Преврати свою систему в крепость

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #040, стр. 040-048-1

(forb@real.xakep.ru)

Безопасность WinXP

В любой крупной фирме существует своя локальная сеть. Если в качестве сервера выступает WinXP, позаботиться о защите следует обязательно, иначе можно лишиться сервера в первый же день работы.

В сущности, от админа требуется грамотно настроить политики, а также время от времени читать системные журналы и лишний раз убеждаться, что система находится в целости и сохранности. Прежде чем что-либо настраивать, устанавливать и менять, следует знать, какие ошибки содержатся в ненастроенной системе, и понимать, какой вред они могут принести.

Непропатченная винда – мечта хакера

К сожалению, в настоящее время нельзя выводить в Сеть свежеустановленную WinXP. Это чревато мгновенным проникновением хакера или вируса msblast. Нашумевшая бага RPC DCOM надолго останется в наших сердцах. Поэтому возьми себе за правило: прежде чем настраивать Сеть на машине, пропатчь систему, предварительно скачав заплатку с сайта Microsoft.

Сама по себе новость о том, что RPC-уязвимость актуальна как для Win2k, так и для WinXP, повергла многих в шок и подмочила репутацию Microsoft. Действительно, можно сделать вывод, что весь серверный код Win2000 был просто перенесен в новый релиз системы. Таким образом, если в багтраке появляется новость о новой бреши в стандартном сервисе Win2000, будь уверен, что бага будет присутствовать в твоей любимой WinXP. И это действительно подтверждается эксплойтом.

RPC DCOM – самая страшная уязвимость, которая присутствует в системе. Это связано не только с тем, что сервис RPC нельзя выключить (теряется нормальная работоспособность). Сейчас в Сети до сих пор гуляет msblast, ищет жертвы, среди которых может быть твоя система. Следует помнить и о других багах, например, уязвимости в сервисе Messenger, приводящей к полному захвату системы. Против бреши существует патч, доступный на сайте Microsoft. И это далеко не единственный пример. Без патчей сейчас никуда, поэтому регулярно читай багтрак и своевременно посещай любимый microsoft.com ;).

Смертельные сервисы

То, что стандартные сервисы гнилые и содержат в себе массу дыр - давно проверенный факт. Но не стоит забывать, что большинство багов админ заносит в систему сам, устанавливая сырой и непроверенный софт. Суди сам. Администратор по какой-либо причине невзлюбил стандартный IIS, променяв его на портированный Apache (конечно же, из нестабильной второй ветки). Спустя некоторое время его систему поимели, оставив на прощание красивый дефейс. Дело даже не в халатности админа - он мог быть ответственным человеком и читать багтрак. Причина в OpenSource-приложениях, которые очень быстро анализируются на баги. В данном случае баг был во второй версии Apache, причем эта брешь могла вовсе не присутствовать в разделе уязвимостей для Win32, так как это линуксовый сервис. Соответственно, не переустановив сервис, админ поплатился своей системой.

Лишний раз задумайся, променивая проверенный стандарт на какой-то новый (пусть даже удобный) сервис. Яркий пример: совсем недавно была найдена бага в Jordan Telnet Server, приводящая к захвату системы. Причем надо отдать должное стандартному сервису Telnet, в котором пока не обнаружили никаких уязвимостей.