Typowe problemy

Typowe ustawienia, standardowe nazwy zasobów, domyślne konfiguracje usług - takich rzeczy włamywacze szukają przede wszystkim. Niestety, bardzo często je znajdują.

Typowe ustawienia, standardowe nazwy zasobów, domyślne konfiguracje usług - takich rzeczy włamywacze szukają przede wszystkim. Niestety, bardzo często je znajdują.

Typowym celem włamywaczy jest typowo skonfigurowany system. Ta maksyma przewija się przez wiele zaleceń bezpieczeństwa systemów teleinformatycznych. Systemy rozwijają się, oferują coraz więcej możliwości parametryzacji, ale administratorzy nadal myślą i działają zgodnie z zasadą najmniejszego wysiłku. Skutek jest taki, że wiele działających instalacji ma domyślne, przewidziane przez producenta i opublikowane w dokumentacji, ustawienia konfiguracyjne - łącznie z hasłami.

W większych organizacjach pracują ludzie zawodowo zajmujący się bezpieczeństwem. Dzięki ich pracy i wdrożonym przez nich narzędziom nawet standardowa instalacja jest w miarę dobrze chroniona - ryzyko jest więc mniejsze. W gorszej sytuacji są firmy średnie, zaś małe firmy nie mają praktycznie żadnych poważnych zabezpieczeń. To, że ich systemy i aplikacje są skonfigurowane standardowo, można założyć w ciemno.

Tam, gdzie nie ma pieniędzy na wyrafinowane zabezpieczenia ani sztabu specjalistów, spokojny sen zapewnić może nieco główkowania. Okazuje się, że nawet bardzo proste, całkiem bezkosztowe zabiegi minimalizują ryzyko udanego włamania z zewnątrz, kradzież danych przez pracownika, ograniczają możliwość rozprzestrzeniania się wirusów itp.

Ataki na znane ustawienia

W typowej małej firmie działa niewielka sieć lokalna oparta na Windows. Nawet w takiej sieci można obecnie uruchomić usługi Active Directory i centralnie zarządzać uprawnieniami i ustawieniami. Można, tyle że przy braku dodatkowych zabezpieczeń nawet mniej doświadczony włamywacz zyskuje dostęp do wszystkich ważnych danych i ustawień, pokonując zabezpieczenia jednego serwera.

A gdyby tak, wbrew powszechnym trendom, pozostać przy prostym udostępnianiu plików i drukarek w systemach Windows 2000 i XP? Zaletą jest to, że każdy komputer przechowuje własne hasła i ma własne, niestandardowe ustawienia. Taka sieć jest dla włamywacza znacznie większym wyzwaniem, z jego punktu widzenia warto włamywać się tam, gdzie można włamać się szybko.

Nazwa użytkownika może zawierać znaki, których nie da się wpisać wprost z klawiatury, co istotnie utrudnia ich zdalne rozpoznanie.

Nazwa użytkownika może zawierać znaki, których nie da się wpisać wprost z klawiatury, co istotnie utrudnia ich zdalne rozpoznanie.

W małych firmach systemy Windows służą nie tylko do pracy, ale również do udostępniania łącza do Internetu. To błąd. Sam system Windows wymaga ochrony solidną zaporą sieciową, o czym Microsoft wyraźnie informuje. Pozostawanie przy zaporze wbudowanej w system Windows to proszenie się o standardowe kłopoty. Włamywacze wiedzą, że w tym systemie ta właśnie zapora może być włączona i wiedzą, jakie są jej domyślne ustawienia. Na tym polega cały problem - na przewidywalności.

Warto zatem wydać kilkaset złotych na prosty router, który odgrodzi systemy Windows od bezpośredniego kontaktu z Internetem. Alternatywą może być stary komputer z routerem i zaporą działającymi na sprawdzonej platformie BSD lub Linux. Systemy Windows, nawet jeśli ich jakość poprawia się, nie powinny być widoczne z Internetu - zawierają zbyt dużo kodu, w którym może zostać odkryta luka, zbyt dużo ustawień standardowych, tak bardzo poszukiwanych przez włamywaczy i wirusy.

Jeśli zasobem udostępnianym jest drukarka, nie ma problemu. Gorzej, gdy są nim dyski - wtedy każdy ma do nich dostęp. Wszystkie działania, które skutkują ustawieniem uprawnień Everyone/Full Control albo manipulacjami przy koncie Guest, mogą mieć wpływ na bezpieczeństwo. Czasami lepiej zrezygnować z regularnej zmiany haseł i utworzyć komplet kont na komputerze udostępniającym zasoby, niż otworzyć ten komputer dla wszystkich, odblokowując konto Guest. Komputer udostępniający zasoby nie powinien być podłączony do Internetu, ani też do sieci WLAN.

Ataki na zasoby

Zmianę standardowych ustawień należy zacząć już podczas instalowania systemu. Pierwsza dziedzina, na którą warto zwrócić uwagę, to system plików NTFS, który oferuje możliwość ustawienia uprawnień do plików niezależnie od ustawień pozostałych usług systemu operacyjnego. To bardzo ważne działanie jest często pomijane. Dla świętego spokoju wielu administratorów wybiera ustawienia Everyone/Full Control dla całego wolumenu. To bardzo poważny błąd, który w przypadku ataku wirusa zarażającego wszystkie zasoby sieciowe mści się bezlitośnie.

Bardzo dobrym pomysłem jest instalacja systemu Windows na dysku innym niż ten, na którym przechowywany jest folder o nazwie C:\WINDOWS. Oczywiście, również i nazwę folderu wypadałoby zmienić. Warto pokombinować, bo wiele ataków opiera się nie na zmiennej środowiskowej %WINDIR%, ale na obecności konkretnego katalogu w konkretnym miejscu drzewa systemu plików.

Prosty ruch - instalacja na drugiej partycji, chroni przed takimi atakami, wtedy to bowiem zmienna %WINDIR% wskazuje np. na katalog D:\WINDOWS. Gdyby użyć niestandardowej nazwy katalogu, można osiągnąć jeszcze większą odporność.

Ataki na konta

Popularne narzędzie hakerskie Cain skutecznie odczytuje nazwy użytkowników, co jest pierwszym etapem do włamań na konta. Jeśli jednak w konsoli systemu wyłączona zostanie anonimowa enumeracja użytkowników (standardowo włączona), włamywacz nie będzie mógł nawet odczytać ich nazw.

Popularne narzędzie hakerskie Cain skutecznie odczytuje nazwy użytkowników, co jest pierwszym etapem do włamań na konta. Jeśli jednak w konsoli systemu wyłączona zostanie anonimowa enumeracja użytkowników (standardowo włączona), włamywacz nie będzie mógł nawet odczytać ich nazw.

Typowym atakiem na system jest próba uzyskania uprawnień systemowych. Bardzo często atak dotyczy użytkownika o nazwie Administrator. Bardzo logicznym rozwiązaniem jest zatem zmiana nazwy konta administratora. Można to zrobić stosunkowo prosto - z konsoli Zasady zabezpieczeń lokalnych. Najlepiej utworzyć innego użytkownika o uprawnieniach systemowych, dodając go do grupy Administratorzy, zaś kontu Administrator zmienić nazwę.

We wszelkich tego typu działaniach warto stosować znaki niedostępne z klawiatury US czy PL. Takimi znakami są akcentowane litery alfabetów innych niż polski (w przykładzie na ilustracji obok użyłem znaku Alt+1004, gdzie cyfry wpisywane są z klawiatury numerycznej z przyciśniętym klawiszem Alt). Nawet użycie nazwy konta z polskimi znakami diakrytycznymi jest skuteczne! Ta prosta sztuczka bardzo poważnie utrudnia życie włamywaczom korzystającym z prymitywnych skanerów.

Zmiana nazwy użytkownika przyniesie skutek, jeśli włamywacz nie da rady określić nowej nazwy zdalnie. Proces ten nazywa się enumeracją i należy, razem ze wprowadzeniem zmian konta, zabronić anonimowej enumeracji zasobów oraz kont w bazie SAM (kont użytkowników zapisanych na lokalnym komputerze), a także translacji identyfikatorów SID (zazwyczaj postaci S-1-5-21-2190822497.) na nazwy kont. Ponieważ większość komputerów ma włączoną anonimową enumerację nazwy użytkowników, można łatwo uzyskać (przykład na ilustracji obok).

Bardzo wiele danych przechowuje się na nośnikach wymiennych, takich jak CD-ROM czy dyskietka. W małych sieciach nie ma potrzeby ich udostępniania - należy taką możliwość wyłączyć w konsoli. Spotykanym sporadycznie włamaniem jest również podstawienie fałszywego sterownika drukarek w serwerze wydruku. Ochrona przed takim atakiem polega na zablokowaniu instalacji wszelkich sterowników drukarek przez użytkowników. Należy pamiętać, że wszelkie zmiany związane ze sterownikami wprowadza tylko użytkownik zalogowany na koncie administracyjnym.

Ciekawą opcją jest model zabezpieczeń kont lokalnych. Użycie opcji Tylko gość daje automatyczną zmianę uprawnień wszelkich kont użytkowników do poziomu konta Gość (jeśli zostało odblokowane). Zatem, niezależnie na jakie konto jest zalogowany użytkownik z drugiego komputera, zasoby udostępniane są na minimalnych uprawnieniach. Niestety, ma to swoje złe strony - zasoby dostępne dla użytkowników w tym modelu są równe uprawnieniu Gościa. Ogranicza to dostęp i upraszcza administrację, ale wymaga solidnej zapory sieciowej.

Przdmiotem ataku są często domyślne zasoby administracyjne C$ oraz ADMIN$. Należy zatem wyłączyć tworzenie zasobów administracyjnych i usunąć je ręcznie z listy zasobów udostępnianych. Należy też przemyśleć udostępnianie zasobów w ogóle i bardzo ostrożnie dysponować zasobami udostępnionymi z prawami zapisu. Choć jest to kuszące, nie wolno udostępniać całego dysku C.

Ataki na porty

Warto przemyśleć uruchamianie usług na niestandardowych portach TCP/IP. Dla przykładu, uruchomienie usługi SQL Server na porcie innym niż standardowy 1433 odcina od razu ataki wirusów takich jak SQL Slammer. Koszt jest żaden, a korzyść wielka. To samo dotyczy serwera WWW - przecież wewnątrz sieci lokalnej można go uruchomić na dowolnym porcie, włącznie z portami powyżej numeru 1024. Sam adres można przecież dodać do Zakładek/Ulubionych/Hotlisty. Jeśli firma wymaga "wystawienia" serwera do Internetu, warto zrealizować to, tak by serwer wewnątrz sieci pracował niestandardowo, zaś przekierowanie na standardowy port 80 było wykonywane poprzez zaporę sieciową na styku z Internetem. Potrafią to wszystkie bardziej zaawansowane .

Podobnie będzie ze zdalnym dostępem przez protokół SSH - użycie bardzo wysokiego portu (powyżej 64 000) jest dobrym pomysłem, bowiem niewielu włamywaczy skanuje porty do tak wysokich numerów. Podobnie przestawienie usługi POP3 na inny port niż standardowy 110.

Na koniec wypada jeszcze wspomnieć o standardowej przeglądarce WWW, którą w większości firm nadal jest Internet Explorer. Jeśli bezpieczeństwo jest traktowane poważnie, należy zastosować przeglądarkę alternatywną, prawidłowo skonfigurowaną i aktualizowaną. Zastosowanie tych reguł nie jest kosztowne i uciążliwe, a na pewno podwyższy bezpieczeństwo.


TOP 200