byajhv (Информация и личная безопасность), страница 2

СЕКРЕТ НА ВИДНОМ МЕСТЕ

О безопасности программных продуктов производства

Microsoft написано немало издевательских статей, гневных

отзывов, ругательных высказываний и бредовых историй. Все-таки есть в мире какое-то особое отношение к этой корпорации. И, видимо, чтобы попытаться как-то исправить такое положение, Microsoft в начале апреля выпустила свой собственный анализатор безопасности – Microsoft Baseline Security Analyzer. Этот программный продукт может проверить систему на наличие уже известных уязвимостей, отсутствие выпущенных обновлений и указать на мелкие огрехи, часто совершаемые по неопытности, -

учетные записи с простыми и пустыми паролями, выключенная защита от макровирусов и другие подобные ляпы. После проверки можно прочитать комментарии и рекомендации по исправлению существующих ошибок в защите. Несмотря на то, что MBSA выявляет лишь уже известные бреши в безопасности, вещь все равно полезная. Но и тут не обошлось без казусов. Спустя две недели после выхода MBSA 1.0 исследователи из Finjan Malicious

Code Research Center обнаружили, что сканер безопасности сохраняет результаты проверки в файле формата XML в

предсказуемом месте на диске. По идее, доступ к этому файлу может получить только пользователь, который запускал проверку, или администратор. Но мы уже знаем, что на самом деле в некоторых случаях существует возможность получить на первый взгляд недоступные файлы, например, через использование активного содержимого HTML-страниц. Так что лучше эти отчеты не хранить или предпринимать дополнительные меры по их защите.

ЧТО НАС ЖДЕТ?

Интеграция мирового интернет-сообщества продолжается стремительными темпами. Все большее число людей приобретают шанс получить зараженное вирусом письмо, и все большее число почтовых клиентов, готовых распространить этот вирус. Каждые полгода, если не чаще, появляется вирус, который бьет все предыдущие рекорды или по скорости, или по масштабам распространения. Ну и конечно, хороший вирус порождает множество модификаций, зачастую более опасных, чем исходный вариант. Нужно отметить у вирусописателей некоторую тенденцию к комплексным решениям. Комплексный подход применяется как

при распространении, так и при вредоносных действиях. Проникновение осуществляется уже не просто через почтовый клиент или браузер, но и через IRC (так действует I-Worm.LoveLetter, известный также как ILOVEYOU), или даже через дырявый сервер от Microsoft - Internet Information Server, а с него уже на компьютеры посетителей зараженного сайта (так действует, например, Nimda). И деструктивные проявления вируса заключается

уже не в простом уничтожении данных ли в заполнении свободного места на диске (всяческие веселые, но безобидные графические или звуковые эффекты я не рассматриваю как деструктивные). Вирус-червь BadtransII не только похищает пароли на удаленные и сетевые

подключения, но и следит за нажатиями клавиатуры и отсылает LOG-файл на определенный адрес электронной почты. Нашумевший интернет-червь Nimda кроме заполнения мусором сетевых дисков еще и открывает на всеобщее обозрение содержимое дисков зараженного компьютера и дает пользователю "Гость" привилегии администратора. Так что в ближайшем будущем стоит готовиться к появлению вирусов, атакующих систему с разных сторон и использующих сразу несколько различных ошибок в

программном обеспечении, этаких многофункциональных интеллектуальных вредоносных программ. И поскольку взывать к сознательности вирусописателей абсолютно бесполезно, то стоит просто соблюдать элементарные меры безопасности, в первую очередь в отношении файлов, попадающих к вам через Всемирную паутину.

С точки зрения обычного пользователя, WWW - это огромная библиотека текстовых и графических документов, распределенных по множеству серверов и связанных друг с другом перекрестными ссылками. Казалось бы, просмотр текстов и изображений - своего рода книжки с картинками - не может представлять никакой опасности как для пользовательского компьютера, так и для сервера. Однако совершенно неожиданно персонажи из этой книги могут оживать, бродить по квартире, портить другие книги и пытаться поджечь дом.

Программы в засаде

Подобно тому, как при использовании электронной почты пользовательский агент может запустить на исполнение программный код, содержащийся в приложении к письму, www-браузер может запустить программный код, загруженный с сервера.

Первый вариант запуска вредоносного кода состоит в том, что пользователь находит на каком-либо сайте ссылку на исполняемую программу и загружает ее. Загрузка известной программы с известного сайта не дает полной гарантии безопасности (см. ниже о фальсификации www-сервера). Не стоит забывать, что программами, по сути, являются не только EXE-файлы, но и документы MS Office и файлы многих других форматов.

Самостоятельные программы

Второй вариант - автоматическая загрузка кода браузером без ведома пользователя при просмотре последним определенной web-страницы. Таким кодом могут быть встроенные в HTML-текст программы Javascript, апплеты, написанные на языке Java, и управляющие элементы ActiveX (для пользователей MS Windows).

Разработчики браузеров предпринимают усилия для того, чтобы обезопасить компьютер пользователя при выполнении таких программ. В частности, Java-апплеты запускаются в специальном окружении (sandbox), препятствующем прямому доступу апплета к файловой системе и выполнению других потенциально опасных действий. В Javascript не существует методов для непосредственного доступа к файловой системе компьютера и для открытия сетевых соединений, а код Javascript может удостоверяться цифровой подписью.

Как "подвесить" браузер

Несмотря на все предпринятые меры, для злоумышленника все равно остается определенное поле деятельности. Ключевыми направлениями разработки здесь являются ошибки в программном обеспечении браузеров, отказ в обслуживании и обман пользователя.

Отказ в обслуживании иллюстрирует следующая web-страница с кодом Javascript. Ее загрузка приведет к блокированию браузера, и для продолжения работы потребуется его перезагрузка:

Example of DoS


while(1) {
alert(«It is time to restart your browser.»);
}

Обман пользователя

Еще один вид атак - обман пользователя путем вывода на экран окон, выдающих себя за сообщения от других программ. Эти сообщения могут призывать пользователя выполнить какие-либо действия, связанные с раскрытием секретной информации (пароля). Браузер помечает такие окна специальным образом, но многие пользователи-неспециалисты не обращают внимания на такие тонкости. Другой вид обмана заключается в фальсификации URL, показываемого в статусной строке браузера, когда пользователь наводит указатель мыши на какую-либо ссылку. Это реализуется так:

onMouseover=«http://www.goodbank.com/’;
return true»>
Click here to enter your credit number

Пользователь, наведя указатель на ссылку, увидит в статусной строке браузера, что ссылка указывает на www.goodbank.com, и, активизировав ссылку, попадет на www.cracker.com. Дальнейшее зависит только от фантазии владельца сайта www.cracker.com.

Пути распространения

Javascript имеет возможность отправлять сообщение по электронной почте. Отправка данных может быть инициирована любым действием пользователя - например, нажатием какой-либо кнопки или наведением указателя мыши на ссылку. Таким образом, выведав у пользователя секретные данные с помощью сфабрикованного окна ввода пароля, Javascript может отправить эти данные по почте. К счастью, современные браузеры предупреждают пользователя о попытке программы отправить сообщение.

Очевидное решение для злоумышленника, оккупировавшего какой-либо WWW-сервер, состоит в непосредственном помещении кода Javascript в HTML-документы сервера. Другой способ называется cross-site scripting и состоит том, что злоумышленник использует сервер с динамической генерацией содержания в качестве посредника. Например, WWW-сервер имеет доску объявлений, куда любой желающий может поместить текст. Этот текст впоследствии выдается в виде содержания клиентам, просматривающим объявления. Если программа, генерирующая контент, не проверяет текст объявлений на наличие тэгов и других специальных слов и символов, то злоумышленник может поместить программный код в текст объявления, и этот код будет доставлен пользователю.

Разновидностью cross-site scripting является отправка пользователем потенциально вредоносного кода самому себе. Это происходит, когда пользователь следует по ссылке вида:

<A HREF=«http:/example.com/comment.cgi?mycomment=
«<SCRIPT> вредоносный кодSCRIPT> »>Click hereA>

При этом код отсылается как часть текста объявления на WWW-сервер example.com, который тут же возвращает этот текст пользователю для просмотра, доставляя таким образом вредоносный код браузеру.

Cross-site scripting и SSL

Интересным эффектом cross-site scripting является возможность доставки злоумышленником кода через соединения, защищенные с помощью SSL. Это возможно, если WWW-сервер, с одной стороны, позволяет злоумышленнику поместить непроверяемый текст через незащищенное соединение, а с другой стороны, демонстрирует помещенный текст пользователю через защищенное соединение.

Для защиты от cross-site scripting разработчики программ динамической генерации содержания должны проверять вывод программы на наличие специальных тэгов и символов.

Цифровая подпись

Несколько слов о цифровой подписи. Ее наличие говорит только о том, что программа (управляющий элемент ActiveX, апплет Java или код Javascript) написана определенным автором и не была изменена. Подпись не гарантирует того, что после запуска программа не начнет стирать файлы с жесткого диска. Конечно, программа, подписанная широко известной компанией, вряд ли содержит умышленно введенный вредоносный код, но может содержать ошибки, которые потом могут быть использованы злоумышленником. Также отметим, что если браузер доверяет одной подписанной программе, то он автоматически доверяет всем программам, подписанным тем же автором.

Настройки современных браузеров позволяют отключать выполнение приложений Java, ActiveX и скриптов Javascript, или требовать обязательного наличия подписи в этих программах.

ШПИОН НА ПРОВОДЕ

Если не предпринять специальных мер, то все данные между браузером и HTTP-сервером передаются в открытом виде. Таким образом, можно смело предположить, что прослушивание WWW-трафика не требует значительных усилий. Применение Digest-аутентификации (с некоторыми оговорками) снимает проблему перехвата пароля и при полной реализации даже защищает от несанкционированной модификации передаваемых данных каким-либо промежуточным узлом. Однако сами данные при этом остаются беззащитными.

Кроме того, вам следует знать, что все запросы вашего браузера регистрируются www-сервером, который записывает в специальный файл время запроса, IP-адрес клиента, URL запрошенного документа, имя пользователя (если применялась аутентификация), тип браузера и URL документа, который пользователь просматривал до этого. Если пользователь работает через прокси-сервер, то такая информация сохраняется на нем же и может быть использована администрацией для контроля и учета использования WWW своими сотрудниками.

Более того, если браузер передает данные заполненной формы методом GET, то они сохраняются в LOG-файлах, поскольку являются частью URL-адресов. Метод POST свободен от этого недостатка, так как передает данные в зашифрованном виде.

Также браузер ведет кэширование недавно запрошенных документов на локальном диске и запись всех сайтов, которые посещал пользователь (эта запись называется журналом, в оригинале - history). Настройки браузера позволяют очистить журнал и кэш (или вовсе отключить кэширование).

Многие интерактивные www-серверы (например, интернет-магазины) используют механизм cookies для сохранения информации о сеансе работы пользователя (например, о том, какой товар пользователь отобрал для покупки). Эту информацию сервер передает на сохранение браузеру пользователя, который записывает ее на локальный диск (куда именно - зависит от используемого браузера, следует найти файл или каталог под именем cookies). Просмотр файла с cookies может выявить достаточно интересные детали об активности пользователя в WWW. Пользователь может запретить браузеру принимать cookies, но в этом случае он не сможет пользоваться некоторыми сайтами.