Защити себя сам
Введение
О защите корпоративных сетей пишут постоянно. Я сам посвятил этой проблеме немало статей. Однако совсем недавно атаке со стороны неизвестных злоумышленников подвергся мой домашний компьютер. И хотя никакого вреда они нанести не смогли, я понял, что это касается не только меня. Сетью Internet из дома пользуются очень многие, однако далеко не все обладают достаточной квалификацией для защиты от подобных атак. Чтобы помочь пользователям в этом вопросе, я решил поделиться с ними некоторыми соображениями.
В июльском номере КомпьютерПресс за 2000 год [1] уже были описаны три этапа реализации атаки. Характерно, что эти этапы одинаковы для атак и на корпоративные сети, и на домашние компьютеры обычных пользователей. А раз так, то и классы защитных средств для обнаружения и блокирования этих атак должны быть одинаковы. Однако рядовые пользователи лишены возможности приобретать средства, доступные для крупных и даже малых компаний. Даже не самый дорогой межсетевой экран, система обнаружения атак или система анализа защищенности стоят не менее нескольких сотен долларов. Мало того, большинство этих средств ориентировано на функционирование именно в сети, а не на отдельных компьютерах. Тем не менее в защите такие компьютеры нуждаются не меньше, а иногда и больше, чем и корпоративные серверы. Ведь в компании обрабатывается пусть и дорогостоящая, но «чужая» информация, а на домашнем компьютере могут храниться собранные своими руками данные. Они могут выглядеть бесполезными и вообще ничего не стоить, но это ваша собственность, которая требует защиты. Обидно будет лишиться результатов работы нескольких месяцев или даже лет. Еще будучи студентом, я как-то поймал на свой компьютер троянца, который стер всю мою коллекцию красивейших пейзажей. Несколько тысяч файлов с расширением JPG было уничтожено за несколько секунд. Особенно опасно оставлять без защиты свой компьютер, если с его помощью вы осуществляете покупки через Internet или являетесь клиентом Internet-банка. В этом случае существует риск, что в руки злоумышленников попадут не только конфиденциальная информация о вашем счете и пароли доступа к платным ресурсам, которыми вы пользуетесь, но и номер кредитной карты, что позволит хакеру приобрести за ваш счет, например, какую-нибудь книжку или даже компьютер.
Найти и обезвредить!
Итак, первое, что надо сделать для защиты домашнего компьютера, — это найти и сделать недоступными все уязвимые места до того, как их отыщет и использует злоумышленник. Поскольку рядовой пользователь не может купить полноценную систему анализа защищенности (например, Internet Scanner или System Scanner) или воспользоваться услугами высококвалифицированных специалистов, ему придется использовать бесплатные средства и ресурсы. И таких ресурсов немало.
Первый из них расположен на странице http://www.users.rcn.com/rms2000/acctroj/axcheck.htm, с помощью которой на вашем компьютере осуществляется поиск уязвимых мест, связанных с технологией ActiveX. Помимо облегчения работы и создания красочных Web-серверов, данная технология позволяет злоумышленникам выполнять различные несанкционированные действия с данными, хранящимися на вашем компьютере [2]. Например, «дыра» в вашей системе позволит хакерам создать от вашего имени сообщение электронной почты или украсть данные с вашего жесткого диска. Такая возможность доступна не только в случае, когда у вас запущен браузер Internet Explorer, но и при работе почтовых программ Outlook или Outlook Express. На указанной странице проводится поиск 17 известных уязвимых мест ActiveX. На этом же сервере, но на другой странице (http://www.users.rcn.com/rms2000/acctroj/inframe.htm) вы можете проверить систему защиты своего текстового редактора WinWord, уязвимость в реализации которого позволит злоумышленнику выполнить на вашем компьютере любую программу, даже если у него нет на это прав доступа. Интересна и проверка уязвимости Call вашего редактора Excel 97 на странице http://www.users.rcn.com/rms2000/acctroj/excel.htm. Страница http://www.users.rcn.com/rms2000/acctroj/clipmon.htm демонстрирует уязвимость широко распространенного браузера компании Miscrosoft — Internet Explorer 5, которая позволяет без проблем получить доступ к содержимому вашего буфера обмена (Clipboard), что иногда может предоставить несанкционированный доступ к конфиденциальным данным. Содержимое буфера обмена может быть сохранено на диске для последующего к нему доступа или переслано в сообщении электронной почты, которое также может быть создано без ведома владельца компьютера.
По адресу http://www.securityspace.com/smysecure/index.html (рис. 1) можно провести анализ своего узла в поисках более 625 различных уязвимостей. Данный сервер предлагает две основные категории проверок:
- анализ корпоративных пользователей;
- анализ домашних пользователей.
В первом случае проводится поиск 625 уязвимых мест различных категорий (Denial of Services, уязвимость Windows, получение прав администратора, доступ к файлам, троянские кони и т.д.), а также сканирование всех 65 535 портов. По результатам сканирования создается отчет, содержащий рекомендации по устранению всех обнаруженных уязвимостей. Однако такой вариант достаточно дорог — 65 долл. за одну проверку. Поэтому данный сервер предлагает и другие варианты анализа корпоративных пользователей. Бесплатно проводится поиск тех же 625 уязвимых мест, но с генерацией отчета без указания способов их устранения. Кроме того, вместо сканирования 65 535 портов бесплатный сервис позволяет проверить только 1500 широко известных портов. Самое интересное, что если во время сканирования не обнаружено уязвимости, то вам гарантируется возврат денег.
При анализе домашних пользователей предлагается также три различных варианта: Desktop Audit, Basic Audit и Single Test. Первый вариант дешев, и пользователь, потратив всего 10 долл. в месяц, получает неограниченную возможность запуска 196 различных проверок (из названных 625), характерных для домашних компьютеров. Помимо этого сканируется 1500 известных портов, а создаваемый отчет содержит рекомендации по устранению обнаруженных проблем. Single Test проводит только одну из 625 проверок с генерацией детального отчета, а Basic Audit лишь сканирует 1500 портов с выдачей рекомендаций по каждому из открытых портов.
Сервер http://www.privacy.net/analyze/default.asp также проводит ряд проверок узла через Internet, включая анализ ActiveX, Java, VBScript и JavaScript, ShockWave, Media Player и Acrobat Reader Plug-In, то есть всех тех приложений, которые содержат уязвимые места, позволяющие злоумышленникам осуществить несанкционированный доступ к вашему компьютеру.
Сервер ShieldsUp (http://grc.com/x/ne.dll?bh0bkyd2) позволяет проверить защищенность пользователей, подключающихся к Internet операционной системы Windows. Существует два варианта использования этого сервера. Первый — вы просто кликаете на соответствующей иконке и проводите обычный анализ защищенности своего узла в реальном режиме времени. К сожалению, при проверке моего компьютера было выдано следующее сообщение: «All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet», что в переводе на русский выглядит примерно следующим образом: «Все попытки получить доступ к вашему компьютеру не удались. Это очень необычно для компьютера с операционной системой Windows. Этот компьютер является ОЧЕНЬ ЗАЩИЩЕННЫМ». Это не позволило проверить защищенность моего компьютера. Второй вариант заключается в инсталляции на компьютере дополнительного IP-агента размером 17 Кбайт, который обеспечивает ряд новых проверок — возможность установления анонимного соединения с вашим узлом, доступность снаружи протокола NetBIOS и shared-ресурсов и т.д. По завершении сканирования сервер ShieldsUp рекомендует способы устранения обнаруженных проблем.
Компания Sygate, являющаяся автором одноименного персонального межсетевого экрана, предлагает бесплатную службу S.O.S (Sygate Online Services), которая позволяет всем желающим проверить их компьютер на наличие различных уязвимостей (рис. 2). Механизм Quick Scan фиксирует все открытые, закрытые и заблокированные порты, наличие троянских коней и т.д. По мнению специалистов компании Sygate, идеальная ситуация — это когда все порты не только закрыты, но и заблокированы и абсолютно не видны внешним пользователям. Механизм Stealth Scan применяет методы скрытого сканирования, используемые злоумышленником для обхода сетевых средств защиты. Путем сканирования 65 535 портов механизм Trojan Scan позволяет обнаружить большое число широко известных троянцев, полный список которых может быть получен с Web-сервера НИП «Информзащита» по адресу: http://www.infosec.ru/pub/pub_frame.html. Другие три механизма — TCP Scan, UDP Scan и ICMP Scan — предназначены для проверки настроек межсетевых экранов, защищающих ресурсы корпоративных и домашних пользователей.
Последними я бы хотел назвать две известные компании, также предоставляющие услуги по бесплатному сканированию домашних компьютеров, — Symantec (http://www.security1.norton.com/us/intro.asp?venid=sym&langid=us; рис. 3) и Internet Security Systems (http://www.onlinescanner.iss.net; рис. 4). Компания Symantec предлагает две категории проверок — поиск вирусов и поиск уязвимых мест. Обе категории проверок реализуются с помощью кода ActiveX, загружаемого на компьютер пользователя. Надо сразу сказать, что загрузка кода размером 1,5 Мбайт — это достаточно длительный процесс, который может занять более 10 минут.
В сентябре 1999 года компания Internet Security Systems, известная своими системами анализа защищенности и обнаружения атак, разработала систему Home Scanner (рис. 4), являющуюся прототипом системы Online Scanner (выпущена в марте 2000-го). Эта программа, выполненная как код ActiveX, размещается на Web-сервере (пример такого сервера — http://www.onlinescanner.iss.net). На том же сервере размещается ссылка на данную программу. Пользователь, посещая Web-сервер, щелкает на соответствующей ссылке, тем самым запуская процесс сканирования своего компьютера. Код Online Scanner объемом около 300 Кбайт загружается на компьютер пользователя и выполняет только те проверки, которые относятся к данному компьютеру. Например, для ОС Windows 95 никогда не будут запущены проверки для Windows NT, и наоборот. По результатам проверки создается подробный отчет, содержащий все обнаруженные уязвимые места с описанием способов их устранения. В планируемой к концу 2001 года версии обнаруживаемые уязвимые места будут устраняться автоматически. При повторном посещении Web-сервера код ActiveX не загружается на компьютер пользователя, поскольку уже находится на нем. Следующая загрузка кода Online Scanner осуществляется только по мере выхода новой версии системы.
Система Online Scanner, как и многие другие описанные выше продукты, позволяет анализировать защищенность домашнего компьютера в следующих четырех областях:
- Настройки браузера. Современные браузеры (MS Internet Explorer, Netscape Communicator) содержат различные настройки, влияющие на защищенность (зоны безопасности, работа с неподписанными аплетами Java, работа с сертификатами и т.д.). Настройки системы защиты браузера, заданные по умолчанию, а также постоянно обнаруживаемые «дыры» в его реализации приводят к вышеназванным несанкционированным действиям. Online Scanner проверяет все настройки, присущие браузерам MS Internet Explorer и Netscape Communicator, функционирующим под управлением ОС Windows 95/98/2000/NT.
- Настройки макросов. В последнее время участились случаи нанесения ущерба вследствие распространения макровирусов, Internet-червей и прочих враждебных программ, использующих макросы на атакуемом компьютере. Online Scanner проверяет все настройки ОС, которые могут привести к неконтролируемому запуску макросов.
- Разделяемые (shared) ресурсы. Такие ресурсы есть практически на любом «стандартном» компьютере, который был вынут из коробки и подключен к Internet. В результате злоумышленник может получить доступ к персональным данным, хранящимся в свободно разделяемых каталогах и файлах. Online Scanner проверяет все разделяемые ресурсы и уведомляет о них пользователя.
- Троянские кони. Об этих программах сказано уже немало, и поэтому не стоит повторяться. С их помощью злоумышленник может выполнять практически любые действия незаметно для владельца компьютера. Online Scanner проверяет их присутствие на компьютере пользователя, а также наличие и настройки установленных антивирусных систем.
Достоинство данных продуктов и служб в том, что они не требуют никаких настроек ни от администраторов Internet-сервера, предоставляющего такие услуги, ни от пользователей домашних компьютеров. Администраторы просто размещают определенный код у себя на сервере и создают ссылку на него, а пользователи просто переходят по соответствующей ссылке, после чего анализ и генерация отчетов производится автоматически. Характерно, что зачастую создаваемые отчеты недоступны никому, кроме пользователя. Тем самым гарантируется, что недобросовестные сотрудники банка не смогут узнать о степени защищенности компьютеров своих клиентов. Например, так используется Online Scanner в Morgan&Chess Bank или в Enn-eBank.
Заключение
В заключение хочется отметить, что перечисленные решения ориентированы на пользователей, не являющихся высококвалифицированными техническими специалистами. Они предназначены для тех, кто не имеет глубоких познаний в области сетевой безопасности, а также не располагает достаточными средствами для приобретения широко известных средств, таких как Internet Scanner или System Scanner, но при этом совершает покупки и управляет своим банковским счетом через Internet. Эти пользователи уже достаточно запуганы средствами массовой информации и телевидением, рассказывающими о хакерах, взломах и подобных ужасах, а ресурсы, о которых рассказано в статье, позволяют развеять их тревогу по поводу своей защищенности или незащищенности и, кроме того, способны повысить квалификацию и расширить кругозор в области информационной безопасности.
Список литературы:
- Кивиристи А. Новые подходы к обеспечению информационной безопасности сети// КомпьютерПресс. № 7’2000.
- Лукацкий А.В. Вопросы информационной безопасности, возникающие при использовании технологий Java и ActiveX// Тематический выпуск № 2. Москва, 1998.
КомпьютерПресс 5'2001