|
|
|
Alarm dla Windows
Niebezpieczne obiekty
Trojany w identyfikatorach
Trojany w bibliotekach
Rozszerzenia kryjówką programów
Niebezpieczny paker
Błędne założenia?
Globalne udostępnienia
Rozgadany protokół
Sam w Internecie?
Ryzykowne udostępnianie
Obiekty OLE w Excelu
Co tkwi w dokumentach Worda?
Obce makra
Certyfikowane makra
Zainfekowane wizytówki
Alarm dla WindowsLuki w zabezpieczeniach systemu operacyjnego przypominają niedomknięte okno w piwnicy, które pozostawione na noc wabi złodziejaszków. Poniższy materiał pomoże Ci zaklajstrować nieszczelne zakamarki systemu i zabezpieczyć się przed atakami z cyberprzestrzeni.
Użytkownicy Windows prowadzą niebezpieczne życie. Tysiące wirusów, koni trojańskich, robaków, pluskiew i innych stworów cyfrowej fauny tylko czekają, aby zaatakować system i uderzyć w jego znane niedoskonałości. Podobnie było za czasów MS-DOS - z tą różnicą, że wówczas światek cyfrowych szkodników był znacznie skromniejszy, a dziś prawie każdy pecet jest podwieszony do światowej pajęczyny - Internetu.
Nowe ryzyko. Dziś już nie trzeba podrzucać dyskietki z wirusem. Nowoczesne oprogramowanie łącznie z systemami operacyjnymi obsługuje języki skryptowe. Daje to więcej możliwości - również potencjalnym napastnikom. Dlatego nie wystarczy nieufność wobec plików BAT, COM i EXE. Złożoność oprogramowania i wynikająca z tego liczba błędów programistycznych otwiera drzwi i Windows złym, znudzonym komputerowcom. W najgorszym przypadku wystarczy wpisać w przeglądarce internetowej odpowiedni adres URL, aby pożegnać się ze swoim systemem. Jednak wiele luk staje się niebezpiecznych z powodu nieuwagi użytkownika. Proste zabiegi pozwalają zminimalizować, a nawet wyeliminować podstawowe ryzyko. Po przeczytaniu i zrealizowaniu poniższych porad możesz się czuć znacznie spokojniej. Twój system będzie miał znacznie mniej słabostek, na które liczy internetowy wróg, nieprzychylny współużytkownik czy człowiek z konkurencji.
Niebezpieczne obiektyCharakterystyka luki. Pliki typu "obiekt wycinek" (pod taką nazwą figurują w zestawieniu typu plików Windows, mają rozszerzenie SHS) służą zazwyczaj do zapisywania na dysku fragmentów dokumentów tworzonych przez aplikacje Office'a. Jednak oprócz przydatnej funkcji zbiory te mogą ukrywać nader szkodliwe obiekty. W rachubę wchodzą praktycznie wszystkie destrukcyjne polecenia korzystające z lokalnych aplikacji środowisk DOS i Windows. Na domiar złego kliknięte obiekty są uruchamiane bez prośby o potwierdzenie.
Przyczyna. W ciągu ostatnich lat system Windows i pakiet Office były ciągle udoskonalane i zaopatrywane w coraz więcej funkcji. Jednak przeoczono, że dwie średnio niebezpieczne funkcje w połączeniu stanowią ogromne ryzyko.
Pakiety OLE. Pakowarka obiektów PACKAGER.EXE, która znajduje się w każdym systemie Windows, pozwala umieszczać polecenia DOS-u i Windows z dowolnymi parametrami w pakietach OLE (Object Linking and Embedding, łączenie i osadzanie obiektów). Dzięki temu możesz na przykład wstawić do dokumentu Worda ikonę sekwencji wideo (klip zostanie odtworzony po dwukrotnym kliknięciu ikony). Pakiety tego typu można ozdabiać dowolnymi ikonami. Za pośrednictwem menu Edycja | Kopiuj pakiet w pakowarce pakiet OLE trafi do Schowka. Stąd może być importowany do dowolnej aplikacji systemu Windows obsługującej standard OLE. Do aplikacji tego typu należą na przykład składniki pakietu Office, a także wiele programów narzędziowych (na przykład WordPad). Już powyższy stan rzeczy to poważne ryzyko. Gdy użytkownik znajdzie w otrzymanym dokumencie pakiet OLE rzekomo wskazujący, załóżmy, na klip wideo, może go spotkać przykra niespodzianka. Zamiast sekwencji wideo (lub innego typu plików) za obiektem może się ukrywać na przykład polecenie deltree /y c:\windows. Przywołanie takiego obiektu bywa opłakane w skutkach (na przykład powyższe polecenie usuwa całą zawartość katalogu \Windows). Wprawdzie system Windows 2000 prosi o potwierdzenie uruchomienia obiektu OLE, lecz większość narzędzi, na przykład WordPad, tego nie robi.
Pliki-wycinki. Pakiety OLE stają się bardziej niebezpieczne, gdy są zamaskowane jako pliki-wycinki (patrz wyżej). Rzekome fragmenty dokumentów tekstowych można tworzyć, zaznaczając pakiet OLE i przemieszczając go metodą przeciągnij i upuść do dowolnego folderu lub na pulpit. Nieświadomy niebezpieczeństwa użytkownik klika dwukrotnie ikonę takiego pliku, a system operacyjny uruchamia pakiet OLE bez prośby o potwierdzenie. W najgorszym wypadku może to być ostatnia czynność, którą system wykona. W dodatku fałszywe pliki SHS możesz otrzymywać jako załączniki w wiadomościach mailowych.
Środki zaradcze. Jeśli nie jesteś pewien pochodzenia pliku SHS, pod żadnym pozorem nie przywołuj go dwukrotnym kliknięciem. Aby się upewnić, że rzeczywiście stanowi fragment pliku tekstowego, przemieść go i upuść w aplikacji pakietu Office. Jeżeli zobaczysz tekst, plik-wycinek nie jest zakamuflowanym szkodnikiem. Jeśli jednak zobaczysz ikonę obiektu, plik SHS jest bardzo podejrzany. Aby zidentyfikować obiekt, kliknij ikonę prawym przyciskiem i wskaż polecenie Obiekt: Pakiet | Edytuj pakiet.
Choć trojany w plikach-wycinkach są blokowane po pierwszym uruchomieniu, to i tak mogą zniszczyć zasoby na twardym dysku. Podstawą takiego działania systemu jest fakt, że nie znajduje serwera OLE odpowiedzialnego za dany pakiet (zamaskowany jako plik SHS). W tej sytuacji Pakowarka obiektów nie udostępnia przywołanego pakietu aż do momentu ponownego zrestartowania systemu.
Trojany w identyfikatorach
) |
| Aby nie udostępniać zasobów dyskowych w Internecie, wyłącz powiązanie karty Dial-Up z udostępnieniem plików. |
Charakterystyka luki. Większość użytkowników zdaje sobie sprawę, jak niebezpieczne może być uruchomienie plików wykonywalnych BAT, COM i EXE. Nigdy nie ma gwarancji, że zawierają tylko funkcje, których się spodziewasz. Mogą skrywać mechanizmy destrukcyjne dla Twojego systemu. Tymczasem nie zawsze można jednoznacznie zidentyfikować tożsamość pliku wykonywalnego. Za przykład służy problem odkryty przez Georgija Guninskiego (www.guninski.com). Gdy zmienisz nazwę pliku - na przykład TEST.TXT - dołączając do dotychczasowej identyfikator klasy (nazwa docelowa może mieć postać TEST.TXT.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}), Eksplorator nie będzie wyświetlać dodanego rozszerzenia. Poprzez zmianę nazwy z niewykonywalnego pliku tekstowego powstał plik HTA (Hypertext Application), który można uruchamiać dwukrotnym kliknięciem. W ten sposób potencjalny napastnik może wprowadzić do obcego komputera i wykonać dowolną treść kodu (również treści szkodliwe). Problem ten dotyczy wszystkich wersji systemu Windows z zainstalowanym Internet Explorerem.
Przyczyna. Windows stosuje identyfikatory klas do oznaczania wielu obiektów systemowych - na przykład Panelu sterowania, Kosza czy folderu czcionek (Fonts). Doczepiony identyfikator klasy sprawia, że użytkownik nie widzi w oknie Eksploratora prawdziwej tożsamości danego obiektu. Zależnie od zastosowania identyfikator klasy wyposaża obiekt w dodatkowe funkcje, które można przywoływać m.in. poprzez menu podręczne. W ten sposób da się przemianować na Kosz każdy folder, dołączając do jego nazwy po kropce identyfikator {645FF040-5081-101B-9F0800AA002F954E}. Wówczas zawartość folderu pozostanie w ukryciu, dopóki nie klikniesz dwukrotnie ikony symbolizującej Kosz. Jest oczywiste, że nie można wyrządzić w ten sposób żadnej szkody. Jednak stosując identyfikator {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} i zmieniając plik tekstowy w wykonywalny zbiór HTA, można wykorzystać tę słabą stronę systemu Windows do złych celów. Pliki HTA to pliki HTML, które mogą zawierać kod skryptów. Nie są wyświetlane i uruchamiane przez Internet Explorer, lecz przez oddzielny interpreter MSHTA.EXE. W odróżnieniu od Internet Explorera interpreter ten nie ostrzega przed wykonywaniem treści skryptu. Zatem szkodliwy kod może w spokoju siać zniszczenie w systemie - gdy nieświadomy zagrożenia użytkownik zauważy, że coś jest nie w porządku, będzie już za późno.
Środki zaradcze. Jedyny sposób ochrony przed opisanym zagrożeniem polega na dokładnym przeglądaniu plików w Eksploratorze przed ich otwarciem. Jeśli nie zmieniłeś domyślnego przyporządkowania typu, pliki TXT są opatrzone ikoną Notatnika, a w wierszu Typ: znajduje się napis "Dokument tekstowy" (patrz okno właściwości). Plik zmieniony w opisany powyżej sposób nie ma odpowiedniej ikony (zamiast domyślnej jest ikona ze znakiem Windows), a w wierszu Typ: pojawia się napis "HTML Application".
Trojany w bibliotekachCharakterystyka luki. Dwukrotne kliknięcie pliku Office'a w oknie Eksploratora może mieć większe następstwa, niż Ci się wydaje. Największe niebezpieczeństwo grozi podczas korzystania z plików umieszczonych w dostępnych dla wszystkich, współdzielonych napędach firmowej sieci, jeśli znajdują się tu również określone biblioteki DLL. Gdy użytkownik otwiera dokument Office'a dwukrotnym kliknięciem z poziomu okna Eksploratora, system najpierw przywołuje kod zapisany w tych bibliotekach DLL, a dopiero później wczytuje żądany dokument. Możesz w ten sposób zainfekować swój system wirusem lub trojanem.
Przyczyna. Wspomniana luka w zabezpieczeniach polega na tym, że podczas otwierania dokumentu z poziomu Eksploratora system Windows sprawdza folder bieżący (czyli zawierający dokument) pod kątem obecności wymaganych bibliotek. Zamiast tego powinien szukać bibliotek w folderze systemowym (na przykład \Windows\System). Jeśli w folderze obok dokumentu jest zapisana biblioteka RICHED20.DLL lub MSI.DLL, Windows automatycznie uaktywni kod funkcji DllMain() umieszczonej wewnątrz tej biblioteki. Za pośrednictwem tej funkcji można przenieść do systemu wirusa lub zainicjować operacje niszczące zasoby na dysku. Według aktualnego stanu wiedzy, przedstawiony błąd dotyczy systemów Windows 95/98 i 2000 w połączeniu z pakietem Office 97 lub 2000. Demonstrację destrukcyjnego wykorzystywania bibliotek DLL znajdziesz pod adresem www.guninski.com/officedll.html.
Środki zaradcze. Na razie brakuje łaty usuwającej opisany problem. Możesz się jednak zabezpieczać, nie otwierając plików z poziomu Eksploratora, lecz przez menu Plik | Otwórz. Ponadto nie zaszkodzi zdrowa doza nieufności wobec katalogów, które oprócz danych zawierają biblioteki DLL.
Rozszerzenia kryjówką programów
) |
| Eksplorator nie wyświetla identyfikatorów klas, które dodane do nazwy pliku pozwalają zmienić jego typ i umieścić w nim niebezpieczną zawartość. |
Charakterystyka luki. Większość szkodników usiłuje się dostać do obcych pecetów za pośrednictwem plików wykonywalnych. Największą siłę niszczenia zyskują, gdy użytkownik nie rozpoznaje na pierwszy rzut oka typu pliku. Przykładowo plik VBS z niebezpiecznym skryptem można łatwo pomylić ze zwyczajnym, nieszkodliwym plikiem tekstowym. Taki sposób maskowania wykorzystał na przykład robak o nazwie Loveletter (Love-Letter-For-You.TXT.VBS), którego prawdziwe rozszerzenie VBS nie było widoczne w wielu komputerach.
Przyczyna. Maskowanie niebezpiecznych plików w systemie Windows jest możliwe dzięki domyślnej opcji Eksploratora polegającej na zablokowaniu wyświetlania rozszerzeń nazwy w znanych typach plików. Z założenia opcja ta miała ułatwić początkującym obsługę Windows. Tymczasem zamiast nazwy Love-Letter-For-You.TXT.VBS użytkownik widzi Love-Letter-For-You.TXT. Eksplorator pokazuje ikonę właściwą skryptom VBS i podaje Plik skryptu VBScript w polu Typ. Inne programy, na przykład Outlook Express, nie oferują opisu typu pliku, lecz wyświetlają właściwą ikonę. Mimo to - jak wykazała praktyka - liczni użytkownicy przeoczyli ikonę i dali się złapać na prosty trik. Otwierając skrypt zamaskowany jako plik tekstowy, zainfekowali komputery wirusem.
Nawet gdy włączysz wyświetlanie rozszerzeń plików w Eksploratorze, powinieneś zachować szczególną ostrożność. W domyślnym widoku (menu Widok | Duże ikony) Eksplorator zachowuje się dość dziwnie. Wprawdzie nazwa plików może mieć maksymalnie aż 204 znaki, lecz w tym widoku Eksplorator wyświetla tylko pierwszych 18 znaków. Całą nazwę ujrzysz dopiero po zaznaczeniu ikony. Gdy zmienisz nazwę dowolnego skryptu VBS na przykład na TEST.TXT, a potem wpiszesz przykładowo 53 spacje i .VBS, Eksplorator będzie wyświetlać jako nazwę pliku tylko TEST.TXT. Liczba spacji wymaganych do zamaskowania rozszerzenia pliku zależy od rozdzielczości ekranu. W spreparowanym w ten sposób pliku rzuca się w oczy jedynie niewłaściwa ikona, wyrównanie do lewej (mimo krótkiej nazwy pliku) i trzy kropki, które niekiedy pojawiają się w opisie nazwy. Prawdziwe rozszerzenie zostaje wyświetlone dopiero wtedy, gdy wybierzesz polecenie Zmień nazwę z menu podręcznego.
Środki zaradcze. Aby rozpoznawać niebezpieczne pliki po ich rozszerzeniach, uaktywnij wyświetlanie wszystkich rozszerzeń w Eksploratorze. W systemach Windows 95/98, NT 4 i 2000 przywołaj menu Widok | Opcje folderów, wskaż kartę Widok i usuń zaznaczenie pola wyboru Ukrywaj rozszerzenia plików znanych typów. Nie pomoże to jednak w wypadku sztuczki z przedłużaniem nazwy pliku (patrz wyżej), dlatego warto włączyć w Eksploratorze widok szczegółów. Kliknij w tym celu menu Widok | Szczegóły. W Windows 95/98, NT 4 lub 2000 wybierz menu Widok | Opcje folderów. Wskaż kartę Widok, po czym usuń zaznaczenie pola wyboru Zapamiętuj ustawienia wyświetlania każdego folderu. Teraz kliknij przycisk Takie jak bieżący folder. Od tej pory wszystkie foldery będą wyświetlane w widoku szczegółów. Zbyt długa nazwa pliku zostanie zasygnalizowana trzema kropkami. A jeśli chcesz za każdym razem widzieć pełną nazwę, zamiast widoku szczegółów wybierz widok listy (menu Widok | Lista).
Niebezpieczny pakerCharakterystyka luki. Windows Me, a także pakiet Plus! do Windows 98 oferują funkcję kompresowania plików i folderów w formacie ZIP. Użytkownik ma do dyspozycji zabezpieczenie hasłem, jednak nieskuteczne.
Przyczyna. Podczas szyfrowania kompresowanego folderu Windows automatycznie zakłada plik DYNAZIP.LOG, umieszczając go w katalogu \Windows. Oprócz takich informacji jak data i czas zbiór ten zawiera listę kompresowanych plików, a nawet hasło podane przez użytkownika. Hasło, które powinno być zatajone, jest dostępne dla każdego w jawnej postaci - znajduje się w wierszu lpszEncryptCode. Dysponując taką informacją i dostępem do komputera, napastnik może otwierać zabezpieczone archiwa i dekompresować dowolne pliki.
Więcej informacji na ten temat znajdziesz pod adresem www.microsoft.com/technet/security/bulletin/MS01-019.asp. Na szczególną uwagę zasługuje informacja, że opcja hasła nie ma służyć jako zabezpieczenie, lecz jedynie zapewnić kompatybilność z programami innych producentów.
Metoda kompresji i szyfrowania danych użyta przez Microsoft jest identyczna z tą, którą zastosowano w popularnych programach pakujących (na przykład WinZip czy PkZip). Zatem możesz otwierać i rozszyfrowywać foldery skompresowane w Windows również za pomocą zewnętrznych archiwizatorów. Jedyna dotychczas znana metoda łamania szyfru stosowanego w formacie ZIP polega na sekwencyjnym podstawianiu wszystkich możliwych kombinacji znaków w obrębie klucza (jest to tzw. metoda brute force). Więc ten, kto respektuje powszechnie znane zasady nadawania haseł (hasło powinno się składać co najmniej z siedmiu znaków oraz zawierać małe i wielkie litery, a także cyfry i znaki specjalne), może liczyć na skuteczne zabezpieczenie swoich zasobów. Złamanie dobrze dobranego hasła trwałoby zbyt długo. Oznacza to, że mechanizm szyfrujący oferuje duży stopień bezpieczeństwa. Jedyną drogę do danych otwiera jawna postać hasła prezentowana w pliku DYNAZIP.LOG.
Środki zaradcze. Pod adresem http://www.microsoft.com/technet/security/bulletin/MS01-019.asp Microsoft udostępnia łatkę, która pozwala usunąć wspomnianą lukę. Angielskojęzyczna wersja powoduje zmianę języka we wszystkich oknach dialogowych i menu podręcznych związanych z funkcją kompresji. Po zainstalowaniu łatki powinieneś usunąć z dysku plik DYNAZIP.LOG, aby pozbyć się zapisanych w nim haseł.
Błędne założenia?
) |
| Eksplorator ukrywa domyślnie rozszerzenia znanych typów, dzięki czemu można zamaskować szkodliwy skrypt jako plik tekstowy. |
Charakterystyka luki. Edytor założeń systemowych POLEDIT.EXE pozwala konfigurować Windows w taki sposób, aby współużytkownicy mieli ograniczony dostęp do systemu. Przykładowo można uniemożliwić modyfikowanie określonych ustawień lub zabronić uruchamiania określonych aplikacji. Jednak system pomocy oferuje odnośniki prowadzące bezpośrednio do opcji, które - według założeń - powinny być zablokowane.
Przyczyna. Z założenia systemy Windows 95/98/Me nie oferują skutecznych mechanizmów zabezpieczających. Jeśli ktoś ma zamiar zmienić konfigurację systemu, może to zrobić nawet bez odpowiednich uprawnień. Edytor założeń systemowych pozwala ukrywać określone opcje lub generować komunikat alarmowy podczas próby modyfikowania ustawień. Jednak gdy zaawansowany użytkownik uzyska dostęp do komputera z systemem Windows 95/98/Me, te środki zapobiegawcze bardzo szybko okazują się zabiegiem czysto kosmetycznym. Dokonując odpowiednich zmian w Rejestrze, można bowiem się dostać do wszystkich opcji konfiguracyjnych systemu. Nawet zablokowanie Edytora Rejestru nie zda się na wiele - edycja Rejestru jest w dalszym ciągu możliwa z poziomu trybu MS-DOS. Wprawdzie wymaga to obszerniejszej wiedzy i większego nakładu pracy, lecz nie trzeba pokonywać dodatkowych zabezpieczeń.
Możliwość dostania się do ukrytych opcji systemu za pośrednictwem pomocy to tylko jeden aspekt problemu. Jest to możliwe również za pośrednictwem innych narzędzi do konfigurowania i "podkręcania" systemu.
Środki zaradcze. Zasadniczo nie licz na to, że uda Ci się uzyskać skuteczne zabezpieczenie w Windows 95/98/Me. Jeśli rzeczywiście zależy Ci na ograniczaniu praw dostępu współużytkowników, w rachubę wchodzą inne systemy operacyjne, na przykład Windows NT 4 czy 2000. W tych środowiskach zdefiniujesz uprawnienia poszczególnych użytkowników tak, aby nie ignorowali Twoich postanowień.
Jednak zablokowanie systemu pomocy, który "pomaga" w przechytrzeniu administratora Windows, jest możliwe. Wprawdzie nie zabezpiecza to przed złośliwymi, wyrafinowanymi atakami, lecz przynajmniej wyklucza przypadkowe odnalezienie luki w zabezpieczeniach. W Windows 95/98 użyj w tym celu Edytora założeń systemowych POLEDIT.EXE. Zainstaluj go, klikając dwukrotnie ikonę Dodaj/Usuń programy w Panelu sterowania. Wskaż kartę Instalator systemu Windows i kliknij przycisk Z dysku. Włóż instalacyjny CD-ROM do napędu. Jeśli używasz Windows 98, podaj ścieżkę \TOOLS\RESKIT\NETADMIN\POLEDIT, poprzedzając ją literą napędu CD-ROM. W przypadku instalacyjnej płyty Windows 95, Edytor założeń znajduje się w katalogu \ADMIN\APPTOOLS\POLEDIT.
Uruchamiając system Windows, zaloguj się jako użytkownik, którego mają obowiązywać ograniczenia. Następnie przywołaj Edytor założeń systemowych. Wskaż w tym celu menu Start | Uruchom i wpisz poledit. Wybierz menu Plik | Otwórz Rejestr. Następnie kliknij dwukrotnie ikonę Użytkownik lokalny i ustal ograniczenia, które mają go obowiązywać. Aby umożliwić korzystanie tylko z wybranych aplikacji, rozwiń gałęzie System i Ograniczenia, po czym zaznacz pole wyboru Uruchom tylko dozwolone aplikacje Windows. Teraz kliknij przycisk Pokaż w wierszu Lista dozwolonych aplikacji. Umieść na liście żądane programy, jednak wyklucz pliki WINHELP.EXE, WINHLP32.EXE i HH.EXE. Użytkownik z okrojonymi w ten sposób uprawnieniami nie będzie mógł od tej pory przywoływać pomocy Windows, mimo że nazwa polecenia Pomoc będzie nadal figurować w menu Start.
W Windows Me bardzo łatwo przygotować dodatkowe zabezpieczenie, bo możesz usunąć pomoc z menu Start zwyczajnym zapisem w Rejestrze. Otwórz w tym celu Edytor Rejestru i przejdź do klucza "HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\Explorer". Korzystając z menu Edycja | Nowy | Wartość DWORD, utwórz nową wartość "NoSMHelp". Aby ukryć polecenie Pomoc, przypisz tej wartości cyfrę 1. Gdy zechcesz przywrócić polecenie Pomoc, przyporządkuj powyższej wartości cyfrę 0. Zmiana zostanie wprowadzona dopiero wraz z kolejnym uruchomieniem systemu.
Globalne udostępnienia
) |
| Szyfrując skompresowany folder, Windows zapisuje hasło w jawnej postaci w pliku DYNAZIP.LOG |
Charakterystyka luki. Jeżeli używasz systemu Windows 95 i udostępniłeś foldery innym użytkownikom w sieci lokalnej, musisz się liczyć z tym, że są dostępne (z prawami odczytu lub nawet zapisu) dla wszystkich w Internecie. Jest to dość stary błąd i został poprawiony wraz z wprowadzeniem Internet Explorera 4 i nowszych wersji systemu Windows. Przeprowadziliśmy krótki test z wykorzystaniem programu, który automatycznie poszukuje w Internecie udostępnień systemu Windows. Wyniki okazały się oszałamiające. Program odnalazł dużą liczbę niezabezpieczonych pecetów, których twarde dyski były otwarte na ataki z zewnątrz. Potencjalny napastnik mógł więc bez trudu przeglądać i (co gorsza) modyfikować zasoby zgromadzone na twardych dyskach w tych komputerach. Przyczyna jest banalna. Ten, kto pracuje w Windows 95, lecz stosuje inną przeglądarkę, nadal ma wielką lukę w systemie zabezpieczeń.
Przyczyna. Udostępnienia plików i drukarek w Windows 95 dotyczą wszystkich połączeń sieciowych. Jeśli w systemie jest zainstalowany moduł Dial-Up Networking, udostępnienie obejmuje także kartę Dial-Up, która w Windows 95 jest traktowana równoważnie z kartą sieciową. Mówiąc językiem informatyczno-sieciowym, udostępnienie plików i drukarek jest powiązane z kartą Dial-Up.
Gdy nawiążesz połączenie internetowe, teoretycznie każdy użytkownik w Internecie ma dostęp do udostępnionych drukarek i folderów. Na dodatek może modyfikować i usuwać dane zgromadzone lokalnie w komputerze, jeżeli udostępnienie obejmuje prawo zapisu (opcja Pełny w rubryce Typ dostępu).
Środki zaradcze. O rozwiązanie problemu zadbano w Internet Explorerze 4. Moduł nawiązujący połączenia internetowe wykrywa ewentualne powiązania udostępnień (drukarek i plików) z kartą Dial-Up i wyświetla ostrzeżenie podczas próby wejścia do Internetu. Jeśli klikniesz przycisk Tak, powiązanie zostanie zerwane. Tylko jeżeli się uprzesz, żeby pozostawić wszystko po staremu, i klikniesz przycisk Nie, pozostaniesz narażony na wspomniane niebezpieczeństwo. Przypuszczamy, że większość wykrytych w teście użytkowników nie zignorowała komunikatu z ostrzeżeniem. Korzystają z Windows 95, lecz bez Internet Explorera 4/5 - prawdopodobnie wolą inną przeglądarkę. Z tego względu nie mają zaktualizowanej wersji programu nawiązującego połączenia internetowe.
Jeśli zaliczasz się do tej grupy, powinieneś ręcznie usunąć powiązanie karty Dial-Up z udostępnieniami drukarek i plików. Kliknij w tym celu prawym przyciskiem ikonę Otoczenie sieciowe i wybierz polecenie Właściwości. Zaznacz na liście zainstalowanych składników sieci wiersz Protokół TCP/IP -> Karta Dial-Up, po czym kliknij przycisk Właściwości. Wskaż kartę Powiązania i usuń zaznaczenie pola wyboru Udostępnianie plików i drukarek w sieciach Microsoft Windows. Od ponownego uruchomienia systemu Windows udostępnienie nie będzie uaktywnione poprzez kartę Dial-Up (modem lub kartę ISDN).
Rozgadany protokół
) |
| Tylnymi drzwiami - poprzez system pomocy użytkownik może pozmieniać hasła, mimo iż opcja ta jest wyłączona z poziomu Edytora założeń. |
Charakterystyka luki. Pewna słabość protokołu NetBIOS daje potencjalnym napastnikom dostęp do wszystkich komputerów połączonych w sieci Microsoft Networks. Włamywacz nie musi zdobywać haseł i loginów poszczególnych użytkowników. Protokół NetBIOS zawarty we wszystkich wersjach Windows sam zdradzi cenne informacje nieproszonym gościom.
Przyczyna. NetBIOS (Network Basic Input/Output System) to wprowadzony około 10 lat temu standardowy protokół sieciowy Microsoftu. Zapewnia polecenia do obsługi dolnych warstw połączeń sieciowych. W tej pośredniej warstwie funkcję protokołu udostępnień drukarek i plików pełni tzw. SMB, czyli Server Message Block. SMB stanowi rdzeń usług sieciowych w sieciach Microsoft Networks. Gdy jeden z użytkowników chce skorzystać z udostępnionych zasobów, Windows nawiązuje połączenie na podstawie SMB.
Jednak zanim użytkownik będzie mógł jako klient skorzystać z udostępnionych zasobów, musi udowodnić, że jest do tego upoważniony. Podaje w tym celu swój login i hasło. Windows przesyła te informacje podczas każdego nawiązania połączenia poprzez NetBIOS, dlatego mogą być "podsłuchane" przez napastników. Atak polega na tym, że napastnik skłania pecet ofiary do nawiązania połączenia SMB z innym komputerem. Przykładowo użytkownik zaatakowanego peceta klika niepozorny link znajdujący się w witrynie internetowej lub mailu HTML. W ramach próby nawiązania połączenia NetBIOS zdradza login i hasło zalogowanego użytkownika. Program hakerski gromadzi dane logowania i wykorzystuje je potem do zaatakowania obcego komputera.
Hasła nie są przesyłane w postaci jawnej, lecz w formie sum bitowych. Do niedawna hakerzy musieli odszyfrowywać zebrane sumy bitowe za pomocą specjalnych pirackich deszyfratorów. Pod koniec marca 2001 roku furorę zrobił program Smbrelay hakerskiej braci Cult of the Dead Cow (patrz pr0n.newhackcity.net/~sd/smbrelay.html). W odróżnieniu od porównywalnych narzędzi pirackich Smbrelay nie tylko zapisuje przejęte informacje, lecz odszyfrowuje hasła i momentalnie nawiązuje połączenie z komputerem nieświadomej ofiary.
Środki zaradcze. Domowi użytkownicy mogą się zabezpieczyć przed atakami tego typu, wyłączając protokół NetBIOS. Z początku wydaje się to niemożliwe, ponieważ pole wyboru Chcę włączyć NetBIOS przez TCP/IP we właściwościach sieci Windows 95/98/Me jest zaznaczone, a szary kolor sygnalizuje, że nie można usunąć zaznaczenia. Skorzystaj z radykalnej metody i zamień nazwę pliku odpowiedzialnego za obsługę protokołu NetBIOS. Otwórz okno trybu MS-DOS, przejdź do katalogu %windir%\SYSTEM, po czym wpisz polecenie:
ren vnbt.386 vnbt.bak
W Windows 2000 istnieje prostsza metoda. Otwórz okno z ustawieniami połączeń sieciowych i Dial-Up, po czym przywołaj właściwości swojego połączenia sieciowego. Wybierz protokół internetowy TCP/IP i ponownie przejdź do właściwości. Konfiguracja NetBIOS-u znajduje się w oknie ustawień zaawansowanych na karcie WINS. Właśnie tu możesz wyłączyć protokół NetBIOS.
Sam w Internecie?Charakterystyka luki. Tak zwana internetowa pluskwa to niewidoczny obrazek (często o powierzchni 1 piksela), który może być schowany w witrynie czy mailu HTML.
) |
| Edytor założeń systemowych pozwala wybierać aplikacje, które mogą być uruchamiane przez użytkowników. |
Podczas otwierania strony czy wiadomości automatyczne wczytanie grafiki pozostawia zapis w pliku dziennika na serwerze. Nadawca niepożądanej poczty (tzw. spamu) dowiaduje się w ten sposób, że adresat odczytał jego wiadomość. Co więcej, komputer ofiary identyfikuje się, podając swój adres IP. Teoretycznie pluskwy sieciowe pozwalają śledzić internetowe przyzwyczajenia pojedynczych użytkowników bez ich wiedzy.
Przyczyna. Pluskwy są ulubioną metodą właścicieli witryn zliczania i protokołowania wejść na ich serwery. Działa to niezależnie od przeglądarki internetowej i systemu operacyjnego w komputerze internauty. Wyjątek stanowią przeglądarki pracujące wyłącznie w trybie tekstowym i przeglądarki z zablokowanym wyświetlaniem obrazków. Niebezpieczeństwo metody polega na tym, że daje się stosować w dokumentach innych typów. Hiperłącza zgłaszające obcemu serwerowi otwarcie dokumentu można umieszczać nawet na przykład w plikach Worda. Warunkiem jest, oczywiście, istniejące połączenie internetowe. W obrębie przedsiębiorstwa można w ten sposób kontrolować, kto i kiedy otwierał poufne dokumenty.
Problem pluskw dotyczy teoretycznie wszystkich aplikacji, które potrafią w jakikolwiek sposób przetwarzać kod HTML. Należą do nich m.in.: edytory tekstowe, arkusze kalkulacyjne, pliki pomocy w formacie CHM, przeglądarka Adobe Acrobat Reader i wiele odtwarzaczy utworów MP3.
Środki zaradcze. Program WebWasher 3.0 (bezpłatny dla użytkowników prywatnych, www.webwasher.com, rozmiar pliku: ok. 1 MB) potrafi odfiltrowywać internetowe pluskwy. Pozwoli Ci przejmować operacje dokonywane przez programy, które respektują ustawienia serwerów proxy w Windows. Należą do nich m. in. Internet Explorer i maile HTML w kliencie pocztowym Outlook Express. Do bardziej wnikliwego nadzorowania wszystkich aplikacji zaleca się używać firewalla, na przykład programu Zone Alarm (bezpłatny dla użytkowników prywatnych, www.zonealarm.com, rozmiar pliku: 1,7 MB) lub komercyjnego Norton Personal Firewall 2001 (informacje: www.symantec.pl).
Ryzykowne udostępnianieCharakterystyka luki. Użytkownicy Windows udostępniający napędy lub foldery w sieciach peer-to-peer (każdy z każdym) powinni w innej sytuacji blokować określone zasoby. W systemie brakuje bowiem funkcji, która ostrzega o istniejących udostępnieniach lub wyłącza je automatycznie. Zapomniane udostępnienia są tymczasem najczęstszą przyczyną rozprzestrzeniania się poufnych danych. W najgorszej sytuacji są właściciele notebooków z kartą sieciową. Użytkownik chce mieć pełny dostęp z komputera desktop do danych w notebooku, a na drugi dzień cała firma cieszy się jego prywatną kolekcją zdjęć z urlopu.
Przyczyna. W Windows nie można zdefiniować standardowego zapytania, czy pecet jest podłączony tylko do jednego komputera, czy może do sieci całego przedsiębiorstwa. Możliwe byłoby natomiast wyposażenie systemu w funkcję, która podczas uruchamiania go pytałaby użytkownika, czy chce anulować istniejące udostępnienia. Jednak w Windows brakuje takiej opcji.
Środki zaradcze. Możesz własnymi siłami utworzyć podobną funkcję. Najprostsze rozwiązanie oferuje program Monitor sieci (NETWATCH.EXE). Nie jest objęty instalacją standardową, więc musisz doinstalować go z CD-ROM-u. Narzędzie pozwala ręcznie usuwać zapomniane bądź niepożądane w danej chwili udostępnienia. Umieść skrót do NETWATCH.EXE w folderze Autostart. Z poziomu skryptów VBS można uzyskać wygodniejsze rozwiązanie. W pliku LANMAN.VBS zamieszczamy przykład, który jako standard przewiduje dwa udostępnienia, cofając automatycznie wszystkie inne. Dopasuj skrypt do własnych potrzeb i usuń polecenie quit z pierwszego wiersza.
Obiekty OLE w ExceluCharakterystyka luki. Pracując w pakiecie Office, na pewno często wstawiasz tabele Excela do dokumentów Worda. Aby można było edytować dane po przeniesieniu metodą OLE - bez naruszenia formuł - Word oferuje polecenie Edycja | Wklej specjalnie. Następnie trzeba wybrać opcję Arkusz Microsoft Excel - obiekt (Word 97) lub Arkusz programu Microsoft Excel - obiekt (Word 2000). Luka pojawia się wtedy, gdy użytkownik przenosi do dokumentu Worda jedynie zaznaczony obszar tabeli. W oknie Worda jest widoczny tylko zaznaczony fragment, lecz dokument zawiera całą tabelę. W ten sposób dane mogą trafić w niepowołane ręce. Problem utrzymuje się, gdy zaznaczysz cały dokument Worda z osadzonym arkuszem Excela i skopiujesz go poprzez Schowek do innego dokumentu.
Przyczyna. Użytkownik polega na tym, że podczas kopiowania zostaje przeniesiony tylko zaznaczony fragment arkusza. Jednak nie przewidziano tego w obiektach Excela, ponieważ w ten sposób użytkownik ograniczałby lub naruszał funkcjonalność arkusza. Przykładowo formuły obejmujące więcej niż jeden arkusz działają tylko wtedy, gdy dostępny jest cały skoroszyt.
Środki zaradcze. Opisana luka wynika z koncepcji działania poszczególnych aplikacji Office'a. Dlatego producent nie usunie jej, udostępniając plik aktualizacyjny. Ponadto brakuje funkcji do przekształcania osadzonych obiektów Excela w tabele Worda. Możesz jednak wyciąć osadzony obiekt i ponownie wstawić go poleceniem Edycja | Wklej specjalnie. Wówczas zostanie włączony do dokumentu jako obrazek, lecz stracisz możliwość edycji danych arkusza. W przypadku obszernych plików najprościej jest udostępniać dokumenty w postaci HTML. Word zapisze tabelę Excela jako obrazek JPG. Również wtedy nie będzie możliwości dalszej edycji danych.
Podobne problemy pojawiają się także w innych pakietach biurowych, na przykład StarOffice. Także w tym przypadku można zapisać plik w formacie HTML. StarOffice włączy tabelę do pliku HTML w postaci obrazka GIF.
Co tkwi w dokumentach Worda?
) |
| Aby nie udostępniać zasobów dyskowych w Internecie, wyłącz powiązanie karty Dial-Up z udostępnieniem plików. |
Charakterystyka luki. Oprócz tekstu widocznego na ekranie dokumenty Worda zawierają dodatkowe informacje. Ciekawscy użytkownicy znajdą w plikach Worda 97/2000 obok treści dokumentu takie dane jak: nazwiska, adresy, nazwy drukarek, ścieżki sieciowe, a nawet niepożądane fragmenty tekstu. Przekazując dokumenty tekstowe do innych działów lub do obcej firmy, możesz być sprawcą przecieku poufnych informacji.
Przyczyna. Pliki Worda nie stanowią zwyczajnych zbiorów tekstowych, lecz złożone struktury binarne łączące w sobie wszystkie elementy dokumentu, na przykład osadzone obrazki, obiekty OLE, tabele czy formuły. Oprócz tego Word umieszcza w nich dane autora, temat i tytuł tekstu. Niektóre informacje można przeglądać lub edytować poprzez menu Plik | Właściwości. Znajdziesz też listę osób, które modyfikowały dokument, ostatnie lokalizacje dokumentu, a w Office 97 również numer UID - identyfikator pozwalający jednoznacznie ustalić komputer, na którym utworzono dokument.
Jeśli masz włączoną opcję Szybkie zapisywanie (karta Zapisywanie w menu Narzędzia | Opcje), w dokumencie mogą się znajdować usunięte fragmenty tekstu, przypisy i komentarze. Do sprawdzenia, czy dokument zawiera takie informacje, trzeba użyć edytora, który nie obsługuje formatu Worda (nie nadaje się do tego Word ani WordPad).
Środki zaradcze. Aby uniknąć przekazania osobom nieupoważnionym informacji ukrytych w dokumentach Worda, stosuj się do następujących wskazówek:
Kontrola końcowa. Przed przekazaniem tekstu rzuć okiem na właściwości dokumentu. Użyj w tym celu Worda (menu Plik | Właściwości) lub Eksploratora. Jeśli masz edytor ASCII, przejrzyj kod binarny dokumentu. Gdy znajdziesz zbyt poufne informacje, wykonaj jedną z poniższych czynności lub skopiuj zawartość pliku poprzez Schowek do innego dokumentu.
Inny format. Aby uzyskać stuprocentowe bezpieczeństwo, zapisz dokument w formacie RTF. Akceptowalny kompromis proponuje format Word 6.0. W ten sposób zachowasz większość elementów formatowania, a w zapisanym pliku nie będzie zbyt wielu dodatkowych informacji.
Usuń UID. Jeśli przekazujesz dokumenty Worda 97, wyłącz identyfikator UID. Musisz zainstalować w tym celu aktualizacje Office 97 Service Release 1 (dostępny pod adresem office.microsoft.com/downloads/9798/sr1off97detail.aspx, rozmiar pliku: ok. 9 MB). i Service Release 2b (dostępny pod adresem office.microsoft.com/downloads/9798/sr2off97detail.aspx, rozmiar pliku: ok. 24 MB). Dopiero potem uda Ci się wgrać łatę uniemożliwiającą zapisywanie identyfikatora UID w dokumentach Worda (znajdziesz ją pod adresem office.microsoft.com/downloads/9798/Off97uip.aspx, rozmiar pliku: 90 KB).
Pliki Worda 2000 nie zawierają numeru UID. Jeśli chcesz usunąć UID ze wszystkich istniejących dokumentów Office'a 97, użyj do tego programu Unique Identifier Removal Tool (office.microsoft.com/downloads/9798/pf_setup.aspx, rozmiar: 140 KB).
Zapisuj bez pośpiechu. Przejdź do menu Narzędzia | Opcje i wyłącz opcję Szybkie zapisywanie na karcie Zapisywanie. Funkcja ta bardzo często wstawia do bieżącego pliku fragmenty innych dokumentów.
Bądź skryty. Wskaż kartę Użytkownik w tym samym oknie. Jeśli nie chcesz udostępniać innym zawartych na niej informacji, zastąp spacjami imię, nazwisko, inicjały i adres pocztowy. Nie zda się to na wiele, gdy jesteś zalogowany w sieci. Wówczas Word zapisuje Twój login.
Ostrożnie z obiektami OLE. Zawierają znacznie więcej informacji, niż widać na ekranie.
) |
| Aby zminimalizować liczbę prywatnych informacji w dokumentach tekstowych, wyłącz szybkie zapisywanie lub zapisuj pliki w formacie RTF. |
Bez przeróbek. Jeśli jest to możliwe, zrezygnuj z funkcji rejestrowania zmian w tekście. Oprócz informacji o recenzencie Word gromadzi w pliku poprzednie wersje tekstu.
Sprawdzaj wersje. Sprawdź menu Plik | Wersje. Jeśli w oknie wyszczególnione są starsze wersje tekstu, skopiuj całą zawartość dokumentu do nowego pliku.
Chroń adres IP. Jeśli korzystasz z drukarki w sieci TCP/IP, nie podawaj w jej właściwościach adresu IP serwera drukarki, a tylko jego nazwę. W przeciwnym razie napastnik łatwo uzyska dostęp do komputerów w Twojej firmowej sieci. Z tego samego powodu nie powinieneś wysyłać dokumentów bezpośrednio z Worda (menu Plik | Wyślij do). Niektóre programy pocztowe zapisują w dokumencie dane trasowania (czyli wyboru węzłów na drodze od nadawcy do adresata). Chcąc koniecznie wysłać tekst w formacie Worda, utwórz zwyczajną wiadomość i wstaw do niej plik Worda jako załącznik.
Obce makraCharakterystyka luki. Makra VBA mają dostęp do systemu plików, Rejestru i zewnętrznych aplikacji. Dają więc możliwość manipulowania w systemie.
Przyczyna. W Wordzie i Excelu istnieją makra Auto_Open i Auto_Close, które uruchamiają się automatycznie podczas otwierania i zamykania dokumentów. Excel oferuje ponadto makra OnEntry i OnSheetActivate, przywoływane podczas wypełniania komórek i uaktywniania arkusza. Makra są zapisywane wraz z dokumentami. Teoretycznie wystarczy więc otworzyć plik, aby wyrządzić szkody i zainfekować pozostałe dokumenty.
Środki zaradcze. Rozwiązanie brzmi banalnie: nie otwieraj dokumentów z niepewnego źródła. Jednak w praktyce łatwiej powiedzieć, niż zrobić. Przecież niektóre wirusy rozprzestrzeniają się poprzez książki adresowe w klientach pocztowych. W tym przypadku otrzymasz zainfekowany dokument od kogoś, kogo znasz. Postaraj się jednak zminimalizować to ryzyko.
Składniki Office'a 2000 - Excel, Word i PowerPoint oferują trzystopniowe zabezpieczenie. Poziom zabezpieczeń (oddzielny dla każdej z aplikacji) ustalisz, wchodząc do menu Narzędzia | Makro | Zabezpieczenia. Na wysokim poziomie zabezpieczeń uruchamiane są wyłącznie makra opatrzone podpisem cyfrowym (patrz dalej). Na poziomie średnim aplikacja za każdym razem pyta, czy ma uruchomić makro. Zaawansowani użytkownicy mogą przejrzeć kod makra w Edytorze Visual Basic (klawisze [Alt F11]) i sprawdzić, czy nie zawiera podejrzanych poleceń. Zabezpieczenia są wyłączone na niskim poziomie. W tym przypadku aplikacja bez ograniczeń uruchamia wszystkie makra zawarte w przywoływanym dokumencie, nie ostrzegając użytkownika. Gdy zauważysz, że coś jest nie w porządku, może być już za późno.
Certyfikowane makraCharakterystyka luki. Makra wyposażone w cyfrowy podpis są uruchamiane bez potwierdzenia nawet na średnim i wysokim poziomie zabezpieczeń. Dzięki temu użytkownik ma nieograniczony dostęp do makr własnej roboty. Aby podpisać makro, uruchom program SELFCERT.EXE z instalacyjnej płyty Office 2000. Znajdziesz go w katalogu \PFILES\MSOFFICE\OFFICE. W polu Imię i nazwisko wpisz nazwę, pod którą będziesz rozpoznawał swoje makra. Następnie otwórz odpowiednią aplikację Office'a. Przywołaj Edytor Visual Basic (klawisze [Alt F11]) i wybierz swój certyfikat w menu Tools | Digital Signature. Gdy po raz pierwszy otworzysz plik z makrem, pojawi się okno dialogowe, w którym będziesz mógł umieścić swoje makra na liście zaufanych źródeł, wykluczając je z obszaru objętego ograniczeniami. Opisana metoda ma jednak wadę. Certyfikowane makro jest uznawane za zaufane nawet wtedy, gdy zostało zmodyfikowane przez napastnika.
Przyczyna. Certyfikaty nie chronią przed niepożądanymi modyfikacjami kodu makr. Szkodliwe makro, które dostanie się do dokumentu z podpisem cyfrowym, zostanie uruchomione bez potwierdzenia użytkownika.
Środki zaradcze. Korzystaj z cyfrowych podpisów w połączeniu z blokowaniem makr. Otwórz Edytor Visual Basic i zaznacz żądany projekt w oknie projektów (klawisze [Ctrl R]). Kliknij go prawym przyciskiem myszy i wskaż polecenie Project Properties. Wybierz kartę Protection i zaznacz pole wyboru Lock project for viewing. W dolnej części okna możesz zdefiniować hasło. Bez niego nikt nie będzie mógł oglądać ani edytować makr w tym dokumencie. Na dodatek zablokujesz w ten sposób niebezpieczną metodę OrganizerCopy, która pozwala kopiować makra z jednego szablonu do drugiego.
Zainfekowane wizytówkiCharakterystyka luki. Załączniki do wiadomości mailowych zawsze stanowiły ryzyko. W programach Outlook 2000 i Outlook Express 5.x grozi oprócz tego niebezpieczeństwo zainfekowanych wizytówek.
Przyczyna. Elektroniczne wizytówki w formacie VCF to pliki z informacjami kontaktowymi, które użytkownik może importować dwukrotnym kliknięciem do książki adresowej. Błąd programistyczny w klientach Outlook 2000 i Outlook Express 5.x pozwala umieszczać dowolne polecenia w polu daty urodzin na wizytówce. W ten sposób można przemycić do systemu niebezpiecznego wirusa.
Środki zaradcze. Pod adresem www.microsoft.com/windows/ie/download/critical/q283908/default.asp producent oferuje angielskojęzyczną łatę, która usuwa ten problem.
[ POCZĄTEK ] | [ MENU ] | [ KONIEC ]
Jeżeli spodobały ci się nasze strony możesz je Dodać do Ulubionych lub ustawić tą stronę jako swoją Stronę główną. Możesz też wysłać swojemu znajomemu lub znajomej LINK do naszej strony.
Strona główna
Dodaj do ulubionych
Ustaw jako stronę główną
Wyślij link znajomemu/znajomej
Z TEJ STRONY SKORZYSTAŁO JUŻ:
OSÓB
