии. * отправка писем на несуществующие почтовые адреса для получения NDR (non delivery report) и информации о пути прохождения письма. При этом, возможно определить следующее: * путь прохождения писем; * используются ли внутренние relay-сервера, транслирующие трафик электронной почты с релея в DMZ на внутренние сервера; * тип и версию почтовых серверов; * применяемые системы защиты электронной почты на стороне сервера, таких как антивирусные системы, анти-спамовые системы, системы контент-анализа электронной почты; * объем почтового трафика, проходящего через сервер за промежуток времени. Главное что при этом возможно определить, уязвим ли сервер к такому абсолютно неизвестному широкой общественности методу атак под названием NDR-attack. NDR-attack представляет из себя комплекс действий направленный на нарушение одного из принципов информационной безопасности - доступности сервиса. Доступность нарушается атакой, во-первых, на сервис электронной почты, а точнее его перегрузку, во-вторых, на канал связи, используемый почтовыми системами. - мероприятия, относящиеся к социальной инженерии, направленные на получение информации от сотрудников компании и взаимодействий с ними. Ожидаемый результат это раскрытие информации о пути прохождения письма до конечного пользователя почтовой системы. Кроме информации, перечисленной выше, возможно следующее: * IP адрес пользователя почтовой системы; * применяемые системы защиты электронной почты на стороне клиента, таких как антивирусные системы, анти-спамовые системы; * тип и версию почтового клиента; * тип и версию операционной системы пользователя. Вся эта информация может быть использована для атаки на клиентские машины. Зная тип и версию программного обеспечения, возможность использования уязвимостей и заражение пользователя различным вирусным или шпионским ПО становится очень высока. Все что вы прочли выше, являлось теорией. Ниже будет представлен практический пример разведки сервиса электронной почты компании НИП Информзащита (адрес сайта: www.infosec.ru). Я справедливо полагаю, что компания, являющаяся одним из крупнейших поставщиков услуг по информационной безопасности, а также разработавшая и преподающая авторский курс "Безопасность электронной почты", будет наилучшим примером применением методов сетевой разведки. 1. Получение информации от WHOIS-сервера RIPN. % By submitting a query to RIPN's Whois Service % you agree to abide by the following terms of use: % http://www.ripn.net/about/servpol.html#3.2 (in Russian) % http://www.ripn.net/about/en/servpol.html#3.2 (in English). domain: INFOSEC.RU type: CORPORATE nserver: a.ns.infosec.ru. 194.226.94.219 nserver: ns4.nic.ru. state: REGISTERED, DELEGATED org: Joint Stock Company NIP "InformZaschita" phone: +7 096 9373385 phone: +7 095 2193188 phone: +7 095 2894232 fax-no: +7 096 9373385 fax-no: +7 095 2193188 fax-no: +7 095 2894232 e-mail: [email protected] e-mail: [email protected] registrar: RUCENTER-REG-RIPN created: 1996.11.03 paid-till: 2004.12.01 source: RIPN Интересующая нас информация: NS-сервера контактная информация 2. Получение информации с NS серверов компании. Reply from a.ns.infosec.ru : 233 bytes recieved Direct authoritative answer: recursion desired; recursion available; result: succesful. Contains 1 question entries, 8 answer entries, 0 nameserver records and 1 additional records. > Questions: infosec.ru type: ANY (all records) class: IN (Internet) > Answers: infosec.ru 10800 A 217.106.229.76 infosec.ru 10800 SOA convert.infosec.ru email: hostmaster.infosec.ru serial: 2004400701 refresh: 3600 retry: 3600 expire 604800 minimum 3600 infosec.ru 10800 NS ns4.nic.ru infosec.ru 10800 NS a.ns.infosec.ru infosec.ru 10800 MX 10 a.mx.infosec.ru infosec.ru 10800 MX 20 b.mx.infosec.ru infosec.ru 10800 MX 30 c.mx.infosec.ru infosec.ru 10800 MX 40 d.mx.infosec.ru > Additional information: a.ns.infosec.ru 10800 A 194.226.94.219 Выявили: Адреса почтовых серверов компании и их приоритет. Контактная информация. 3. Информация о сервисе электронной почты на сайте www.infosec.ru: Контактная информация: 4. Информация о сервисе из поисковых систем google и yandex: Контактная информация: 5. Сканирование серверов a.mx.infosec.ru, b.mx.infosec.ru, c.mx.infosec.ru, d.mx.infosec.ru. 15.10.2004 14:11:03 Соединение: -> a.mx.infosec.ru:25 Статус: соединение установлено Баннер сервиса: 220 convert.infosec.ru ESMTP Postfix 15.10.2004 14:12:57 Соединение: -> b.mx.infosec.ru:25 Статус: соединение установлено Баннер сервиса: 220 relay.infosec.ru ESMTP 15.10.2004 14:11:20 Соединение: -> c.mx.infosec.ru:25 Статус: соединение установлено Баннер сервиса: 220 convert.infosec.ru ESMTP Postfix 15.10.2004 14:13:05 Соединение: -> d.mx.infosec.ru:25 Статус: соединение установлено Баннер сервиса: 220 relay.infosec.ru ESMTP В результате мы получили адреса почтовых серверов, точнее их имена. Мы видим что записи a.mx.infosec.ru и с.mx.infosec.ru, b.mx.infosec.ru и d.mx.infosec.ru ссылаются на 2 различных почтовых сервера соответственно. По-видимому данные меры направлены на повышение уровня отказоустойчивости сервиса электронной почты. Также уже может предположить, что в качестве MTA (Mail Transfer Agent) по-крайней мере на одном из двух почтовых сервере используется Postfix. Баннер другого сервера никакой информации о себе нам не раскрыл. 6. Теперь попробуем проверить реальность предоставленной нам информации (убедиться, что используется Postfix), а также определить тип второго почтового сервера. Для выполнения этой задачи я буду использовать список ответов различных почтовых серверов на несколько стандартных команд: helo - Эта команда используется что бы идентифицировать SMTP-отправителя на принимающем сервере. Применена без параметра; helo aaa - Применена с ошибочным параметром; vrfy - Эта команда просит подтвердить получателя, что он идентифицировал пользователя по аргументу. Для этого должны быть возвращены имя (полное имя) пользователя или почтовый адрес. Применена без параметра; vrfy aaa - Применена с ошибочным параметром; mail - Эта команда используется что бы отправить почту по одному или более адресатам. Применена без параметров. data - Получатель получает данные о дате отправке почты. Но так как мы ничего и не посылали, ждем сообщение об ошибке. finger - несуществующая команда. У каждого почтового сервиса своя реакция на несуществующие команды. rset - Эта команда определяет, что текущая работа с почтой должна быть прервана. quit - Выходим. Ответов каждого из почтовых серверов на эти команды хватит для идентификации любого почтового сервера. Проверим это на практике: ---------------------------------------------------------------- 220 convert.infosec.ru ESMTP Postfix helo 501 Syntax: HELO hostname helo aaa 250 mail.picturetrail.com vrfy 501 Syntax: VRFY address vrfy aaa 450 <aaa>: User unknown in local recipient table mail 501 Syntax: MAIL FROM: <address> data 503 Error: need RCPT command finger 502 Error: command not implemented rset 250 Ok quit 221 Bye ---------------------------------------------------------------- и для второго сервера: ---------------------------------------------------------------- 220 relay.infosec.ru ESMTP helo 250 relay.infosec.ru is pleased to meet you helo aaa 250 relay.infosec.ru is pleased to meet you vrfy 252 Send some mail, I'll try my best vrfy aaa 252 Send some mail, I'll try my best mail 250 ok data 503 RCPT first (#5.5.1) finger 502 Unimplemented (#5.5.1) rset 250 flushed quoit 502 Unimplemented (#5.5.1) quit 221 relay.infosec.ru signing off... ---------------------------------------------------------------- На протяжении довольно длительного времени я собирал базу об ответах почтовых серверов на этот ограниченный список команд. Сравнение ответов с отпечатками в базе дало следующую информацию: Внимание !!! a.mx.infosec.ru подозрение на ESMTP Postfix Внимание !!! b.mx.infosec.ru соответствует Qmail SMTP server Слепки для этих 2х серверов ниже: [ESMTP Postfix] 1=Syntax: HELO hostname 2=250 3=Syntax: VRFY address 4=252 aaa 5=Syntax: MAIL FROM: <address> 6=Error: need RCPT command 7=Error: command not implemented 8=250 Ok 9=Bye [Qmail SMTP server] 1=250 2=250 3=send some mail, i'll try my best 4=send some mail, i'll try my best 5=ok 6=RCPT first 7=unimplemented 8=flushed 9=221 Полная база сигнатур также приложена к этому материалу, ссылку на нее смотрите в конце статьи. В итоге у нас уже есть достоверная информация, что в компании Информзащита в качестве почтовых серверов используются Postfix и Qmail. Подразумевая что профиль компании информационная безопасность версии этих серверов должны быть из последних. Уже на данном этапе можно попытаться эксплуатировать имеющиеся в этих почтовых серверах уязвимости, однако цель статьи не в этом. Продолжим исследование. 7. NDR: Я отправил почтовые сообщения с незаполненной темой и телом письма на несуществующие адреса известных мне почтовых серверов - [email protected] и [email protected]. Сначала проанализируем содержание вернувшихся сообщений о невозможности доставки писем, вернувшиеся мне. ---------------------------------------------------------------- От: [email protected] Отправлено: 11 октября 2004 г. 14:15 Кому: UkR security team Тема: Undelivered Mail Returned to Sender This is the Postfix program at host convert.infosec.ru. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <[email protected]>: unknown user: "stopthis" ---------------------------------------------------------------- Мы еще раз убедились что convert.infosec.ru - это Postfix. С другой стороны несколько смущает то что у компании, занимающейся ИБ, оставлены многие параметры без изменений. В других случаях это может свидетельствовать о применении обманной системы или систем-ловушек (honeypot), в последнее время развитие получили Mail honeypot системы, занимающиеся отловом адресов, с которых распространяется спам или почтовые вирусы. Ответ второго сервера: ---------------------------------------------------------------- От: [email protected] Отправлено: 11 октября 2004 г. 14:14 Кому: UkR security team Тема: failure notice Hi. This is the qmail-send program at relay.infosec.ru. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out. <[email protected]>: Sorry, no mailbox here by that name. (#5.1.1) ---------------------------------------------------------------- Еще раз убедились, что используется Qmail и что администраторы не изменяют параметры почтовых серверов с целью противодействия раскрытию информации. Так как я активно занимаюсь сетевой разведкой, то еще один параметр, по которому можно определить версию почтового сервиса - это анализ почтового адреса, с которого возвращается NDR и темы письма. Вот лишь маленький список: POSTFIX: MAILER-DAEMON@Undelivered Mail Returned to Sender QMAIL: MAILER-DAEMON@failure notice EXIM: Mailer-Daemon@Mail delivery failed returning message to sender SENDMAIL: MAILER-DAEMON@Returned mail see transcript for details Теперь проанализируем заголовки вернувшихся NDR: ---------------------------------------------------------------- Received: from convert.infosec.ru (194.226.94.219 [194.226.94.219]) by ukrserver.ustinfo.ru with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13) id 4VY53711; Mon, 11 Oct 2004 14:27:06 +0400 Received: by convert.infosec.ru (Postfix) id 4661418086; Mon, 11 Oct 2004 14:15:12 +0400 (MSD) Date: Mon, 11 Oct 2004 14:15:12 +0400 (MSD) From: [email protected] (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: [email protected] MIME-Version: 1.0 ---------------------------------------------------------------- Полученная нами информация: IP адрес convert.infosec.ru 194.226.94.219. Значение SMTP ID TAG, которое также дает нам возможность определить версию почтового сервера. Об этом была моя статья "SMTP ID фингерпринт" участвовшая в первом конкурсе на securitylab.ru. С помощью утилиты UST.SITF (ссылка в конце статьи) определим версию почтового сервиса на основании следующей строки: Received: by convert.infosec.ru (Postfix) id 4661418086 HOST: convert.infosec.ru (Postfix) ID: 4661418086 SIGN: 000000100100me TYPE: Postfix MTA Результат: Соответствует ESTMP MTA POSTFIX. Второй сервер: ---------------------------------------------------------------- Received: from relay.infosec.ru (un.infosec.ru [194.226.94.210]) by ukrserver.ustinfo.ru with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13) id 4VY537DZ; Mon, 11 Oct 2004 14:26:34 +0400 Received: (qmail 24420 invoked for bounce); 11 Oct 2004 10:13:41 -0000 Date: 11 Oct 2004 10:13:41 -0000 From: [email protected] To: [email protected] Subject: failure notice ---------------------------------------------------------------- Полученная нами информация: Соответствие hostname relay.infosec.ru имени un.infosec.ru. При полной разведке сети это может помочь в определении топологии сети и взаимосвязи. IP адрес relay.infosec.ru 194.226.94.210. Теперь попробуем послать email не конкретно на обнаруженные почтовые сервера, а съэмулировать реальное письмо. Также отправляем на несуществующий адрес [email protected] Проанализируем вернувшийся заголовок письма: ---------------------------------------------------------------- Received: from convert.infosec.ru (194.226.94.219 [194.226.94.219]) by ukrserver.ustinfo.ru with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13) id 4VY538SP; Mon, 11 Oct 2004 18:05:59 +0400 Received: from nt_server.infosec.ru (unknown [200.0.0.5]) by convert.infosec.ru (Postfix) with ESMTP id DBD6C180CB for <[email protected]>; Mon, 11 Oct 2004 17:54:05 +0400 (MSD) From: [email protected] To: [email protected] Date: Mon, 11 Oct 2004 17:44:02 +0400 MIME-Version: 1.0 Message-ID: <xZfQmNcEH000001e6@nt_server.infosec.ru> Subject: Delivery Status Notification (Failure) Received: from spam.infosec.ru ([192.168.200.21]) by nt_server.infosec.ru with Microsoft SMTPSVC(6.0.3790.0); Mon, 11 Oct 2004 17:44:02 +0400 Received: from antispam.localhost (localhost.localdomain [127.0.0.1]) by spam.infosec.ru (Postfix) with SMTP id C90B517FC6 for <[email protected]>; Mon, 11 Oct 2004 17:45:49 +0400 (MSD) Received: from relay.infosec.ru (unknown [192.168.200.3]) by spam.infosec.ru (Postfix) with SMTP id 92F3817F56 for <[email protected]>; Mon, 11 Oct 2004 17:45:49 +0400 (MSD) Received: (qmail 6617 invoked by uid 0); 11 Oct 2004 13:43:01 -0000 Received: from ustinfo.ru (HELO ) by 0 with SMTP; 11 Oct 2004 13:43:01 -0000 Message-Id: <[email protected]> Date: Mon, 11 Oct 2004 17:45:49 +0400 (MSD) From: [email protected] To: undisclosed-recipients: ; X-Spamtest-Info: Pass through Return-Path: [email protected] ---------------------------------------------------------------- Полученная нами информация: Выявили цепочку прохождения письма, она такова Отправитель посылает письмо -> получает письмо relay.infosec.ru (Received: (qmail 6617 invoked by uid 0)). Отправляет его далее (relay на внутренние сервера). -> получает письмо spam.infosec.ru. По имени хоста и строке X-Spamtest-Info: Pass through можно сделать вывод что на нем фильтруется входящая почта. Можно предположить также и антивирусную проверку на данном этапе, хотя нет никаких свидетельств этому. Отправляет его далее. (опять relay на внутренний сервер). -> получает письмо nt_server.infosec.ru. Именно на этом сервере хранятся почтовые ящики пользователей. Сервер наконец то обнаружил что получатель не существует и возвращает письмо. -> получает письмо пограничный почтовый сервер convert.infosec.ru и отправляет его наконец то мне. -> я получил этот результат. Что же мы имеем в результате: 1. Выявили что внутренняя сеть компании Информзащита находится за NAT и использует зарезервированные для внутренних сетей адреса 192.168.200.* 2. Выявили наличие пограничника, пса-цербера. Я имею ввиду наличие промежуточного сервера на котором проводится отсеивание спама под управлением Postfix. Его внутренний IP-адрес - 192.168.200.21. 3. Определили что внутренняя почтовая сеть построеная на решениях компании Microsoft. Так как почтовый сервер под управлением Windows (об этом нам говорит имя хоста - nt_server и принимающий сервис - Microsoft SMTPSVC(6.0.3790.0)). Можем предположить что почтовые клиенты - это Microsoft Outlook. 4. Можем заметить что не производится анализ исходящей почты (нет никаких свидетельств этому). Этим может воспользоватся проникнувший во внутреннюю сеть злоумышленник для отправления информации и сотрудниками компании (я подразумеваю возможность утечки информации). 5. сервер relay.infosec.ru занимается приемом почты, а convert.infosec.ru ее отправлением. 8. NDR-Attack. Общепризнаное понимание этого термина таково: Почтовые сервера, отправляя NDR, сохраняют в теле письма исходное сообщение. Этим и пользуется спамеры. Ставя целью послать рекламные сообщения на адрес [email protected] они могут реализовать следующий алгоритм: Адрес [email protected] использовать в качестве адреса отправителя. Подсоединившись напрямую к серверу convert.infosec.ru, послать сообщение рекламного характера на несуществующий адрес *@convert.infosec.ru. Мы уже знаем что convert.infosec.ru сконфигурирован так, что отсылает NDR. Следовательно он вернет NDR, в теле которого будет содержаться рекламное сообщение на целевой адрес [email protected]. Есть вероятность по которой это письмо не будет заблокировано на хосте spam.infosec.ru при его прохождении. У системных администраторов почтовых систем при использовании антиспамовых систем адреса собственной почты (в нашем случае *@*infosec.ru) находятся в белом списке и не подлежат проверке. Альтернативный вариант - это реклама на другие сервера. То есть мы реально можем слать рекламу на адрес [email protected] с серверов Информзащиты. Если мы можем рекламировать с серверов Информзащиты другие сервера - у нас есть реальная возможность компрометации сервера convert.infosec.ru. Стоит неделю так активно прорекламировать какой либо товар и сервер непременно попадет в международные blacklists спамеров (DNSBL). Все почтовые антиспамовые системы обычно не принимают письма от адресов, находящихся в этом списке. Следовательно никто из партнеров компании Информзащиты, использующие у себя антиспамовые системы, не будут принимать от нее почтовые сообщения. Для Информзащиты это может стать серьезной проблемой нарушив бизнес-процессы. Я лично использую этот термин (NDR-attack) в несколько другом понимании. Основы протокола SMTP, служащего для передачи почтовых сообщений, определены в RFC -821 и RFC-2821. Эти RFC предусматривают что для отправления почтового сообщения по нескольким адресам (в почтовых клиентах это поля СС:, BCC:) на одном сервере отправителю надо послать только 1 (одну) копию письма. Попробую послать письма нескольким несуществующим пользователям с сервера convert.infosec.ru на адреса *@*infosec.ru: MAIL FROM:<[email protected]> 250 OK RCPT TO:<[email protected]> 250 OK RCPT TO:<[email protected]> 250 OK RCPT TO:<[email protected]> 250 OK DATA 354 data;end with <CRLF>.<CRLF> я вас всех люблю <CRLF>.<CRLF> 250 OK Что мы будем иметь в результате: Размер одного NDR сообщения 6 kb. Я фактически послал строку длиной 20 байт. Сервер послал информации объемом 6*3(число получателей)kb То есть даже при таком раскладе мы видим явное умножение траффика, что является одним из основных признаков DOS-атаки. Но внимание, как я уже упоминал выше - NDR сохраняет исходное письмо ! Следовательно если я пошлю письмо объемом 1 mb, почтовый сервер отошлет его в количестве 3 mb. Дальнейшие расчеты зависят только от вашей фантазии. А примет ? Правильно ! Тоже 3 мб. я -> 1 мб -> convert.infosec.ru -> 3 мб -> relay.infosec.ru -далее NDR cоединяюсь отправитель: attacker получателей: 5 <- 3 мб <- relay.infosec.ru Итого послав 1 мб данных я загрузил канал связи Информзащиты на 6 мб. Это может привести к: Если я укажу адрес отправителя реальный - быстрое заполнение ящика => недостаток места на почтовом сервере, что может привести к нарушению заданного режима его работы или, если используются квоты, заполнению ящика пользователя и невозможность принимать любые иные письма. При этом я использовал минимум своих ресурсов. Другой вопрос, что если компания платит за траффик - это может причинить финансвые убытки. А при медленном канале связи - быстрое заполнение как очереди сообщений на почтовом сервере, так и самого канала связи при передаче больших объемов данных. 9. Работа с пользователями: Последней задачей моей является взаимодействие с конечным пользователем исследуемой почтовой системы. По контактным адресам, полученным в результате действий, описанных в пунтке 3, я послал следующее письмо: ---------------------------------------------------------------- От: UkR security team Отправлено: 15 октября 2004 г. 14:19 Кому: '[email protected]' Копия: '[email protected]' Тема: Запрос на прайс Здраствуйте. Не могли бы вы прислать прайс-лист ваших учебных курсов по состоянию на 15.10.2004. И один вопрос: оказывает ли Информзащита услуги в области проведения сетевой разведки ? ------------------------------------ C уважением, Павел П. aka UkR-XblP. ---------------------------------------------------------------- И получил ответ: ---------------------------------------------------------------- От: Natalya O. Ruban [[email protected]] Отправлено: 15 октября 2004 г. 15:55 Кому: UkR security team Тема: RE: Запрос на прайс Добрый день Павел П.! Высылаю Вам информацию по курсам и ценам на 2004 и 2005 год. По поводу второго вопроса, подскажите, пожалуйста, что Вы имеете в виду под "сетевой разведки"? Всего Вам самого доброго и успехов. С уважением, Наталия Рубан Менеджер Учебного центра "Информзащита" Тел. 937-3385 доб. 158 [email protected] www.itsecurity.ru ***************************************** Уникальный авторский курс Учебного центра <Информзащита> - <Безопасность беспроводных сетей> http://www.itsecurity.ru/edu/kurs/bt_09.html ---------------------------------------------------------------- Цель преследуемая мной, а именно получение заголовка письма от конечного пользователя, выполнена: Received: from convert.infosec.ru ([194.226.94.219]) by ukrserv.ustinfo.ru with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13) id 454B7XWS; Fri, 15 Oct 2004 16:07:13 +0400 Received: from nt_server.infosec.ru (unknown [200.0.0.5]) by convert.infosec.ru (Postfix) with ESMTP id 43D3717FE8 for <[email protected]>; Fri, 15 Oct 2004 15:55:09 +0400 (MSD) Subject: =?koi8-r?B?UkU6IPrB0NLP0yDOwSDQ0sHK0w==?= X-MimeOLE: Produced By Microsoft Exchange V6.5.7226.0 Date: Fri, 15 Oct 2004 15:54:54 +0400 Message-ID: <C5AD85826306B14CBB3DA801643F987BF73E33@nt_server.infosec.ru> From: "Natalya O. Ruban" <[email protected]> To: <[email protected]> Полученые данные: Нету никаких признаков использования клиентских програм, обеспечивающих безопасность электронной почты. Многие системы оставляют свои отметки в заголовке письма. Вот примеры некоторых из них: Антивирусные системы: X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A. X-AntiVirus: Checked by Dr.Web [version: 4.32, engine: 4.32, virus records: 53323, updated: 30.08.2004] X-AntiVirus: Checked by Dr.Web [version: 4.32a, engine: 4.32a, virus records: 53465, updated: 1.09.2004] X-RAV-Antivirus: This e-mail has been scanned for viruses on host: xs195-241-170-254.dial.tiscali.nl X-AntiVirus: checked by Vexira MailArmor (version: 2.0.1.16; VAE: 6.27.0.6; VDF: 6.27.0.37; host: postbode02.zonnet.nl) X-Virus-Scanned: by amavisd-milter at purinmail.com Антиспамовые системы: X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on frost.void.ru X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on mailhub.sibbereg.ru Однако, еще одна полученная нами информация это то, что сервер nt_server.infosec.ru - это Microsoft Exchange 2003. Об этом ясно говорит строка: X-MimeOLE: Produced By Microsoft Exchange V6.5.7226.0 Вот далеко неполный список расшифровки числовых значений Microsoft MimeOLE: 4.40.308 Internet Explorer 1.0 (Plus! for Windows 95) 4.40.520 Internet Explorer 2.0 4.70.1155 Internet Explorer 3.0 4.70.1158 Internet Explorer 3.0 (Windows 95 OSR2) 4.70.1215 Internet Explorer 3.01 4.70.1300 Internet Explorer 3.02 and 3.02a 4.71.544 Internet Explorer 4.0 Platform Preview 1.0 (PP1) 4.71.1008.3 Internet Explorer 4.0 Platform Preview 2.0 (PP2) 4.71.1712.6 Internet Explorer 4.0 4.72.2106.8 Internet Explorer 4.01 4.72.3110.8 Internet Explorer 4.01 Service Pack 1 (Windows 98) 4.72.3612.1713 Internet Explorer 4.01 Service Pack 2 5.00.0518.10 Internet Explorer 5 Developer Preview (Beta 1) 5.00.0910.1309 Internet Explorer 5 Beta (Beta 2) 5.00.2014.0216 Internet Explorer 5 5.00.2314.1003 Internet Explorer 5 (Office 2000) 5.00.2614.3500 Internet Explorer 5 (Windows 98 Second Edition) 5.00.2516.1900 Internet Explorer 5.01 (Windows 2000 Beta 3, build 5.00.2031) 5.00.2919.800 Internet Explorer 5.01 (Windows 2000 RC1, build 5.00.2072) 5.00.2919.3800 Internet Explorer 5.01 (Windows 2000 RC2, build 5.00.2128) 5.00.2919.6307 Internet Explorer 5.01 (Office 2000 SR-1) 5.00.2920.0000 Internet Explorer 5.01 (Windows 2000, build 5.00.2195) 5.00.3103.1000 Internet Explorer 5.01 SP1 (Windows 2000 SP1) 5.00.3105.0106 Internet Explorer 5.01 SP1 (Windows 95/98 and Windows NT 4.0) 5.00.3314.2101 Internet Explorer 5.01 SP2 (Windows 95/98 and Windows NT 4.0) 5.00.3315.1000 Internet Explorer 5.01 SP2 (Windows 2000 SP2) 5.00.3502.1000 Internet Explorer 5.01 SP3 (Windows 2000 SP3 only) 5.00.3700.1000 Internet Explorer 5.01 SP4 (Windows 2000 SP4 only) 5.50.3825.1300 Internet Explorer 5.5 Developer Preview (Beta) 5.50.4030.2400 Internet Explorer 5.5 & Internet Tools Beta 5.50.4134.0100 Internet Explorer 5.5 for Windows Me (4.90.3000) 5.50.4134.0600 Internet Explorer 5.5 5.50.4308.2900 Internet Explorer 5.5 Advanced Security Privacy Beta 5.50.4522.1800 Internet Explorer 5.5 Service Pack 1 5.50.4807.2300 Internet Explorer 5.5 Service Pack 2 6.00.2462.0000 Internet Explorer 6 Public Preview (Beta) 6.00.2479.0006 Internet Explorer 6 Public Preview (Beta) Refresh 6.00.2600.0000 Internet Explorer 6 (Windows XP) 6.00.2800.1106 Internet Explorer 6 Service Pack 1 (Windows XP SP1) 6.00.3663.0000 Internet Explorer 6 for Microsoft Windows Server 2003 RC1 6.00.3718.0000 Internet Explorer 6 for Windows Server 2003 RC2 6.00.3790.0000 Internet Explorer 6 for Windows Server 2003 (released) Более полный список встроен в написанную мной утилиту UST.IEviaOLE, которая определяет используемый почтовый клиент от компании Microsoft и версию ОС отправителя письма. Утилита доступна для скачивания с сайта ustinfo.ru. 10. Итог: Проведенные выше мероприятия сетевой разведки сервиса электронной почты компании НИП Информзащита создали предпосылки для проведения успешных атак на систему электронной почты компании. Они полностью раскрыли топологию как внешней сети, так и внутренней сети, точнее ее участков, участвующих в процессе обеспечения сервиса электронной почты. Мы узнали тип используемых серверов в компании, их количество и IP-адреса, в том числе и внутренние. То есть цели, поставленные в начале материала выполнены ! "Она выявляет данные о возможностях противника (его техническом, программном оснащении), уязвимости противника (уязвимостей почтовых серверов, сервисов и почтовых клиентов) и районе действий (границы сегментов сети, используемые каналы связи (тип, пропускная способность), что облегчает и определяет принятие атакующими оптимальных решений по планированию и проведению атаки на информационные системы (далее ИС)." Задача разведки выполнена. Переходим к второму пункту: 2. Проведение атаки на целевую систему. ... CONNECTION ABORTED

Сэмэтоты, слух, у меня тут ОпенОфис стоит, он вордовские файлы открывает, если хочешь скинь свой файл, может ООфис в гробу видел пароль майкрософтовский и откроет его?? (:

он заметил тебяяяяя.......

Вообще-то плагины тут называются extension, и ставить их надо отсюда: https://update.mozilla.org/extensions/?application=firefox -- заходи и выбирай какие хочешь (:

Спасиб (:

Итак?? жду бурных обсуждений!!!

Скринсейвер, спам убивающий http://www.webplanet.ru/news/internet/2004/11/30/screen.html текст: Александр Скудин 30.11.2004 12:48 Портал Lycos создал скринсейвер, осуществляющий DDoS-атаку на сайты, которые рекламируются при помощи спам-рассылок. По замыслу компании, скринсейверы создадут на сайте спамеров паразитный трафик, после оплаты которого заказчики спама задумаются о своем поведении. Естественно, затея Lycos может увенчаться успехом, если антиспамерский скринсейвер установит достаточно большое количество интернетчиков, передает BBC. «Проблема спама практически не решаема, пока его рассылка так проста и так дешева, — говорит Мальт Поллман (Malte Pollmann) из Lycos Europe. — Первый шаг на пути борьбы со спамом мы уже сделали несколько ранее: мы установили антиспам-фильтры. Пришло время делать второй шаг. Мы нашли способ сделать спамерский бизнес несколько более затратным. Загрузив их сервера паразитными запросами, мы сделаем спам-рассылки нерентабельными». По информации мистера Поллмана, скринсейвер спроектирован таким образом, что, даже если его установит неожиданно большое количество людей, количество генерируемого им трафика будет ограничиваться, чтобы не нанести вред инфраструктуре Сети. «Каждая установленная копия скринсейвера сможет генерировать не более 3–4 Мб трафика в сутки», — уверяет мистер Поллман. Поллман уточнил, что не планирует заваливать спамеров паразитными электронными письмами. «Это не тот случай, когда клин клином вышибают», — отметил он.

Власти пытаются заполучить логи у создателя Nmap Дэн Айлетт (Dan Ilett), ZDNet UK http://zdnet.ru/?ID=461025 29 ноября, 2004, 11:49 Создатель известного хакерского инструмента утверждает на своем веб-сайте Insecure.org, что ФБР пытается извлечь данные из его веб-сервера. Фёдор (Fyodor), как его называют, — хорошо известная фигура в мире компьютерной безопасности. В своем блоге он пишет, что власти обращались к нему за информацией, но не назвали причин такого интереса. Nmap, open-source программа отображения топологии сети, предназначается для секьюрити-экспертов и помогает им сканировать сети, службы и приложения. Однако хакеры используют этот инструмент в преступных целях, что Фёдору, по его словам, не нравится. «Можно спорить о том, хорошо или плохо помогать ФБР. Они могут охотиться за спамерами, кибервымогателями, инициаторами DDoS-атак и т. п. В этом случае я желаю им успеха. Nmap предназначался для усиления безопасности — преступники и спамеры позорят мою работу!» Фёдор говорит, что ФБР, по его мнению, хочет заполучить его веб-логи для выслеживания злоумышленников. В его сообщении говорится: «Агенты ФБР со всей страны обращаются ко мне за данными логов веб-сервера Insecure.org. Они не называют причин, но обычно разыскивают какого-нибудь преступника, который, по их мнению, мог посещать страницу Nmap. До сих пор я им ничего не давал. Иногда они обращаются слишком поздно, и данные уже стерты. В других случаях они не могут предъявить надлежащим образом оформленный ордер. А иногда пытаются просить данные без ордера и отстают, когда я его требую». Секьюрити-эксперт добавил, что он старается защитить тайну частной информации от посягательств Федерального бюро расследований. «Я буду стараться отклонять слишком широкие требования (такие как просьба представить веб-логи за целый месяц). Мне важно защитить тайну вашей информации, но пользователи Nmap должны понимать, что любая деятельность в сети оставляет [sic] следы. Я не единственный, к кому обращаются с такими запросами — крупные ISP и провайдеры веб-почты получают их каждый день». В октябре агенты ФБР арестовали серверы британской новостной компании Indymedia. Предварительно они предъявили ордер на передачу компьютеров американской фирме Rackspace, которая обеспечивала хостинг Indymedia. Власти Великобритании и США отказались объяснить инцидент и причины того, что ФБР позволено действовать в Лондоне.

Вот такое увидел когда шел домой (:

:lol: Прочитал последнюю строчку, посмотрел на кнопки моих мессенджеров и понял, что пора завязывать (:

Финских интернетчиков выгоняют из военкоматов текст: Анатолий Ализар http://www.webplanet.ru/news/internet/2004/8/4/finnnn.html Молодые финские парни, которые слишком много сидят в интернете, отныне могут не служить в армии. Всеобщий воинский призыв в Финляндии теперь не распространяется на больных «интернет-зависимостью». Финлядндия осталась одной из немногих стран в мире, которая сохранила всеобщую воинскую обязанность. Когда-то все финские компьютерщики, инженеры и программисты были вынуждены одевать военную форму и участвовать в армейских сборах. Не минула сия участь и Линуса Торвальдса — автор операционной системы Linux тоже оттрубил в войсках, о чем подробно рассказывал в своей книге «Just For Fun». Но теперь Линуса не взяли бы в армию. Каждому финну, у которого доктора обнаружили «болезненную привязанность к своим компьютерам и интернету», теперь будет предоставляется отсрочка на три года. По мнению военных врачей, после призыва такие юноши испытывают депрессию. Их страдания настолько сильны, что врачи ставят под сомнение возможность эффективной службы в войсках и опасаются за здоровье призывников. (http://www.mil.fi/english/) Вооруженные силы Финляндии, демонстрируя заботу о молодом поколении финнов, решили освободить интернетчиков от шестимесячной службы. «Для людей, которые играют в интернете целыми ночами и вообще не имеют друзей, не имеют никаких хобби, служба в армии — это очень большой шок. Некоторые из них обращаются к врачам, объясняя, что не могут оставать в армии. Иногда доктора признают, что это настоящая интернет-зависимость», — сказал командир-капитан Йирки Кивела (Jyrki Kivela) из финского военкомата в интервью Reuters. Таких бедолаг отправляют домой, где они продолжают повышать количество фрагов в комфортных условиях на протяжении трех лет отсрочки. «У них есть время, чтобы повзрослеть», — говорит капитан Кивела. Если призывник вернулся и сообщает, что избавился от своей зависимости, то ему разрешают продолжить службу. В 2003 г. из 26.500 призывников 9% были отправлены домой по болезни.

да, была где-то статейка... я читал....

Правительство Финляндии предложило радикальное решение проблемы IE 6 http://zdnet.ru/?ID=461010 Дэн Айлетт (Dan Ilett), ZDNet UK 27 ноября, 2004, 12:28 Пока весь мир ждет, когда Microsoft выпустит поправку для бага IFRAME, власти Финляндии порекомендовали своим гражданам отказаться от Internet Explorer. Государственное ведомство Финляндии призывает граждан страны стараться избегать браузера Internet Explorer до тех пор, пока Microsoft не устранит уязвимость Bofra. В своем предупреждении о высокой степени опасности уязвимости Bofra, для которой уже через несколько дней после ее обнародования появился эксплойт, организация Finnish Communications Regulatory Authority (FICORA) порекомендовала пользователям установить другой браузер. «Мы советуем гражданам Финляндии отказаться от использования Internet Explorer, пока не выйдет поправка, — сказал консультант по защите информации FICORA Арси Хейнонен. — Эта уязвимость широко эксплуатируется, и уже существует использующее ее злокачественное ПО. Степень риска, по нашему мнению, высока. Тем, у кого до выхода поправки есть возможность пользоваться другим браузером, мы рекомендуем так и поступить». Эксплойт Bofra, иначе называемый IFRAME, получил распространение на этой неделе и заражает компьютеры через банерную рекламу. Он переадресует пользователей на другие веб-сайты и загружает в их машины злокачественный код. Microsoft пока не объявила, когда выйдет поправка для этой уязвимости, обнародованной в начале ноября. Считается, что она не проявляется в компьютерах с Windows XP SP2, но присутствует в Windows 2000 и XP SP1. В начале этого месяца Координационный центр защиты национальной инфраструктуры Великобритании (NISCC) порекомендовал пользователям немедленно принять меры в связи с этой ошибкой. В число таких мер входит установка исправления, когда оно появится, установка SP2 и регулярное обновление антивирусного ПО.

Oбновление ПО привело к выходу из строя 80 тыс. компьютеров http://zdnet.ru/?ID=461014 Ингрид Марсон (Ingrid Marson), ZDNet UK 27 ноября, 2004, 14:10 Около 80 тыс. компьютеров Министерства трудоустройства и пенсий Великобритании вышли из строя во время планового обновления ПО. На этой неделе сотрудники Министерства трудоустройства и пенсий (DWP) не смогли воспользоваться своими ПК после планового обновления ПО, в результате которого отказали 80% персональных компьютеров разрастающегося ведомства со штатом, приближающимся к 100 тыс. человек. «У нас возникли проблемы с плановым апгрейдом ПО, отразившиеся на работоспособности ПК, — пояснил в пятницу представитель DWP. — Многие сотрудники не смогли получить доступ к своим системам, что привело к задержкам при обработке новых или исправленных заявлений. Мы работали с нашими поставщиками круглые сутки, и теперь почти все пользователи могут нормально работать». Представитель подтвердил, что 80% компьютеров вышли из строя, и что главными поставщиками министерства являются Microsoft и EDS. В Microsoft сказали, что проблема полностью решена, но не смогли предоставить никакой информации о том, что ее вызвало. EDS не откликнулась на просьбу прокомментировать ситуацию. Союз государственных и коммерческих служб (PCS), организация, представляющая интересы сферы обслуживания в центральном правительстве, заявил, что информация об ИТ-проблемах в Министерстве трудоустройства и пенсий ставит под вопрос возможность сокращения 30 тыс. рабочих мест в связи с модернизацией ее ИТ-систем. «С понедельника в министерстве начались крупные проблемы, в результате чего в больших регионах страны службы работали в очень ограниченном режиме и доходило до того, что платежные поручения выписывались от руки», — сказал представитель PCS. Как сообщает The Guardian, министр трудоустройства и пенсий Алан Джонсон поручил провести внутреннее расследование роли Microsoft и EDS, которая эксплуатирует сеть министерства в рамках ИТ-контракта на £2 млрд. В четверг вечером 95% ПК полностью функционировали, и влияние проблемы на клиентов, как утверждает DWP, было минимальным. Эта авария продолжает цепь технологических неприятностей, преследующих госучреждения Великобритании, в число которых входит срыв ИТ-проекта на £450 млн в Агентстве по детским пособиям и крах электронной системы перевода пособий в августе. В пятницу консалтинговая фирма Avanade — совместное предприятие Microsoft и Accenture — призвала компании срочно модернизировать системы Windows NT 4.0, пока Microsoft не прекратила их поддержку. «В последние месяцы ввиду надвигающегося прекращения поддержки Windows NT4.0 процесс перехода становится все более бурным, — сказал представитель Avanade. — Avanade обнаружила, что ее заказчики испытывают растущее давление к ускоренной модернизации, но опасаются риска, связанного с быстрым переходом».

Кельт, бессмысленно... (: они пока 175 страниц "Тишины..." не восстановят остальные разделы будут пустовать (:

Google — лицо нового браузера Firefox Стефани Олсен (Stefanie Olsen), CNET News.com 12 ноября, 2004, 12:54 Работают ли Google и Mozilla вместе над веб-браузером или нет, но с выпуском Firefox они стали близки как никогда. Поисковая компания заняла центральное место на домашней странице по умолчанию веб-браузера Firefox 1.0, основанного на разработке open source Mozilla Foundation. Эта версия браузера была выложена во вторник утром для бесплатной загрузки. Как утверждает президент некоммерческой организации Mozilla Foundation Митчелл Бейкер, всего за два дня браузер загрузили, по предварительной оценке, 2,5 млн человек. Выдающееся положение Google на странице браузера подчеркивает желание Mozilla вырастить Firefox с его молодых корней в сообществе разработчиков до широкой аудитории Джо и Джейн Сёрферов, которые наверняка пользуются поиском. «Вся наша стартовая страница полостью обновлена, и это отражает нашу текущую цель выйти на широкий потребительский рынок», — сказала Бейкер. Google занял стартовую страницу Firefox еще и потому, что техническая инфраструктура этой компании, по словам Бейкер, лучше поддерживает большие объемы трафика. В последние месяцы ходили слухи о том, что Google разрабатывает веб-браузер, возможно, в партнерстве с Mozilla. И хотя обе стороны опровергают эти слухи, связи между двумя организациями, похоже, все же укрепляются. На этой неделе Mozilla объявила о планах более тесного сотрудничества с поставщиками ПО локального поиска с целью разработки аналогичных возможностей для будущих версий Firefox. Это хорошо согласуется с интересом к локальному поиску, который с недавнего времени проявляет и Google. В более близкой перспективе их отношения могут принести ощутимую выгоду Google, если браузер Firefox станет популярным, как ожидают многие, учитывая растущее недовольство доминирующим браузером Microsoft Internet Explorer. Львиную долю доходов Google получает от продажи рекламного места рядом с результатами поиска, и Firefox помог бы взвинтить спрос на услуги поиска и рекламное место. Между тем, домашнюю страницу по умолчанию легко сменить. В первых версиях Firefox окно Google располагалось в верхнем правом углу браузера — так же, как и в версии 1.0. Из окна поиска пользователи Firefox могут легко вызвать падающее меню, которое позволяет путешествовать по вебу при помощи Yahoo, Amazon.com и других инструментов. А страницу по умолчанию Google им ничто не мешает заменить другой поисковой машиной, например Ask Jeeves. По словам Бейкер, у Mozilla «целый ряд партнеров по поиску», включая Yahoo. Г-жа Бейкер не сказала, существуют ли финансовые отношения между Mozilla и Google. Однако обычно Google выплачивает своим партнерам долю доходов от связанной с поиском рекламы.

Mozilla Firefox Keyboard Shortcuts (Help -> For IE users -> Keyboard Shortcuts.) Тут не все, а только самые интересные (: Select Location Bar ................. Alt + D ( F6 ) Find As You Type Link ............. ' - апостроф Find As You Type Text ............. / - слеш обыкновенный. Find Again .............................. Ctrl + G ( F3 ) Find Back ............................... Ctrl + Shift + G ( Shift + F3 ) [*] Caret Browsing........................ F7 New Tab ................................. Ctrl + T Select Tab (1 to 9)................... Ctrl + 1 to 9 Next Tab ................................ Ctrl + Tab PrevTab ................................ Ctrl + Shift + Tab [*] Close Tab................................ Ctrl + W (Ctrl + F4) Close Window ......................... Alt + F4 (or Ctrl + W on last tab). Complete .com Address ........... Ctrl + Enter Complete .net Address ............ Shift + Enter Complete .org Address ............ Ctrl + Shift + Enter Full Screen ............................. F11 History ................................... Ctrl + H Page Source ........................... Ctrl + U Restore Text Size..................... Ctrl + 0 ( ноль ) [*] Вообще, если действие направлено, то Shift + <его шорткат> делает в обратном направлени... даже с виндосовским Alt + Tab-ом так. А еще клевая фишка попробуйте сделать так, в location bar-е наберите: g asdfasdf - и ентер. Это все равно что в гугле искать 'asdfasdf' и нажать [ I'm feeling lucky ].

Я буду тут постать "хинты". И отвечать на разные вопросы. (: Mozilla Firefox Mouse Shortcuts: (Help -> For IE users -> Mouse Shortcuts) Back ............................................ Shift + Scroll Down Forward ....................................... Shift + Scroll Up Close Tab .................................... Middle Click on Tab New Tab ...................................... Double Click on Tab Bar Decrease Text Size ...................... Ctrl + Scroll Up Increase Text Size ....................... Ctrl + Scroll Down Open in Background Tab ............... MiddleClick (Ctrl + Left Click) Open in Foreground Tab ............... Shift + Middle Click (Ctrl + Shift + Left Click) Open in New Window ................... Shift + Left Click Reload (override cache) ................ Shift + Reload button Save Page As .............................. Alt + Left Click Scroll Up/Down ............................ Middle Click on Page + Mouse Up/Down

Буду тока рад (: !Юзайте опен сорс - самый справедливый софт в мире!

Под виндос отсюда. А вообще вот: http://www.mozilla.org/products/firefox/all.html

мэйл ру?? да... это пожалуй серьезнее, чем циркуль.ам (; ։up։

Поставь АнтиВирус (хоро[ий, нe НАВ) и ФайрВол (не стандартный ВинХР файрвол) и пересядь с ИЕ на ФайрФокс (Фантоми аканджы канчи), и не пользуйся АутЛуком (:

Постановление добавило 20 тыс. виз H-1B Эд Фройенхем (Ed Frauenheim), CNET News.com http://zdnet.ru/?ID=460744 ; 23 ноября, 2004, 12:14 Согласно акту, принятому Конгрессом в этот уикенд, иностранцам, получившим научные степени в Соединенных Штатах, будет выдаваться ежегодно до 20 тыс. дополнительных виз на временную работу. Конгресс согласился с рядом изменений в вызывающих много споров программах выдачи виз H-1B и L-1. В субботу президент Буш пообещал подписать это постановление. В число изменений в программе виз входит требование от компаний гарантии того, что работник, приглашенный по визе H-1B, не займет место американца, и приложения к заявлению на визу $500 «пошлины против злоупотреблений». Кроме того, до 20 тыс. иностранцев, получивших в учебных заведениях США диплом магистра или более высокую ученую степень, не будут учитываться в годовой квоте в 65 тыс. новых виз H-1B. Предприятия ждали такого изменения. 1 октября, в первый день федерального 2005 финансового года, правительство объявило, что лимит на этот год уже исчерпан. «Это исключение выводит Америку вперед, предоставляя американским работодателям доступ к талантам и обеспечивая американским налогоплательщикам более высокую отдачу на их налоговые доллары, которые они ежегодно вкладывают в высшие учебные заведения США, — говорится в заявлении президента Американской ассоциации информационной технологии Харриса Миллера. — Во многих программах углубленной подготовки по математике, естественным наукам и технике доля иностранных студентов составляет 50% и выше. Заставлять иностранных студентов возвращаться домой после получения диплома — все равно, что зарывать эти инвестиции в землю». Технологические компании часто пользуются визами H-1B, которые позволяют квалифицированным иностранным специалистам работать в США до шести лет. Из общей квоты уже исключены визы, запрашиваемые высшими учебными заведениями, а также некоммерческими и государственными научными организациями. Визы L-1 позволяют компаниям приглашать сотрудников из других стран на временную руководящую работу или работу, требующую специальных знаний. Оба варианта виз критикуют за то, что они причиняют ущерб американским работникам. Борцы за права работников технологической сферы надеялись помешать прохождению изъятия из квоты на визы H-1B. В пятницу американское отделение Института инженеров по электротехнике и электронике распространило заявление, в котором говорится, что число безработных хайтек-специалистов в этом году уменьшилось, благодаря уменьшению квоты на визы H-1B.