Поскольку последнее время обнаружено огромное количество «дыр» в графических библиотеках, то антивирусы, установленные на почтовых серверах, осуществляют автоматический поиск вирусов в изображениях, формируя GET-запрос на хакерский сервер, причем этот GET-запрос очень характерный. Для экономии трафика антивирусы (как правило) загружают только заголовок (где, собственно говоря, и находятся искаженные поля, приводящие к переполнению буфера). Остальное содержимое файла их не интересует, в результате чего мы получаем очень характерный GET-запрос, более того – уникальный для каждого типа антивируса. Поскольку длина заголовка большинства графических файлов варьируется в очень широких пределах, размер запрашиваемого блока у всех антивирусов различен, что позволяет отличить NOD32 от KAV (например). То же самое относится к системам обнаружения вторжений и многим брандмауэрам, «скрещенным» с антивирусами. Мода пихать в один продукт кучу функционала хакерам только на руку.

Так же можно выявить и наличие proxy-сервера, GET-запрос которого отличается от GET-запроса «чистого» почтового клиента. «Хорошие» (в хакерском смысле этого слова) proxy-серверы даже сообщают внутренний IP-адрес жертвы. Красота! А если у жертвы на локальном компьютере установлены «баннерорезалки» (обычно работающие как локальные Proxy-серверы), они также будут обнаружены, поскольку их GET-запросы отличается от GET-запросов почтовых клиентов.

Кэширующие proxy-серверы распознаются вообще элементарно. Если мы отправили письмо по нескольким адресам, принадлежащим одной фирме, а картинка с хакерского сервера оказалась загружена лишь однажды, то либо остальные письма не были открыты, либо же картинка была скэширована. Кстати, далеко не все сотрудники компании проверяют корреспонденцию со своего рабочего места. Многие из них используют альтернативные каналы выхода в Сеть, да и сама локальная сеть компании зачастую разбита на несколько независимых сегментов, и хакер без труда выяснит, что это за сегменты! Впрочем, на практике обычно достаточно найти хотя бы одно слабое звено – сотрудника, проверяющего корпоративный ящик со своего домашнего компьютера (естественно, незащищенного). Зная его IP и версию операционной системы, хакер запросто забросит туда зловредную программу, заражающую другие приложения (и сменные носители типа флеш-карт), в конечном счете проникающие на рабочую станцию, подключенную к корпоративной локальной сети.

Сбор статистики – еще одно хорошее подспорье для атаки. Отправляя серию писем и наблюдая время их открытия, хакер построит достаточно точный график работы жертвы, что само по себе не является большим секретом, но в совокупности со всеми остальными данными дает богатую пищу к размышлениям.

Кстати, Outlook Express (и другие популярные почтовые клиенты/браузеры) по умолчанию загружают только по три картинки за раз, и следующие GET-запросы формируют только после получения ответа от веб-сервера. Любое другое поведение указывает на то, что картинки загружаются не почтовым клиентом и не браузером, а каким-то программным комплексом, расположенным между ними, тип которого можно выявить по характеру и содержимому GET-запросов.

Кстати, о браузерах и веб-почте. Поразительно, какое количество информации браузеры передают в GET-запросе! Часто поле Referrer содержит все необходимые данные для несанкционированного входа в чужую текущую почтовую сессию – хакер может открыть почтовый ящик жертвы как свой собственный и делать все, что ему заблагорассудится (конечно, одновременная работа с двух разных IP, как правило, блокируется, но если жертва выходит из ящика, не сделав Logout, то сессия еще будет некоторое время удерживаться, позволяя хакеру дорваться до почты).