Архивы: по дате | по разделам | по авторам

Тришкин кафтан

Архив
автор : Алексей Павленко   17.01.2002

Пролетел еще один год, который наглядно показал тщетность борьбы со злом. Не буду комментировать теракты в Нью-Йорке и последовавшую за этим борьбу с терроризмом, вполне сопоставимую по разрушительной силе с самими терактами, - остановлюсь лишь на компьютерном мире. Хотя, впрочем, отголоски реального мира все чаще и чаще слышны в мире виртуальном. Как вам, например, недавняя новость о том, что люди Бен Ладена принимали участие в разработке Windows XP? Даже и не знаю, как к этому относиться…

Пролетел еще один год, который наглядно показал тщетность борьбы со злом. Не буду комментировать теракты в Нью-Йорке и последовавшую за этим борьбу с терроризмом, вполне сопоставимую по разрушительной силе с самими терактами, - остановлюсь лишь на компьютерном мире. Хотя, впрочем, отголоски реального мира все чаще и чаще слышны в мире виртуальном. Как вам, например, недавняя новость о том, что люди Бен Ладена принимали участие в разработке Windows XP? Даже и не знаю, как к этому относиться…

Несмотря на кризис в сфере информационных технологий, фирмы, выпускающие антивирусное программное обеспечение и занимающиеся вопросами безопасности, продолжают зарабатывать деньги, и немалые. Это неудивительно, ведь и убытки, понесенные за последний год из-за уязвимости программного обеспечения, огромны. Вспомните хотя бы нашествия вирусов Code Red, SirCam, Nimda и прочих (к моменту публикации статьи наверняка должны появиться и новые имена, ведь на дворе праздники). Вспомните дыру в ftp-сервере wu-ftpd 1, работающем под Linux-подобными системами, и дыры 2 в Web-сервере IIS от Microsoft, в Internet Explorer и Outlook Express. Этот список можно продолжить, но я остановился на самых важных (по крайней мере, для меня) продуктах. О какой безопасности можно говорить, если даже на страницы сайта такого монстра, как Microsoft, проникают вирусы? Вот потому-то на большинстве компьютеров в комплект обязательного софта теперь входят антивирус и файрвол, а пользователи куда чаще интересуются вопросами безопасности - о последнем я сужу по счетчикам, указывающим, сколько человек обратились к моим статьям на сайте Softerra.

Как же уследить за всеми дырами используемых программ и установить соответствующие заплатки? Ведь если злоумышленник обнаружит хоть одну дыру - считайте, что вы попали. Но поиск и установка заплат - дело неблагодарное. Я не знаю мест, где можно скачать один файл со всеми существующими заплатками для конкретной ОС - той же Windows 2000, к примеру. Конечно, производители софта выпускают пакеты обновлений (service pack), но они устаревают еще до выхода. Вот и приходится периодически качать по нескольку файлов, устанавливать их и перегружаться, устанавливать и перегружаться… Но оказывается, существует программа, с помощью которой можно проверить свой компьютер на наличие всех заплаток, а если у вас есть административные права в домене - то и на всех компьютерах сети. Называется это чудо Microsoft Network Security Hotfix Checker 3. Кстати, подобную проверку можно провести и на самом сайте Microsoft, ничего явно не загружая на свой компьютер. Еще один способ, которым пользуются многие сисадмины, - подписаться на доступные листы рассылки bug traq. Но самый интересный вариант - самому на время стать хакером. Для этого надо воспользоваться специальными программами для поиска дыр, именуемыми сканерами безопасности. О некоторых из них я расскажу поподробнее.

Как работает сканер безопасности? Небольшая основная программа подсоединяется к удаленному компьютеру через все или заданные порты. В зависимости от того, что находится на порту, посылаются запросы, взятые из базы данных программы. Поэтому сама программа может не обновляться, главное - периодически закачивать базу с описанием дыр с сайта разработчика.

В последнее время, видимо, чтобы отличаться от конкурентов, сканеры, как и весь остальной софт, тяжелеют и обрастают второстепенными функциями. Например, в некоторых есть возможность использования Whois - но лучше все же пользоваться специализированными программами, тем же Internet Maniac (www.bigfoot.com/~birla).

Одна из главных задач сканера - определить версию операционной системы и составить список программного обеспечения, установленного на компьютере. После этого время на атаку существенно сокращается, поскольку всю базу дыр перебирать не придется. Так, если удалось подключиться к восьмидесятому порту, то достаточно легко узнать, что именно на нем висит. Для примера я сделаю это из telnet. Послав своему компьютеру строку типа HEAD / HTTP\1.0., я получил следующий ответ:

HTTP/1.1 400 Bad Request

Server: Microsoft-IIS/5.0

Date: Sun, 23 Dec 2001 18:41:37 GMT

Content-Type: text/html

Content-Length: 87

<html><head><title>Error</title></head>

<body>The parameter is incorrect. </body></html>

Из него видно, что компьютер работает под управлением Windows 2000 с установленным IIS 5, кроме того, можно узнать локальное время. А теперь можно начинать атаку по базе дыр IIS. Если же вы воспользуетесь для поиска дыр специализированным сканером, то практически любой из них проиллюстрирует найденные программы красивыми иконками, а дыры распишет и посоветует, как их ликвидировать, или в крайнем случае предложит ссылку на более подробную информацию.

Познакомимся со сканерами поближе. Начнем с LANguard Network Scanner (рис. 1, www.gfi.com/nsnetscan.shtml). Не так давно вышла вторая версия этой программы, но все же я порекомендую ее лишь для быстрого тестирования компьютеров - для полноценного анализа надо пользоваться «тяжелой артиллерией», о которой речь пойдет ниже. В программе появилось несколько приятных нововведений: она ищет дыры, предупреждает о неиспользуемых учетных записях пользователей, кроме того, пополнена база портов. Большой плюс сканера - его бесплатность, хотя в меню зачем-то есть пункт «Регистрация».

Следующая программа - Retina (рис. 2, www.eeye.com) - принадлежит перу программистов компании eEye Digital Security, специализирующейся на компьютерной безопасности. Retina умеет куда больше, нежели LANguard, но для полного тестирования потребуется и существенно больше времени - правда, оно того стоит… Так, после проверки с ее помощью я узнал, что мой компьютер уязвим для вируса Nimda. А я-то думал, что установил нужную заплатку… Но обратная сторона медали - за Retina просят бешеные деньги.

Теперь поговорим об отечественных разработках. Довольно интересен Xspider (рис. 3, www.xspider.net.ru), обладающий чрезвычайно простым интерфейсом и удобный в работе. С помощью этого сканера я в свое время находил серверы-жертвы, на части из которых кормлюсь и по сей день. Среди его особенностей стоит отметить возможность находить доступные файлы на Web-сервере по словарю, для чего надо указать каталоги, названия файлов и их расширения, и тогда при поиске будут использованы все комбинации из этого множества. Ранее XSpider был бесплатным, но после выхода версии 6 Beta ситуация остается неясной: программу надо регистрировать на сайте разработчика, который временно закрыт.

Последним отмечу также отечественный Shadow Security Scanner (рис. 4, www.rsh.kiev.ua). Вообще, я поклонник программ, разработанных соотечественниками, тем более что этот сканер умеет многое, но… что-то вот не подошла она мне. Может, дело в интерфейсе, попахивающем Microsoft? Полупрозрачность, выделение элементов при проводе над ними мышкой, раздвигающееся на части окно «О программе». Как будто все сделано для детского сайта, а не для суровых хакеров. Лично мне больше по душе оформление стандартного telnet. Я так и не понял, сколько стоит SSS, знаю лишь, что раньше для жителей бывшего СССР программа была бесплатной.

Конечно, я упомянул не обо всех сканерах. Но до одних у меня просто не дошли руки (от добра добра не ищут), другие же стоят кучу денег. Кстати, все рассмотренные программы обладают примерно одинаковыми возможностями, так что для поиска дыр вовсе не обязательно ставить их все.

Единственное, что пугает, - судя по письмам читателей, некоторые личности используют эту статью для нападения, а не защиты. Конечно, это их право, но, может, хватит?

[i42642]


1 (обратно к тексту) - Подробнее - в bugtraq на SecurityFocus (www.securityfocus.com/archive/1/242750).
2 (обратно к тексту) - Подробнее - в статье «О сервере бедном замолвите слово» (www.softerra.ru/review/internet/11713).
3 (обратно к тексту) - download.microsoft.com/download/win2000platform/Utility/3.2/NT45/EN-US/nshc32.exe.

4 (обратно к тексту) - К сожалению, unicode bug почему-то не находится.
© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.