Главная
К библиотеке


Основные атаки на Windows-системы

  Надо сразу сказать, что компьютеры, работающие под управлением OC Windows, представляют из себя довольно жалкое зрелище в плане безопасности, если проинсталлировав операционную систему не предпринять никаких действий по увеличению ее защищенности.
Сейчас наиболее широко используются три основных варианта ОС фирмы Микрософт: Windows'95, Windows'98 и Windows'NT. В будущем планируется сделать небольшой обзор их сравнительной защищенности от различных атак, а сейчас поговорим о самих атаках. С большинством из них вы, наверно, уже не раз встречались при работе в Интернет, а о некоторых, возможно, даже не подозреваете.
Итак, все атаки можно классифицировать по способу работы на следующие:

Первый тип атак - приведение системы в нерабочее состояние - широко используется в Интернет. Цели при этом преследуются разные: начиная от мелких разборок на IRC, кончая политической виртуальной атакой. Результаты атаки бывают разные, но удачное ее проведение ничего хорошего для вас не сулит: в лучшем случае на экране пользователя появится хорошо знакомый синий экран с информацией об ошибке в библиотеке, отвечающей за работу с TCP/IP, а в худшем - компьютер намертво зависнет, и вся работа, которая велась на компьютере перед этим полетит насмарку. И лучше даже не представлять себе крайний случай, когда атакующий сумеет запустить на вашей машине программу-бомбу, которая через несколько минут сотрет содержимое жесткого диска и прошьет флэш-микросхему БИОСа нулями, после чего компьютер можно будет отнести на помойку. Впрочем, не будем так пессимистичны. Основные и широкораспространенные орудия злоумышленников давно известны, и от них можно защититься. Перечислим некоторые:

Самый старый и классический наезд - это WinNuke, он же "нюкер". Технические подробности: программа соединяется с атакуемым по 139-ому порту, который отвечает за сетевой сервис машины (NetBios), и посылает по установленному каналу любые байтики, с установленным типом данных - OOB (out of band). В операционной системе Windows'95 такое действие вызывает прекращение деятельности TCP/IP-ядра. Сама система продолжает работать, но для работы в сети вам придется перезагрузиться. В Windows'98 эта проблема исправлена.

Также довольно широко известны программы, действие которых основывается на посылке фрагментированных IP-пакетов с некорректной информацией о сборке. В этом случае при получении таких данных ядро операционной системы пытается собрать полученные фрагменты в один, но из-за неправильно указанных длин фрагментов происходит неправильное выделение памяти. Работа операционной системы останавливается полностью. Она не реагирует ни на что, кроме выключения питания. На базе teardrop выходило несколько модификаций, вроде newtear для 100-процентного обеспечения результата :) Атаке подвержены и Win'95 и Win'98 и даже WindowsNT. Для защиты требуется поставить на систему патчи.

Если атакующему не хочется выводить чужой компьютер из строя, то он может использовать средства для захламления канала пользователя данными. В лучшем случае атакуемый компьютер захлебнется волной информации и долгое время его производительность в сети будет ничтожна, а в худшем может перестать функционировать TCP/IP ядро. Но сам компьютер при этом будет полноценно работать, хотя и в гордом одиночестве. Пример такой атаки - это flood ping на IRC - беспрерывная подача пакетов без ожидания ответа от жертвы.

Атаки с целью получить информацию с атакуемой машины

Такие атаки участились в последнее время, особенно в России. Крадут у нас все. Вообще все, что представляет какой-то интерес. Но прежде всего - пароли для доступа в Интернет. Дело в том, что их хранение в ОС Windows происходит без соблюдения нужных требований безопасности и украсть секцию из системного реестра, а также несколько *.pwl файлов совсем нетрудно.
При таких атаках чаще всего используют тот недостаток Windows, что при установленной службе Microsoft доступа к каталогам и принтерам и разрешении в настройках сделать их общими (а так чаще всего все и делают) все ресурсы системы оказываются в полном распоряжении для их использования в Internet. Атакующему для этого достаточно знать только IP-адрес жертвы, после чего он может запустить, например, SmbScan или winhack и просканировать целого провайдера на предмет открытых портов у его клиентов для доступа к их сетевым ресурсам. Защититься от такой атаки несложно - достаточно закрыть сетевые tcp/ip-порты от доступа со стороны. Сделать это можно, например, программой PortBlock, а обнаружить присоединение человека к вашей системе - программой NetStat. Все упомянутые программы можно взять в разделе Download.

Получение контроля над атакованной машиной

Такие атаки очень удобны для взломщика. Прежде всего тем, что в случае удачной ее реализации атакующий получает полный контроль над системой: он может полностью управлять работой программ, графического интерфейса, даже периферией и внешними устройствами. Другими словами, взломщик получает удаленную консоль для работы с атакованной машиной.
Уже классическая сейчас программа, обеспечивающая крэкеру такие возможности - это BackOrifice, или в простонаречии - bo. При запуске она подменяет некоторые системные библиотеки, садится на определенный порт и слушает его, ожидая запросы от программы bo-клиента. При поступлении вызова от клиента происходит его авторизация (!) и в случае успеха устанавливается соединение, передающее полное управление системой клиенту. Атакующий может все - от форматирования дискеты до проигрывания мпега на экране. Защиты здесь универсальной просто не существует, так как программ таких существует несколько, а все они используют хотя и похожие, но немного разные алгоритмы. Поэтому для каждой конкретной атаки надо искать конкретный патч либо использовать целый комплекс средств для проверки системы на зараженность серверной частью таких программ.

Целую отдельную эпопею составляют атаки по электронной почте
 
Этот метод тоже очень распространен в последнее время. Мораль: никогда не запускайте файл, пришедший к вам по электронной почте, не посмотрев, что это такое на самом деле, хорошим антивирусом. Даже если в поле отправителя письма стоит надпись techsupport@microsoft.com, не запускайте приложенный якобы апдейт или абгрейд, сулящий вам бешеный прирост производительности работы и исправление все глюков всех операционных систем вместе взятых, не запускайте этот файл, тщательно с ним не разобравшись.
В последнее время очень модно и популярно стало посылать по e-mail пользователям Internet сообщения от технической поддержки провайдера с советом запустить прилагаемую программу для ускорения работы в Сети, причем для этого предварительно рекомендуется войти в Internet. На самом деле эта программа при запуске просматривает ваш жесткий диск, собирает всю интересную информацию и отсылает ее куда-нибудь Васе Пупкину на станцию, расположенную за тридевять земель в хорошо упрятанном месте. Такая программа называется Troyan - по аналогии с троянским конем из "Илиады" Гомера. Троянцы чаще всего предназначены для собирания информации о провайдере атакуемой жертвы, его телефоне и логину с паролем. Так что, если ваш счет у провайдера стал резко уменьшаться, то для начала смените пароль и внимательно поизучайте статистику соединений с провайдером.

На этом статья не заканчивается. В будущем будет постоянно продолжаться рассмотрение безопасности в MS Windows, и будет рассказываться о других видах атак на пользователей этой операционной системы.

Источник: www.intes.odessa.ua


Copyright © 1999-2000гг. "Internet Zone" & Nik Romanov. nikspase@mail.ru, nikspase@hotmail.ru,  http://www.izone.com.ua/
Hosted by uCoz