Сокрушительная атака

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-010-7

Иногда злоумышленник может использовать несколько эксплойтов. Первый для получения низкоуровневых привилегий на машине-жертве, последующий – для достижения рутовых привилегий.

Подробнее о переполнении буфера - в Спеце #08(45)/2004 (www.xakep.ru/articles/magazine/2004.asp).

Мой дом – моя крепость

От ошибок в коде, тем более от чужих, никто не застрахован, поэтому я настоятельно рекомендую планировать и проводить периодические работы по аудиту и настройке системы. Вот довольно сжатый перечень действий, которые, я надеюсь, помогут существенно повысить безопасность любой оси при минимуме затраченного времени и усилий.

- Мониторинг файловых полномочий и атрибутов. Регулярно проверять права доступа и целостность системных файлов. В *nix-системах особое внимание уделить программам с установленными битами setuid и setgid.

- Блокировка неиспользуемых сервисов. При установке по умолчанию большинство дистрибутивов прописывает в автозагрузку множество программ и служб. Рекомендую использовать утилиты ps, netstat в *nix'ах и tasklist, netstat в Windows XP для проверки. Команда netstat с опциями –a –p –-inet поможет определить, какие сетевые сервисы запущены, а также просмотреть идентификаторы процессов, ассоциированные с ними, (PID).

- Проверка целостности скачанных пакетов. С помощью утилит проверки Md5-сумм контролировать целостность всех скачиваемых пакетов.

- Использование безопасных сервисов. Избавиться от всех потенциально опасных сервисов, таких как telnet, ftp, rlogin и rsh, протоколы которых подразумевают открытую передачу паролей и данных. Использовать безопасные утилиты, например ssh.

- Настройка параметров ядра. В *nix-системах возможно изменение некоторых параметров ядра, влияющих на безопасность. Псевдофайловая система /proc предоставляет доступ к параметрам ядра.

- Использование NAT. При наличии нескольких компьютеров в сети, получающих доступ в интернет через отдельный сервер, возможно использование технологии NAT (Network Address Translation), что существенно затрудняет атаки извне.

Защита от переполнения буфера на программно-аппаратном уровне

Пока рядовые компьютерщики изо всех сил пыжатся, настраивая свою ось и спасаясь от злобных хакеров, разработчики микропроцессоров и операционных систем тоже не стоят на месте, пытаясь облегчить твой нелегкий труд. И поверь, это не пустые слова, кое-какие результаты в данном направлении уже достигнуты.

К примеру, компания AMD уже давно заявила, что процессоры Opteron и Athlon 64 могут обнаруживать и блокировать работу вредоносных программ, действие которых основано на переполнении буфера. Чипы AMD умеют не только обнаруживать переполнение буфера, но и предотвращать исполнение кода, который попадает в процессор после переполнения.

Технология, названная Execution Protection, уже присутствует в выпускаемых Athlon 64 и Opteron, и это новшество доступно для счастливых обладателей Windows XP Service Pack 2. AMD также утверждает, что Execution Protection уже работает сегодня в любой системе с 64-х разрядными процессорами AMD под Linux.