Ocenite etot tekst:


Original is at Open Systems. Nets: #6/96
http://www.osp.ru/nets/1996/06/source/51.html


Seti · # 6/96 · str. 51-56


Istoriya pervaya
Istoriya vtoraya
Istoriya tret'ya
Neulovimyj Dzho
Bezzashchitnyj Unix
.
Samye vazhnye slabosti Unix
Plohoe administrirovanie
Povtorno ispol'zuemye i plohie paroli
Dyrki v ftp- i HTTP-serverah i CGI skriptah
Problemy s NFS/NIS
Programmy s perepolnyayushchimisya buferami
Nepravil'naya sinhronizaciya sobytij
Oshibki v SUID programmah
Samaya bezopasnaya sistema
Vybiraem pozharnye stenki
Kuda idti dal'she?

Menya chasto sprashivayut, naskol'ko aktual'na problema bezopasnosti v Internet. Privedu neskol'ko zanyatnyh primerov, soprovodiv ih pouchitel'noj moral'yu dlya solidnosti.

Istoriya pervaya

Odin bank podklyuchilsya k Internet. V konce mesyaca on poluchil schet na ves'ma kruglen'kuyu summu. Okazalos', chto za etot mesyac iz banka uteklo neskol'ko sot(!) megabajt informacii i nikto v banke ne znaet, chto eto byla za informaciya i kto ee zapoluchil. Posle etogo bank otklyuchilsya ot seti Internet (vidimo vspomniv, chto luchshij Firewall - eto zaglushennyj T-konnektor).

Istoriya vtoraya

Mne kak-to dovelos' porabotat' na komp'yuterah fakul'teta Biohimii Universiteta Vejcmana v Izraile. Estestvenno, chto ya ispol'zoval chuzhoj account (s razresheniya hozyaina, razumeetsya. CHtoby vy luchshe predstavili sebe obstanovku na meste, v kakoj-to moment v dva chasa nochi v vychislitel'nom centre sobralos' sem' rabotayushchih za komp'yuterami i vse sem' govorili po-russki i rabotali pod chuzhimi imenami). YA bystro stal zamechat', chto tvoritsya chto-to strannoe - prihodit pochta nevest' ot kogo, v strannom skrytom kataloge valyayutsya IRC-skripty i t.d. Vladelec account-a pro Unix znal ves'ma malo, pro IRC ne slyshal nikogda i pochtoj ne pol'zovalsya. Odnako on polagal, chto vse eto - normal'nye produkty deyatel'nosti sistemnyh administratorov (estestvenno, chto pol'zovateli ne delayut popytok ponyat' hod myslej zagadochnyh sushchestv, nazyvaemyh sistemnymi administratorami i polagayut, chto te nepreryvno proyavlyayut nekuyu demonicheskuyu aktivnost' v sisteme. Administratory otvechayut im polnoj vzaimnost'yu i spravedlivo schitayut, chto pol'zovateli meshayut rabote sistemy, zasoryayut diskovoe prostranstvo i otnimayut cennye processornye cikly ot kompilyacii ih programm).

Vskore ya okonchatel'no ubedilsya, chto u nas zavelsya nezvannyj gost'. Posle etogo, my smenili parol' i ya provel nebol'shoe rassledovanie, v rezul'tate chego vyyasnilsya krug interesov vzlomshchika i osnovnye napravleniya ego komp'yuternyh interesov, sposob ego vhoda v komp'yuternuyu set' (cherez modemnyj vhod na universitetskom komp'yutere), a takzhe imena nekotoryh ego druzej po IRC. S etoj informaciej my poshli k administratoru vsej mestnoj seti, kotoraya srazu zhe menya perebila - "Zachem vy mne vse eto rasskazyvaete? Ved' ya zhe ne detektiv!" Sovershenno spravedlivoe zamechanie. Ona dejstvitel'no ne detektiv i, kak sledstvie, ne sistemnyj administrator.

Kak okazalos' vposledstvii, po Internet hodili spiski s loginami i parolyami mnogih biofizikov, pol'zuyushchihsya etim komp'yuterom, i tol'ko lenivyj tam ne passya.

Istoriya tret'ya

Odnazhdy mne lyubezno predostavili account v odnoj organizacii, imeyushchej vyhod v Internet i neskol'ko komp'yuterov Sun, ispol'zuyushchih setevuyu fajlovuyu sistemu NFS. CHerez nekotoroe vremya moj account okazalsya vzloman. Tehnika vzloma byla ves'ma tipichna (Vnimanie, vzlomshchiki - informaciya dlya vas!) - po NFS byl modificirovan moj fajl ~/.rhosts i v nego byla dobavlena stroka "+", razreshivshaya vsem vhod komandoj rlogin. YA rasskazal ob etom administratoram i my obsudili metody vzloma. CHerez paru dnej komp'yuter perestal rabotat' (veroyatno, sŽev chto-nibud' vrode "rm -rf /").

Iz etih istorij mozhno sdelat' neskol'ko poleznyh vyvodov.

  • Podklyuchayas' k Internet, zhelatel'no zaranee podumat', kto i kak smozhet vospol'zovat'sya vashim podklyucheniem. Potom dumat' mozhet okazat'sya pozdno.
  • Dve samye ser'eznye problemy zashchity v Internet i Unix - plohoe administrirovanie i plohie paroli. Plohoj administrator - eto navsegda, a s plohimi parolyami mozhno borot'sya. Kak - rasskazhu pozzhe.
  • Ne pozvolyajte rabotat' s "opasnymi" protokolami (tipa NFS i Rlogin) cherez Internet. |ti udobnye shtuchki godyatsya tol'ko dlya lokal'nyh setej, da i to, tol'ko v sluchae, esli vy doveryaete vsem komp'yuteram i pol'zovatelyam seti.
  • Neulovimyj Dzho

    Nadeyus', chto ya dostatochno zapugal vas etimi strashnymi istoriyami i vy brosaetes' k torgovcam protivopozharnym oborudovaniem, nadeyas' kupit' brandmauer samoj poslednej modeli, kotoryj raz i navsegda zashchitit vas ot strashnyh banditov i pozvolit s udobstvom vkushat' prelesti navigatorov, smotrelok i issledovatelej Internet. Neozhidanno vashe nachal'stvo uznaet, chto v dopolnenie k tem nemalym rashodam, s kotorymi ono uzhe kak-to smirilos' (plata za info-liniyu - po-moemu, teper' tak prinyato nazyvat' vydelennye linii), za nekij zagadochnyj "IP servis", t.e. za prodvizhenie vashih dannyh tuda-syuda po setyam, za adresa, za imena nekih domenov (ne putat' s demonami - o nih pozzhe), za nechto, nazyvaemoe ruterom ili routerom v zavisimosti ot mesta proizvodstva, vsya rabota kotorogo sostoit v tom, chto on zabiraet informaciyu iz odnogo mesta i skladyvaet v drugoe), nuzhno platit' eshche $15-20 tys. doll. A tak kak ubedit' nachal'stvo v Moskve i, tem bolee, v drugih gorodah, v tom, chto Internet nuzhen dlya chego-to eshche krome dobyvaniya krasivyh fotografij (http://www.playboy.com), i tak ves'ma trudno, to vse raduzhnye perspektivy i nadezhdy na http://altavista.digital.com stanovyatsya ves'ma otdalennymi.

    Picture

    Uproshchennaya shema podklyucheniya brandmauera.

    Mezhdu tem, esli vy tot samyj znamenityj Neulovimyj Dzho, to dlya zashchity ot banditov vam dostatochno deshevogo lasso i krepkih dverej s navesnym zamkom. Sovershenno neobyazatel'no stroit' krepost' i zalivat' vodoj rvy dlya zashchity produktovoj lavki. Odnako zhe, esli vy sobiraetes' perevozit' dostoyanie Respubliki v pochtovom dilizhanse ili v poezde, stoit prinyat' bolee ser'eznye mery predostorozhnosti. Dlya zashchity Neulovimogo Dzho vpolne sojdut starye dobrye paketnye fil'try na vashem marshrutizatore v sochetanii s tolkovym administratorom. A dlya dejstvitel'no nadezhnoj zashchity vam ne otdelat'sya lish' odnim samym zamechatel'nym produktom s importnym nazvaniem "Firewall" na korobke.

    Moral' - ocenite stepen' riska, izuchite vashu set', razrabotajte politiku zashchity, zaruchites' podderzhkoj menedzherov i posle etogo srokojno idite na protivopozharnyj rynok, prihvativ s soboj desyatok-drugoj kilobaksov. CHem vy cennee dlya okruzhayushchih i chem men'she vy znaete pro Internet tem bol'she pridetsya vylozhit'.

    Bezzashchitnyj Unix

    Sistema Unix davno stala predmetom religioznyh vojn i krestovyh pohodov. Novyj impul's etim vojnam dalo shirokoe rasprostranenie Internet i prevrashchenie ego iz kastovogo sekreta hakerov v massovuyu igrushku i dojnuyu korovu dlya biznesa. Istoricheski Internet i Unix byli slishkom sil'no perepleteny. Osobennosti programmirovaniya i slozhivshayasya kul'tura v mire Unix nalozhili otpechatok na protokoly, ispol'zuemye v Internet, i na podhod k zashchite. Iz-za svoej rasprostranennosti (i polnoj otkrytosti) i slaboj zashchishchennosti Unix stal lyubimoj dobychej dlya vzlomshchika. S drugoj storony imenno Unix ispol'zuetsya v kachestve bazy dlya bol'shinstva sovremennyh sistem zashchity.

    Kak spravedlivo zametil odin moj drug, osnovnaya problema Unix sostoit v tom, chto on delaet to, chto emu govoryat. |to vse tot zhe princip WYSIWYG - What You Say Is What You Get.

    Unix sozdavalsya po obrazu absolyutnoj monarhii s formal'nymi priznakami demokratii. Prostye poddannye sistemy (yuzery) imeyut dostatochno malo polnomochij dlya togo, chtoby nanesti kakoj-libo real'nyj vred. Politicheskie partii (gruppy) poddannyh imeyut neskol'ko bol'she prav i polnomochij i u neiskushennogo turista mozhet sozdat'sya vpechatlenie, chto imenno oni i rukovolyat sistemoj. Odnako, na praktike, vse real'nye i ser'eznye resheniya prinimaet absolyutnyj monarh, mister CHarli Rut (Mr. Charlie Root). Tol'ko emu dostupny vse komnaty dvorca, korolevskaya pechat', gosudarstvennye arhivy i korolevskaya kazna. Vse poddannye i vsya zhizzn' korolevstva podvlastny emu, on volen zahodit' v lyuboj dom, chitat' vse dokumenty i mozhet po svoemu usmotreniyu ubit' ili pomilovat' lyubogo poddannogo ili plod ego deyatel'nosti - process (osobenno eto nepriyatno, kogda poddannyj, reshiv, chto process poshel, uspokaivaetsya i idet spat').

    Odnako, vidimo opasayas' gosudarstvennogo perevorota, mister Rut tshchatel'no skryvaetsya ot svoih poddannyh. Dlya togo, chtoby vospol'zovat'sya svoimi polnomochiyami emu trebuetsya predŽyavit' ministru vnutrennih del gospodinu /etc/passwd svoj pasport dlya proverki. V pasporte soderzhitsya nekoe sekretnoe slovo (i v uslovnom meste, izvestnom gospodinu ministru, pripryatano dve krupinki soli). Esli vse normal'no, predŽyavitel' pasporta poluchaet znak monarhicheskoj vlasti (uid 0). K sozhaleniyu, okazalos', chto pri sovremennom razvitii pechatnogo dela pasport mozhno poddelat'. Vzlomshchiki vydumali nemalo sposobov podglyadyvat' za sekretnoj proceduroj pokaza pasporta. V principe, eto pohozhe na krazhu nomerov kreditnyh telefonnyh kartochek - v amerikanskih aeroportah pasutsya special'nye prohozhie, nevznachaj podsmatrivayushchie za naborom nomera na telefone. Prizom dlya nih yavlyaetsya pravo na besplatnyj (za schet klienta) zvonok lyubimoj tetushke na Bermudy. Prizom zhe dlya udachlivogo vora, poddelavshego parol', yavlyaetsya polnyj kontrol' nad mogushchestvennoj imperiej Unix.

    Tak kak ego Rutovskoe Velichestvo chasto zanyat delami i ego trudno najti, dlya versheniya gosudarstvennyh del u nego est' shtat doverennyh lic. Ispolnyayushchij obyazannosti v Unix nazyvayuetsya Syuid (SUID), a ispolnyayushchij obyazannosti Monarha nazyvaetsya Syuid Rut (SUID root). Obychno Syuid Rut imeet ves'ma ogranichennyj krug obyazannostej i ne predstavlyaet ser'eznoj opasnosti dlya bezopasnosti. Odnako nekotorye nedostojnye umudryayutsya ispol'zovat' vydannyj im dlya otpravleniya obyazannostej monarhicheskij znak (uid 0) dlya nepredusmotrennyh dejstvij i mogut, v principe, vospol'zovat'sya im dlya polnogo zahvata vlasti v strane. Osobenno opasny Syuid Rut, imeyushchie dostup k akciyam mestnyh neftyanyh kompanii sistemy Shell. Syuid, poluchivshij kontrol' nad Shell, po-suti neotlichim ot real'nogo monarha. Poetomu gospoda Syuid yavlyayutsya lakomoj dobychij dlya vorov i mezhdunarodnyh shpionov, pod vidom gostej pronikayushchih v stranu.

    Dlya nablyudeniya za delami v korolevstve i ispolneniya hozyajstvennyh del gospodin CHarli Rut obychno nanimaet brigadu demonov, kotorye ot ego imeni nezametno vershat svoi demonicheskie dela. Imenno im my obyazany periodicheskim shurshaniem diskovyh golovok v momenty, kogda my smotrim na ekran i ne proyavlyaem nikakoj vidimoj aktivnosti.

    Istoricheski slozhilos', chto na granice strany i v ee tamozhennoj sluzhbe Internetovskom Tamozhennom Departamente IneTD (inetd) sluzhat doverennye lica, imeyushchie znachok (suid 0). Im razreshaetsya propuskat' turistov i tovary cherez odin iz gosudarstvennyh 1024 portov (v strane Unix est' eshche i mnozhestvo chastnyh portov, ne kontroliruemyh gosudarstvom. Lyuboj poddannyj imeet pravo otkryt' svoj chastnyj port, odnako vse gosudarstvennye porty strogo kontroliruyutsya).

    Po mezhgosudarstvennomu soglasheniyu, zaklyuchennomu kogda-to v Berkli mezhdu druzhestvennymi Unix monarhiyami, transport, prishedshij iz gosudarstvennyh portov drugih stran, pol'zuetsya osobennym doveriem i propuskaetsya bez osobennogo tamozhennogo kontrolya. Soglashenie bylo vyrabotano v period sushchestvovaniya neskol'kih sil'nyh Imperij, kotorye horosho znali drug druga. Teper' zhe vsyakij, bez osobogo truda mozhet zavesti sebe malen'kuyu personal'nuyu imperiyu, vladet' v nej vsemi portami i otpravlyat' kontrabandu cherez lyuboj iz nih. Bolee togo, takie melkie imperii dazhe ne obyazany imet' konstitucionnoe monarhicheskoe ustrojstvo Unix. CHashche vsego oni imeyut dovol'no myagkij rezhim upravleniya, pozvolyayushchij lyubomu prohodimcu prikinut'sya Rutom na chas. Bolee togo, terroristy nauchilis' podderzhivat' dorozhnye dokumenty i chasto dazhe nevozmozhno ustanovit', otkuda pribyl gruz. Tamozhennye soglasheniya (r-commands), zaklyuchennye v Berkli okazalis' sovershenno nepriemlemymi dlya sovremennogo mira melkih gosudarstv s myagkim upravleniem. Poetomu, mudrye rukovoditeli ignoriruyut soglasheniya i ves'ma tshchatel'no proveryayut ves' gruz, prohodyashchij cherez porty.

    Samye vazhnye slabosti Unix

    Plohoe administrirovanie

    Posle togo, kak sistema Unix pereehala s bol'shih komp'yuterov na rabochie stancii i personal'nye komp'yutery, nichego ne podozrevavshie pol'zovateli neozhidanno prevratilis' v sistemnyh administratorov. U nih bylo dostatochno svoih zabot i, estestvenno, sistema nachinala vskore zhit' svoej zhizn'yu. A tak kak nekotorye postavshchiki prodayut sistemy s davno izvestnymi dyrkami v zashchite i v processe raboty poyavlyayutsya novye, takie sistemy bystro stanovyatsya gostepriimnym domom dlya nezhdannyh gostej. CHasto takie slabozashchishchennye sistemy interesny ne sami po sebe, a lish' kak baza dlya ataki drugih sistem. Ser'eznyj vzlomshchik ispol'zuet desyatki komp'yuterov dlya ataki. Takim obrazom, chrezvychajno trudno opredelit' ego fizicheskij adres.

    K sozhaleniyu, obshchij princip glasit, chto chem sistema zashchishchennee, tem menee udobno ej pol'zovat'sya. A tak kak bol'shinstvo pokupatelej komp'yuterov zabotit prezhde vsego udobstvo, bezopasnost' neminuemo otodvigaetsya na zadnij plan.

    Na moj vzglyad, lyuboj administrator mozhet sushchestvenno povysit' bezopasnost' svoego Unix, esli

  • ogranichit chislo pol'zovatelej sistemy temi, kogo on znaet;
  • pozabotitsya o horoshih parolyah, i ne budet sozdavat' besparol'nyh;
  • vhodov ili vhodov s trivial'nymi parolyami (naprimer, guest s parolem guest);
  • budet otslezhivat' soobshcheniya o dyrkah v svoej sisteme i vovremya primenyat' rekomenduemye zaplatki;
  • budet sovetovat'sya s drugimi administratorami i chitat' komp'yuternye novosti (uchtite, chto vzlomshchiki ih itayut ochen' vnimatel'no);
  • ne budet nadeyatsya na to, chto "avos' proneset";
  • budet prosmatrivat' sistemnye zhurnaly;
  • budet horosho znat' svoyu sistemu i znat', chto dlya nee harakterno, a chto neobychno;
  • budet imet' predstavlenie ob osnovnyh principah raboty Unix (pochemu-to bol'shinstvo neprogrammistov uvereno, chto samoproizvol'noe poyavlenie i ischeznovenie fajlov v sisteme - vpolne obychnyj rezul'tat zhiznedeyatel'nosti demonov Unix);
  • budet detektivom, ne doveryayushchim nikomu i nichemu.
  • Povtorno ispol'zuemye i plohie paroli

    Samyj populyarnyj sposob ataki Unix sistem - podbor, ugadyvanie i podsmatrivanie parolej. Pervonachal'no vzlomshchik pytaetsya zapoluchit' hot' kakoj-to vhod v sistemu, a zatem, ispol'zuya izvestnye emu dyrki v zashchite i administrirovanii, rasshirit' svoe vliyanie i zahvatit' vsyu sistemu, zapoluchiv polnomochiya superpol'zovatelya. Interesno reshili problemu vsevlastnogo super-pol'zovatelya v issledovatel'skoj sisteme Plan 9 - superpol'zovatelem yavlyaetsya lish' tot, kto zashel v sistemu s sistemnoj konsoli.

    Kak ni stranno, pridumyvanie parolya yavlyaetsya ves'ma slozhnoj zadachej dlya lyubogo pol'zovatelya komp'yutera. Vspomnite, skol'ko raz vy v kachestve parolya vybirali slova "aaa", "qqq", "123456", "password" i vashe imya! Te, u kogo razvita fantaziya pishut imya svoej lyubimoj devushki. Vse eti paroli ochen' plohi i regulyarno raskalyvayutsya. Horoshij parol' ne dolzhen byt' nikakim osmyslennym slovom nikakogo yazyka, dolzhen obyazatel'no soderzhat' i bol'shie i malen'kie bukvy, kakie-nibud' special'nye simvoly, dostatochno horosho zapominat'sya (chtoby ego ne prishlos' zapisyvat' i prikleivat' na monitor ili, togo huzhe, napryazhenno pytat'sya vspomnit' novyj parol' dlya togo, chtoby sdelat' srochnuyu rabotu) i bystro nabirat'sya na klaviature (eto zashchita ot lyubitelej smotret' cherez plecho). Bolee togo, on dolzhen regulyarno obnovlyat'sya (pri etom nel'zya ispol'zovat' poderzhannye paroli iz proshloj zhizni). Soglasites' - zadachka ne iz legkih. No postarajtes' - plohoj parol' - priglashenie zajti v gosti, a horoshij parol' mozhet stoit' brandmauera za 10 tys. doll.

    Kak pokazyvaet praktika, vse eti soobrazheniya ne ubezhdayut bol'shinstvo pol'zovatelej i oni vse ravno pridumyvayut parol' "qqq". Dlya bor'by s plohimi parolyami pridumana programma "Crack" Aleksa Muffeta (ftp://info.cert.org/pub/ tools/crack/crack_4.1-tar.Z), ves'ma effektivno raskalyvayushchaya paroli. Ej pol'zuyutsya i administratory i vzlomshchiki, postarajtes', chtoby vash parol' ne byl ej vzloman. No bud'te ostorozhny, esli vy rabotaete na zapadnuyu kompaniyu. Vy mozhete popast' v istoriyu, analogichnuyu toj, v kotoruyu popal izvestnyj programmist i soavtor knig pro Perl Rendel SHvarc, rabotavshij sistemnym administratorov v firme Intel. On periodicheski zapuskal crack dlya proverki parolej pol'zovatelej. Rukovodstvo Intel obvinilo ego v nesankcionirovannom dostupe k informacii i pozhalovalos' v FBR. V rezul'tate on byl obvinen po ugolovnoj stat'e, posazhen na tri mesyaca v tyur'mu i poteryal vse svoi sberezheniya. Sistemnyj administrator - ves'ma opasnaya professiya.

    Legendarnyj Kevin Mitnik ispol'zoval ochen' prostoj sposob otgadyvaniya parolej - on prosto zvonil pol'zovatelyam komp'yuterov i chestno govoril im, chto emu nuzhen parol' dlya kakoj-nibud' pridumannoj celi. Obychno on ego poluchal. Drugoj populyarnyj sposob - poslat' pis'mo ot imeni administratora s trebovaniem smenit' parol' na ukazannyj v pis'me. Psihologiya - ves'ma dejstvennoe sredstvo v rukah professionala.

    Kuda bolee ser'eznaya problema s parolyami sostoit v tom, chto oni puteshestvuyut po seti v nezashifrovannom vide i ih ochen' legko perehvatit' po doroge. Poetomu, sejchas stali ispol'zovat' odnorazovye paroli. Ideya sostoit v tom, chto kazhdyj raz dlya vhoda v sistemu ispol'zuetsya novyj parol', kotoryj prakticheski nevozmozhno predskazat' postoronnemu vzlomshchiku. Est' svobodnaya programnaya realizaciya odnorazovyh parolej (S/Key) i neskol'ko kommercheskih programno-apparatnyh realizacij, kotorye poka chto ne dobreli do Rossii. S/Key integrirovan v nekotorye sistemy, naprimer, vo FreeBSD.

    Dyrki v ftp- i HTTP-serverah i CGI skriptah

    Nesmetnoe kolichestvo HTTP-serverov po vsemu miru sdelali Internet stol' populyarnoj sredoj prozhivaniya. Ih ustanavlivayut vsyudu, vse i na vseh sistemah. Takoj server - dostatochno bol'shaya i slozhnaya programma, chasto zapuskaemaya ot imeni super-pol'zovatelya i imeyushchaya vse svojstva demona. Ona umeet chitat' fajly v fajlovoj sisteme i zapuskat' programmy. |ti programmy generyat informacii dlya pol'zovatelya i chasto upravlyayutsya dannymi, vvedennymi pol'zovatelem. Netochnosti v napisanii CGI-skriptov pozvolyayut vzlomshchikam poluchat' neozhidannye privilegii.

    Za paru dnej sushchestvovaniya moego HTTP-servera k nemu neskol'ko raz obratilis' s pros'boj prislat' fajl /etc/passwd (starye versii Apache soderzhali CGI-skript "phf", kotoryj pozvolyal prochitat' lyuboj fajl v sisteme). Po sluchajnosti, u menya okazalas' svezhaya versiya demona i fokus ne srabotal.

    Neskol'ko sovetov Web-administratoram:

  • Ispol'zujte svezhuyu versiyu HTTP demona
  • Ne zapuskajte ego ot imeni root
  • Ogranichte zonu dejstviya servera
  • Vnimatel'no chitajte dokumentaciyu po serveru i ego konfiguracii
  • Ne ispol'zujte CGI, esli mozhete bez nego obojtis'.
  • Proveryajte CGI programmy i ochen' akkuratno pishite svoi.
  • Esli vy peredaete dannye pol'zovatelya vneshnim programmam, proveryajte ih na nalichie opasnyh simvolov, imeyushchih special'nuyu semantiku dlya etih programm (naprimer, komandnye interpretatory horosho perevarivayut simvoly `<>;").

    Analogichnye problemy voznikayut i s FTP-serverami. Nepravil'no nastroennyj, ili soderzhashchij oshibku FTP-server pozvolyaet chitat' i/ili pisat' proizvol'nyj fajl v sisteme. A esli etot server rabotaet na sisteme DOS, OS/2 ili Windows"95, podklyuchennoj k lokal'noj seti ili na mashine, ispol'zuyushchej NFS, to vzlomshchik mozhet poluchit' dostup ko vsej vashej seti. Postarajtes' ispol'zovat' maksimal'no prostoj FTP demon, v kotorom otklyucheny vse "bantiki" i kotoryj pozvolyaet tol'ko anonimnym pol'zovatelyam zabirat' (no ne klast') fajly.

    Obshchij princip bezopasnosti, na moj vzglyad, sostoit v tom, chto nel'zya garantirovat' bezopasnost' na mashine, na kotoroj sushchestvuet lyubaya forma aktivnosti vneshnih pol'zovatelej - HTTP, FTP ili terminal'nyj server. Takie servisy sleduet vynosit' za predely vashej lokal'noj seti i osobenno horosho administrirovat'. V osobennosti opasen HTTP ili FTP server na vashem brandmauere.

    Problemy s NFS/NIS

    Setevaya fajlovaya sistema NFS ves'ma udobna. Tak udobna, chto ee chasto ispol'zuyut dlya obŽedineniya soten i tysyach komp'yuterov v edinoe fajlovoe prostranstvo. |to samyj nastoyashchij Intranet, hotya nikto ne ispol'zoval etot termin dlya oboznacheniya raspredelennyh komp'yuternyh setej do nedavnego vremeni marketigovyh terminov. No, po staromu pravilu bol'shoe udobstvo vedet k slaboj zashchishchennosti. NFS pozvolyaet opytnomu vzlomshchiku poluchit' dostup k lyubomu fajlu na eksportirovannoj fajlovoj sisteme, a NIS predostavlyaet v vashi ruki zashifrovannye paroli dazhe esli vash Unix ispol'zuet mehanizm "tenevyh parolej". Poetomu, ne vypuskajte pakety NFS (oni obychno ispol'zuyut TCP i UDP porty 111 i 2049) za predely vashej seti i otfil'trovyvajte ih pri popytke zajti k vam vnutr'.

    Programmy s perepolnyayushchimisya buferami

    Programmisty i ih programmy nesovershenny. Mnogie programmy, (osobenno starye) ispol'zuyushchie funkcii gets() i puts(), kotorye ne proveryayut dlinu schityvaemoj stroki, pozvolyayut perepolnit' bufer i isportit' programnyj stek. Imenno eta oshibka byla islol'zovana samym znamenitym virusom v istorii (eto byl virus Morrisa, porazivshim v 1988 godu bol'shinstvo sistem Unix, podklyuchennyh k Internet. Interesno, chto otec Morrisa rabotal v National Security Agency i zanimalsya tam problemami komp'yuternoj bezopasnosti (NSA - organizaciya zanimayushchayasya proslushivaniem vseh sredstv kommunikacii vo vsem mire. Ona stol' zasekrechena, chto chasto abbreviatura NSA rasshifrovyvaetsya kak "No Such Agency").

    Nepravil'naya sinhronizaciya sobytij

    Odin populyarnyj brandmauer predostavlyal vzlomshchiku vozmozhnost' porabotat' v promezhutke vremeni ot zagruzki sistemy do zapuska samoj sistemy zashchity. Mnogie metody vzloma ispol'zuyut vremennye fajly, nenadolgo sozdavaemye programmami. Pri zapuske SUID-skriptov snachala zapuskaetsya komandnyj interpretator s polnomochiyami superpol'zovatelya, a zatem on schityvaet sam skript - za eto vremya mozhno uspet' podmenit' skript i vypolnit'sya sovsem drugoj.

    Oshibki v SUID programmah

    Dovol'no chasto CERT (Computer Emergency Respond Team) publikuet svedeniya ob oshibkah v SUID-programmah. Takie oshibki chasto pozvolyayut proizvol'nomu pol'zovateyu sistemy stat' superpol'zovatelem.

    Samaya bezopasnaya sistema

    Iz predydushchego teksta u vas mozhet slozhit'sya vpolne spravedlivoe vpechatlenie, chto Unix - ne ochen' zashchishchennaya sistema (eto ne meshaet, vprochem, konkretnoj sisteme pravil'no nastroennoj i horosho administriruemoj byt' ochen' horosho zashchishchennoj). Nu a chto zhe s drugimi sistemami? Estestvenno, chto komp'yuternaya sistema, kotoraya s samogo nachala razrabatyvalos' s uchetom soobrazhenij bezopasnosti (naprimer, MULTICS, Windows NT) imeet shansy byt' bolee zashchishchennoj chem sistema, razrabotannaya dlya maksimal'nogo udobstva sovmestnoj raboty. Odnako, plohoj administrator, plohie paroli i oshibki v programmah vstrechayutsya vsyudu. Tak chto ne obol'shchajtes' birkoj "C2 certified", prikleennoj k vashemu boevomu serveru (kak, vprochem i drugimi birkami. Naprimer, menya v poslednee vremya ochen' raduyut birki "Windows"95 Compatible" na komp'yuternyh.

    Vybiraem pozharnye stenki

    Itak, vy ponyali, chto obespechit' nadezhnuyu zashchitu otdel'nyh komp'yuterov seti dostatochno slozhno i reshili zashchitit' vsyu set' v celom s pomoshch'yu modnoj shtuki pod nazvaniem "Firewall" - brandmauer, kak ego sejchas perevodyat (mne ne ochen' nravitsya etot perevod, no luchshe pridumat' ne mogu. K sozhaleniyu, slovo "fireval" ne zvuchit). Kak vybrat' to, chto vam nuzhno?

    Esli vy opytnyj Unix-haker, to smelo sobirajte svoj sobstvennyj bastion na baze besplatnogo FreeBSD ili kommercheskoj BSDI/OS i svobodnyh programm (tcp_wrappers, TIS Firewall Toolkit, tripwire, COPS, i t.d.). Nab'ete ruku, poluchite udovol'stvie i budete znat' chto proishodit. No v sluchae vzloma bud'te gotovy poluchit' po zaslugam.

    Proshche kupit' gotovyj produkt - s nim men'she otvetstvennosti i hlopot. Kupil, raspakoval, vklyuchil - i bezopasno vkushaj prelesti Internet! Odnako produktov mnogo i eto zatrudnyaet zhizn'. Kak vybrat' iz nih nailuchshij?

    Na vystavke Windows Expo"96 menya i predstavitelya Micrisoft zastal v koridore posetitel' i stal sprashivat' - kakoj produkt luchshe - DEC Firewall dlya NT ili Microsoft Proxy - obŽyavlennyj, no poka ne sushchestvuyushchij produkt. Mne lichno kazhetsya, chto sushchestvuyushchij produkt vsegda luchshe obŽyavlennogo, no nedostupnogo.

    Dlya togo, chtoby sravnivat', neobhodimo vyrabotat' kriterii - chto znachit "luchshe i huzhe". V protivnom sluchae razvyazhetsya ocherednaya religioznaya vojna, pohozhaya na bushevavshie kogda-to goryachie vojny o tom, kakaya OS i kakoj redaktor luchshe.

    Odin iz posetitelej vystavki predlozhil schitat' luchshim tot produkt, kotoryj men'she vzlamyvali. Horoshaya ideya, no brandmauer, kotoryj odin raz vzlomali, yavlyaetsya dorogoj igrushkoj. |to pohozhe na matematicheskuyu teoremu - odnogo kontrprimera dostatochno dlya oproverzheniya i ne pomozhet samoe krasivoe dokazatel'stvo. Samyj luchshij pol'zovatel'skij interfejs ne perekroet odnoj malen'koj dyrki v zashchite. Samoe glavnoe trebovanie k sisteme zashchity - ona dolzhna nadezhno i bezopasno zashchishchat' pri lyubyh usloviyah.

    Esli zashchitnoe ustrojstvo vyhodit iz stroya, ono dolzhno zakryvat' ves' dostup v vashu set', a ne otkryvat' ego. Markus Ranum sravnivaet Firewall s vorotami i opuskaemym mostom zamka. Kogda peretiraetsya verevka, most opuskaetsya, otkryvaya prohod. A vhodnye vorota, ostavshiesya bez krepezha, prosedayut i nikogo ne vpuskayut. Poetomu smotrite, kak vedet sebya produkt v trudnyh situaciyah.

    Bol'shinstvo sistem zashchity delyatsya na dva klassa. Paketnye fil'try, kotorye proveryayut zagolovki IP/TCP/UDP paketov i prinimayut reshenie, ishodya iz adresov i protokolov. Proxy-servery stanovyatsya mezhdu klientom i serveram i propuskayut cherez sebya vse prikladnye zaprosy. Sravnivat' eti dva klassa ustrojstv neprosto, potomu chto oni rabotayut na raznyh urovnyah. Obychno bastiony s proxy-serverami nadezhnee, no menee udobny. Luchshe vsego ispol'zovat' sochetanie teh i drugih. Tam gde mozhno ispol'zujte paketnye fil'try, no osnovnye servisy propuskajte cherez proxy-servery.

    Bol'shinstvo obzorov po brandmaueram posvyashchayut osnovnuyu chast' opisaniya pol'zovatel'skomu interfejsu. V bol'shinstve sluchaev brandmauer - chernyj yashchik, kotoryj, buduchi nastroennym stoit v horosho zakrytom meste i k nemu ne podhodit nikto, krome special'no obuchennyh administratorov. Horosho, esli interfejs krasivyj i udobnyj, no udobstvo vneseniya izmenenij v konfiguraciyu mozhet sprovocirovat' pol'zovatelej na oslablenie zashchity. Poetomu, udobnyj interfejs mozhet byt' i nedostatkom.

    Soberite pobol'she informacii i podpishites' na firewalls@GreatCircle.com. Poshchupajte produkt rukami. Poprobujte ego v dejstvii. I ne ver'te reklame - nastoyashchij specialist po bezopasnosti ne doveryaet nikomu!

    Kuda idti dal'she?

    CHitat' zhurnaly vsegda priyatno, odnako nastoyashchaya informaciya zhivet v seti! Nebol'shoj spisok horoshih uzlov, posvyashchennyh bezopasnosti, razvlechet vas na nekotoroe vremya.

    [k sozhalniyu bol'shinstvo iz etih ssylok ustarelo]

    http://www.cert.org
    http://www.cs.purdue.edu/homes/spaf/hotlist/csec-top.html
    http://ciac.llnl.gov
    http://csrc.ncsl.nist.gov/first
    http://www.alw.nih.gov/Security/security.html
    http://www.auscert.org.au
    http://www.cert.dfn.de/eng
    http://www.cs.purdue.edu/coast/coast.html
    http://www.sware.com/
    http://www.telstra.com.au/info/security.html
    http://www.raptor.com/library/library.

    Aleksandr Kolbasov - sotrudnik firmy Stins Coman. S nim mozhno svyazat'sya po elektronnoj pochte: akolb@stins.msk.su.


    Seti · # 6/96

    Last-modified: Fri, 03 Jul 1998 04:50:06 GMT
    Ocenite etot tekst: