Мы уже говорили о полезности средства автоматизированного контроля безопасности отдельного компьютера, а также всей подсети, за которую он отвечает, для системного администратора. Естественно, что такие средства уже появлялись, и чаще других встречаются названия ISS (Internet Security Scaner), COPS (Computer Oracle and Password System) и, конечно, SATAN (Security Administrator Tool for Analizyng Networks). К сожалению, им обычно присущи следующие недостатки:
системозависимость - обычно они рассчитаны на вполне конкретную ОС или даже ее версию;
ненадежность и неадекватность - если эти программы сообщают, что все "О'key" , это совсем не значит, что так на самом деле и есть; и наоборот - некая "уязвимость" , с их точки зрения, может оказаться специальным вариантом конфигурации системы;
малое время жизни - т. к. с момента обнаружения уязвимости до ее искоренения проходит не очень большое время (порядка года), программа быстро устаревает;
неактуальность - более того, с момента выхода программы в свет все новые (поэтому самые опасные) уязвимости оказываются неизвестными для нее, и ее ценность быстро сводится к нулю. Этот недостаток является самым серьезным;
наконец, это возможность их использования с прямо противоположными целями - для поиска изъянов в вашей системе.
Можно заметить явную аналогию этих программ с антивирусными сканерами первого поколения - те знали лишь строго определенный набор вирусов, новые вирусы добавлялись только в следующем выпуске программы. Если посмотреть на возможности современных антивирусных программ - это и оперативное лечение вирусов, и автоматизированное пополнение базы вирусов самим пользователем, и поиск неизвестных вирусов, - то можно пожелать, чтобы хороший сканер интернета смог позаимствовать некоторые из них. В первую очередь - это возможность пополнения базы новыми уязвимостями. Причем в наши дни это несложно сделать - стоит лишь скачивать информацию с источников, занимающихся как раз сбором таких сведений, типа CERT или CIAC.
8.9.1. Программа SATAN
После общего введения мы посчитали невозможным не ознакомить читателя в общих чертах с таким нашумевшим средством, как SATAN, которое иногда считается чуть ли ни самой опасной программой из когда бы то ни было написанных, начиная от своего зловещего названия до возможности влезть чуть ли не в самый защищенный компьютер. Насчет названия сразу подчеркнем, что в момент инсталляции с помощью специальной процедуры вы можете поменять его на SANTA (Security Analysis Network Tool for Administrator), а заодно и зловещего сатану на симпатичного Деда Мороза. А что касается влезания в компьютер (не любой, конечно) - если подобная программа и имеется у хакеров или спецслужб, то она никогда не стала бы свободно распространяться по интернету, как это происходит с SATAN.
На самом деле SATAN - это добротно сделанная, с современным интерфейсом, программа для поиска брешей в вашей подсети (Intranet, как модно говорить в последнее время), написанная на машинно-независимых языках Perl и С, поэтому она в некоторой мере преодолевает первый из вышеописанных недостатков. Она даже допускает возможность для расширения и вставки новых модулей. К сожалению, во всем остальном ей присущи указанные недостатки, в т.ч. и самый главный - она уже устарела, и не может сейчас серьезно использоваться ни администраторами, ни хакерами. Поэтому непонятен мистический страх перед всемогуществом SATAN'а. Авторы, готовя материал для данной книги, сами столкнулись с таким отношением и были немало этим удивлены.
Однако на момент выхода это была достаточно актуальная программа. Она содержала в себе поиск большинства уязвимостей, описанных нами в п. 8.5.2 и была построена на статье [16] (или эта статья вылилась из рабо-
ты над SATAN'ом). В частности, программа ищет уязвимости в:
FTP и TFTP;
NFS и NIS;
rexd;
sendmail;
r-службах;
X-Window.
Существуют также более поздние версии SATAN'а, в которые включен поиск и других уязвимостей.
Для этого она сначала всевозможным образом собирает информацию о вашей системе, причем уровень этого конфигурируется пользователем и может быть: легкий, нормальный и жесткий. Легкий уровень, по утверждению авторов программы, не может быть никак обнаружен атакуемой стороной (по крайней мере, такая активность программы никак не может быть принята за враждебную) и включает в себя DNS-запросы для выяснения версии операционной системы и другой подобной информации, которая может быть легально получена с использованием DNS. Далее она посылает запрос на службу RPC (remote procedure call) для выяснения, какие rpc-сервисы работают. Нормальный уровень разведки включает в себя все эти запросы, а также дополняет их посылкой запросов (сканированием) некоторых строго определенных портов, таких как FTP, telnet, SMTP, NNTP, UUCP и др. для определения установленных служб. Наконец, жесткий уровень включает в себя все предыдущие уровни, а также дополняется полным сканированием всех (возможных) UDP- и TCP-портов для обнаружения нестандартных служб или служб на нестандартных портах. Авторы предостерегают, что такое сканирование может быть легко зафиксировано даже без специальных программ - например, на консоли могут появляться сообщения от вашего файрвола.
Другой важной опцией, задаваемой при настройке SATAN'a, является глубина просмотра подсетей (proximity). Значение 0 означает только один хост, 1 - подсеть, в которую он входит, 2 - все подсети, в которые входит подсеть данного хоста, и т. д. Авторы подчеркивают, что ни при каких обстоятельствах это число не должно быть более 2, иначе SATAN выйдет из-под контроля и просканирует слишком много внешних подсетей.
Собственно, ничем более страшным, кроме как сканированием портов и обнаружением работающих служб и их конфигурации, SATAN не занимается. При этом, если находятся потенциальные уязвимости, он сообщает об этом. Как пишут сами авторы, фаза проникновения в удаленную систему не была реализована.
Авторы SATAN'а используют очень современный интерфейс - все сообщения программы оформляются в виде HTML-страниц. Поэтому работа с SATAN'ом мало чем отличается от плавания (surf) по интернету в своем любимом броузере (SATAN поддерживает любой из них, будь то lynx, Mosaic или Netscape). Пользователь может отсортировать найденные уязвимости (по типу, серьезности и т. п.) и тут же получить развернутую информацию по каждой из них. Для поддержки броузеров в SATAN входит собственный http-сервер, выполняющий ограниченное число запросов, а связь с этим сервером осуществляется c использованием случайного 32-битного числа (magic cookie), которое служит для дополнительной аутентификации http-клиента. Иначе говоря, оно служит для предотвращения перехвата конфиденциальной информации броузером, отличным от запущенного SATAN'ом, а также вообще против любого взаимодействия с http-сервером SATAN'а. Любопытно, что в версиях до 1.1.1 в этой схеме аутентификации тоже была ошибка, которая даже попала в один из бюллетеней CERT.
Итак, типичный сценарий работы с SATAN заключается в следующем:
настроить желаемые параметры, в том числе глубину сканирования;
задать адрес цели и уровень сканирования;
просмотреть полученные результаты и получить по ним более подробную информацию;
устранить найденные уязвимости.
Администратору безопасности рекомендуется просканировать на жестком уровне все свои хосты, а также все доверенные хосты, обязательно спросив на это разрешение у их администраторов. Это рекомендуется сделать даже сегодня, несмотря на то, что SATAN устарел - вы сможете быстро получить список используемых сетевых служб и их версий и проверить, нет ли среди них уязвимых, воспользовавшись материалами CERT или CIAC.
8.9.2. Internet Scaner (ISS)
Уже после того, как была написана эта глава, мы столкнулись с программой, которая более-менее удовлетворяет перечисленным требованиям к современному средству автоматизированной проверки безопасности хоста. По крайней мере, она регулярно обновляется. Она оригинально называется Internet Scaner SAFESuite и распространяется компанией Internet Security Systems (ISS - не путать с Internet Security Scaner) по адресу http://www.iss.net. Как вы уже догадались, эта программа не бесплатна, в отличие от SATAN, что в данном случае и неплохо - это несколько ограничит число потенциальных кракеров. Для запуска она требует ключ, пересылаемый вам при покупке пакета, а в оценочную (evaluation) версию включен ключ, который разрешит вам сканирование только своего собственного хоста.
Эта программа реализована под 6 платформ:
Windows NT,
HP/UX 9.x и 10.x,,
AIX 3.2.5 и 4.1,
Linux (ELF),
SunOS 4.1.3,
Solaris (SPARC) 2.x,
при этом любая из реализаций знает уязвимости и других платформ.
Функционально она состоит из трех частей: сканер файрвола, Web-сканер и сканер Intranet. При этом, как и в SATAN, пользователь настраивает уровень сканирования. При этом он имеет возможность редактировать следующие любопытные классы уязвимостей:
в NFS,
в RPC,
в Sendmail/FTP,
в X Windows,
IP Spoofing (включая возможность предсказания TCP-последовательности и атаки на r-службы),
отказ в обслуживании (различные способы),
наличие пользователей по умолчанию,
тестирование стандартных демонов и правильности их настроек,
правильность настроек файрвола,
наличие ошибок и правильность администрирования Web-сервера.
К сожалению, мы не успели проверить качество работы и адекватность тестирования этой программой, но, видимо, на сегодняшний день она является одной из лучших
Узнать больше!
Средства автоматизированного контроля безопасности
Приемы против взлома окон
Мой дом - моя крепость! К сожалению, этот известный афоризм не всегда отражает реалии современной жизни. Сегодня наиболее частыми преступлениями становятся квартирные кражи, которые легче предотвратить, чем возместить причиненный ущерб. И дело даже не в масштабе и денежном эквиваленте украденного. Гораздо неприятнее сам факт незаконного проникновения в вашу собственность.
Вряд ли найдется человек, которому понравится, что кто-то посягнул на неприкосновенность его жилища, прошелся грязными ботинками по любимому ковру цвета «кофе с молоком», украл деньги или дорогие вещи. В основном незаконные проникновения в квартиру совершаются посредством взлома двери или окна, которые и являются самыми слабыми местами вашего дома. И преступники это знают. Если злоумышленник не может проникнуть в дом через дверь, следующим его шагом будет попытка проникновения через окно. Если вы хотите защитить свой дом от подобных «сюрпризов» и незваных гостей, мы подскажем вам несколько способов!
К сожалению, в наши дни, закрытые окна не являются преградой для опытного взломщика, чаще всего преступник снимает окно вместе с рамой или выбивает стекло. Если оконная конструкция не оборудована механизмом защиты, а стекла не являются противоударными, то вскрытие окна – дело 15 секунд. Преодоление защищенного окна требует больших усилий от взломщика и зачастую не позволяет осуществить проникновение бесшумно. Кроме того, такая «приятная» неожиданность вызывает у преступника страх привлечь внимание и состояние паники, а в подавляющем большинстве случаев это приводит к тому, что злоумышленник не доводит дело до конца. В Германии каждая вторая попытка взлома предотвращается современными способами защиты. Теперь это возможно и в России!
Противовзломная фурнитура – первый из элементов системы безопасного жилья, затрудняющий проникновение взломщиков через окна и балконные двери. Стандартная фурнитура не является препятствием для преступников. Окно, оснащенное стандартной фурнитурой, вскрывается без следов взлома. Поэтому в Европе применение противовзломной фурнитуры в строительстве становится нормой. Это означает, что четыре угла окна должны иметь противовзломные элементы.
Среди многих фирм, выпускающих фурнитуру для ПВХ окон, безусловным лидером является немецкий концерн SIEGENIA-AUBI (www.siegenia-aubi.ru), чья противовзломная фурнитура считается лучшей в мире по надежности и взломостойкости. Фурнитура SIEGENIA-AUBI производится только в Германии и подходит для любого типа окон и дверей. Запирающим элементом в фурнитуре является грибовидная цапфа, изготовленная из специальной стали, которая выдерживает нагрузку на разрыв до 1500 кг и выполняет две функции: запирания и защиты от взлома. Сейчас обычный комплект фурнитуры имеет три таких цапфы. Также в комплект входит одна противовзломная запорная планка. Такой комплект называется «Базовая безопасность». Даже он, в сочетании с запираемой ручкой значительно затрудняет взлом окна.
Следующий уровень защиты вашего окна кроется в усилении стеклопакета. Эти технологии значительно сложнее и дороже и качественное выполнение этих работ под силу только компании, имеющей собственное сертифицированное производство стеклопакетов. Рассмотрим несколько способов защиты.
Наиболее распространенный способ защиты стеклопакета от разрушения, это использование триплекса или технологии пленочных бронирующих покрытий. Оба способа заключаются в сдерживании осколков разбиваемого стекла вязкой полимерной средой. Однако способ нанесения бронирующих пленок в силу ряда преимуществ получил наибольшее распространение в последние годы.
Во-первых, равнозначная стойкость к удару достигается много меньшей массой стекла, что снижает общий вес конструкции окна, увеличивая срок службы фурнитуры и петель. Во-вторых, пленочное покрытие может быть нанесено на уже установленное окно, без демонтажа и замены стеклопакета. А, будучи установленным со стороны помещения, это покрытие на 100% сдержит все осколки стекла от попадания в помещение в случае воздействия самых значительных разрушающих нагрузок снаружи!
Защитные пленки обеспечивают:
Ударопрочность
Безосколочность
Взрывобезопасность
Солнцезащита
Защита от УФ-излучения
Теплосбережение
Эстетичность
Защита информации
Шумозащита
Конфиденциальность
Классы защитного остекления
Класс защиты А — «устойчивое к удару» — выдерживает удар брошенного предмета (камень, палка и т. п.) без образования сквозного отверстия.
Класс защиты Б — «устойчивое к пробиванию» - временно препятствует пробиванию отверстия, через которое может пролезть человек.
Класс защиты В — «пулестойкое защитное остекление» — задерживает пулю, выпущенную из ручного огнестрельного оружия, без сквозного пробивания.
Дополнительно можно получить множество полезных эффектов – повышение шумоизоляции, энергосбережения, а также эффект односторонней видимости. Самый радикальный способ - бронированные стекла. Принципы технологии их производства многослойность. Их листы выдержат не только камень, а, в зависимости от класса прочности станут преградой для настоящего «серьезного» оружия. Например, от злоумышленника, вооруженного пистолетом ТТ, защитит конструкция из четырех стекол, по 4 мм каждое. Против автоматной очереди устоит бронестекло общей толщиной около 36 мм. Преграда для снайпера – 44 мм.
Стоит задуматься, что лучше – подсчитывать моральный и материальный ущерб, испытывать постоянное беспокойство, покидая дом или дачу, либо обезопасить свой дом, сделать его настоящей, но элегантной крепостью для злоумышленников! Пусть знают - Против взлома есть приёмы!
Узнать больше!
