Трое в лодке (не считая эксплойта)

Архив

Дано: на редакционную машину установлена чистая, без первого сервис-пака, Windows XP Pro, Microsoft Office и ICQ. Задача: любым способом прочитать файл extra1.txt в нерасшаренной папке Extra на диске C.

Дано. На редакционную машину установлена чистая, без первого сервис-пака, Windows XP Pro, Microsoft Office и ICQ. Собственно, Office и ICQ на защищенность системы влияют слабо. Точнее, вообще не влияют, если не учитывать, что ICQ показывает IP-адрес "жертвы". Компьютер с постоянным IP подключен к выделенному Интернет-каналу в обход редакционного файрволла, так что потенциальному взломщику созданы поистине тепличные условия.

Задача. Необходимо любым способом прочитать содержимое файла extra1.txt, расположенного в нерасшаренной папке Extra на диске C:, или получить отмашку от "жертвы", что взлом удался.

Дополнительные ограничения. Взломщики требуют от редакции журнала "Компьютерра" официальное разрешение на проникновение в редакционный компьютер. В четверг днем редакция отправляет, наверное, самый необычный факс за всю историю своего существования. К утру 5 марта все формальности улажены.

Пятница, 5 марта, 10.30–12.00

Ни один из редакторов "Компьютерры" не страдает пунктуальностью, поэтому мое появление на работе в 10.30 утра оказалось сюрпризом не только для меня, но и для охраны. Оказывается, я пришел первым: в типографию номер уходит в ночь с четверга на пятницу, поэтому в последний будний день недели встретить кого-то, кроме ответственного секретаря и главного редактора, в офисе трудновато. Особенно с утра. Через полчаса выяснилось, что Руслан Костелянец, вызвавшийся защищать редакционный компьютер, тоже задерживается, так что у Андрея Соколова, который собирался этот несчастный компьютер взломать, была небольшая фора на сканирование системы.

Руслан появился в половине двенадцатого и первым делом посмотрел, какие порты у нас открыты, а потом установил бесплатную утилиту Active Ports (www.ntutility.com/freeware.html), которая позволяет мониторить TCP- и UDP-порты. Утилита простенькая, но удобная и наглядная: никакими особыми знаниями для того, чтобы увидеть IP-адрес взломщика, успешно запустившего на нашей машине ftp.exe, можно свои мозги не засорять.

- Ну вот, что и требовалось доказать, - сказал Руслан. - Голая Windows XP без сервис-паков и заплаток взламывается чуть ли не моментально.
Голая Windows XP виновато молчала.

Выяснив, что Андрей использовал для взлома тот же эксплойт, что положен в основу знаменитого червя MSBlast, мы установили соответствующую заплатку (Security Update for Windows XP, KB823980, см. Microsoft Security Bulletin 03-026) и перезагрузили машину.

12.00–12.30

Быть взламываемым - скучно. Мы сидели в кабинете главного редактора и с надеждой смотрели на экран. На экране ничего не происходило.

- Ну и как у вас вообще дела идут? Есть клиенты? - спросил я.

Оказалось, что клиентов у компаний, работающих в сфере информационной безопасности, хватает, но по большей части "неправильных". "Правильный" клиент приходит не тогда, когда его уже взломали, а заранее. В России же, как известно, пока гром не грянет, креститься не принято. У нас под информационной безопасностью понимается не профилактика, а срочное хирургическое вмешательство, плавно переходящее во вскрытие.

- Взламывают, значит, будущих клиентов?

- Взламывают, - кивнул Руслан. - Еще как взламывают.

Следующий мой вопрос - о том, кто же все-таки взламывает, если все компании по информационной безопасности занимаются защитой информационных систем, - остался, по большому счету, без ответа. Сам Руслан промышленным взломом не увлекается, но наслышан. Есть такая индустрия. Хорошо оплачиваемая, но не слишком легальная. В основном занимаются этим не фирмы, а частные лица.

- Ага, - сказал я.

В этот момент компьютер перезагрузился.

12.30–14.00

К слову вспомнили Митника и его заявление, что девяносто процентов проникновений осуществляется с использованием методов социальной инженерии. Другими словами, в компании может быть сколь угодно жесткая политика информационной безопасности, но если пользователи записывают пароли на бумажке и прикалывают эту бумажку к монитору, то толку от такой политики - ноль. В какой-то момент, увлекшись беседой, я потерял осторожность и выдал страшную редакционную тайну.

- Ну, у нас тоже пароль литредактора на стенке висит. Для удобства. (О том, что когда мне этот пароль понадобился, я его найти не смог, так как бдительный Александр Шевченко поверх бумажки с паролем пришпилил еще несколько объявлений, я рассказывать не стал.)

- Вот именно, - сказал Руслан.

Компьютер перезагрузился, кажется, уже в десятый раз.

- Когда же он нас сломает, наконец?

В этот момент Windows XP предложила выбрать пользователя, под которым необходимо войти в систему. Аккурат под созданным мною аккаунтом расположилась ссылка на пользователя с оригинальным именем "а".

- Опять взломали, - сказал Руслан. - Сейчас он использовал готовый эксплойт, который создает пользователя с именем "а" и админскими привилегиями.

После загрузки ICQ на экране появилось раздраженное сообщение Андрея Соколова:

- Перестаньте перезагружаться. Работать же невозможно.

- Вообще-то, - сказал Руслан, - хоть файл он и не прочитал, можно это засчитать как взлом. Если есть пользователь с админскими правами, то остальное - всего лишь вопрос времени.

После этого он установил очередной патч (Security Update for Windows XP KB824146, см. Microsoft Security Bulletin MS03-039) и перезагрузил машину.

14.00–16.00

После того как мы пообедали, взлом пошел как-то веселее. Теперь компьютер перезагружался чаще, а если не перезагружался, то активно терял память.

- "Досит", - сказал Руслан, - зачем только - непонятно.

- Но ведь встроенный файрволл решает эти проблемы?

- Конечно, решает. Встроенный файрволл решает вообще все проблемы. У него только один минус по сравнению с коммерческими решениями - он мониторит входящие пакеты, но не следит за исходящими. Поэтому лобовую атаку извне встроенный файрволл Windows XP предотвратить может, но если в системе уже завелся троян, файрволл его просто не заметит.

- Значит, получается, что любому человеку достаточно установить первый сервис-пак, включить файрволл и можно чувствовать себя спокойно?
- Если пользователь откажется от работы с Internet Explorer, то, пожалуй, да. Потому что с помощью IE подхватить троян легче легкого. А система будет считать чужеродное приложение своим и никаких действий против него не предпримет.

- Но ведь в других браузерах тоже наверняка есть дыры?

- Есть, конечно, но их ищут не так интенсивно. Да и какой смысл писать эксплойты под малораспространенные браузеры?

- И с этой точки зрения использование Mozilla или Opera более оправданно, даже если они столь же дырявы, как IE?

- Да. Здесь та же ситуация, что с Linux. Вот говорят, что Linux более защищена, чем Windows. Но обе операционные системы можно настроить так, что опасность проникновения будет минимальна. А что прорех в Windows обнаружено больше, так их и искали гораздо интенсивнее. Если б эти системы вдруг поменялись местами и главной домашней операционкой стала Linux, то еще неизвестно - лучше это было бы для пользователя с точки зрения безопасности или нет. Так же и с браузерами. Нельзя сказать, что с точки зрения безопасности IE написан хуже Opera, - просто им занимались намного плотнее. В Opera, например, недавно нашли дыру, которую в IE заткнули года три назад.

- Значит, вполне достаточно включить в файрволл первый сервис-пак и отказаться от IE?

- Вполне. Мающийся от безделья хакер возиться с такой комбинацией не будет - ему проще найти другую жертву. А остальным случайная домашняя машина неинтересна. Кроме того, после установки второго сервис-пака файрволл будет включаться по умолчанию.

Услышав такие речи, компьютер решил удивить своих "сокамерников" и не перезагрузился, а завис. Reset.

16.00–18.00

Все устали. Андрей Соколов долго не мог поверить в отсутствие саботажа с нашей стороны (и, судя по его статье, не верит до сих пор). Нам с Русланом к этому времени надоело сидеть и смотреть, как машина перезагружается. В конце концов, даже ребенок знает, что машины под управлением Windows перезагружаются без особых проблем. Можно сказать, профессионально перезагружаются.

- А давай, я покажу, как можно защитить Windows XP без включения файрволла и установки каких-либо патчей?

- Попробуй.

- Хорошо. Заходим в Start > Run > dpcnfg.exe. В открывшемся окошке: Component Services > Computers/My Computer. Открываем свойства My Computer (правой кнопкой мыши на Properties) и на вкладке Default Properties снимаем галочку с чекбокса Enable Distributed COM on this computer. Для домашней машины это, как правило, ничем не чревато. Далее идем в Control Panel > Administrative Tools > Services. Здесь останавливаем сервисы SSDP и Messenger. Messenger как раз отвечает за появление спамерских сообщений в попап-окошках, SSDP обеспечивает работу Universal Plug-and-Play в домашней сети. Всё.

- А как это скажется на функциональности системы?

- Для 99,9% домашних пользователей - никак. Они этого просто не заметят.

Руслан деинсталлирует все заплатки и отключает "лишние" сервисы. Андрей Соколов оперативно прогоняет использовавшиеся эксплойты по второму разу. Безрезультатно.

Видимо, неудача задевает его за живое, потому что уставший не меньше нашего Андрей сдаваться не хочет.

- А давайте теперь эксплойты IE проверим? - пишет Соколов.

- Взломает ведь? - спрашиваю я.

- Взломает, - кивает Руслан.

- Ну ладно, проверять не будем, - пишет Андрей. - Но по ссылке хоть сходите: www.malware.com/greymagic.html1. Она безвредная.

Ссылка, кстати, действительно безвредная, но впечатляющая. Пользоваться после этого IE, мягко говоря, не хочется. И вообще больше ничего не хочется.

Я тушу свет и закрываю дверь. "Жертвенный" редакционный компьютер выглядит расслабленным. А зря: через десять дней на нем будет проверяться полумифическая возможность удвоения емкости винчестера, что вполне может привести к гибели жесткого диска.

Digital Security (www.dsec.ru ) - петербургская компания, разработчик специализированного ПО, предназначенного для анализа и управления ИТ-рисками "Гриф", а также для создания и проверки политики безопасности "Кондор+". Основные услуги компании- тесты на проникновение, аудит безопасности, разработка политики безопасности, обучение. Positive Technologies Основные направления деятельности компании Positive Technologies (PT): разработка программных продуктов, оказание услуг и информационная деятельность в области защиты компьютерных сетей от несанкционированного доступа. - коммерческая версия одного из лучших в мире сканеров безопасности XSpider7 (www.ptsecurity.ru/products.asp ) успешно эксплуатируется по всей России в организациях различного масштаба; - ни один из клиентов, пользующихся услугами PT по обеспечению информационной безопасности, не имел инцидентов в этой сфере; - принадлежащий компании портал по информационной безопасности (www.securityfocus.ru  и www.securitylab.ru ) уверенно лидирует в свой отрасли. Информация предоставлена самими компаниями.

 1 Позднее у меня эта ссылка не сработала, но www.malware.com/badnews.php, судя по всему, до сих пор вполне работоспособна. Никакой опасности она не несет, лишь эффектно демонстрирует, что можно заставить сделать Internet Explorer.