Ошибки в реализации защиты в распространенных коммерческих программных продуктах фирмы Microsoft

Что касается разделяемых сетевых ресурсов, то фильтрации подвергается только входящий доступ к разделяемому ресурсу, а запрос доступа на компьютере, с которого он осуществляется, фильтрации не подлежит. Это принципиально, т.к. не могут подлежать фильтрации приложения, которыми пользователь осуществляет доступ к разделяемым ре-

сурсам. Благодаря этому, очень распространенными являются атаки на протокол NETBIOS.

Кроме того, в полном объеме (в части фильтрации только входящего трафика)управлять доступом к разделяемым ресурсам возможно только при установленной на всей компьютерах ЛВС файловой системы NTFS. В противном случае невозможно запретить запуск несанкционированной программы с удаленного компьютера, то есть обеспечить замкнутость программной среды в этой части.

Отдельно  рассмотрим Windows 7. Обратимся к новостям, датированным ноябрем 2009г.

«Хакеры нашли вариант полного обхода механизма Windows Activation Technologies (WAT) без манипуляций с BIOS'ом и вообще без использования ключа активации.

Механизм активации Windows 7 был взломан ещё до официального выхода этой ОС. Однако, предложенный метод требовал изменений в BIOS, что является весьма нетривиальной задачей.

Сейчас хакеры нашли вариант  полного обхода механизма Windows Activation Technologies (WAT) без манипуляций с BIOS'ом и вообще без использования ключа активации.

С помощью этого метода блокируется работа модулей SPP (Software Protection Platform) и SLC (Software Licensing Client). И хотя 30-дневный счётчик периода активации может продолжать видимость работы, он уже не инициирует никаких действий. Для блокировки используются следующие команды:

takeown /F %WINDIR%\System32\sppcomapi.dll

icacls %WINDIR%\System32\sppcomapi.dll /deny *S-1-1-0:F

Здесь sppcomapi.dll — библиотека, с помощью которой контролируется основная часть функций SPP. Данным метод  можно применять для операционных систем Windows 7 и Windows Server 2008 R2. 

С целью автоматизации  процесса блокировки активации хакеры создали программы RemoveWAT и Chew-WGA.

По заявлению представителей Microsoft, они в курсе проблемы и уже занимаются ее решением. В Microsoft также подчеркнули важность использования лицензионного ПО.»

В системах, которые используем мы сейчас, по умолчанию защита включена только на системном разделе, что является оптимальным выбором для большинства компьютеров. Для каждого раздела диска с файловой системой NTFS вы можете выполнить индивидуальную настройку, возможности которой существенно расширены в сравнении с Windows Vista. Для этого выберите нужный раздел в списке и нажмите кнопку Настроить. В появившемся окне вы можете указать для выбранного раздела один из трех вариантов работы защиты системы.

• Восстановить параметры системы и предыдущие версии файлов. Этот вариант рекомендуется  для системного раздела, и без  крайней необходимости изменять его не следует. Для несистемных  разделов имеет смысл использовать данный вариант, если вы применяете эти  разделы для установки приложений.

• Восстановить только предыдущие версии файлов. Если для хранения ваших документов используется отдельный раздел диска, вы можете использовать для него данный вариант, чтобы иметь  возможность восстановить файлы  после неосторожного изменения или удаления.

• Отключить  защиту системы. Данный вариант рекомендуется  для дисков с архивами, фильмами или файлами, которые не изменяются или не имеют для вас особой ценности.

Внимание!

При отключении защиты системы будут  удалены все ранее созданные  точки восстановления, а повторное  включение не приведет к их появлению.

Для каждого  раздела вы можете задать максимальный размер диска, который может быть использован для создания точек  восстановления, с помощью регулятора в нижней части окна. По умолчанию  используется 3 % емкости диска для  разделов объемом меньше 64 Гбайт  и 5 % – для больших разделов. При  превышении установленного лимита дискового  пространства самые давние точки  восстановления будут автоматически  удаляться, а минимальный объем  свободного места для создания точки  восстановления составляет 300 Мбайт.

Также, Windows 7 допускает расшифровку файлов с использованием сертификата. Созданный сертификат позволит расшифровать файлы с использованием другой учетной записи или другого компьютера. Им может воспользоваться и злоумышленник, поэтому копию сертификата следует хранить в надежном месте и защищать паролем, который трудно подобрать. Чтобы воспользоваться сохраненным сертификатом для расшифровки данных, сделайте следующее.

1. Откройте  с помощью Проводника папку,  в которой находится сертификат, щелкните на его значке правой  кнопкой мыши и выберите в  контекстном меню пункт Установить PFX.

2. Следуйте  указаниям Мастера импорта сертификатов. Обычно в окнах мастера не  нужно вводить дополнительные  параметры, требуется лишь указать  пароль, с использованием которого  был зашифрован сертификат.

3. После успешного  импорта вы сможете открыть  зашифрованные файлы обычным  способом или отключить для  них атрибут шифрования.

Если при  наличии сертификата вы не можете открыть зашифрованный файл, то, возможно, у вас нет прав доступа  к этому файлу на уровне разрешений NTFS. В таком случае следует установить необходимые разрешения с помощью  вкладки Безопасность окна свойств  данного файла.

Кроме того, еще одной проблемой можно  считать доступ к файлам в системных папках компьютера. Так, например, чтобы изменить какой-либо файл без прав администратора, достаточно скопировать его в любую другую директорию, изменить, сохранить и вернуть обратно.

Технология  взлома сейчас занимает особый уровень, о чем свидетельствуют т.н. соревнования в этой области. В ходе конкурса Pwn2Own на выставке CanSecWest несколько исследователей безопасности (или попросту хакеры) показали, что им по плечу взломать iPhone, Safari на Snow Leopard и Internet Explorer 8 с Firefox на Windows 7. В то же время хакеры даже не попытались взломать Google Chrome.  
Первым победителем конкурса стал некий Чарли Миллер (Charlie Miller) – аналитик компании Independent Security Evaluators. За взлом Safari на MacBook Pro без физического доступа к машине он получил $10000. Правда, подробности своего взлома он называть отказался, заявив лишь, что компьютер был взломан с помощью веб-сайта с вредоносным кодом. Кстати, в прошлом году Миллер получил $5000 за взлом Safari, а в позапрошлом $10000 за взлом MacBook Air.

Следующим победителем стал Петер Врёгденил (Peter Vreugdenhil) – независимый нидерландский исследователь, которому удалось осуществить довольно сложную четырехэтапную атаку с обходом защит ASLR и DEP, в результате которой он взломал IE 8 на Windows 7. Взлом опять же был осуществлен через вредоносный веб-сайт. За свои двухнедельные ушедшие на взлом старания хакер получил $10000. 

Третьим победиnелем стал некий Nils, являющийся главой английской компании MWR InfoSecurity и одновременно студентом германского Ольденбургского университета. Свою фамилию хакер называть отказался, что, впрочем, не помешало ему успешно взломать Firefox 3 на 64-битной Windows 7. В доказательство своего взлома он запустил на компьютере жертвы калькулятор, хотя, по его же словам, мог бы запустить любой процесс. Для своего взлома хакер также обошел DEP и ASLR и использовал уязвимость повреждения памяти. Причем на написание эксплоита у него ушло всего несколько дней, за которые он также получил $10000. Кстати, в прошлом году за взлом IE 8, Safari и Firefox хакер получил $15000.  
И, наконец, некие Ральф-Филип Вайнман (Ralf-Philipp Weinmann) из Университета Люксембурга и Винченцо Иоццо (Vincenzo Iozzo) из германской компании Zynamics взломали iPhone. Свой взлом хакеры провели на полностью пропатченном iPhone 3GS с firmware 3.1.3. Взлом был осуществлен опять же через браузер смартфона и вредоносный веб-сайт, хотя подробности его пока не разглашаются. Тем не менее, в результате своих действий хакеры смогли стянуть с мобильника всю базу SMS-сообщений, включая и те сообщения, которые уже были удалены. В тоже время хакеры заявили, что также могут стянуть список контактов, фотографии и файлы iTunes. За свою двухнедельную работу они разделили призовые $15000.  
В заключение, хочется отметить, что помимо денежных призов хакеры получили в качестве награды и взломанные собой ноутбуки. В тоже время представители Microsoft, чью защиту в виде ASLR и DEP удалось обойти дважды, заявили, что они исследуют проблемы и пока не знают о подобных атаках. Появление же более подробной информации о взломах, как сообщается, должно произойти после выхода соответствующих исправлений программного обеспечения.

Напоследок  отметим еще одну из ошибок. В программных платформах Microsoft Windows последних версий обнаружена опасная уязвимость, «заплатки» для которой в настоящее время не существует.

Проблема  связана с реализацией графической  подсистемы: ошибка выявлена в драйвере Windows Canonical Display (cdd.dll). «Дыра» замечена в 64-битных версиях Windows 7 и Windows Server 2008 R2, а также в платформе Windows Server 2008 R2 для серверов на основе процессоров Intel Itanium.

Уязвимость  позволяет злоумышленникам спровоцировать зависание и аварийное завершение работы операционной системы. Теоретически также возможно удалённое выполнение произвольного программного кода, однако, по мнению экспертов, в силу ряда сложностей такой тип атак маловероятен. Для организации нападения необходимо вынудить жертву открыть сформированное специальным образом изображение или посетить вредоносный веб-сайт.

«Майкрософт»  знает о проблеме и занимается поиском её решения. Чтобы оградить себя от возможных атак, нужно отключить  интерфейс Windows Aero

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

 

1. Курс методы и средства защиты информации (studfiles.ru)

2. Лекции по защите информации  Уфимского Государственного Авиационного Технического Университета 2009г.

3. Дж. Л. Месси. Введение в современную криптологию.

4. http://www.win7help.ru

5. http://www.securitylab.ru/news/387793.php

6. http://bethehacker.net/2010/05/23/v-windows-7-i-windows-server-2008-najdena-opasnaya-dyra/