Защити себя сам
Ким Зеттер
Мир ПК №2 2002.
Представьте себе, что вы владелец маленькой компании. Ваш бизнес идет вполне успешно, но вдруг вы обнаруживаете, что такие конфиденциальные данные клиентов, как номера кредитных карт и контактная информация, размещены в Интернете для всеобщего обозрения. Вам не ясно, как это произошло, и вы не знаете, как с этим справиться.
Именно такой кошмар и стал реальностью для компании, по понятным причинам пожелавшей сохранить анонимность. В июле 2000 г. после трехнедельных попыток обнаружить канал утечки информации ее владельцы обратились за помощью к Джеймсу Синклеру, главному технологу компании Global Network Security Services (GNSS). Там быстро установили, что несанкционированный доступ стал возможен через брешь в базе данных FileMaker Pro Web Companion. <Это довольно редкий случай, ведь с этим продуктом работают лишь немногие, - размышлял Синклер. - Похоже, хакерам просто выпал счастливый билет, хотя они и тыкали пальцем в небо>. Следует заметить, что за два месяца до случившегося компания FileMaker опубликовала на своем сайте <заплатку>, но пострадавшая фирма не узнала о ней, так как не имела в штате соответствующего специалиста. К сожалению, у разработчиков ПО еще не устоялась привычка по электронной почте уведомлять пользователей о своих ошибках и вариантах их устранения.
Конечно, любые помехи в работе неприятны. Зависание системы после запуска приложения раздражает, но когда недоработки в системе безопасности программ открывают ваш ПК для атак, то уже очень хочется найти, кто за это ответит. Пользователи правильно считают, что в первую очередь сами производители должны заниматься подобными проблемами. К сожалению, в действительности дело обстоит совсем не так, и большинство пользователей на Западе убеждены, что заставить производителей задуматься о своей ответственности может только суд. Однако найти виновника практически невозможно, и как это ни грустно, приходится смиряться с тем, что ошибок будет тем больше, чем сложнее используемая программа. Впрочем, почитав специальную литературу и став в некотором роде сам себе специалистом, вы сумеете многое сделать для защиты своего ПК.
Они отравляют нам жизнь
Почти в каждом продукте, начиная с операционных систем и заканчивая браузерами и антивирусными пакетами, есть какая-нибудь брешь. В списке BugTraq, рассылаемом компанией SecurityFocus с целью оповестить пользователей о дырах и заплатках, содержится информация о 35 ошибках в одной лишь Windows 98, а в Internet Explorer их найдено 69. Но следует признать, что дыра дыре рознь. Одни из них приводят к крупным неприятностям, а другие обнаруживаются крайне редко и затрагивают лишь немногих. <От сбоя в FileMaker Pro Web Companion могла пострадать лишь небольшая часть всех пользователей, - считает Стив Руддок, представитель FileMaker, - и насколько я знаю, такая ошибка считалась теоретической. Мы никогда раньше не слышали о том, чтобы она нанесла ущерб кому-либо>. К сожалению, его слова не слишком утешают пострадавших.
Понятно, что дыры в таких популярных приложениях, как Outlook или Norton AntiVirus, доставляют неприятности отдельным пользователям, а вот от ошибок в серверных программах страдают уже многие. Например, сбой в корзине покупок онлайнового магазина может позволить мошенникам узнать номер вашей кредитной карты, и вы вряд ли будете смотреть сквозь пальцы на такую <брешь>, поскольку она затрагивает ваши кровные интересы. Весьма удивителен тот факт, что для управления своими подводными лодками американский флот использует Windows NT, операционную систему, полную ошибок, включая и связанные с проблемами безопасности. Например, известно, что в 1997 г. ракетоносец США пропал с экранов радаров из-за серьезного огреха вычислений в этой ОС. В лист BugTraq включены 164 ошибки, содержащиеся в системе Windows NT 4.0, предшественнице Windows 2000 и XP. <Эта операционная система была разрекламирована как гарантирующая полную защиту, - говорит Ричард Пауэр из Института компьютерной безопасности (Computer Security Institute) в Сан-Франциско, - однако в ней оказалось столько дыр, что хакеры называют NT одной большой ошибкой>.
Кто виноват?
Менеджер по программированию Скотт Калп из Центра безопасности Microsoft, исследующего информацию об ошибках и создающего заплатки, считает, что идеальных программ не бывает: <Все существующие разработки содержат ошибки, и все программы, которые будут когда-либо созданы, также будут дырявыми>. Но что же происходит на самом деле? Теперь действительно становится больше ошибок или просто стало легче их находить? Брюс Шнейер, главный технолог компании Counterpane и автор двух книг по криптографии, размышляет: <Сейчас дыры в программах ищут как программисты, желающие сделать свой продукт надежнее, так и хакеры, пытающиеся сломать защиту. И лазеек оказывается все больше. Чем сложнее становятся системы, тем больше они теряют в надежности. Слабые места появляются чаще, чем мы их успеваем находить>. По словам Шнейера, производители, подгоняемые конкуренцией и желанием пользователей получить наибольшее число функций, добавляют совершенно ненужные опции. Чем длиннее программа, тем чаще сбои. Не установлено каких-либо норм, ограничивающих максимальное число ошибок, однако позволительной считается одна на 10 тыс. строчек программы. Правда, если все будут следовать такому правилу, число допускаемых ошибок в крупных продуктах станет просто невероятным: тело программы Windows 2000 содержит 40 млн. строчек.
Элиас Леви, технолог компании SecurityFocus и модератор BugTraq, утверждает, что ошибки возникают из-за недостаточно высокого профессионального уровня создателей программ: <Многие программисты покидают колледж на первом или втором году обучения... А если все же получают законченное образование, следует учесть, что в большинстве университетов написание надежных программ просто не входит в курс обучения>.
Брюс Шнейер полагает, что ошибки появляются тогда, когда пользователь комбинирует различные программы, например макросы Microsoft Word и электронную почту. В сущности, макросы - это микропрограммы, автоматизирующие какие-либо действия. В целом они полезны и не опасны до того момента, пока ими не воспользуются со злым умыслом. Но в комбинации с электронной почтой макросы (а также аплеты Java и ActiveX) могут стать миной замедленного действия. Пауэр из Института компьютерной безопасности убежден, что производители давно должны были насторожиться и потенциально опасные функции отключить по умолчанию, чтобы программы спрашивали у пользователя, запускать ли подозрительный код. Он утверждает: <Сам процесс открытия того, что отключено по умолчанию, заставит пользователя задуматься о безопасности>.
Мишень Microsoft
Несомненно, не только в продуктах Microsoft имеются ошибки. Программы Adobe Acrobat Reader, AOL Instant Messenger, Netscape Navigator, Norton AntiVirus также нельзя отнести к самым надежным. Однако Microsoft, по мнению Леви, просто бельмо на глазу. Именно на нее критики обращают особое внимание, ведь ошибка, затрагивающая миллионы пользователей, неизбежно привлечет хакеров. Компанию Microsoft осуждают также за то, что она, имея огромные возможности для досконального тестирования ПО, спешит выставить на продажу еще сырые продукты, в которых заведомо есть дыры.
Скотт Калп сообщает, что Центр безопасности Microsoft сначала изучает код программы, а затем тестирует ее всевозможными способами, и признает, что всегда найдутся люди, которые станут использовать программу так, как разработчикам даже не приходило в голову. Такой большой пакет, как Windows, невозможно протестировать целиком. Его разбивают на части и потом отдают нескольким командам программистов. Марк Крофт, менеджер Windows XP, считает, что лишь около десятка человек представляют себе полную картину программы. А Калп подчеркивает, что раньше Microsoft считала вполне нормальным продать продукт с несколькими неопасными и трудно обнаруживаемыми лазейками. Кроме того, очень низко оценивалась возможность навредить клиентам. Впрочем, он отмечает: <После Windows 2000 мы решили отступить от этого правила и действовать так: если в программе найдена ошибка, то мы не пускаем ее в продажу>. Однако Шнейер опровергает утверждение о том, что Windows стала устойчивей и безопасней: .
Быть может, вас утешит тот факт, что теперь Microsoft более внимательно относится к выпуску заплаток. Служба поддержки этого гиганта в 2000 г. получила 10 тыс. писем с описанием ошибок, что заставило компанию провести 600 исследований и выпустить 100 описаний различных проблем. <Хотя мы стараемся изо всех сил, однако далеко не всемогущи. Потому-то и существует техническая поддержка... Кроме того, мы продолжаем совершенствовать продукт и после выпуска в продажу>, - сообщил Калп.
Можно ли всерьез надеяться, что производители исправят те ошибки, которые они сами же и создают? Роберт Уоллес так не считает. Он установил заплатку для IE 5.5 и не смог перезагрузить свой ПК. В течение 17 ч после уплаты 35 долл. и четырех звонков технической поддержке Microsoft ничего не изменилось. Ему пообещали перезвонить и действительно перезвонили... через пять рабочих дней. За это время его 15-летний сын восстановил систему с резервной копии. <Специалисты Microsoft были вежливыми, и они возвратили деньги, но пять дней я не мог работать>. Как вам это нравится?
Охотники за ошибками
Несмотря на то что Microsoft и другие компании тестируют свои продукты, многие ошибки в защите остаются незамеченными. Поэтому до поступления продукта в продажу добровольцы делают с бета-версией программы все, что придет в голову. <Охотники за ошибками> ищут те лазейки, которые не заметили производители. Эти энтузиасты - специалисты по безопасности, системные администраторы, взломщики кодов и хакеры - <идеалисты>, не использующие дыры для взлома систем. После того как человек находит лазейку, он может либо сообщить о ней разработчикам, либо сразу же предать ее огласке, как поступают, например, издатели BugTraq. Тогда первыми об ошибке узнают администраторы, специалисты по безопасности и журналисты.
Понятно, что разработчики ПО стараются не распространяться о найденных дырах. Публикации в Интернете - самый эффективный способ заставить производителей как можно быстрее выпустить заплатку. Хакеры и профессионалы в этой области считают, что иначе лазейка будет просто проигнорирована создателями ПО, стремящимися сохранить хорошую мину при плохой игре. К тому же таким образом уменьшается количество застигнутых врасплох пользователей, ведь даже если заплатки еще не существует, опасную функцию можно отключить и дождаться того момента, когда будет выпущено исправление.
Хакер по прозвищу Rain Forest Puppy, написавший неофициальное руководство по поиску ошибок, полагает, что создатели ПО могут сидеть сложа руки даже после публикации. Поэтому он советует тому, кто нашел лазейку, отводить производителям пять рабочих дней либо на выпуск заплатки, либо на сообщение о том, сколько времени необходимо для исследования проблемы. Он убежден: <Если за это время они ничего не предпримут, то, значит, так ничего и не сделают>.
Иногда предавать широкой огласке информацию об ошибке бывает очень вредно: среди консультантов или администраторов, читающих сообщения о лазейках, могут оказаться хакеры, выискивающие те бреши, которые можно использовать для взлома. Так, через месяц после обнаружения ошибки в Microsoft Internet Information Server (IIS) некий хакер воспользовался ею, чтобы написать вирус Code Red.
Еще опаснее сообщения с примерами программ, реализующих ошибку, - они становятся идеальным пособием для взломщика. Неважно, что изначально они предназначались администраторам (для проверки систем на содержание ошибки или тестирования заплатки) и программистам (для убеждения начальников в необходимости выпуска заплатки). Леви отмечает, что публикация ошибок - палка о двух концах: <Предостерегая порядочных людей, невольно помогаешь злоумышленникам>. Однако Леви и Шнейер соглашаются, что подобные публикации все-таки приносят больше пользы, чем вреда. Подтверждением этому может послужить тот факт, что заметно улучшилась реакция компаний-разработчиков на обнаружение лазеек. Так, до 2001 г. компания Apple даже не имела отдельного адреса электронной почты для сообщения об ошибках. Теперь этот недочет она исправила. Согласно объективным данным, сотни тысяч систем могли избежать атаки Code Red, если бы администраторы более внимательно отнеслись к публикациям об ошибках, ведь за месяц до этого Microsoft выпустила заплатку для исправления ошибки переполнения буфера, которая использовалась вирусом.
Сопротивление
Разработчики ПО выпускают в продажу <бракованный> продукт гораздо чаще, чем это происходит в других отраслях. Компания <Крайслер> не поставит на конвейер автомобиль с заведомо неотлаженным узлом, поскольку фирма понимает, что отвечает за вашу жизнь. Программисты же не торопятся учиться на своих ошибках. <Еще в 1960-х гг. переполнение буфера (buffer overflow) было признано одной из причин возникновения сбоев, и впервые злоумышленники взяли его на вооружение в 1970-х... И хотя прошло почти 40 лет, ошибка переполнения буфера до сих пор является одной из самых типичных. Но ведь с этой проблемой не так уж и сложно справиться! Такого прощать производителям нельзя>, - считает Шнейер. Понятно, хотя и неприятно, что наличие дыр в некоторой степени простительно для сложных программ. К тому же законодательство не обязывает производителей выпускать заплатки к собственным дырам. Конечно, если недоработка программы для расчета личных финансов откроет чьи-то конфиденциальные данные на всеобщее обозрение, то производителю придется всерьез призадуматься. Но большинство существующих ошибок все-таки не столь заметны. В частности, о лазейке, позволяющей хакеру атаковать ваш ПК, вы можете и не догадываться. Шнейер утверждает, что заставить производителей продавать более качественные продукты могут только судебные иски и повышение страховых взносов, хотя и это спорно. Например, страховая компания J. S. Wurzler Underwriting Managers увеличила размер компенсации для тех, кто работает с Windows NT и IIS, но ни один клиент так и не обратился с иском к производителям этого ПО. Создатели заранее приложили все усилия, чтобы защитить собственные интересы. Они подстраховывают себя, сообщая об <ограниченной ответственности> разработчика в лицензионных соглашениях, которые необходимо принять для установки программы. Идя на такие условия, пользователь лишается при обращении в суд многих прав, впрочем, до сих пор в судебной практике США подобных случаев не было.
По сути своей ПО - такая область, где неизбежны ошибки. Можно ли прижать производителей к стенке? Леви предлагает пользователям действовать, а не раздумывать: . Настало время, когда пользователи должны призвать производителей к ответу, а если те не среагируют, то уходить к другим. Конечно, отказаться от какого-либо продукта не всегда возможно, особенно когда все вертится вокруг Microsoft. Но пока программы не стали более надежными, пользователи должны защищаться сами.
Пять шагов к собственной безопасности
Задумывались ли вы о том, что ваш компьютер может подвергнуться атаке хакеров? Не стоит ограничиваться только установкой антивируса и брандмауэра. Следуя нашим советам, вы сделаете свой ПК более защищенным.
Шаг 1: закройте доступ к вашим файлам. Обмен информацией в локальной сети может открыть ваш ПК злоумышленнику из Интернета. Поэтому функцию доступа к вашим файлам лучше включать непосредственно перед передачей данных по локальной сети и затем ее отключать. Обязательно нужно устанавливать пароль.
Решение: чтобы закрыть доступ к файлам, выберите Start.Control Panel.Network.Configuration.File and Print Sharing (Пуск.Настройка.Панель управления.Сеть.Конфигурация.Доступ к файлам и принтерам), снимите все флажки и нажмите OK.
Шаг 2: настройте ваш браузер. В Интернете встречаются скрипты, открывающие злоумышленникам ваш ПК.
Решение: настройте уровень безопасности в Internet Explorer или Netscape Navigator. В Internet Explorer это делается передвижением ползунка или настройкой отдельных функций (в зависимости от версии). Чтобы использовать ползунок, откройте Tools.Internet Options.Security (Сервис.Свойства обозревателя.Безопасность). Выберите Internet Zone (Интернет), нажмите Default Level (По умолчанию) и передвиньте ползунок с Low (Низкий) до Medium (Средний) или High (Высокий). Уровень Low практически не защищает от зловредных объектов; Medium отключает многие скрипты, но не затрагивает файлы персонализации cookies; High же отключает практически все скрипты и информационные файлы. Для настройки отдельных функций можно выбрать Custom Level (кнопка <Другой>) и далее работать с каждой по отдельности, но это сложнее. В Netscape надо открыть Edit.Preferences (Правка.Настройки) и затем выбрать Advanced (Дополнительно) в окне Categories (Категории).
Шаг 3: настройте Outlook и Outlook Express. Программа Outlook позволяет отключать макросы во вложениях писем или разрешать запуск некоторых из них - например, подписанных (digitally signed) надежными источниками. Здесь можно использовать настройки безопасности из Internet Explorer. Уровень безопасности в Outlook Express назначается только через настройку зон Интернета и Trusted Sites (Надежные узлы) в IE.
Решение: чтобы Outlook открывал только подписанные макросы, зайдите в Tools.Macro.Security (Сервис.Макросы.Безопасность) и нажмите High (Высокий). Если вы хотите удостовериться, использует ли Outlook правила безопасности из IE, то откройте Tools.Options.Security (Сервис.Свойства обозревателя.Безопасность). Должно появиться окно, содержащее значок Internet Zone (Интернет). Выделите его и нажмите кнопку Attachment Security (Другой), в окошке выберите High.
Шаг 4: включите показ расширения. Многие вирусы могут иметь расширение .vbs (Visual Basic Script) или даже двойное - как в AnnaKournikova.jpg.vbs. По умолчанию Windows не показывает их, а вы по незнанию можете открыть вредоносный файл.
Решение: включите показ полного имени в Windows Explorer (Проводник), открыв Tools.Folder Options (Сервис.Свойства папки). Нажмите View (Вид) и установите флажок Show all files (Показывать все файлы) в Windows 9x или Show hidden files and folders (Показывать скрытые файлы и папки) в Windows 2000 и Me. Некоторые расширения видны только после настройки Реестра, их можно просмотреть, установив бесплатную утилиту Extension Manager. До того как вы откроете какое-либо вложение, щелкните правой кнопкой мыши на сообщении и выберите View Attachments. Если у файла двойное расширение, это не сулит ничего хорошего, а если вложение имеет расширение .bat, .com, .exe, .lnk или .pif , то это исполняемый файл, который может атаковать вашу систему.
Шаг 5: установите заплатки. В операционных системах, браузерах, антивирусах и других приложениях постоянно обнаруживаются новые ошибки. Не оставляйте входную дверь в ПК открытой: установите заплатки от производителей.
Исправления самых известных ошибок
Злоумышленники зачастую бывают ленивы: вместо того чтобы искать новые ошибки, они предпочитают использовать уже открытые лазейки. Познакомьтесь с самыми известными дырами, для которых созданы заплатки. Если вы все же не хотите устанавливать все исправления (как-никак заплатки - те же программы, и они, в свою очередь, могут содержать новые ошибки взамен старых), то полезно хотя бы узнавать о существовании дыр.
Операционные системы
- Windows 95. Если у вас старая версия Windows 95, то установите Service Pack 1. Вы не знаете, какая версия ОС установлена на вашем ПК? Откройте Start.Settings.Control Panel.System (Пуск.Настройка.Панель управления.Система). Если версия выше, чем 4.00.950, то эту заплатку можно не ставить.
- Windows 98. Пользователям Windows 98 рекомендуется инсталлировать пакет обновлений. Тем же, у кого стоит версия Second Edition, он не нужен, но пригодится пакет важных обновлений (critical updates package).
- Windows Millennium Edition. Для Windows Me пока не выпущено пакетов обновлений, но Microsoft предлагает заплатки для Internet Explorer и Outlook Express (см. ниже).
- Windows 2000 Professional. Установите Service Pack 2 для Windows 2000. Этот пакет размером 20 Мбайт может потребовать до 710 Мбайт на жестком диске, но большая часть этого пространства освободится после инсталляции.
- От Windows 95 до Windows 2000. Программа Microsoft Java Virtual Machine позволяет IE использовать <надежные> аплеты Java и ActiveX, однако в них имеется ошибка, из-за которой хакеры смогут запустить зловредный код на вашем ПК. Ищите заплатку.
Почтовые клиенты
Outlook от 97-й версии до 2000-й и Outlook Express от версии 4.0 до 5.01. Ошибка в технологии виртуальных визитных карточек (VCard), автоматически загружаемых в адресную книгу Outlook и Outlook Express, дает возможность переслать на ваш ПК опасный код. Помимо этой бомбы, вы запросто можете получить письмо, из-за которого отформатируется ваш жесткий диск.
На эти дыры в почтовых программах уже созданы заплатки.
Браузеры и офисные программы
- Internet Explorer 5.5 и Netscape 6. Новая функция Print Templates (шаблоны печати) в IE, а также Netscape SmartDownload 1.3 содержат ошибки, полностью открывающие хакерам доступ к вашему ПК. Соответствующие заплатки есть в Интернете.
- Microsoft Office. Ошибка в PowerPoint 2000 позволит злоумышленникам отформатировать ваш жесткий диск. Заплатка остановит атаку через элементы управления ActiveX в Office 2000. Еще одна заплатка исправит ошибку в работе макросов Word 97, 2000 и 2002 для Windows.
Модернизация или вирус?
Группа хакеров недавно обнаружила ошибку в программе LiveUpdate 1.4 и 1.5 компании Symantec. Злоумышленники могут послать вам вредоносный файл под видом обновления, поэтому соблюдайте осторожность и пользуйтесь только версией 1.6 LiveUpdate.
Плохие новости от корпорации Microsoft
Хочется ли вам, чтобы служащие Microsoft увидели конфиденциальные финансовые документы вашей компании? Между тем это вполне реально, если вы пользуетесь Windows XP или Office XP. В том случае, когда какое-либо офисное приложение или программа, работающая под управлением Windows XP, зависает, появляется диалоговое окно с вопросом о вашем согласии послать сообщение о сбое в Microsoft. Если вы выберете Send Error Report (послать отчет об ошибках), то в компанию может уйти часть файла или Web-страницы, с которой вы работали. Microsoft кратко предупреждает, какого типа данные могут уйти в процессе сбора информации о проблеме. Если вам хочется узнать, что именно увидят в компании, нажмите соответствующую кнопку.
Чтобы защитить ваши личные файлы от путешествия в Редмонд (город, где находится центр Microsoft), вы можете сделать одно из двух: выбирать Don't Send всегда, когда появляется соответствующее диалоговое окно, или оставить без заполнения некоторые графы при регистрации Windows.
Следующая проблема Microsoft, относящаяся к безопасности, затрагивает Excel и PowerPoint, а еще одна найдена в Internet Explorer. Обнаруженные Петером Ферри (Peter Ferrie) из компании Symantec Security Response дыры в Excel и PowerPoint связаны с работой макросов. Запустив <уродливый> макрос, вы позволяете злоумышленникам делать что угодно с вашим компьютером, поскольку оставляете свой файл открытым. Чтобы ваш ПК не подвергся атаке хакеров, скопируйте заплатки с сайта, посвященного безопасности.
Новые дыры в IE могут позволить кому-либо обмануть браузер, если вы установили низкий уровень безопасности. Зная причуды IE 5.01 или 5.5, хакеры могут создать URL или ссылку, которая запутает ваш браузер.
В IE есть отдельные установки для локальных сетей, и многие компании назначают низкие уровни безопасности для внутреннего общения. Если ваш браузер настроен для путешествия по домашней сети, а вы выходите в Интернет, не повысив уровень безопасности, можете ждать на своем ПК незваных гостей.
|