Вы
думаете Windows NT - безопасная
система? На самом деле
лишь некоторые ее
конфигурации
сертифицированы по классу
защищенности C2. В
большинстве же случаев
компьютер под управлением
Windows NT - прекрасная мишень
для нападения. В этой
статье обсуждаются
некоторые возможные
дефекты системы
безопасности Windows.
Естественно,
рассматриваются только
лицензионные копии этой
операционной системы. О
безопасности пиратских
версий говорить не
приходится.
Права
доступа к
конфигурационным файлам
В Windows NT по
умолчанию установлены
такие права доступа к
файлам конфигурации, что
любой пользователь может
не только прочитать их, но
и изменить. Это - большой
недостаток, так как
пользователь, изменяя
конфигурацию какой-либо
программы, может
намеренно или случайно
вывести машину из строя.
Причем это можно сделать
даже удаленно на любом
доступном сервере или
рабочей станции (обычно
доступны все серверы и
компьютеры, которые
разрешают доступ внешним
пользователям).
Очевидное
решение - запретить доступ
пользователей к таким
файлам или правильно
установить права доступа
к ним. Первое решение, к
сожалению, реализовать
невозможно, а второе -
настолько сложно, что
исчерпывающие
рекомендации для этого
может дать только Microsoft.
Можно,
конечно, анализировать
записи конфигурационных
файлов и выделять те из
них, которые были сделаны
не администратором. Но
такой способ не решает
проблемы. Глупо разрешать
пользователю взламывать
систему, а потом
наказывать его за
неправомочные действия.
Чтобы не искушать
пользователей изменять
конфигурацию системы или
ее отдельные части,
очевидно, нужно запретить
запись в конфигурационные
файлы для всех
пользователей, кроме
администратора.
В ноябре 1995 г.
Microsoft выпустил новую
версию Windows NT - 3.51, в
документации к которой
подтверждена опасность
неправильного
распределения полномочий.
Однако предложенное там
решение неэффективно.
Даже если сделать дерево
HKEY_LOCAL_MACHINE доступным
только на чтение для всех
пользователей, то
проблема все равно
остается, так как
администратор просто не в
состоянии
проанализировать права
доступа для 6000
конфигурационных файлов и
правильно их установить.
Однако у хакеров для этого
время найдется.
Удаленное
исполнение процедур
Программы
Windows NT используют
удаленный запуск процедур
(RPC) для доступа к другим
компьютерам. Например,
именно удаленное
исполнение процедур дает
возможность изменять
конфигурационные файлы на
удаленном компьютере.
RPC-сервер
Windows NT проверяет имя RPC-клиента
и на основе этого дает ему
соответствующие
полномочия. И если можно
заставить RPC-сервер
неправильно определять
имя пользователя или
устанавливать права
доступа, то хакеры могут
торжествовать. К
сожалению, только Microsoft
знает, насколько это
возможно, так как RPC-сервер
Windows NT имеет плохую
документацию.
SMB
Сеансы
протокола SMB, которые
использует Windows NT для
передачи файлов, можно
подделать или перехватить
еще проще, чем сеансы
протокола NFS для Unix. Это
существенно, так как NFS
считается одним из
основных недостатков
безопасности систем Unix.
Шлюзовая
машина может перехватить
сеанс SMB и получить такой
же доступ к файловой
системе, как и легальный
пользователь, открывший
сеанс. Но, к счастью,
шлюзовые машины редко
используются в локальных
сетях. А если попытку
такого нападения
предпримет компьютер в
Ethernet или Token Ring-сети, в
которой находится клиент
или сервер SMB, то атаку
выполнить достаточно
трудно. Основная проблема
- перехватывать пакеты,
передаваемые между
атакуемой машиной и
реальным получателем.
Проблемы
Internet
Большинство
книг по безопасности Internet
подробно обсуждают
недостатки TCP/IP. Из этих
протоколов наибольшую
опасность, вероятно,
представляют сервисы SMTP и
HTTP, поэтому рекомендуется
запускать
соответствующие им
программы от имени
простого, а не системного
пользователя.
Необходимо
отметить, что WWW-сервер,
используемый Windows NT (Microsoft
Information Web Server), сделать
безопасным достаточно
трудно. Например, первая
версия этого сервера
позволяла пользователю
Internet легко удалять любые
файлы на компьютере, где
устанавливался WWW-сервер,
и такие действия даже не
записывались в системный
журнал.
Серьезную
опасность могут также
представлять
неправильные CGI-сценарии.
Поэтому запрещайте
пользователям, которые
плохо разбираются в
программировании, писать
CGI-сценарии. Книги по
безопасности Unix
достаточно подробно
обсуждают эту тему, и все
их рекомендации
справедливы для Windows NT.
Кроме того,
рабочая станция Windows NT по
умолчанию разрешает
доступ внешним
пользователям без пароля.
Если подключить такую
рабочую станцию к Internet, то
любой пользователь может
получить к ней доступ и
уничтожить директории.
Запрещайте доступ внешних
пользователей!
Автоматически
выполняющиеся макросы
Во время
чтения документа WinWord
автоматически запускает
некоторые макросы,
которые могут выполнять
различные действия (например,
чтение или запись файла,
отправление почтового
сообщения или запуск
программ). Этим может
воспользоваться хакер,
написав специальный
документ, содержащий
различные макросы WordBasic, а
затем попросить
пользователя прочитать
его документ. Во время
чтения "документа-бомбы"
макросы могут скопировать
файлы пользователя в
любую директорию и
послать нападающему
сообщение о проделанных
действиях. Такой документ
будет долго загружаться,
но пользователь, скорее
всего, посчитает, что это
связано с длиной
документа. После этого
хакер удалит макросы WordBasic
из текста и сообщит
пользователю, что он
написал новую версию
документа. Пользователь
заменит старую версию на
новую, и сам скроет все
следы "преступления"
нападающего.
Следует отметить, что
макросы запускает не
только WinWord, но и другие
программы, например, Microsoft
Access, Lotus Ami Pro и многие
другие. Так же можно
использовать для
нападения и язык PostScript,
который используется для
распространения печатных
материалов, и файлы
подсказки с расширением
.HLP, которые могут
запускать DLL-программы.
Так,
пользователь получил
пакет, содержащий файлы с
различными расширениями -
.HLP, .EXE и .DLL. Для того чтобы
узнать, что делает этот
пакет и насколько его .EXE-файлы
безопасны, пользователь
просматривает подсказку к
нему. Но когда подсказка
загружается, запускается
и DLL-файл, который вызывает
EXE-файл, и уже поздно
заботиться о безопасности.
WWW-навигаторы
могут автоматически
выполнять некоторые
команды. Например, если
пользователь захочет
просмотреть документ, имя
которого оканчивается на
.DOC, то полученный из Internet
файл будет автоматически
загружен в WinWord. Если этот
файл содержит
небезопасные макросы, то
они исполнятся.
Программы
WinWord и Access могут запретить
автоматическое
выполнение макросов.
Однако часто пользователи
не прибегают к этой
возможности, особенно
если большинство
документов для Word или Access
их собственные и,
естественно, безопасны.
Заключение
Здесь
перечислены не все
возможные ошибки
безопасности, а кроме того,
далеко не все дефекты Windows
NT известны. А ведь многие
предприятия используют
персональные компьютеры с
установленной на них
операционной системой
Windows. Обращаться с такими
компьютерами нужно крайне
осторожно, чтобы не
открыть хакерам доступ в
корпоративную сеть.
Вообще, для
серьезной работы лучше
использовать другие
операционные системы.
Например, любой UNIX можно
сертифицировать по классу
безопасности C2. А
существует даже
операционная система с
усиленной системой защиты
- Trusted Solaris. Она
сертифицирована по
значительно более
высокому классу
защищенности - B1.
Коммерческих
операционных систем,
сертифицированных по
этому классу, больше нет.
Лучше заранее подумать о
безопасности, чем потом
терять на этом большие
деньги.
Автор:
Валерий Коржов
Использованы материалы: www.compulog.ru
|