...
...

Безопасность — это процесс. Часть 3

Безопасность — это процесс. Часть 3

Продолжение.
Начало в КГ №№ 45, 46

MS03-034: дыра в NetBIOS может привести к раскрытию информации
И совсем уж незамеченным на этом фоне проскочил бюллетень MS03-034 от 4 сентября. Возможно, эта уязвимость не так критична, а возможно, ее время еще не пришло. Уязвима, опять-таки, вся линейка ОС Windows: NT, 2000, XP, 2003.
Проблема в защите MS Windows была в том, что атакующий мог удаленно по сети просматривать память компьютера. Эта уязвимость касается одного из сервисов NetBIOS over TCP/IP (NetBT), называемого NetBIOS Name Server (NBNS).
Сервис NBNS стандартно используется для нахождения IP-адреса компьютера по его NetBIOS имени, и наоборот. При некоторых условиях ответ на NBNS-запрос в дополнение к обычному ответу может содержать случайные данные из памяти компьютера адресата.
Этими данными может быть часть HTML-страницы, если пользователь на компьютере адресата использует браузер Интернет, или это могут быть другие типы данных, которые существовали в памяти в то время, когда компьютер адресата отвечал на запрос NBNS. Атака может проводиться на UDP-порт номер 137.

Необходимо установить следующие патчи:
• для Windows 2000: Windows2000-KB824105-x86-RUS.exe;
• для Windows XP: Win-dowsXP-KB824105-x86-RUS.exe;
• для остальных систем также имеются соответствующие заплатки.
Временные решения, предлагаемые Microsoft, такие:
• заблокировать порты TCP и UDP 137, например, файрволлом;
• настроить фильтры IPSec;
• запретить NetBT (NetBIOS over TCP/IP).
Эти способы являются временными мерами. Они могут только помочь блокировать пути нападения, но не исправляют основную уязвимость.

Эксплоит или полезная утилита?
12 августа появился эксплоит KaHT2, использующий уязвимости RPC DCOM. Он работает против большинства версий Windows, поддерживает макросы, доступен его исходный код. Короче говоря, в наше время не нужно быть суперхакером, чтобы заниматься взломом чужих систем — достаточно вовремя скачать нужную утилиту.
С другой стороны, KaHT2 оказался полезен автору этих строк не только для того, чтобы выявить уязвимые системы и установить необходимые заплатки, но и для того, чтобы убедить пользователей и администраторов сделать это.
Кстати, KaHT2.exe опознается антивирусным пакетом DrWeb 4.30a — как Exploit. DCom.6, антивирусом Касперского 4.5 как Exploit.Win32. DCom.Y.
Но, естественно, нападающий не будет у себя на компьютере лечить этот файл, а заблокировать сетевую атаку антивирус не сможет, если только не скрестить антивирус и файрволл, как это уже сделала компания F-Secure со своим пакетом F-Secure AntiVirus Client Security.
И, опять же, скачав исходные тексты и немного поправив их, можно сделать так, что антивирус "не узнает" новую версию "утилиты".
Есть и другие утилиты-сканеры на предмет уязвимости DCOM, например, от самой Microsoft (утилита KB824146 scan.exe легко находится на сайте, но она не работает под Win9*) или от авторов XSpider: http://www.securitylab.ru/_tools/PTms03039.zip . Правда, в отличие от KaHT2, они лишь сообщают о проблеме и никак не влияют на стабильность работы сканируемой системы.

Для оценки защищенности (но не только для уязвимостей MS03-026 и MS03-039) Microsoft выпускает бесплатную утилиту — Microsoft Baseline Security Analyzer (MBSA). Загрузить ее можно отсюда: http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp . Или отсюда: http://www.microsoft.com/mbsa/ .
Для проведения анализа с ее помощью, локально или удаленно, вы должны иметь права администратора. Утилита предназначена для серверов или рабочих станций, работающих под Windows NT/2000/ XP/.NET.

Вот пример переведенного на русский отчета, генерируемого MS Baseline Security Analyzer по результатам проверки:

Окно результатов проверки
Уязвимости



Отметки

Предмет проверки

Результат

Проверка не пройдена (важно)
Учетная запись Гостя Гостевая учетная запись не отключена


Проверка не пройдена (не критично)
Проверка паролей локальных учетных записей Некоторые пользовательские учетные записи (1 из 4) имеют пустой пароль либо пароль не мог быть проанализирован
Пользователь
Слабый пароль
Заблокировано
Отключено

Политика не назначена
-
-
User0
-
-
-
User1
-
-
-
Root
-
-
-
User2
-
-
-


Проверка не пройдена (не критично)
Истечение срока действия пароля Некоторые учетные записи (2 из 4) имеют пароли, срок действия которых неограничен
Пользователь
User1
root


Проверка пройдена
Файловая система Все жесткие диски (2 шт.) используют файловую систему NTFS
Буква диска
Файловая система

C: D:
NTFS


Проверка пройдена
Автологон Автологон не сконфигурирован на данном компьютере


Проверка пройдена
Запрет Anonymous Компьютер работает с параметром RestrictAnonymous = 2. Этот уровень предотвращает доступ к любым ресурсам, для которых явно не заданы разрешения доступа для учетной записи Anonymous


Проверка пройдена
Администраторы На данном компьютере найдено не более двух администраторов
Администратор
root

Чтобы решить, какую утилиту от Microsoft использовать, просмотрите следующую таблицу:


Задачи

Microsoft Baseline Security Analyzer

KB824146scan.exe
Сканирование для 824146 (MS03-039)
да

да
Сканирование для 823980 (MS03-026)
да

да
Запуск сканирования без административных привилегий на целевой системе
нет

да
Сканирование на предмет других уязвимостей
да

нет
Выявление проблем в конфигурации безопасности
да

нет
Выявление слабых паролей
да

нет

Что делать?
Вопрос "кто виноват?" мы подробно рассмотрели выше. Каждый может подобрать ответ по своему разумению. Теперь попробуем понять, что же делать дальше. Обратимся к опыту самой Microsoft. Специалисты корпорации предлагают инструкцию, состоящую из трех шагов. Итак:

Шаг 1. Используйте интернет-брандмауэр (firewall). До того, как вы подключите свой компьютер к Интернет, вам необходимо установить файрволл. Я бы добавил, что файрволл на своем компьютере необходимо иметь, даже если ваша локальная сеть не имеет выхода в Интернет. Файрволл — это первый эшелон вашей защиты. Если вы используете Windows 2000, Windows ME, 98, 95 или Windows NT, вы должны установить софтверный или хардверный файрволл. Далее следует список знакомых всем хотя бы по названиям софтверных файрволлов: Black-ICE PC Protection, McAfee Security, Symantec, Tiny Personal Firewall, Zone Alarm. Лично я бы рекомендовал Agnitum Outpost Firewall v2.
Сейчас на время отвлечемся от рекомендаций-шагов Micro-soft и коротко рассмотрим опасности, поджидающие нас в сети.
Главная проблема безопасности связана с тем, что, получая доступ к ресурсам многих тысяч и миллионов компьютеров в Интернете или даже нескольких десятков в вашей локальной/корпоративной сети, вы одновременно предоставляете доступ, в той или иной степени, к ресурсам вашего компьютера со стороны других компьютеров сети. Поэтому при работе в сети:
— вы можете подвергаться атакам, например, того же Lovesan/Blaster;
— на вашем компьютере могут начать исполняться, например, при отображении на активных web-страницах, содержащих ActiveX или Java-апплеты, поступившие извне программы, которые в принципе могут выполнять на вашем компьютере любые действия — например, передавать файлы с вашей частной информацией другим компьютерам в сети, причем управлять работой удаленных компьютеров вы не имеете возможности;
— другие компьютеры в сети могут получить или попытаться получить доступ к файлам на вашем компьютере;
— на вашем компьютере может размещаться информация типа Cookie или Referrers, по которой другие компьютеры сети смогут определить, к какой информации вы обращались;
— на вашем компьютере могут быть размещены без вашего ведома троянские программы, т.е. программы, передающие приватную информацию, например, пароли или номера кредитных карточек, с вашего компьютера на компьютер злоумышленника. Основным отличием троянца от программ-вирусов является именно то, что вирус, попавший на ваш компьютер, никак не связан со своим создателем, а троянец как раз и предназначен для последующего взаимодействия с пославшим его злоумышленником;
— вместе с запрашиваемой в компьютер загружается и ненужная информация рекламного характера — баннеры, всплывающие окошки, флэш-ролики. Хотя сами по себе эти объекты, как правило, не могут вызвать потерю или искажение информации на компьютере, однако они существенно увеличивают время загрузки веб-страниц, особенно при работе через модем;
— на вашем компьютере без вашего ведома может быть размещена Spyware — программа, которая передает своему разработчику информацию о владельце компьютера и его пристрастиях — например, информацию о получаемых из сети файлах.
Система Outpost Firewall относится к разряду персональных брандмауэров и обладает следующими основными свойствами:
— русский/английский интерфейс и документация;
— возможность использования сразу же после установки без необходимости предварительной настройки;
— возможность использования большого количества настроек для ограничения доступа из сети и выхода в сеть работающих приложений. Говоря конкретнее, при использовании Outpost Firewall вы можете ограничить список приложений, получающих доступ в сеть, при этом для каждого из этих приложений указать список допустимых протоколов, портов, направлений обращения;
— возможность создания "невидимого" режима работы, при котором остальные компьютеры в сети не в состоянии обнаружить ваш компьютер;
— совместимость со всеми версиями Windows 95/98/ME/ NT/2000/XP и низкие системные требования: минимум iP-166, RAM 16 Mb, 4 Mb свободной памяти на жестком диске.
— используя Outpost Firewall, вы можете запретить или ограничить поступление на локальный компьютер незатребованной информации, в частности: баннерной рекламы, всплывающих окон в web-страницах, данных с определенных web-страниц; ограничить или запретить использование программных компонент, встроенных в веб-страницы, таких, как Java-апплеты и программы на языке JavaScript, ActiveX и т.д.; ограничить или запретить использование Cookie.
— возможность определить зону "дружественных" IP-адресов — например, адресов локальной сети, в которой установлен ваш компьютер. В этой зоне Outpost Firewall не будет осуществлять контроль и ограничивать сетевой обмен;
— Outpost Firewall может выдавать предупреждение при попытке атаковать ваш компьютер из сети и предотвращать такие попытки;
— при всем прочем Outpost Firewall ведет необходимые протоколы, которые можно просмотреть, распечатать, экспортировать, отфильтровать и т.д.

Например, вот реальный протокол подозрительных пакетов, зафиксированных Outpost Firewall на мой компьютер после моего недавнего выхода в Интернет всего лишь минут на 20:


Журнал Outpost Firewall
"Детектор атак/Подозрительные пакеты"

Время

IP-адрес

Просканирован(ы) порт(ы)
12:04:20 194.159.222.73
TCP (135)
12:03:59 194.159.222.77
TCP (135)
12:02:56 194.159.222.73
TCP (135)
12:00:10 194.159.216.216
TCP (135)
11:59:43 194.159.209.246
TCP (135)
11:58:21 194.159.219.89
TCP (135)
11:56:07 194.159.222.147
TCP (135)
11:46:19 194.159.222.68
TCP (135)
11:45:57 194.159.215.49
TCP (135)
11:45:43 194.159.219.28
TCP (135)
11:39:59 194.159.219.218
TCP (135)
Все вышеуказанные IP-адреса — динамические и принадлежат таким же "беспарольникам", как и я. И зачем так настойчиво "продалбливать" мой 135 порт? Вопрос. И, между прочим, хотя этот трафик и невелик, за него я тоже плачу деньги.

Продолжение следует.
Юрий Трофимов,
mr.Root@tut.by



© Компьютерная газета

полезные ссылки
Ремонт ноутбуков в центре Минска