Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #40, МАРТ 2004 г.

Дрессированные окна

Vint (Vint@vpost.ru)

Спецвыпуск Xakep, номер #040, стр. 040-054-3


В ХР есть встроенные учетные записи, например Гость - это одна из очень больших дыр в безопасности твоего сервера.

Для ликвидации этого бага отключи учетную запись гостя и задай ей огромный пароль: вкладочка Локальные пользователи и группы (Local Users and Groups), подпункт Пользователи (Users). Прикрывай учетку, ставь пасс. Обрати внимание на учетную запись администратора и переименуй ее. То есть ставь любой другой логин, кроме всем известных “Администратор”, ”Админ”, ”Administrator”, ”Admin” или “Vasya_Pupkin”. Лучше выбрать что-нибудь поэкзотичней, например, “_toor@2_”. Легко для запоминания: root справа налево, подчеркивания и клавиша 2 два раза. Если не сменить имя учетной записи админа, то потенциальный взломщик уже будет знать логин, и получить доступ к системе ему будет намного проще.

Фаервол

Каждый администратор сам решает для своей локалки, нужна ли ему фаервольная защита на юзерских машинах. Я считаю, что крайне желательно поставить эту стеночку на клиентские ПК. Аргументы в пользу этой точки зрения: защищенность машины резко возрастает, появляется возможность ЛЕГАЛЬНОГО обхода лицензионных ограничений некоторого ПО, и к тому же появляется контроль доступа к инет ресурсам на уровне каждой машины.

Под защищенностью я понимаю то, что эксплойты, вызывающие удаленный шелл администратора за счет ошибки в системе или процессе, просто перестанут работать. Они не смогут открыть порт, к которому пытается достучаться злостный крякер. И этот нехороший человек просто отступит. Или начнет искать другие баги ;).

Легальный обход защиты основывается на том, что у большей части софта есть два типа лицензии: на одну машину и на целую сеть, причем однопользовательская стоит во много раз дешевле. И эта прога будет каждый раз сканировать сеть на наличие определенных открытых портов. Если находит их, то считает, что в сети есть более одной копии этого ПО, и умирает с воплями. Настроенный фаервол не позволит программе вылезать в сеть, тем самым подтвердив однопользовательскую лицензию. Примером такого ПО может служить макромедия флеш.

Лучшим из фаерволов считается Agnitum Outpost (www.agnitum.com/products/outpost). У него простой русский интерфейс, гибкие настройки, наличие предустановленных правил и очень хитрый механизм фильтрации пакетов. Он также хорошо помогает при попытке самообновления ХР ;).

Скринсейвер и прочее

Скринсейвер - очень удобная штуковина. Но она несет с собой потенциальную дыру в системе. Программа-хранитель экрана - это переименованный ехе-файл. Если злоумышленник заранее подменит файл хранителя экрана своей программой, то компьютер с легкостью переходит во владение атакующего. Чтобы такого не происходило, в ветке HKEY_USERS\.DEFAULT\Control Panel\Desktop измени параметр ScreenSaveActive на 0.

Еще одной потенциальной критической уязвимостью считают неявность нахождения эксплорера. В нем самом-то туева куча дыр, так еще и запуск этого приложения может пробить любую защиту. Надеюсь, ты знаешь, что главный процесс эксплорера запускается с очень высокими привилегиями системного процесса. Так вот, ХР “не знает“, где точно лежит ее проводник! Она сначала просматривает корень системного диска, потом лезет в свою папку, в надежде найти файл explorer.exe. А как ты думаешь, если система найдет файл с таким именем в корне? ДА, она просто запустит его. А что мешает взломщику положить туда трояна? Видишь, какая “защищенность” у ХР “по умолчанию”. Для уничтожения этой бреши в защите следует в реестре в пути [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] явно прописать путь к explorer.exe.

Назад на стр. 040-054-2  Содержание  Вперед на стр. 040-054-4