Предыдущие номера:
ИЮНЬ 1997
СЕГОДНЯ
GUESTBOOK
ПРЕЖНИЕ ВЫПУСКИ
ВСЕ ДОМЕНЫ .RU
INDEX.HTML
[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive]
|
|
Заметка семьдесят вторая
БРОДИЛКА ЗАМЕДЛЕННОГО ДЕЙСТВИЯ
Давненько мне стихов не посвящали... - написал я, в размер Вишневского, и тут же осознал, что это не совсем правда. Достаточно вспомнить хотя бы стихотворение Владимира Смирнова, опубликованное в Журнале.Ру и в одной из наших недавних заметок. Хуже того - мне и эпитафии писали, целых три штуки, во время соответствующего конкурса в Гусарском Клубе. Но такого, чтобы мне посвятили эпитафию на смерть дамы, с которой я, к тому же, не имел удовольствия быть знаком - убей Бог, подобных прецедентов в моей практике я еще не припомню. Однако нет лучшего повода для создания прецедента, чем его отсутствие. Поэтому сегодня утром Демьян Б. Кудрявцев нарушил устоявшуюся традицию непосвящения мне эпитафий и од на смерть незнакомой мне дамы. Результат может послужить краеугольным камнем для ВИблиотеки, если я однажды, в пику Библиотеке Паравозова, не поленюсь нечто подобное создать. Впрочем, довольно предисловий. Читайте сами. Стихи - Демьяна, гипертекст - мой.
А теперь обратимся к сегодняшней теме. Которую я не выбирал: она мне была навязана самой логикой развития событий, начиная с позавчерашнего дня. Читатель, сообразивший тему номера, легко может догадаться, почему я с удовольствием обошел бы ее молчанием: сегодня, когда весь мир восстает на Microsoft, и мешает его с той субстанцией, из которой эта корпорация лепит свои программы, мне куда приятнее было бы постоять в сторонке, с выражением I told you на расплывшейся в самодовольной улыбке физиономии. Потому что в самом деле I told you, и никто не может обвинить меня в недостаточно частом повторении простой мысли: Microsoft Internet Explorer - бродилка, которой не надо пользоваться. Являясь акционером компании Cityline, которая раздает эту бродилку направо и налево со своей фирменной символикой, я мог бы и фильтровать свои наезды на MSIE - из чисто коммерческих соображений хотя бы. Однако мы - вы, я, компания Ситилайн - живем в одном, общем на всех Интернете. Если в один прекрасный день он превратится в MICROSOFT INTERNETTM (как уже сегодня называется по умолчанию домашняя директория бродилки MSIE) - за катастрофические последствия этой метаморфозы будут расплачиваться наши дети и внуки. Таково мое сугубо личное убеждение, безо всякой связи с теми событиями, о которых речь пойдет ниже.
3 марта 1997 года в районе полудня по бостонскому времени на сервере Cybersnot Industries (Ворчестер, штат Массачусетс) было опубликовано сообщение о найденном "баге" в бродилке Microsoft Internet Explorer. Полностью согласен с производителями этой бродилки, которые не называют найденную ошибку "багом", ибо она таковым не является. Речь идет не об ошибке в программировании, а о дырке в системе компьютерной безопасности (security breach). Дырке, размером с операционную систему примерно. Дырке, вследствие которой установка на компьютер программы Microsoft Internet Explorer равносильна публикации номера собственной кредитной карточки во всех конференциях USENET. С той разницей, что ответственность за утерю кредитной карточки ограничена фиксированной страховой суммой. А риск, который навлекают на себя пользователи Microsoft Internet Explorer, ограничен лишь стоимостью содержимого их компьютеров, да ценой восстановительных работ.
Известие произвело эффект разорвавшейся бомбы. Через несколько часов после первой публикации на сервере Cybersnot, сообщение об обнаруженной дырке уже красовалось на сайтах CNN, C|Net News, Washington Post, San Jose Mercury News, десятков других онлайновых и оффлайновых изданий. Сообщения о жутковатой находке сделались достоянием бумажной прессы, радиостанций и телеканалов еще позавчера. И даже Microsoft, вместо привычных опровержений или успокоительных заверений, которыми он традиционно отвечает на все сообщения о дырках и ошибках в своих продуктах, поставил информацию об открытии CyberSnot на видное место своего сайта.
Попробую объяснить суть обнаруженной дырки простыми словами. В отличие от Нетскейпа, который создавался как бродилка, то есть клиент серверов Паутины (с дополнительной поддержкой других протоколов, но все же с постоянным прицелом на Интернет), Microsoft Internet Explorer был изначально задуман как инструмент интеграции между Сетью и операционной системой. Не случайно слово Explorer (в русской версии - Проводник) впервые появилось в имени программы, сменившей в Windows 95 диспетчеры файлов и программ (File Manager и Program Manager), без всякого намека на Интернет. Тут нет никакого совпадения. Microsoft изначально планировал осуществить интеграцию между Internet Explorer и Windows Explorer - в версии 4.0бета1 это, наконец, так или иначе удалось.
В чем заключается принципиальное отличие между бродилкой - как средством просмотра документов того или иного формата - и диспетчером программ? Кроме прочего - в их понимании команды OPEN. Когда такая команда отдается бродилке, то она либо пытается показать нам документ (если он написан в знакомом ей формате), либо задает вопрос, как с этим документом поступать: открыть ли его с помощью какой-либо внешней программы, или сохранить на диске.
Диспетчер программ или файлов (мы тут говорим не только о Windows Explorer и его предшественниках, но и о таких оболочках, как Macintosh Finder, OS/2 File Commander, Командир Нортона, PCTools, XTree, MultiEdit command shell), ведет себя принципиально иначе. Если его попросили открыть документ - он запустит программу, которая в данной операционной системе (или в файле настроек оболочки) указана "ответственной" за работу с документами такого типа. Если же мы попросили диспетчер открыть исполнимую программу, то она будет запущена.
Исходя из этих простых и общеизвестных посылок, легко понять все последующее. Если в Microsoft Internet Explorer открывается файл с расширением имени .HTM или .HTML - программа его откроет в своем рабочем окне. Если же послать Эксплореру файл с расширением .BAT, .URL или .LNK, то этот файл (вернее, содержащийся в нем набор команд) будет выполнен. Включая такие команды, как DEL *.*, FORMAT C: /Q /U >NUL, ECHO SHIT >C:\COMMAND.COM и тому подобные невинные шалости. Специальные возможности, связанные с использованием в Эксплорере в высшей степени опасной технологии ActiveX (об угрозах которой для компьютерной безопасности написаны мегабайты), позволяют создателям документов Паутины не только запускать подобные команды на компьютере любого пользователя MSIE, но также и специально оговаривать их невидимое для пользователя исполнение (через параметры "объекта" ActiveX)!
Эта дырка присутствует во всех версиях Microsoft Internet Explorer, начиная с 3.0, на платформах Windows 95 и Windows NT 4.0 (официальный рилиз этой версии состоялся 13 августа 1996 года, первая бета вышла в апреле). Разница между двумя операционными системами, с точки зрения эксплуататоров дырки, состоит лишь в том, что в Windows NT 4.0 не исполняются файлы .LNK (в русской версии 95х они называются "ярлыками"). Но использование .LNK для прошибания Эксплорера - не самый удачный ход, потому что команды, содержащиеся в таком файле, выполняются лишь с точным указанием адреса. То есть для запуска программы форматирования винчестера через файл .LNK нужно точно знать, где лежит программа FORMAT.COM: в c:\windows\command\, d:\windows\command\, c:\win95\command\ а то и вовсе в c:\Program Files\Norton Utilities\. Чем это угадывать, проще идти через .URL, ибо таким способом можно запустить любую команду, лишь бы она вызывалась через список директорий в PATH (а директория, содержащая компоненты ДОС, туда автоматом включается при установке Windows 95).
Отдельного упоминания заслуживает использование в этом патенте инструкции МЕТА с параметром REFRESH. Эта технология, именуемая по науке CLIENT PULL, позволяет злоумышленнику окончательно замаскировать свой умысел. Потому что если пользователь вызывает адрес, звучащий как http://asparagus.cybersnot.com/evildemo/w/cybersnot.bat, то он во-первых может догадаться, что ему сейчас пошлют batch file, а во-вторых, он в ответ на подобный вызов не получит ни страницы, ни сообщения об ошибке - и будет, естественно, этим обстоятельством насторожен. А если мы берем самый что ни на есть обычный HTML файл, который пользователь может с большим интересом читать, и вживляем в его заголовок META-инструкцию о посылке в бродилку дополнительного файла сразу после приема текущего, посетитель ровным счетом ничего не заметит. Он будет увлечен просмотром затребованной информации, покуда присланный batch станет форматировать его винчестер, или тереть файлы по своему усмотрению. Например, ... Шучу. Файл cybersnot.bat содержится в тексте нашей статьи в обезвреженном виде. Вот от, кстати:
@ECHO "<HTML>" > NUL
@ECHO OFF
ECHO REGEDIT4 > C:\CYBERSNOT.REG
ECHO [HKEY_CURRENT_USER\Software\Cybersnot] >> C:\CYBERSNOT.REG
ECHO [HKEY_CURRENT_USER\Software\Cybersnot\This is just] >> C:\CYBERSNOT.REG
ECHO [HKEY_CURRENT_USER\Software\Cybersnot\A demo key.] >> C:\CYBERSNOT.REG
ECHO [HKEY_CURRENT_USER\Software\Cybersnot\It can be] >> C:\CYBERSNOT.REG
ECHO [HKEY_CURRENT_USER\Software\Cybersnot\deleted.] >> C:\CYBERSNOT.REG
START /MIN REGEDIT C:\CYBERSNOT.REG
START /MAX NOTEPAD C:\CONFIG.SYS
START /MAX NOTEPAD C:\AUTOEXEC.BAT
START /MAX REGEDIT
EXIT
<META HTTP-EQUIV="REFRESH" CONTENT="0; URL=w/cybersnot.bat">
<BODY BGCOLOR="BLACK">
</BODY>
@ECHO "</HTML>" > NUL
С теоретической частью вопроса мы, кажется, разобрались. Теперь настало время сказать, насколько серьезную практическую угрозу для пользователей представляет открытие CyberSnot. А заодно и повеселиться над словесной эквилибристикой, с помощью которой некоторые не вполне добросовестные авторы пытаются приуменьшить значение находки.
На сервере Microsoft написана следующая возмутительная глупость:
Существует лишь один известный нам сайт, на котором эксплуатируются возможности этой дырки, и то - исключительно в целях демонстрации. Более того, к нам не поступало ни одной жалобы от пользователей, пострадавших от этой дырки; и вебмастер должен сознательно создать зловредный код на своем сайте, чтобы реализовать потенциальную угрозу.
По поводу предположения, что каждый хакер, включивший подобный код в свои или чужие страницы, первым делом побежит заявлять о содеянном в отдел компьютерной безопасности Microsoft - тут комментарии, я думаю, излишни. По поводу того, что ни один пользователь Эксплорера до сих пор не доложил в Microsoft об этой дырке, удивляться тоже не приходится. Если с апреля 1996 года, когда третий Эксплорер впервые появился в свободном доступе, этой проблемы не заметил ни один разработчик и ни один бета-испытатель данной программы - какой уж спрос с рядовых пользователей? В гипотетической ситуации, когда некий Вася зашел вечером на порнографический или хакерский сайт, после выхода оттуда выключил компьютер, а с утра почему-то не смог его запустить, крайне ничтожна вероятность, что Вася побежит с жалобами в Microsoft, с указанием конкретного адреса страницы, на которой он вчера подцепил это счастье (да и Microsoft отмахнулся бы от Васиных россказней, как он отмахнулся уже от сообщений о многих других серьезных дырках в своих продуктах).
Что же касается последнего и убийственного аргумента об ответственности вебмастера за включение в свой сайт зловредного кода - тут Microsoft поразительным образом ухитряется забыть об одной весьма популярной в наши дни хакерской практике, жертвами которой только за последние 4 месяца прошлого года сделались сайты таких респектабельных организаций, как AoL, Пентагон, ЦРУ, департамент юстиции США и окружной суд Флориды (ссылки указывают на публикации об этих происшествиях, а не на сайты, подвергшиеся нападению). Во всех этих случаях благородные хакеры, получившие пароль атакуемого сервера, заменяли содержимое его страниц порнографическими картинками, свастиками и прочими глупостями - в результате чего законные владельцы серверов узнавали о случившемся от первого же возмущенного посетителя, и спешили исправить ущерб. Если на каком-то популярном сайте американского правительства хакеры встроили в исходник зловредный код для Эксплорера, то никому из посетителей по сей день, естественно, не приходит в голову предположить, что загадочное исчезновение с его жесткого диска каких-либо файлов вызвано вчерашним посещением сервера НАСА, госдепартамента или Библиотеки Конгресса...
В заключение - несколько слов о том, какова ситуация с ликвидацией дырки - на словах и на деле. Сегодня в 7 утра по тихоокеанскому времени на сервере NEWS.COM опубликовано сообщение Microsoft заткнул дырку в Internet Explorer. Учитывая, что Microsoft является главным рекламодателем и NEWS.COM, и учредителей этой службы, понятно их желание уменьшить ущерб, который нанесла эта история престижу мелкомягкой корпорации. Увы, желание выручить спонсора в беде наносит немалый вред достоверности самого опубликованного сообщения. Сообщение на NEWS.COM является худшим образчиком той самой полуправды, которая хуже лжи. О дырке в Эксплорере там говорится исключительно в прошедшем времени, словно она уже полностью и бесповоротно ликвидирована. Объяснения по поводу риска, который представляет эта дырка для пользователей Эксплорера, взяты из пресс-рилиза самого Майкрософта, да еще и подредактированы в сторону дальнейшего приуменьшения серьезности угрозы. В частности, мелкомягкое рассуждение об ответственности вебмастера за использование "зловредного кода" в заметке еще дальше творчески развито и углублено:
Дырка может быть задействована только в том случае, если пользователь заходит на хакерский сайт и нажимает на ссылку, под которую замаскирован ярлык. (выделение в обоих случаях мое - А.Н.)
Выше уже объяснялось, что сайт, в документах которого может обнаружиться вредительский код, совершенно не обязан быть хакерским - он с тем же успехом может принадлежать Пентагону, ЦРУ, Америке онЛайн или службе новостей C|NET. Выше объяснялось также, что пользователь совершенно не обязан тыкать мышкой ни в какую ссылку, если вредительский код отправляется ему через META-инструкцию.
В заметке также не говориться ни слова о возможности править и удалять файлы на диске пользователя с применением дырки в Эксплорере. Но это уже мелочь. Самая главная полуправда содержится в заголовке сообщения. Microsoft на момент написания этих строк (наших строк, то есть на 12 часов позже публикации на NEWS.COM) только еще начал работу по закрытию дырки. Выпущена одна утилита, устраняющая дефект только в версии 3.01а, только для бродилки с серией выпуска 1215 и выше, и только в английском варианте программы. Ни для английской версии 3.0 (входящей в стандартную комплектацию Windows NT 4.0), ни для версии 3.01 серий 1155-1158 (входящих в стандартную комплектацию Windows NT 4.0 Service Pack 2), ни для национальных версий 3.0-3.01 (включая русскую и ивритскую), ни для альфа- и бета-версий 4.0 (тестируемых с августа 1996 года) пока никакого решения проблемы не предложено. Ожидается, что утилита для исправления английской версии 3.0 и ранних серий 3.01 появится на сервере Майкрософта до завтрашнего утра: в первоначальные сроки ее выпуска - 48 часов - компания не уложилась. Что же касается пользователей русской версии бродилки, то им предлагается подождать несколько недель и не пользоваться в этот период мелкомягкой бродилкой (либо сгрузить исправленную и дополненную английскую версию 3.01, заодно с затыкалкой). Приятно, конечно, слышать мою давнюю рекомендацию не пользоваться MSIE из уст самого авторитетного источника - той корпорации, которая это произвела. Не менее приятно сознавать, что вследствие данной истории угроза превращения свободолюбивой и многообразной Сети в MICROSOFT INTERNETTM отдалилась хотя бы на день-другой. К сожалению, опыт свидетельствует: сосредоточив в своих руках столько денег, власти и инструментов воздействия, сколько имеет сегодня Microsoft, легко отмыться и от вещей похуже. Процитированная статья из NEWS.COM - лишнее тому свидетельство.
P.S. Нетскейп любой из последних версий можно сгрузить по адресам:
самую свежую и самую тяжелую (13,5Мб) версию для 95/НТ можно получить с сервера Ситилайн.
|
