Очередная веская причина задуматься о переходе с ОС Windows на альтернативу::Журнал СА 9.2003
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6426
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7125
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4407
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3093
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3887
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3906
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6392
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3239
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3537
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7370
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10729
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12450
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14110
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9199
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7147
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5453
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4687
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3501
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3215
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3452
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3095
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Очередная веская причина задуматься о переходе с ОС Windows на альтернативу

Архив номеров / 2003 / Выпуск №9 (10) / Очередная веская причина задуматься о переходе с ОС Windows на альтернативу

Рубрика: Безопасность /  Угрозы

ВИКТОР ИГНАТЬЕВ

Очередная веская причина задуматься

о переходе с ОС Windows на альтернативу

12 августа, Швеция. 40 серверов интернет-провайдера TeliaSonera в постоянной перезагрузке, администраторы в панике, 20 000 клиентов подверглись атаке компьютеров своего же провайдера, компания на грани банкротства.

По всей Азии и Европе большинство корпоративных сетей подвергаются ежеминутной атаке. Многие корпорации несут тысячные убытки, т.к. компьютеры не позволяют обслуживать клиентов.

К концу дня информационные агентства в Дании сообщили, что на данный момент парализована работа приблизительно 2000 компьютеров, и эта цифра постоянно увеличивается.

В Германии известный автомобильный гигант BMW признал, что многие компьютеры корпорации работают некорректно.

Что же это? Массовая атака хакеров? Или, может быть, сбой в операционной системе? Нет, в очередной раз весь мир стал свидетелем воплощения в жизнь реального принципа корпорации Microsoft: «Сначала деньги, а пользователи потом». Многие администраторы и простые пользователи ещё помнят Nimda и Code Red, помнят фразу «Hacked by chinese», и теперь этот список дополнит ещё один – W32.Lovsan.worm, так же он известен как W32.Blaster.

Итак, рассмотрим подробнее суть проблемы. 16 июля на bugtraq пришло письмо от польской хакерской группы Last Stage of Delirium. Они заявили, что обнаружили критическую уязвимость защиты во всех недавних версиях операционных систем корпорации Microsoft. Уязвимость затрагивает заданные по умолчанию инсталляции Windows NT 4.0, Windows 2000, Windows XP, а также Windows 2003 Server, которая, кстати, была разрекламирована как не восприимчивая к атакам на переполнение буфера. Это ещё одно подтверждение что «Сначала реклама, а потом дело, и уж после этого может быть качество».

LSD предоставили общественности proof of concept code, но полный исходный код эксплоита не был опубликован, т.к. это повлекло бы за собой массовые взломы и создание червей.

Реакция Microsoft оказалась на редкость незамедлительной. Буквально в этот же день на официальном сайте компании было опубликовано подтверждение существования уязвимости. Но несмотря на «джентльменский» поступок LSD, 25 июля группа китайских хакеров Xfocus опубликовала полный код эксплоита против англоязычных версий Windows 2000 и XP.

Так в чём же суть проблемы?

Уязвимость заключается в посылке специальных данных удалённой машине через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM.

Проблема истекает из ошибки в реализации API-функции:

HRESULT CoGetInstanceFromFile(

  COSERVERINFO * pServerInfo,

  CLSID * pclsid,

  IUnknown * punkOuter,

  DWORD dwClsCtx,

  DWORD grfMode,

  OLECHAR * szName,

  ULONG cmq,

  MULTI_QI * rgmqResults

);

Переполнение буфера происходит в шестом параметре (szName), благодаря которому возможно выполнение любого кода на удалённой машине.

После публикации эксплоита от Xfocus и подробного объяснения на сайтах, посвященных компьютерной безопасности, каждый день стали появляться новые реализации от разных хак-групп. В основном отличие от оригинального заключалось в том, что количество поражаемых версий Windows увеличивалось с каждым разом, сначала 7 целей, затем 18, 48 и наконец 8 июля группа oc192 Security предоставила универсальный исходный код, поражающий все версии Windows 2000 и Windows XP. После этого события волна взломов в Интернете подскочила в сотни раз. Каждый скачавший этот код мог спокойно получить административный доступ к любой Windows-системе в сети. Многие кинулись скачивать патчи с официального сайта Microsoft, но буквально через 3 недели сайт оказался недоступным. В ночь c 1 на 2 августа хакеры атаковали сайт Microsoft, до того считавшийся одним из наиболее защищенных ресурсов Интернета. Работа сайта была парализована на час и сорок минут. Эксперты связывают нападение с готовящейся массовой атакой на Интернет, которую хакеры хотят осуществить через брешь в ОС Windows. Атака затронула как главную страницу сайта http://www.microsoft.com, так и многие другие адреса, включая страницу службы технической поддержки http://www.support.microsoft.com и портал для разработчиков http://www.msdn.microsoft.com.

Microsoft уже признала факт хакерской атаки, но при этом оградила себя от возможных домыслов по поводу использования взломщиками какой-либо уязвимости в софте, обеспечивающем работу сайта. По словам официального представителя Microsoft Шона Сандволла, специалистами компании установлено, что хакеры совершили «обычную атаку на сервер, однако не воспользовались никакими «дырами» в программном обеспечении». О деталях нападения Сандволл распространяться не стал.

Но 12 августа после полудня произошло то, чего так опасались LSD и все мировые организации по сетевой безопасности. В сети появился червь, использующий уязвимость DCOM. За считанные минуты он заполонил европейскую часть Интернета. Полный анализ червя предоставили большинство производителей антивирусных продуктов, но первый временный патч выпустила Symantec. FixBlast сканирует ваш компьютер на предмет заражения Win32.Blaster, удаляет файл червя и его следы в системе. Самый полный отчёт предоставила, на мой взгляд, Лаборатория Касперского, т.к. только они объяснили принцип генерации IP-адресов и сканирования портов жертв.

Как делают Blaster

Первое, что обнаружили программисты антивирусных лабораторий, – это текстовые (ASCII) строки внутри файла следующего содержания:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

Что в переводе звучит так:

Я хочу сказать, ЛЮБЛЮ ТЕБЯ, SAN!!

Билли Гейтс, почему ты допускаешь такое? Прекращай делать деньги и исправь своё программное обеспечение!!

После полного анализа червя выяснилось следующее:

  • Червь проникает в компьютер, используя удалённое выполнение команд посредством переполнения буфера.
  • Выполняется GET-запрос на закачку тела вируса через команду tftp.
  • Помещение файла msblast.exe в %WinDir%system32 и его запуск.
  • Регистрация червя в ключе автозапуска: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  • Ключ: windows auto update=«msblast.exe»
  • Червь открывает порт 69 (tFTP-server) для последующего размножения.

Далее идёт процесс сканирования и генерации IP-адресов новых жертв. Это происходит следующим образом: червь сканирует IP-адреса текущей подсети и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров, после этого червь делает паузу в течение 1,8 секунды, а затем снова сканирует следующие 20 IP-адресов и повторяет этот процесс в бесконечном цикле до перезагрузки компьютера. Например, мы имеем подсеть 192.168.1.0/24, IP-адрес заражённого компьютера 192.168.1.134, червь сканирует так:

192.168.1.0-19

пауза 1.8 сек

192.168.1.20-39

пауза и т. д.

Более того, червь имеет 2 метода сканирования IP-адресов: в 60% случаях червь выбирает случайный адрес подсети (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом, сгенерированная подсеть находится в диапазоне [1-255].[1-255].[1-255].0. В 40% червь сканирует свою подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C больше, чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

  • Запуск командной оболочки «cmd.exe» на TCP-порту 4444.

Как заявляет Лаборатория Касперского, если бы не было 1.8-секундной задержки, то многие узлы Интернета не выдержали бы такой нагрузки и отказали.

Вполне возможно, что это было учтено автором червя для более успешной атаки на сайт обновлений Microsoft.

Побочным эффектом червя является как раз то, из-за чего компании всего мира терпят убытки. При получении доступа используется не универсальный метод, поэтому в большинстве версий Windows отказывает критическая системная служба Remote Procedure Call, и компьютер автоматически перезагружается в течение минуты. В этот момент пользователь наблюдает окно с ошибкой «RPC service failing» и отсчёт времени до перезагрузки.

Но это ещё не всё. 16 августа 2003 года червь запускает DDoS-атаку на сервер http://www.windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.

Трудно представить ее последствия, так как в связи с перегрузкой многих узлов возможны были региональные отключения сети Интернет, как это было в случае с SQL Slammer.

Однако, как всегда, вмешался Его Величество Случай – кризис энергетической системы США сорвал запланированную атаку или отложил на некоторое время.

А как же лекарство?

  1. Официальный патч от Microsoft:
  2.     http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

  3. Временный патч FixBlast от Symantec:
  4.     http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Если у вас какие-то проблемы со скачиванием файла, то вы можете просто отключить службу DCOM. «Пуск –> Выполнить –> dcomcnfg.exe –> Службы компонентов –> Компьютеры –> Мой компьютер –> Свойства по умолчанию» – убрать галку «Разрешить использование DCOM на этом компьютере».

Также заблокируйте порт 135 TCP и 69 UDP на ваших межсетевых экранах.

Используемые сокращения:

  1. DCOM – архитектура, предназначенная для взаимодействия компонентов COM.
  2. UDP – User Datagram Protocol (протокол пользовательских дэйтаграмм).
  3. SP – Service Pack (набор исправлений)..
  4. RPC – Remote Procedure Call (удалённый вызов процедур).
  5. DDoS – Distributed Denial of Service Attack (распределённая атака на отказ в обслуживании).
  6. Proof of concept code – исходный код, доказывающий существование уязвимости.

При написании статьи использовались материалы следующих источников:

  1. http://www.securityfocus.com
  2. http://www.lsd-pl.net
  3. http://www.xfocus.com
  4. http://www.securitylab.ru
  5. http://www.void.ru
  6. http://www.symantec.ru
  7. http://www.packetstormsecurity.nl
  8. http://www.viruslist.com http://www.compulenta.ru
  9. http://www.salon.com

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru