Платформа. Overflow. Власть!

Головин Виталий aka Vint

Спецвыпуск Xakep, номер #045, стр. 045-060-4

В Windows также могут появиться проблемы при попытке взлома. Для локальных эксплоитов наибольшую проблему представляет запрещение выполнения любого постороннего ПО на данной машине. Это осуществляется грамотным системным администратором через разрешение выполнять только определенный код. Чаще всего такую защиту обойти не удается: для определения допустимых приложений используется сложная хеш-функция, и, если хеш не совпадет, приложение запущено не будет. Это основное препятствие при локальном взломе через переполнение.

Пожелай мне коннекта…

Если говорить о сетевых атаках, то тут тоже очень много общего. Принцип работы любого удаленного эксплоита достаточно прост: программа подсоединяется на определенный порт атакуемой системы, посылает строку, переполняющую буфер сервиса, а определенный код, посланный эксплоитом, открывает на любом свободном порту telnet-сервер. После чего взломщик простым telnet-клиентом управляет удаленной системой. Правда, так красиво все только в теории, реальность же оказывается намного сложнее. Например, система Firewall способна разрушить все планы атакующего. Дело в том, что грамотно настроенный брандмауэр просто не даст открыть порт для неизвестного приложения. В Linux’e iptables имеет набор правил и политик, исходя из которых он управляет всей сетевой активностью хоста. А так как серверной части эксплоита в этих правилах нет, то он и не сможет открыть порт для соединения. В Windows-платформе брандмауэр также играет одну из основных ролей в защите от удаленных атак переполнения буфера.

Как же быть?

Полностью защититься от атак на переполнения невозможно, но снизить опасность достаточно просто. Для этого нужно следовать простым рекомендациям. Во-первых, каждый день посещать сайт www.securityfocus.com или www.bugtraq.ru, где публикуются самые последние новости из мира IT-безопасности. Можно подписаться на рассылку bugtraq.ru с помощью сервиса www.subscribe.ru или прямо на этом сайте. Также необходимо проверить все правила администрирования серверов. Для Windows-платформ желательно поправить правила на вкладке “администрирование” и пункт “локальная политика безопасности”, где следует явно указать ПО, которому разрешен запуск на выполнение, после чего запретить все остальные на уровне хоста. Для *nix платформ можно при установке выбрать максимальный уровень безопасности (это значительно повысит безопасность системы, правда, в ущерб удобству работы), после установки использовать опцию “noexec”, когда возникнет необходимость обратиться к сменному носителю (опцию можно указать в файле /etc/fstab). А просмотр логов в любой ОС позволит во время определить попытку атаки и предупредить ее, поэтому необходимо иногда анализировать системные журналы соответствующими утилитами. Постарайся следовать нехитрым рекомендациям и обезопась свою систему.