Иллюстрированный самоучитель по Secure Web

         

Известные изъяны серверных приложений


ВО — это не единственный пример программы, которая делает узел уязвимым перед вторжением извне. Существует немало как некоммерческих, так и коммерческих программ, которые, пусть и непреднамеренно, но все же фактически делают то же самое. Пожалуй, невозможно перечислить все программы для Win 9x, угрожающие в той или иной степени безопасности, однако имеется одно универсачьное средство: не запускайте серверные приложения под Win 9x, если вы не уверены в их безопасности. Одним из ярких примеров такой популярной, но обладающей очень большим потенциалом с точки зрения проникновения в систему, является Personal Web Server компании Microsoft. Его необновленные версии могут предоставлять содержимое файлов взломщикам, которые знают их расположение на диске и используют в запросах нестандартные URL (более подробную информацию об этом можно получить по адресу http://www.miсгosoft.com/security/bulletins/ms99-010.asp).

В завершение необходимо подчеркнуть, что после установки коммерческого программного обеспечения, предназначенного для удаленного управления системой Win 9x. все предыдущие рекомендации не имеют смысла. Если такие программы не настроены должным образом, то любой мало-мальски грамотный и настойчивый злоумышленник сможет получить полный контроль над вашим компьютером, как если бы он сам сидел за его клавиатурой. О таких программах мы поговорим подробнее в главе 13.



Непосредственное проникновение


Как нам кажется, в предыдущем разделе мы довольно убедительно показали, что для того, чтобы сделать систему Win 9x доступной для удаленного проникновения, пользователю нужно так или иначе потрудиться. К сожалению, в том случае, когда злоумышленник имеет физический доступ к системе, картина меняется на противоположную: теперь пользователю нужно потрудиться, чтобы сделать систему по-настоящему недоступной. В большинстве случаев, располагая достаточным запасом времени и пользуясь отсутствием должного контроля, а также наличием свободного черного хода, злоумышленники рассматривают физический доступ как возможность простого хищения компьютера. Однако в данном разделе мы не будем рассматривать угрозы, связанные с массовыми хищениями самих компьютеров, а сосредоточимся на некоторых скрытых (а также явных) методах, позволяющих похитить критическую информацию, содержащуюся на компьютере с системой Win 9x

Обход средств защиты Win 9x:  перезагрузка!

В отличие от Windows NT в системе Win 9x не используется концепция безопасного многопользовательского доступа к консоли. Таким образом, любому, кто имеет возможность приблизиться к системе с Win 9x на расстояние вытянутой руки, для получения доступа нужно просто включить компьютер либо выполнить "жесткую" перезагрузку (hard reboot), если он заблокирован с помощью экранной заставки (screen saver). Ранние версии Win 95 позволяли обходить заставку даже с помощью комбинаций клавиш <Ctrl+Alt+Del> или <Alt+Tab>! Все приглашения на ввод пароля, которые появляются при начальной загрузке, — не более чем косметические меры. Пароль Windows нужен лишь для активизации того или иного пользовательского профиля и не обеспечивает защиту каких-либо ресурсов (кроме самого списка паролей, о чем говорится ниже в этой главе). Для обхода приглашения на ввод пароля достаточно щелкнуть на кнопке Cancel, после чего продолжится нормальная загрузка системы. После ее завершения доступ к системным ресурсам будет практически полным. То же самое относится и ко всем диалоговым окнам сетевой регистрации (их вид может зависеть от того, к какому типу сети подключена система, но суть от этого не меняется).



Контрмеры: защита консоли

Одним из традиционных методов решения этой проблемы является установка пароля, хранящегося в BIOS. BIOS (Basic Input Output System) — это система низкоуровневых процедур, код которых хранится в специальной микросхеме, которая устанавливается на системной плате и обеспечивает начальную инициализацию оборудования совместимых с IBM PC компьютеров и загрузку операционной системы. Таким образом, система BIOS первой получает доступ к ресурсам, поэтому практически все разработчики BIOS предоставляют возможность защиты доступа к компьютеру с помощью пароля, что может остановить не очень искушенного злоумышленника. Профессионалы, конечно, могут просто извлечь из компьютера жесткий диск и подключить его к другому компьютеру без пароля BIOS или же воспользоваться одним из многочисленных средств взлома пароля BIOS, которые можно найти в Internet.

Конечно, для экранной заставки также нужно обязательно задать пароль. Это можно осуществить в диалоговом окне Display Properties во вкладке Screen Saver. Одна из наиболее досадных особенностей системы Win 9x заключается в том, что в ней отсутствует встроенный механизм ручной активизации экранной заставки. Однажды для этого мы воспользовались одной хитростью. Ключ -s программы загрузки Microsoft Office (osa.exe -s) позволяет активизировать заставку и, таким образом, эффективно блокировать экран при каждом ее запуске. Для удобства мы поместили соответствующий ярлык в меню Start, так что этой командой можно было воспользоваться при первой необходимости. Более подробную информацию можно получить в базе знаний компании Microsoft в статье Q210875 (http://search.support.microsoft.com).

Кроме того, существует несколько коммерческих пакетов, предназначенных для зашиты Win 9x, которые блокируют доступ к системе или шифруют содержимое жесткого диска. Шифрование файлов с применением открытого ключа выполняет и очень известная в настоящее время, но по-прежнему бесплатная для частных лиц программа PGP (Pretty Good Privacy), которую распространяет компания Network Associates, Inc. (http: //www.nai.com).



Автозапуск и взлом пароля экранной заставки

Перезапуск компьютера с помощью кнопки Reset системного блока или с помощью комбинации клавиш <Ctrl+Alt+Del> — это слишком примитивно для взломщика-эстета (или же слишком осторожного системного администратора, забывшего пароль экранной заставки). К удовольствию столь ранимых натур, существует более красивый способ обхода защиты системы Win 9x, в которой установлен пароль экранной заставки. Он базируется на двух недостатках системы безопасности Win 9x — режиме автоматического распознавания компакт-дисков и примитивном алгоритме шифрования пароля в системном реестре.

Лучше всего проблема автоматического распознавания компакт-дисков описывается в статье Q14I059 базы знаний компании Microsoft.

"Windows постоянно опрашивает дисковод CD-ROM, чтобы определить момент, когда в него будет помещен компакт-диск. Как только это произойдет, выполняется проверка наличия файла Autorun.ini. Если такой файл существует, то автоматически будут запушены программы, указанные в строке ореn= этого файла."

Нетрудно догадаться, что такой "сервис" может обернуться несанкционированным запуском любой программы (как вы относитесь к идее автозапуска Back Orifice или NetBus с пиратского компакт-диска?). Однако сейчас для нас важнее другая сторона этой медали — в системе Win 9x программа, указанная в файле Autorun.ini, запускается лаже во время работы экранной заставки.

Теперь перейдем ко второму недостатку. Общеизвестно, что Win 9x помешает пароль, используемый для отключения экранной заставки, в ключе системного реестра HKEY\Users\.Default\Control Panel\ScreenSave_Data, а механизм преобразования (шифрованием это назвать трудно) пароля уже изучен. Поэтому не составляет никакого труда извлечь это значение из системного реестра (если не используются профили пользователей, то системный реестр хранится в файле С: Windows\ USER.DAT), восстановить его, а затем передать полученный пароль системе через вызов стандартной процедуры. Вуаля — экранная заставка исчезла!





Такой трюк умеет проделывать программа SSBypass компании Amecisco (http://www.amecisco.com/ssbypass.htm), которая стоит $39.95. Существуют и отдельные программы-взломщики пароля экранной заставки, такие, например, как 95sscr4.  Там же можно познакомиться и со многими другими интересными утилитами. Программа 95sscrk не обходит экранную заставку, а просто извлекает пароль из системного реестра и расшифровывает его.

С: \TEMP>95sscrk

Win9b Screen Saver Password Cracker vl.I - Coded by Nobody

(noboaySengaiska.se)

(c) Cupyrite 1997 Burnt Toad/AK
Enterprises - lead 95SSCRK.TXT before usage!

-----------------------------------------

• No filena-e in command line,
using default! (C:\WINDOWS\USER.DAT)

• Rav, registry file detected, ripping out strings..
. • Scanning strings for password key...

Found password data! Decrypting ...
Password is GUESSME"

_ Cracking complete!
Enjoy the passwords!

Контрмеры: защита экранной заставки Win 9х

Компания Microsoft разработала модуль обновления, который обеспечивает гораздо более высокий уровень зашиты пароля экранной заставки, под названием Windows NT/2000. Однако для упрямых приверженцев Win9x, которые могут согласиться лишь на отключение режима автоматического распознавания компакт-дисков, приведем выдержку из статьи Q126025 базы знаний Microsoft Knowledge Base.

1. В панели управления щелкните дважды на пиктограмме System.

2. Перейдите во вкладку Device Manager открывшегося диалогового окна.

3. Щелкните дважды на элементе, соответствующем устройствам чтения компакт-дисков, а затем — на элементе списка, соответствующем вашему устройству.

4. В открывшемся диалоговом окне перейдите во вкладку Settings и сбросьте флажок Auto Insert Notification.

5. Щелкайте на кнопках ОК или Close до тех пор, пока не закроются все открытые окна и вы не вернетесь в окно панели управления. Когда появится сообщение с предложением перезагрузить компьютер, щелкните на кнопке Yes.

Обнаружение паролей Win 9x  в памяти

Если после обхода экранной заставки у злоумышленника еще остался некоторый запас времени, он может воспользоваться средствами обнаружения и получить другие системные пароли, которые в соответствующих строках диалоговых окон представляются символами "*". Такие средства скорее можно отнести к утилитам, которые могут помочь забывчивым пользователям, чем к инструментам взломщика, однако они настолько хороши, что нельзя их не упомянуть и в данной книге.



Одной из самых популярных утилит обнаружения паролей является Revelation, созданная компанией SnadBoy Software (http://www.snadboy.com), работа которой показана на рис. 4.7.

Еще одной подобной утилитой является ShoWin Робина Кейра (Robin Keir). Среди других утилит такого же класса можно отметить Unhide, написанную Витасом Раманчаускасом. Там же можно получить и утилиту pwltool, о которой МЫ поговорим в следующем разделе. Во многих архивах Internet можно отыскать программу Dial-Up Ripper (dripper) Корхана Кая (Korhan Kaya), которая позволяет получить пароли удаленных соединений, если в их свойствах был установлен режим их сохранения. Еще раз напомним, что для использования данных утилит необходимо иметь физический доступ к компьютеру, на котором легальный пользователь начал сеанс работы. (Строго говоря, если злоумышленник имеет такую возможность, то зачем ему пароли, — ведь в его распоряжении весь компьютер?) Однако такие программные средства все же могут представлять собой угрозу в том случае, если кто-либо имеет возможность беспрепятственного доступа к разным компьютерам организации и располагает обычной дискетой с такими программами, как Revelation. Просто представьте на минуту. что все пароли организации могут попасть, например, в руки студента, приглашенного для администрирования сети на время летних отпусков! Да, кстати. Система Windows NT также не может противостоять таким средствам. Упомянутые выше утилиты окажутся бессильными лишь в одном случае: если в диалоговых окнах не сохраняются пароли (проще говоря, если после открытия окна в соответствующей строке вы не видите звездочек, то можно спать спокойно).



Рис. 4.7. Утилита Revelation 1.1 компании SnadBoy Software позволяет увидеть "скрытый " пароль, используемый для доступа к совместно используемым ресурсам Windows

Взлом файлов . PWL

Злоумышленнику вовсе не обязательно получить доступ к компьютеру на несколько часов —- он может за пару минут переписать нужные ему файлы на дискету, а затем расшифровать их в свободное время, как это обычно и делается при использовании "классических" утилит взлома паролей, таких как crack для UNIX или LOphtcrack для Windows NT.



Зашифрованные файлы паролей Win 9x (с расширением PWL), находятся в корневом каталоге Windows (обычно С: \windows). Эти файлы именуются аналогично пользовательским профилям системы. Поэтому достаточно воспользоваться простым командным файлом, чтобы скопировать на дискету все найденные файлы паролей, сору С:\Windows\*.pwl a:

По сути дела. PWL-файл представляет собой кэшированный список паролей, используемых для получения доступа к следующим сетевым ресурсам.

 Совместно используемые ресурсы, защищенные с помощью пароля.

 Приложения, использующие программный интерфейс (API — Application Programming Interface) для доступа к кэшированным паролям (например, Dial-Up Networking).

 Компьютеры Windows NT, не входящие в домен.

Пароли для входа в сеть Windows NT, которые не являются основными паролями входа в сеть. 

 Серверы NetWare.

До появления версии OSR2 в системе Windows 95 применялся очень простой алгоритм шифрования PWL-файлов, который можно было взломать с помощью широко распространенных средств без особых усилий. OSR2 (OEM System Release 2) — это промежуточная версия Windows 95, которая не продавалась в розничной сети, а устанавливалась производителями аппаратных средств (OEM — Original Equipment Manufacturer). В настоящее время при шифровании РWL-файлов используется более надежный алгоритм, однако он по-прежнему основывается лишь на данных учетной записи пользователя Windows. Это означает, что время, необходимое на подбор пароля, возросло, но сама задача взлома пароля осталась по-прежнему вполне выполнимой.

Одним из средств для взлома PWL-файлов является утилита pwltool, написанная уже упоминавшимся Витасом Раманчаускасом и Евгением Королевым. Эта утилита (рис. 4.8) может применяться для взлома заданного PWL-файла как с помощью словаря, так и путем обычного перебора всех возможных вариантов. Таким образом, успех взлома зависит всего лишь от размера словаря (pwltool требует, чтобы все слова в списке состояли из прописных символов) и вычислительной мощности компьютера. Хотим еще раз подчеркнуть, что pwltool скорее нужно расценивать как полезную утилиту для забывчивых пользователей, а не как инструмент хакинга. На наш взгляд, время можно провести гораздо полезнее, чем тратить его на взлом PWL-файла. С другой стороны, если судить формально, то такие утилиты все же представляют собой достаточно серьезную опасность.





Рис. 4.8. Утилита pwltool позволяет получить пароли, хранящиеся в pWL-фашшх.

Еще одним хорошим средством для взлома РWL-файлов является CAIN от Break-Dance (http://www.confine.com). Эта утилита позволяет также получить из системного реестра пароль экранной заставки, выполнить инвентаризацию локальных совместно используемых ресурсов, кэшированных паролей и другой системной информации.

Контрмеры: защита PWL-файлов

Для тех администраторов, которых действительно беспокоит данная проблема. можно посоветовать воспользоваться редактором системной политики Win 9x и запретить кэширование паролей. Эту задачу можно решить и другим способом, создав (при необходимости) и установив следующий параметр системного реестра.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\ Network\DisablePwdCaching = 1

Если вы до сих пор пользуетесь одной из ранних версий Win 95 (выпушенных до появления OSR2), то из Internet можно получить и установить модуль обновления. обеспечивающий более надежное шифрование РWL-файла. Для этого необходимо выполнить инструкции, приведенные в статье базы знаний компании Microsoft по адресу http://support.microsoft.com/support/kb/articles/Ql32/8/07.asp.



PWL-файлы -- это далеко не единственная жертва программистов-взломщиков. Например, на Web-узле, расположенном по адресу http: //www. lostpasswcrc..com. содержится перечень утилит, предназначенных для взлома практически любых паролей, начиная от FST-файлов Microsoft Outlook и заканчивая файлами Microsoft Word. Excel и PowerPoint (так и хочется спросить: "Что вы хотите взломать сегодня?"). Имеется также несколько программ для взлома ZIP-файлов, в которых многие пользователи пересылают важную информацию, надеясь на защиту таких архивов с помощью пароля. Например, утилита Advanced Zip Password Recovery (AZPR) компании Elcomsoft позволяет выполнить взлом с помошью словаря или посредством перебора всех возможных вариантов. Кроме того, она является чрезвычайно быстрой Т >к, и >. приведенного ниже рисунка видно, что в процессе одного сеанса работы за одну секунду в среднем осуществлялась проверка.518783 паролей.

Еще одним хорошим узлом с богатым выбором утилит тестирования и восстановления паролей является Web-страница Джо Песцеля. Приятно знать, что как бы вы ш запутались в паролях, вам всегда поможет сосед-хакер, не так ли?


Отказ в обслуживании DoS


Вмешательство в работу, приводящее к отказу системы от обслуживания (Denial of Service) поступающих к ней запросов, — это последнее прибежище для извращенного ума. К сожалению, людей с таким типом мышления в Internet предостаточно. Имеется много программ, обладающих возможностью отправки сетевых пакетов с "патологической" структурой, предназначенных для аварийного завершения работы Win 9x Обычно такие программы имеют названия типа ping of death, teardrop, land, WinNuke и т.п. Подробнее об отказе в обслуживании мы будем говорить в главе 12, а сейчас лишь отметим, что для системы Win 9x существует одно универсальное средство защиты: модуль обновления Dial-Up Networking Update 1.3 (DUN 1.3).

Контрмеры

В состав DUN 1.3 входит обновленная библиотека Win 95 Windows Sockets (Winsock), в которой реализованы основные процедуры обработки многих потенциальных проблем TCP/IP, используемых при нападении с целью генерации условия DoS. Пользователям Win 98 не нужно устанавливать это обновление, за исключением, пожалуй, лишь жителей Северной Америки, которые хотят обновить используемые по умолчанию в Windows 98 средства шифрования с 40-битовыми ключами на их более надежную 128-битовую версию. Пакет обновления DUN 1.3 для Win 95 можно найти по адресу http://www.microsoft.com/windows95/downloads/.

Однако даже после установки пакета DUN 1.3 мы настоятельно рекомендуем не предоставлять компьютеры Win 9x непосредственно в Internet (т.е. минуя внутренний брандмауэр или другое устройство управления доступом).

Программные брандмауэры

И в заключение рассмотрения методов удаленного проникновения мы настоятельно рекомендуем приобрести какой-нибудь программный брандмауэр из числа имеющихся на современном рынке программного обеспечения. Эти программы будут выступать буфером между компьютером и сетью, что позволит заблокировать все попытки несанкционированных действий. Нам больше всего нравится пакет BlackICE Defender, который распространяется компанией Network ICE (http://www.networkice.com) по цене $39.95. К другим программным продуктам, популярность которых быстро возрастает, можно отнести ZoneAlarm (бесплатно распространяемый компанией Zone Labs для личного использования, http://www.zonelabs.com/) и бесплатно распространяемый пакет eSafe Desktop компании Aladdin (http://www.ealaddin.com/esafe/desktop/detailed.asp). Для того чтобы избежать головной боли в дальнейшем, приобретите такое средство и обеспечьте его функционирование в наиболее напряженном режиме.



"Потайные ходы" и программы типа "троянский конь" в Win 9x


Если предположить, что в вашей системе Win Эх не используется совместный доступ к файлам, не установлен сервер удаленного доступа и отсутствует поддержка удаленного доступа к системному реестру, то можно ли считать ваш компьютер защищенным? По-видимому, в настоящий момент на этот риторический вопрос можно дать отрицательный ответ. Если злоумышленникам не хватает средств удаленного администрирования, они просто пытаются их установить.

В этом разделе мы рассмотрим три наиболее популярные из таких программ, которые разработаны по технологии клиент/сервер. Каждую из них можно найти в Internet. Кроме того, вы познакомитесь с "троянскими конями" — программами, которые на первый взгляд выглядят достаточно полезными, однако на самом деле содержат другой код, который может привести к злонамеренным или разрушительным действиям. Конечно, в Сети можно обнаружить бесчисленное множество таких программ и для их описания не хватит даже самой толстой книги.

Back Orifice

Программа Back Orifice (ВО), фактически являясь одной из самых известных программ хакинга Win 9x, анонсирована разработчиками как средство удаленного администрирования системы Win 9x. Эта программа была выпущена летом 1998 года в соответствии с соглашениями по безопасности Black Hat (http: //www.blackhat.com/), и ее по-прежнему можно свободно получить по адресу (http: //www.cultdeadcow.com/tools). Back Orifice позволяет получить практически полный удаленный контроль над системой Win 9x, включая возможность добавления и удаления ключей системного реестра, перезагрузки системы, отправки и получения файлов, просмотра кэшированных паролей, порождения процессов и создания совместно используемых файловых ресурсов. Кроме того, другими хакерами для исходного сервера ВО были написаны подключаемые модули, предназначенные для установления связи с определенными каналами IRC (Internet Relay Chat), такими, например, как #BO_OWNED, и последующего разглашения IP-адреса жертвы всем, кто интересуется подобными вещами.



Программу ВО можно настроить таким образом, чтобы она самостоятельно устанавливалась и запускалась с использованием любого имени файла ([space] .exe используется по умолчанию). При этом добавляется параметр в ключ системного реестра HKEY_LOCAL_MACHINE\ Software\MicrosoftWindows\CurrentVersion\RunServices , чтобы запуск ВО выполнялся при каждой загрузке компьютера. По умолчанию программой ВО применяется UDP-порт с номером 31337.

Очевидно, что программа ВО является воплощением мечты любого хакера, если не для проникновения в систему, то уж наверняка для удовлетворения болезненного любопытства. Появление ВО оказалось настолько грандиозным событием, что через год появилась вторая версия: Back Orifice 2000 (ВО2К, http://www.bo2k.com). Программа ВО2К имеет те же возможности, что и ее предыдущая версия, за исключением следующего. Во-первых, и клиентская и серверная части работают в системах Windows NT/2000 (а не просто в Win 9л:). А, во-вторых, появился набор средств разработки, что значительно затрудняет выявление различных модификаций этой программы. По умолчанию программой ВО2К используется TCP-порт 54320 или UDP-порт 54321 и выполняется копирование файла UMGR32.EXE в папку %systemroot%. Для предотвращения принудительного завершения работы ВО2К в списке задач будет маскироваться под именем EXPLORER. Если программа разворачивается в скрытом режиме, то она будет установлена в качестве службы удаленного администрирования (Remote Administration Service), в ключ HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices будет добавлен соответствующий параметр, а затем будет удален исходный файл. После этого запуск программы ВО2К будет выполняться при каждой загрузке компьютера. Все эти действия можно выполнить также с помощью утилиты bo2kcfg.exe, распространяемой вместе с пакетом Back Orifice 2000. На рис. 4.5 представлен внешний вид клиентной части программы ВО2К, bo2kgui. ехе, которая осуществляет контроль системы Win 98SE. Из рис. 4.5 видно, что теперь клиент ВО2К может использоваться для остановки удаленного сервера и его удаления из инфицированной системы. Для этого нужно открыть папку Server Control, выбрать элемент Shutdown Server, а затем ввести команду DELETE.





Рис. 4.5. Клиентская программа с графическим интерфейсом (bo2kgui.exe) из пакета Back Orifice 2000 (ВО2К) управляет "потайным ходом " системы Win 9х. С ее помощью можно удалить и сам сервер ВО2К

У клиента ВО2К имеется одна особенность, которая плохо документирована. Она заключается в том, что иногда в поле Server Address необходимо указывать номер порта (например, 192.168.2.78:54321, а не просто IP-адрес или имя DNS).

NetBus

Более требовательному хакеру, возможно, больше понравится "дальняя кузина" ВО — программа NetBus, позволяющая получить удаленное управление над системой Windows (в том числе и Windows NT/2000). Эта программа, написанная Карлом-Фредериком Нейктером (Carl-Fredrik Neikter), имеет более привлекательный и понятный интерфейс, а также более эффективный набор функций. В частности, она оснащена графическим интерфейсом, с помощью которого можно осуществлять удаленное управление (правда, только для высокопроизводительных соединений). Программа NetBus тоже позволяет гибко настраивать параметры. Кроме того, в Internet можно найти несколько ее модификаций. Сервер, запускаемый по умолчанию, имеет имя patch.exe (хотя его можно заменить на любое другое). Обычно при установке в ключ системного реестра HKEY_LOCAL_MACHINEXSoftware\ Microsoft\Windows\CurrentVersion\Run добавляется соответствующий параметр, чтобы сервер запускался каждый раз при загрузке компьютера.

По умолчанию с программой NetBus связывается TCP-порт 12345 или 20034. Поскольку эта программа не позволяет использовать UDP-порт (как ВО2К), то пересылаемые ею данные могут с большей вероятностью отфильтровываться брандмауэром.

 SubSeven

Судя по всему, сервер SubSeven по популярности превосходит программы ВО, ВО2К и NetBus вместе взятые. Он определенно более стабильный, простой в использовании и предоставляет гораздо более широкие возможности хакерам. Эту программу МОЖНО найти ПО адресу http://subseveri.slak.org/main.html.

С сервером SubSeven (S7S) по умолчанию связан TCP-порт 27374, который используется по умолчанию и для клиентских соединений. Как и ВО и NetBus, программа S7S предоставляет взломщику практически полный контроль пал "жертвой". включая следующие возможности.



 Сканирование портов (выполняется непосредственно на удаленном компьютере!).

 Запуск FTP-сервера с корневым каталогом С:\ (с неограниченными правами чтения/записи).

 Удаленное редактирование системного реестра.

 Извлечение кэшированных паролей, а также паролей RAS, ICQ и других служб.

 Перенаправление потоков ввода-вывода портов и приложений.

 Печать.

 Перезагрузка удаленной системы.

 Регистрация нажатий на клавиши (по умолчанию прослушивается порт 2773).

 Удаленный терминал (по умолчанию прослушивается порт 2773).

 Перехват управления мышью.

 Контроль за удаленными приложениями iCQ, AOL Instant Messenger, MSN Messenger и Yahoo Messenger (по умолчанию используется порт 54283).

 Запуск Web-броузера и переход на узел, заданный пользователем.

Сервер предоставляет также возможность использования канала IRC, что позволяет взломщику задать IRC-сервер и канал, к которому нужно подключиться. После этого сервер S7S передает данные о своем местоположении (IP-адрес, связанный с ним порт и пароль). Кроме того, S7S может функционировать в качестве стандартного IRC-сервера, передавать через канал команды, уведомлять взломщика об успешном поиске ценной информации через службу ICQ, почтовые службы, а также выполнять множество других действий.

С помощью приложения EditServer, распространяемого вместе с S7S, сервер можно настроить таким образом, чтобы он загружался в процессе загрузки системы. Для этого нужно поместить параметр WinLoader в ключ Run/RunServices или внести соответствующие изменения в файл WIN. INI.

Как видно из информации одного из популярных списков почтовой рассылки, посвященного вопросам безопасности в Internet, представители крупных телекоммуникационных компаний США жаловались на то, что на протяжении конца января и начала марта 2000 года большое количество компьютеров их корпоративных сетей было поражено программой S7S. Все серверы подключались к виртуальному IRC-cepsepy (irc.ircnetwork.net, а не к определенному серверу) и использовали один и тот же канал. При этом примерно через каждые пять минут передавался их IP-адрес, номер порта и пароль. В качестве заключения можно сказать следующее: после того, как сервер поместил в открытый канал пароль и другие важные данные, практически любой пользователь, подключенный к этому же каналу, с помощью клиента SubTClient может подключиться к инфицированному компьютеру и выполнять любые действия. Вне всяких сомнений, Sub? представляет собой сложную и скрытую программу, которая прекрасно подходит для сетевого хакинга. FTP-сервер, входящий в состав пакета Sub7, представлен на рис. 4.6.





Рис. 4.6. Клиент SubSeven предоставляет возможности использования FTP-cepeepa

Контрмеры: ликвидация "потайных ходов" и удаление "троянских коней"

Все приложения-серверы, создающие "потайные ходы", должны выполняться на целевом компьютере. Их нельзя запустить удаленно (конечно, если ранее удаленная система не стала "собственностью" хакера). Обычно это можно осуществить, воспользовавшись распространенными ошибками клиентов Internet и/или элементарным обманом. Возможно, взломщики применят оба подхода. Эти методы, а также возможные контрмеры, более подробно рассматриваются в главе 16. Здесь же стоит сказать лишь следующее: постоянно выполняйте обновление используемого клиентского программного обеспечения, предназначенного для работы в Internet, и тщательно осуществляйте его настройку.

Другая возможность закрытия всех "тайных лазеек" заключается в предотвращении внешнего доступа к тем открытым портам, которые обычно используются такими программами. Через соответствующие порты с большими номерами нам удавалось подключиться ко многим узлам с помощью брандмауэра. При этом подключение к запущенным серверам внутренних сетей превращалось в детскую игру. Полный список портов, используемых "троянскими конями" и приложениями, применяемыми для создания "потайных ходов", можно найти на Web-узле компании TLSecurity по адресу http://www.tlsecurity.net/trojanh.htm.

Уделяйте пристальное внимание вопросам контроля доступа к брандмауэрам из внутренней сети. Хотя более опытные взломщики могут настроить свои серверы и на использование портов 80 и 25 (которые практически всегда доступны для таких целей), это значительно сузит спектр их возможностей.

Для тех, кто хочет познакомиться с рассматриваемой проблемой поглубже и удостовериться в ее отсутствии в действующей сети, можно обратиться к базе данных компании TLSecurity по адресу http://www.tlsecurity.net/tlfaq.htm. Ее автор, группа Int-13h, провела кропотливую работу по сбору всеобъемлющей и подробной информации о том, где можно найти подобное программное обеспечение. (Возможно ли, чтобы в этой базе данных упоминалось каждое из таких средств? Познакомьтесь с содержащимся там перечнем.)



В настоящее время многие из антивирусных программных продуктов позволяют выполнять поиск всех подобных средств (перечень коммерческих производителей можно найти в базе данных компании Microsoft (Knowledge Base) в статье Q495000 по адресу http://search.support.microsoft.com). Специалисты Int_13h настоятельно рекомендуют использовать пакет AntiViral Toolkit Pro (AVP), который можно найти по адресу http://www.avp.com. Некоторые компании предоставляют средства, предназначенные для удаления "троянских коней" и ликвидации других "потайных ходов", например пакет TDS (Trojan Defense Suite). Его можно найти по адресу http: //www.multimania.com/ilikeit/tds .htm (еще одна рекомендация Int_13h).

Остерегайтесь волков в овечьих шкурах. Например, одно из средств удаления программы ВО, называемое BoSniffer, на самом деле является "троянским конем" и содержит саму программу ВО. Будьте осмотрительны в применении свободно распространяемых утилит поиска "троянских коней".

Программное обеспечение для создания "потайных ходов" и "троянские кони'' будут рассматриваться также в главе 14.


Прямое подключение к совместно используемым ресурсам Win 9x


Этот метод проникновения в удаленную систему Win 9x является самым очевидным и легко осуществимым. Win 9x поддерживает три способа получения прямого доступа к системе: путем подключения к совместно используемым файлам и принтерам; через компонент сервера удаленного доступа (по умолчанию не устанавливается); посредством удаленного манипулирования системным реестром. Последний способ требует специальной настройки и знания системы зашиты на уровне пользователей, т то за пределами корпоративных сетей случается крайне редко.

Что касается первого метода проникновения, то он основывается на получении сведений, передаваемых удаленным пользователем при его подключении к совместно используемому ресурсу компьютера, работающего под управлением Win 9х. Поскольку пользователи часто используют одни и те же пароли, такая информация может облегчить получение доступа и к самой системе. Более того, это может привести к проникновению в другие системы сети.

Хзкинг совместно используемых файлов и принтеров Win 9x

Мы не знаем ни одного метода, с помощью которого можно было бы извлечь хоть какую-то пользу от доступа к совместно используемому принтеру Win 9x, поэтому посвятим оставшуюся часть раздела исключительно проблеме доступа к совместно 'используемым файлам Win 9x.

При рассмотрении инструментальных средств и методов, которые могут использоваться взломщиками для сканирования сетей в поиске совместно используемых ресурсов Windows (см. главу 3) отмечалось, что некоторые из них также обладают возможностью подбора пароля для получения доступа к выявленным ресурсам. Одной из таких утилит является уже известная нам программа Legion. Помимо обеспечения сканирования заданного диапазона IP-адресов в поисках совместно используемых ресурсов Windows, Legion также содержит средство взлома паролей (средство BF). с помощью которого можно попытаться подобрать пароль по списку, содержащемуся в текстовом файле, и автоматически подключиться, если попытка завершилась удачно. Аббревиатура BF означает "brute force", т.е. взлом, однако более корректно называть эту функцию "подбором пароля", так как она базируется на использовании списка паролей. Один совет: кнопка Save Text главного окна программы Legion предназначена для сохранения имен обнаруженных совместно используемых ресурсов в текстовом файле, что повышает удобство работы при вводе значения в поле Path окна Force Share (рис. 4.1).






Рис. 4.1. Средство BF программы Legion позволяет подобрать пароль к совместно используемому ресурсу Windows

Вред, который может нанести злоумышленник, получивший таким образом доступ к системе, зависит от каталога, к которому он подключился. Если в этом каталоге находятся файлы, критичные для безопасности, или же если данный ресурс представляет собой целый раздел жесткого диска (чем нередко грешат пользователи), то последствия могут оказаться поистине разрушительными. Взломщик может просто поместить выполняемый файл в каталог %systemroot%\Start Menu\Programs\Startup, и при последующей перезагрузке компьютера данная программа будет автоматически запущена без ведома пользователя. (Примеры программ, которые могут быть внедрены в систему таким образом, приведены в следующем разделе этой главы, посвященном одной из таких программ — Back Orifice). Наконец, в распоряжении хакера может оказаться файл PWL (об этом мы поговорим несколько позже).

Контрмеры: защита от хакинга совместно используемых файлов

Защититься от подобного нападения очень легко. Достаточно просто-напросто отключить режим совместного использования файлов на компьютере с Win 9x! Системным администраторам, в ведении которых находится много компьютеров, мы советуем использовать редактор системной политики (System Policy Editor) POLEDIT. EXE, с помощью которого можно запретить совместный доступ к файлам и принтерам на всех компьютерах сети. Программа POLEDIT . EXE, окно которой вы видите на рис. 4.2, входит в состав комплекта Windows 9x Resource Kit (далее — Win 9x RK). Найти ее можно в каталоге \tools\reskit\netadmin установочных компакт-дисков системы Win9x .

Если вам все же необходимо разрешить совместное использование ресурсов, обязательно применяйте сложные пароли из восьми алфавитно-цифровых символов (к сожалению, в системе Win Эх — это максимальная длина пароля), а также метасимволов (т.е. [ ! @ # $ % &) и управляющих символов ASCII. Кроме того, имеет смысл добавить к имени совместно используемого ресурса символ $, как показано на рис. 4.3. чтобы это имя не отображалось в папке Network Neighborhood при использовании команды net view и даже в результатах, полученных в ходе сканирования сети с помощью утилиты Legion.





Рис. 4.2. С использованием редактора системной политики Windows 9x администратор сети может запретить пользователям предоставлять ресурсы своих компьютеров для совместного или удаленного доступа



Рис. 4.3. Набавив символ $ к имени совместно используемого ресурса, вы тем самым сделаете его "невидимым" в сетевом окружении, а также для многих утилит сканирования NetBIOS

Повторное использование данных . аутентификации Win 9x

5 января 1999 года группа исследования вопросов безопасности, известная под названием LOpht, обнародовала документ, содержащий информацию о выявленном ею изъяне в процедуре сетевой аутентификации, выполняемой при предоставлении доступа к совместно используемым файловым ресурсам. Тестируя очередную версию своего печально известного средства LOphtcrack. предназначенного для взлома и скрытного хищения паролей (см. главу 5). было установлено, что система Win 9x, на которой установлен режим совместного использования файлов и принтеров, каждые 15 минут обращается к удаленному компьютеру за подтверждением соединения. Поскольку система Windows в этом запросе использует комбинацию хэш-кода пароля и имени удаленного пользователя, а также учитывая, что имя пользователя передается в виде незакодированного текста, взломщик может просто переслать перехваченный им запрос на аутентификацию и успешно подключиться к совместно используемому ресурсу системы Win 9x. Если все это произойдет в течение 15 минут, хэшировпнный пароль будет идентичным.

Хотя этот случай является классической криптографической ошибкой, которую компания Microsoft просто не должна была допустить, данным изъяном очень трудно воспользоваться. В документе группы LOpht говорится о возможности модификации исходного текста популярного сетевого клиента Windows для UNIX под названием Samba  в целях ручного восстановления потока данных, передаваемых по сети при аутентификации. Однако уровень квалификации программиста, необходимый для успешного решения этой задачи, а также необходимость иметь доступ к локальному сетевому сегменту для прослушивания какого-либо соединения, делает повсеместное распространение данного подхода маловероятным.



Хакинг сервера удаленного доступа Win 9x

Показанный на рис. 4.4 компонент Windows Dial-Up Server, входящий в состав Win 9x, — это еще одна "приятная неожиданность" для системного администратора. Любой пользователь, установив пакет Microsoft Plus! for Windows 95 и подключив модем, может создать брешь в системе защиты корпоративной сети (пакет Microsoft Plus! входит в стандартный комплект поставки Win 98).

Система, функционирующая в качестве сервера удаленного доступа, как правило, разрешает и совместный доступ к файлам (иначе устанавливать сервер удаленного доступа нет никакого смысла). Это означает, что пользователь, находящийся по ту сторону модемного соединения, может провести инвентаризацию всех совместно используемых ресурсов и попытаться подобрать пароли (если, конечно, они вообще используются). Об этом уже упоминалось в предыдущем разделе. Все различие в подходах заключается лишь в установлении связи не по локальной сети, а через сервер удаленного доступа.



Рис. 4.4. Превратить систему Win 9х в сервер удаленного доступа чрезвычайно просто

Контрмеры: защита от хакинга через удаленные соединения

Совсем не удивительно, что рекомендации остаются прежними. Во-первых, сами не используйте сервер удаленного доступа Win 9х а во-вторых, с помощью редактора системной политики запретите его устанавливать и пользователям. Если же удаленный доступ все-таки очень необходим, обязательно устанавливайте пароль для входящих подключений и обеспечьте его шифрование. (Такой режим можно установить в диалоговом окне Server Туре, которое открывается после щелчка на одноименной кнопке диалогового окна свойств Dial-Up Server). Можно также перейти к аутентификации на уровне пользователя, т.е. выполнять аутентификацию с помощью сервера безопасности, такого как контроллер домена Windows NT или сервер NetWare. Установите пароль для доступа к каждому совместно используемому ресурсу (причем чем сложнее пароль, тем лучше), а также сделайте эти ресурсы скрытыми, добавив к их именам символ $.



Взломщик, которому удастся проникнуть через сервер удаленного доступа и подобрать пароль к совместно используемым ресурсам, может воспользоваться любой информацией, которую он обнаружит в открывшихся ему папках и файлах. Однако он не сможет проникнуть в сеть непосредственно через систему Win 9x, поскольку она не обеспечивает маршрутизацию потока данных.

Необходимо также помнить, что удаленные соединения (DUN — Dial-Up Networking) уже давно не являются исключительно модемной технологией. Теперь возможности удаленного доступа используются в виртуальных частных сетях (VPN — Virtual Private Networking), о которых мы поговорим в главе 9. Поэтому нам кажется, что необходимо сказать пару слов об одном из самых важных с точки зрения обеспечения безопасности модуле обновления встроенной поддержки сетей VPN в Win 9x. Этот модуль, называемый Dial-Up Networking Update 1.3 (DUN 1.3), позволяет системе Win 9х устанаштивать более защищенные соединения с серверами виртуальной частной сети Windows NT. Если вы используете технологию VPN компании Microsoft, не раздумывая установите модуль DUN 1.3. DUN 1.3, как мы вскоре убедимся, позволяет также защититься от нарушения работы из-за возникновения условия DoS.

Подробнее о недостатках удаленного доступа и сетей VPN мы поговорим в главе 9.

Удаленный хакинг системного  реестра Win 9x

В отличие от Windows NT, система Win 9x не содержит встроенных средств поддержки удаленного доступа к системному реестру. Однако если установлен компонент Remote Registry Service (RRS), который можно найти на установочном компакт-диске Windows 9х в каталоге \admin\nettools\remotreg. то это становится вполне возможным. Для работы службы RRS необходимо переключиться в режим защиты на уровне пользователей. Следовательно, для получения доступа потребуется вести правильное имя пользователя. Если взломщику повезет и ему попадется система с установленным компонентом RRS и совместно используемым каталогом, доступным для записи, а также если ему удастся узнать какое-нибудь имя пользователя и подобрать соответствующий пароль, то в результате он сможет сделать с такой системой все, что только пожелает. Легко ли отвести от себя такую угрозу? Нам кажется, что да. Более того, чтобы ее создать, надо немало потрудиться. Если вы хотите установить службу RRS, обязательно выберите хороший пароль, и этого будет достаточно. В противном случае не устанавливайте этот компонент вообще и спите спокойно, зная, что все попытки получить доступ к реестру закончатся ничем.



Последняя в нашем перечне, но далеко не последняя по степени риска и последствиям угроза удаленного проникновения состоит в использовании протокола SNMP (Simple Network Management Protocol). В главе 3, мы уже говорили о том, что этот протокол может с успехом применяться для инвентаризации компьютеров, работающих пол управлением Windows NT, на которых запушен агент SNMP, настроенный на использование установленных по умолчанию строк доступа типа public. To же самое относится и к системе Win 9x, если на ней установлен агент SNMP (соответствующий модуль можно найти в каталоге \tools\reskic\netadmin\snmp установочного компакт-диска). Однако поддержка протокола SNMP в Win 9x отличается от его реализации в Windows NT тем, что при этом не сообщается информация об именах пользователей и совместно используемых ресурсов, поскольку в Win 9x реализована версия 1 информационной управляющей базы Ml В. Таким образом, в данном случае возможности по использованию протокола SNMP ограничены.


и Win 9х становится все


Время идет вперед, и Win 9х становится все менее и менее интересной в качестве потенциальной жертвы. Взломщиков все больше интересуют более новые операционные системы, такие как Windows 2000. Для тех, кто остался приверженцем Win 9x, следует принять во внимание следующее.

 С точки зрения сетевого взломщика, система Windows 9x/ME несколько инертна, поскольку в ней отсутствует встроенная поддержка регистрации в сети. Практически единственной угрозой сетевой целостности Win 9х/МЕ является совместное использование файлов, что можно легко исправить путем выбора хорошего пароля, и опасности возникновения условия DoS, что так же в большинстве случаев легко решается путем установки пакета обновления DUN 1.3 и системы Windows ME. Однако в любом случае мы настоятельно рекомендуем не подключать незащищенные системы Win 9x/ME непосредственно к Internet. Простота, с которой такие компьютеры могут оказаться в руках взломщиков, и недостаток адекватных средств защиты — верные источники возникновения проблем.
 Гуляющие по просторам Internet Back Orifice и NetBus, а также многочисленные коммерческие пакеты, предназначенные для удаленного управления (см. главу 13), могут сделать гораздо больше, чем простое расширение недостающей Win 9х/MЕ сетевой функциональности. Убедитесь, что они не установлены на компьютере без вашего ведома (например, через известные изъяны клиентского программного обеспечения Internet, как будет описано в главе 16), а также в том, что легально установленные программы настроены на максимальный уровень безопасности (т.е. используются хорошие пароли).
 Постоянно обновляйте программное обеспечение, поскольку в пакетах обновления зачастую содержатся исправления различных модулей системы защиты. Для получения более подробной информации о степени уязвимости необновленного программного обеспечения, а также о способах повышения их надежности читайте главу 16.
 Если кто-то получит физический доступ к вашему компьютеру под управлением Win 9x, вам конец (впрочем, то же самое можно сказать и о большинстве других операционных систем). Единственным решением этой проблемы может быть защита с помощью пароля BIOS, а также использование программного обеспечения сторонних производителей.
 Если вы занимаетесь хакингом Win Эх из любопытства, вам будет чем поразвлечься, особенно, если вспомнить о количестве рассмотренных утилит. Если же вы администратор сети, то не забывайте, что в PWL-файлах могут содержаться данные пользовательских учетных записей, используемых для регистрации в сети. Поэтому не нужно относиться к утилитам такого рода пренебрежительно, особенно, если физический доступ к компьютерам пользователей с системой Win Эх в вашей организации слабо ограничен или совсем не контролируется.

Удаленное проникновение


Методы удаленного проникновения в систему Win 9x условно можно разделить на четыре категории: прямое подключение к совместно используемому ресурсу (в том числе и ресурсам удаленного доступа); установка фонового сервера, предназначенного для создания "потайного хода''; использование известных изъянов приложений; генерация условия DoS (denial of service — отказ в обслуживании). Необходимо отметить, :о для реализации трех из перечисленных методов требуется, чтобы либо система была настроена неправильно, либо ее пользователь не имел практически никаких навыков администрирования. Ввиду того что такие ситуации случаются крайне редко, противостоять попыткам удаленного проникновения в общем случае довольно легко.



Уязвимость WINDOWS 95/98/ME


Самое важное, что должен знать администратор сети или конечный пользователь Windows 95/95B/98/98SE (далее — Win 9х), — это то, что при проектировании данной операционной системы вопросам безопасности не уделялось большое внимание, в отличие от ее "двоюродной сестры" Windows NT/2000. По существу складывается впечатление, что при планировании архитектуры Win 9x компания Microsoft везде, где только было можно, пожертвовала безопасностью в угоду простоте использования.

Такой подход представляет собой двойную угрозу для администраторов, а также пользователей, которых волнуют вопросы безопасности. Вторая проблема заключается не в простоте настройки операционной системы Win Эх, а в том, что те, кто ее настраивает, как правило, не принимают всех должных мер предосторожности (например, выбор хорошего пароля).

Более того, неосведомленный пользователь может, сам того не зная, предоставить потайной ход в корпоративную сеть своей организации или хранить важную информацию на домашнем компьютере, подключенном к Internet. С развитием высокоскоростных кабельных линий связи, обеспечивающих круглосуточное подключение, эта проблема только обостряется. Независимо от того, являетесь ли вы администратором Win Эх или же используете эту систему для просмотра ресурсов Internet и доступа к сети компании из дома, вам необходимо понимать, какие средства и методы могут быть применены против вас.

К счастью, простота Win Эх имеет и обратную сторону. В каком-то смысле можно сказать, что эта простота обеспечивает безопасность системы. Поскольку Win 9x не является по-настоящему многопользовательской операционной системой, она поддерживает чрезвычайно малый набор возможностей удаленного администрирования. В частности, с использованием встроенных средств Win Эх невозможно осуществить удаленный запуск команд, а удаленный доступ к системному реестру Win Эх возможен только в том случае, если запрос сначала прошел через сервер безопасности, такой как Windows NT/2000 или Novell NetWare. Такой подход называется защитой на уровне пользователей (user-level security), в отличие от используемого по умолчанию подхода Win 9x, обеспечивающего защиту на уровне совместно используемых ресурсов (share-level security) с помощью паролей/имени пользователя (Win 9x не может выполнять функции сервера аутентификации на уровне пользователей).



Таким образом, в распоряжении взломщика остается лишь два метода проникновения в систему Win 9x — заставить оператора так или иначе выполнить нужный взломщику программный код или получить физический доступ к системной консоли. Поэтому материал данной главы состоит из двух разделов, первый из которых посвящен методам удаленного проникновения, а второй — методам локального проникновения.

В конце главы мы кратко рассмотрим средства защиты новой версии флагмана программных продуктов компании Microsoft, Windows Millenium Edition (ME). Рискуя немного испортить впечатление, мы все же вынуждены сказать, что те из пользователей, кто заинтересован в реальной защите, должны всерьез подумать о переходе на систему Windows 2000, а не на ME. В составе Win 2000 имеются все средства, способные значительно повысить стабильность ее работы и уровень защиты, в чем так нуждаются начинающие пользователи.

Win 9x по праву считается системой, предназначенной для конечного пользователя. Зачастую самый простой способ проникновения в такую систему заключается в анализе данных Web или почтовых сообщений, передаваемых пользователю, а не в использовании средств самой операционной системы. В связи с этим мы настоятельно рекомендуем познакомиться с главой 16.


Windows Millenium Edition (ME)


Компания" Microsoft выпустила свою новую операционную систему Windows Millenium Edition (ME). Она является прямой наследницей Win 9.x и с этой точки зрения не содержит никаких серьезных изменений в области обеспечения безопасности по сравнению с более ранними версиями. Другими словами, если вы всерьез обеспокоены вопросами обеспечения безопасности, то лучше перейти к другой версии — Windows 2000. Win ME продолжает традиции своих предшественниц и предоставляет минимальные возможности защиты, чтобы повысить совместимость оборудования и простоту использования системы. С точки зрения обеспечения безопасности эта операционная система очень похожа на Win 9.x. Следовательно, нет никаких причин подробно рассматривать Win ME.

Для удаленною проникновения Win ME по-прежнему не представляет никакого интереса. В этой операционной системе не появилось ни одной новой службы. По умолчанию режим совместного использования файлов и принтеров отключен, как и служба удаленного управления системным реестром. Если конечный пользователь не изменит режимы, установленные по умолчанию, то удаленное проникновение в систему Win ME окажется практически невозможным.

В Win ME имеется усовершенствованный компонент, позволяющий совместно не пользовать подключение к Internet (ICS — Internet Connection Sharing). Аналогичное средство появилось еще в системе Win 98, однако теперь его гораздо проще установить и настроить с помощью многочисленных мастеров. Благодаря компоненту ICS компьютер под управлением системы Win ME может функционировать в качестве маршрутизатора, когда несколько компьютеров совместно используют единственное подключение к Internet. Такой режим в Win 9x отсутствовал, так что в Win ME он открывает для взломщиков интересные возможности.

Компонент ICS устанавливается с помощью аплета Add/Remove Programs панели управления, во вкладке Windows Setup открывшегося диалогового окна. Настроить новую службу можно с помощью мастера Home Networking Wizard, который позволяет установить режим, когда ресурсы компьютера требуется предоставить в совместное пользование. В процессе установки имеется возможность ввести пароль, однако делать это необязательно. После перезагрузки будет установлен режим совместного использования файлов и принтеров. Если пароль не был задан, то папка My Documents или My Shared Documents (C:\A11 Users\Documents, имя ресурса Documents) будет доступна для совместного использования без ограничений и без пароля. Однако совместно используемые ресурсы будут доступны лишь с "внутренней" стороны сети.



Хотя служба ICS не должна повышать уязвимость интерфейса с внешним миром, она разрабатывалась для маршрутизации трафика исходящих сообщений из внутренней во внешнюю сеть (даже посредством удаленных соединений). По-видимому, взломщик, проникнувший в систему Win ME или подключившийся к удаленной сети через службу ICS, получит практически неограниченный доступ к компьютерам этой сети. Нет смысла предполагать, что удаленные клиенты Windows не повлияют на безопасность сетей, к которым они подключены.

В терминах локального проникновения система Win ME аналогична 9х. Стоит еще раз подчеркнуть: устанавливайте пароли BIOS на общедоступных компьютерах (особенно переносных), задайте пароль экранной заставки, а также подсистемы управления питанием. В справочной системе Win ME содержится информация о новой возможности шифрования папок, однако в используемой нами версии этой системы после щелчка правой кнопкой на имени папки она остается недоступной. Нам не удалось собрать никакой дополнительной информации о поддерживаемых алгоритмах и местах хранения ключей шифрования.