Вскрыли R&Q? Помогите, плиз, советом..

Проблема в следующем..
Вчера общался с подругой, у нее R&Q, у меня Infium. Начал происходить просто бред..она получала от моего имени то, что я не посылал, и я получал также дрянь от её имени..Но мы оба были в сети, и я просто не слышал, про такую возможность взлома!
Итог - испорченное наглухо настроение. Истории общения сохранились разные.
Также сегодня узнали, что ее другой друг тоже вчера разговаривал якобы с ней..
Помогите решить проблему

lumenart Никакие плагины-автоответчики не установлены? Больше подробностей не помешало бы. Клиент в КЛ отображался корректный? Тот, который на самом деле используется (отображение клиентов есть и в R&Q и в Infium)?

Может это покажется предвзято, но я бы не на R&Q, а на Infium грешила бы. Программа сомнительного качества (даже по сравнению с QIP 2005), и кроме того, преценденты распространения зараженного QIP уже были (вирус, заражающий системные библиотеки Delphi).

Учитывая, что в обеих программах (QIP и R&Q) используется один и тот же сетевой компонент OverbyteIcs, можно задуматься о уязвимостях последнего. Ну и заражение компа, а также снифинг (хотя, кому оно надо, интересно), также никто не отменял.

dek, я простой пользователь, и никогда вообще не слышал про R&Q,сейчас только столкнулся..Я вообще никогда не знал, что вот так можно вмешаться в разговор..А что значит клиент в КЛ? Прошу простить мне дилетантство.. По поводу плагинов - они не установлены.

lumenart писал(а):

А что значит клиент в КЛ?

Клиент в контакт листе (значок рядом с ником).

Argentum47 писал(а):

lumenart писал(а):

А что значит клиент в КЛ?

Клиент в контакт листе (значок рядом с ником).

Значек, который правее в контакт листе, относительно ника

а еще интересует что именно за "дрянь" получали вы друг от друга, обычный спам, или как? как вы узнали что она получала от вас что-то чего не посылали - к ней пришло и она тут же написала вам? подробней опишите процесс того диалога по порядку...

greyfox, она получила пару фраз с оскорблениями нецензурного содержания!
Соответственно она мне начала отвечать исходя из этого..Но помимо этих ответов, я получал от ее имени от третьего какие то фразы..но не знал, что это не она..И мои ответы не все доходили до неё, много замещалось ответами "другого"..Еле разобрались в ситуации по телефону и смс.. Но этот человек точно не какой то левый..
Он был заинтересован..потому как знал, каким образом, кого и как поссорить..Либо это знакомый, либо хорошо изучал историю сообщений или живого общения..
Вообщем, один друг, который тоже общался якобы с ней, потерян..
Я понимаю, что вычислить взломщика скорее всего не получится, но хотя бы защититься от подобных вторжений в будущем!

Кстати, я тут раскопал информацию о достаточно древней программе ICQ Talk, созданной украинскими хакерами..с ее помощью было возможно писать кому угодно под любым UIN из его списка контактов.. Возможно моя ситуация была создана именно с помощью подобной но модифицированной программы..

очень интересно... почитал про ICQ Talk, вроде как возможно все описанное, ссылок не нашел только платно... похоже на разводилово

еще вопрос: у вас с подругой как организована сеть? далеко друг от друга? провайдер один? возможен ли перехват пакетов? проверьте какой сервер указан в настройках

PS почитал старое интервью одного из создателей ICQTalk (2000г) похоже что когда то это точно работало, но почему то упоминается соединение "клиент-клиент", которое якобы абсолютно не защищено... было ли когда-нибудь в асе общение без участия сервера?

сервер для аськи самодельный присутствует и на этом форуме. а просунуть троян с функцией изменения хостов , судя по грамотности пользователей - несложно.

Умные мысли высказывайте, какие ещё могут быть варианты?

З.Ы. Флуд и оффтоп уберу, особо отличившихся отмечу.

З.Ы.Ы. lumenart Не обижайтесь, конечно, но... Из текущих представленных сведений, больше похоже на шутку. Больше информации - больше советов полезных и разных.

dek писал(а):

З.Ы.Ы. lumenart Не обижайтесь, конечно, но... Из текущих представленных сведений, больше похоже на шутку. Больше информации - больше советов полезных и разных.

Достаточно злая шутка))) Просто никогда раньше не думал, что можно вот так проникать в разговор, когда оба пользователя онлайн...

и не так еще можно. вопросами информационной безопасности себя никто кроме вас заниматься не будет, и простой установкой антивируса не обойтись.

Кстати, не раз замечал такую штуку/баг. Есть юзеры из группы "Главная", а есть "Не в списке"...
Так вот, когда то Ник юзера из группы "Главная" вдруг магическим образом превратился в один из ников юзерей из группы "Не в списке".
Просто моя дуевушка появилсь в сети с ником "Игорь" )) Хотя получив ее данные снова все восстановилось. Вот такой вот глюк Из моих 96 контактов крыской пользуется 3 человека включая меня. и ни у кого нет имени Игорь
Мне это хлопот не доставило, но может здесь как раз эта ситуация произошла? Спонтанная смена ника?

Есть же, например, мой ICQ Proxy... При желании в него можно добавить функцию перехвата сообщений (и отправки своих). Только надо заставить клиент (достаточно только одного человека) подключиться к этому прокси, ну, это уже другой вопрос. Или можно функцию перехвата сообщений встроить прямо в exe-файл клиента...

Такое возможно и достаточно легко осуществимо двумя способами - либо атакующий был в одной локальной сети с жертвой, либо у одного из вас (а может и у обоих) троян перехватывающий определённые протоколы.

Рекомендации:
1) проверьте оба компьютера на паразитов.
2) оба используйте RnQ, поскольку у этого клиента встроенное шифрование.

Контратака:
Установить снифер на компьютерах у обоих, и пользоваться только ICQ протоколом в течении некоторого времени. Выявить какие-либо подозрительные подключения (если будут конечно))). Затем, если это школьники баловались, то отследить их не сложно, они обычно не пользуются проксями и удалёнными шеллами, ну а если там было тунелирование проксей да ещё и управление с удалённой командной строки, то тут сложнее так просто решение не скажешь. Разве что поставить фаервол и всё жестко настроить...увы.

Спасибо, thedima. Достаточно понятный ответ и рекомендации
Наверное это повод вникнуть в тонкости сети..

В дополнение к совету thedima, отмечу - используйте вместо стандартного порта 5190 порт 443 и по возможности SSL соединение.
Если будут два RnQ клиента то соединение между ними шифрованное и в клиенте отображается с замком. Значок замка с большой долей вероятности укажет что сообщение от правильного собеседника.

Кстати атакующий может быть админом одной из сетей и на прокси/нате/шлюзе подменять сообщения.

Кстати атакующий может быть админом одной из сетей и на прокси/нате/шлюзе подменять сообщения.

В точку, вот про это забыл упомянуть