Предыдущие номера:
ИЮНЬ 1997
СЕГОДНЯ
GUESTBOOK
ПРЕЖНИЕ ВЫПУСКИ
ВСЕ ДОМЕНЫ .RU
INDEX.HTML
| |
| |
Заметка сто сорок третья
НОВЫЕ ДЫРЫ В ФОРТОЧКЕ
Довольно давно в одной из паутинных конференций, посвященных вопросам безопасности Windows NT, появилось анонимное сообщение о способе завешивания этой операционной системы с помощью выхода протоколом telnet на 135-й порт машины, где запущен Windows NT Server, с посылкой нескольких фраз на этот сервер и последующим быстрым от него отключением. После подобного удара, сообщал неизвестный исследователь, на машине, подвергшейся нападению, начинает твориться чертовщина, в считанные минуты истощаются все ресурсы системы, после чего сервер зависает, и лишь перегрузка может возвратить его в нормальное состояние.
Сразу же вслед за этим открытием в той же конференции были опубликованы некоторые существенные разъяснения, из которых следовало, что дырка не столь уж велика, а способ ее латания вовсе примитивен. Из комментариев специалиста по форточной безопасности следовало, что
- для успешной эксплуатации этой прорехи необходимо, чтобы и нападающий, и жертва имели одну и ту же операционную систему - не слишком широко по тем временам распространенные Windows NT (Server 4.0 на сервере и Workstation 4.0 у клиента-хакера)
- для "лечения" этой дырки не требуется никаких специальных программ, достаточно в Control Panel зайти в Network >> Protocols >> TCP/IP и там отрубить возможность подключения телнетом на 135 порт. Поскольку никакими стандартными служебными протоколами этот порт не используется, запрет его вызова не должен отразиться ни на одной жизненно важной функции сервера
Поскольку эти объяснения полностью соответствовали действительности, Microsoft не счел даже нужным касаться данной дырки в своей воскресной проповеди о безопасности, и пользователи всех разновидностей мелкомягких ОС в считанные дни забыли открытие безвестного хакера как сон дурной, но не слишком страшный.
Однако несколько дней тому назад по адресу http://www.yikes.com/nuke/ появилось весьма примечательное сообщение, из которого каждому стало ясно, что дырка 135 порта была в свое время просто недостаточно внимательно исследована. На самом деле эта дыра
- с одинаковым успехом позволяет завалить и клиенты и серверы, причем на любой 32-битной или даже 16-битной форточной платформе, то есть и в Windows 95/3.11, и в NT Server / Workstation, 4.0/3.51
- для атаки используется не 135-й порт, доступный легкому и безболезненному отключению, а 139-й, который закрыть нет никакой возможности, ибо по нему принимает обращения NetBIOS, системный модуль поддержки сетевых обращений
- нападающий совершенно не обязан иметь Windows NT Workstation 4.0 на собственном компьютере, а может совершенно спокойно атаковать из-под любой иной операционной системы, и даже вообще не запускать на своей машине никаких вредоносных программ, обстреливая своих противников через интерфейс CGI на удаленном UNIXовом сервере, где тот стоит и есть не просит
О том, как можно запустить интерфейс, предельно доходчиво рассказано во вчерашней заметке у Паравозова. Там сообщается об успешном заваливании с помощью этой программы общедоступных WWW-серверов. Коллега забыл лишь пояснить, каким образом можно вычислить адрес нашей жертвы перед тем, как посылать по нему смертоносный сигнал OOB (Out Of Bounds). Для этого можно воспользоваться программой ICQ (посмотреть Info любого подключенного к сети пользователя), либо зайти в IRC и отдать команду /dns [nickname], либо воспользоваться сетевым локатором Netinfo работы Александра Царфина <tsarfin@israel.ru> из хайфского филиала Электрической компании Израиля. Каждый из этих способов одинаково эффективен для определения динамического IP пользователя dialup на данный момент, а для выяснения цифрового адреса постоянных IP машин с фиксированным DNS сойдет и старый добрый nslookup на любой платформе. Только желательно, конечно же, посылать запросы в онлайновом, подключенном к Сети состоянии.
Другое сообщение об успешном массовом заваливании форточных паутинных серверов я получил в личном разговоре от старого боевого товарища-сисадмина. "Спустя четыре дня после первых публикаций о дырке я зашел в поисковую машину AltaVista, - рассказал он, - и сделал там поиск на фразу Powered by Windows NT. Обнаружил около сотни гордых пользователей "самой надежного в мире сервера" (цитата из текущей версии Учебника по мелкомягкой безопасности - А.Н.) и стал валить по очереди. В каждой десятке восемь серверов честно зависло".
С уже вошедшей в пословицу своей расторопностью Microsoft спустя несколько суток после обнаружения дырки опубликовал на своем сервере к ней действенную заплату (кроме версии для 95х). Правда, при попытке ее сгрузить я сегодня получил следующее занятное извещение:
FTP Error
Could not login to FTP server
Maximum users (2500) reached. Please try again later. An alternate location for Windows NT Service Packs is located at: ftp://198.105.232.37/fixes/
Очевидно, число пользователей пользователей форточных оперативных систем (перевалившее не так давно за 80% от общего рынка пользователей персоналок) уже успело превысить 2500 человек. Зато отправившись по указанному цифровому адресу, я почти с первого раза дорвался до искомой программы (дело было около четырех утра по Москве), и непременно сгрузил бы все ее составляющие, если б процессы перекачки двух из трех файлов не подвисли намертво при запуске... К счастью, третий и самый главный файл оказался легко доступен, и я благополучно его получил, после чего выложил на наш сервер, чтобы не гонять зря читателя за мелкомягкий Можай.
Стоит отметить, что мелкомягкая заплата, невзирая на впечатляющую скорость ее публикации, отнюдь не была первой. Куда раньше широкий выбор заплат для всех платформ сразу появился на сервере http://www.mydesktop.com/, где действует даже специальный дискуссионный форум для всенародного обсуждения выявленной проблемы. Здесь же можно сгрузить единственную существующую в природе затычку для Windows 95: по мнению Microsoft, в 95х исправить этот дефект пока невозможно.
Особо хочется сказать о впечатляющей, феерической наглости мелкомягких разъяснений о выявленной угрозе. В первом же абзаце документа читаем следующее смехотворное утверждение:
Microsoft has identified a situation whereby a hacker with malicious intent might cause a Windows NT or Windows 95
system to become temporarily unavailable by sending it a specific data packet across the Internet... However, this issue does not compromise sensitive data in any way. It merely forces a server to become unavailable for a short time and is easily remedied by rebooting the server.
Неправды в этом кратком пассаже больше, чем знаков препинания. Во-первых, ситуацию обнаружил не Microsoft и даже не хакер со злобным умыслом, а группа независимых исследователей, никакого отношения к мелкомягкому концерну не имеющих. Во-вторых, после первых же публикаций о проблеме эксплуатация ее стала доступна каждому новичку и ламеру, даже без предварительной инсталляции на своем компьютере специальных программ exploit, которые легко и повсеместно теперь доступны. В-третьих, насколько коротко время бездействия сервера - зависит от того, как скоро до него доберется системный администратор, чтобы произвести reboot. Если атака произошла в пятницу после обеда, то раньше понедельника система едва ли встанет на ноги. Тем более, что никакого способа ни диагносцировать, ни исправить проблему на расстоянии не существует: компьютер, подвергшийся нападению, спокойно себе умирает и перестает реагировать на какие-либо запросы и тестовые сигналы извне. Поднять систему может лишь нажатая пальцем кнопка Reboot на передней панели машины. Наконец, совершенно смехотворным является утверждение, будто бы единственным вредным последствием атаки является кратковременное прекращение откликов от пораженной машины. На самом деле, ущерб может оказаться куда значительней, ибо утеря данных при несанкционированном завешивании системы и прерывании в самом интересном месте процессов типа backup, компиляции, обновления и индексирования различных информационных баз может варьировать в весьма широком пределе. Подвешивание системы может привести к необратимому повреждению запасных копий, гостевых книг, поисковых индексов, платежных и адресных баз, перекачиваемых с удаленной машины модулей и прочих файлов, если они были открыты на запись в момент нападения.
В мелкомягком разъяснении сообщается и самая важная для безутешных пользователей подробность:
This type of attack, known as Denial of Service, is common on the Internet. In fact, various UNIX systems have recently been vulnerable to similar Denial of Service attacks.
Трепещите, UNIXоиды. А мы попробуем подыскать аналогию этому тонкому наблюдению из какой-нибудь некомпьютерной отрасли. Обнаружилось, к примеру, что все пассажирские самолеты, выпущенные концерном "Попкинс энд Жопкинс" за десятилетия его существования, самовозгораются и взрываются в воздухе из-за дефектов соединения в двигателе. Концерн публикует разъяснения, в которых говорится: "Если на лету отпилить у Боинга шасси, то он не сможет сесть".
Подобный ответ будет, конечно, засчитан команде "Попкинс энд Жопкинс" за призовое очко. Только драить его придется до конца дней в штабном сортире...
|
