I n t e r n e t Nová +.htr diera v IIS 5.0 Nepríjemná +.htr chyba sa opä vracia. Na systémoch pou ívajúcich IIS 5.0 opravených pomocou file fragment reading vulnerability opravy je mo né pou i inú metódu k získavaniu ASP/ASA obsahu - postaèí vyu i znak %3F (otáznik) a cesta ku skriptom je otvorená (napr. fragmenty èi celý kód z ASP/ASA). Bezpeènostná diera v IIS 5.0 (.printer) Diera zneu ívajúca .printer ISAPI vo Windows 2000 IIS 5.0 je nebezpeènej ia, ne by sa pôvodne mohlo zda . .printer ISAPI má slú i k správe sie ových tlaèiarní s pomocou webového prostredia a je tandardne in talovaný ako aktívny v ka dej in talácii Windows 2000. Msw3prt.dll obsahuje v ak tzv. unchecked buffer chybu. Vhodne formulovaná HTTP po iadavka umo ní útoèníkovi získa kompletnú kontrolu nad strojom. Postaèí umiestni asi 420 bajtov do Host: polo ky hlavièky a pripoji vykonávate¾ný kód. Zabezpeèenie problému spoèíva v odstránení príslu nej asociácie na .printer ISAPI v konfigurácii MS IIS. Súèasne je mo né pou i zverejnenú opravu. Pozor! Na internete je k dispozícii nieko¾ko funkèných programov umo òujúcich vyu i túto bezpeènostnú dieru (napr. kompilovate¾ný kód umo òujúci získa prístup k CMD.EXE, pou itie be ného Perl interpreteru a iné). Chyba v SMB protokolu zneu ite¾ná Chyba umo òuje pripoji sa medzi SMB klienta a server, vydáva sa za pripojeného klienta a získa tak prístup k povoleným serverovým prostriedkom klienta. Navy e mo no získa súbor NTLM hash hesiel a neskôr ich pou i ako vstup pre L0pthcrack a získa tak heslo príslu ného klienta. Chybu v SMB (Server Message Block) protokole pou ívaného vo Windows NT a 2000 vyu íva hackerská aplikácia SMBRelay. SMB protokol trpí touto chybou u od samého poèiatku a vo WindowsNT/2K je pou ívaný z dôvodu nutnej spätnej kompatibility. Ochranou proti SMBRelay je iba pou itie novej NTLMv2 autentizácie. Ïal ia chyba v Outlooku Chyba v MS Outlook View Control umo òuje útoèníkovi meni dáta v Outlooku a pomocou jednoduchého skriptu dokonca spusti na napadnutom poèítaèi akýko¾vek program. Chyba ohrozuje pou ívate¾ov MS Outlook 98, 2000 i 2002. View Control je aplikácia umo òujúca prezeranie dát z MS Outlooku cez web. Skript potrebný na získanie kontroly nad Outlookem je mo né na cie¾ový poèítaè dopravi buï v podobe HTML e-mailu alebo podstrèením odkazu na stránku, ktorá tento skript obsahuje. V prvom prípade sú v nebezpeèenstve iba pou ívatelia, ktorí nemajú nain talovaný Outlook E-mail Security Update, ktorý inak zais uje otváranie HTML e-mailov v prostredí so zakázaným Active X. V druhom prípade je doèasná ochrana mo ná vypnutím ActiveX prvkov v Internet Explorer. Chyba v NT 4.0, WIN2K a Exchange 2000 Network News Transport protokol vo Windows NT 4.0, Windows 2000 a MS Exchange 2000 obsahuje chybu v mechanizme spracovania správ, ktorá mô e by vyu itá k ¾ahkému DoS útoku. Pri spracovaní správ pre diskusné skupiny mô e správa obsahujúca urèitú kon trukciu spôsobi zablokovanie èasti operaènej pamäti. Útok v podobe ve¾kého poètu defektných správ tak mô e ¾ahko vies k zrúteniu systému. Po re tarte je server opä plne funkèný. K dispozícii sú u záplaty pre Windows NT i Windows 2000 Server.
Problémy databázy MS Access Databázy väè inou be ia na SQL serveroch, kde je bezpeènos dostatoène zaistená. Nájde sa v ak aj dos men ích serverov kde sú databázy ulo ené iba v súbore z MS Access (*.mdb). Tieto databázy pou ívajú hlavne malé servery alebo pou ívatelia bezplatného hostingu. Pre ve¾ké servery sú accessovské databázy nevhodné, preto e nie sú dostatoène zabezpeèené a nepojmú obrovské objemy dát. Hlavné nebezpeèenstvo spoèíva v tom, e útoèníkovi staèí iba pozna presnú adresu súboru *.mdb, a potom si databázu cez prehliadaè normálne stiahne a ulo í na disk. V eobecný návod na zistenie adresy k databáze neexistuje, ale nájde sa mnoho webov, kde sa databázy ukladajú do adresárov ako data, serverdb, db, a pod. Databázy sa èasto volajú data, main, source, a pod. Naprostá väè ina accessovských databáz na internete vyu íva tandardnú koncovku *.mdb. Pravdepodobne pri zadaní napr. http://www. adresa .cz/serverdb/data.mdb sa vypí e stránka nenájdená. Ale existujú servery kde táto adresa obsahuje ich databázy. Niekedy iba staèí zada adresu webu/meno adresára a v prehliadaèi sa vypí e zoznam súborov, ktorý mô e obsahova aj databázu. Prístup k odstráneniu problému (alebo aspoò zmierneniu): 1. Ak to nie je nutné, tak vôbec nepou íva accessovské databázy (nie sú urèené pre web). 2. Adresárom obsahujúcim databázy treba zru i nastavenie Directory Browsing Allowed (prezeranie adresárov povolené). Pokia¾ to nie je mo né, tak v danom adresári treba vytvori nejaký súbor (najèastej ie index.html), ktorý sa bude pri vstupe do adresára automaticky zobrazova , a tým nepovolí výpis adresára. 3. Pokia¾ mo no, na serveri treba nastavi zákaz s ahovania súborov *.mdb. 4. Pre adresáre s databázami pou íva rad ej nejaké netradièné (aj nezmyselné mená). Rozhodne nema databázy v niektorom z uvedených adresárov. 5. Databázy pomenova tie netradiène a koncovku *.mdb pokojne premenova na nieèo úplne iného. Chyba servera Hotmail Po tová slu ba Hotmail obsahuje chybu, ktorá komuko¾vek umo òuje èítanie cudzej po ty na tomto serveri. Staèí sa zalogova na platné konto a trochu sa hra s URL pod¾a jednoduchého návodu, pozna názov úètu pou ívate¾a a správnu URL. Útok prebieha prilogovaním na platný Hotmail úèet, po otvorení niektorej správy vo vlastnom mailboxe mo no získa URL, obmenou ktorého mo no získa správy cudzích pou ívate¾ov zaèlenením cudzieho ID a èísla správy (vo formáte MSG943322803%2e1X, kde X predstavuje èíslo správy) do URL. Z opisu vyplýva, e nie je mo né získa cielene vybranú správu, ale pou itím metódy brutálnej sily (kombináciou v etkých mo ných èísel) je mo né dopracova sa k akejko¾vek správe vybraného pou ívate¾a. Bohu ia¾, na túto èiernu prácu existuje aj malý program. Záver Uvedené skutoènosti len dokazujú, e opatrnosti nikdy nie je dos a ostra itý treba by ustaviène. Ka dého úèastníka (aj keï nie je paranoidný) by to malo prinúti hlboko a dôkladne sa zamyslie nad úrovòou svojich bezpeènostných opatrení, hlavne ak ide o správcu webového servera alebo dokonca sie ového servera zaujímavej LAN. V mnohých prípadoch zranite¾nosti pomáhajú aj samotní pou ívatelia informaèných systémov, keï
in talujú do svojich poèítaèov informaèné technológie síce nové, ale neoverené a nezrelé (napr. Java, ActiveX). Potenciálne tak naru ujú doteraj iu úroveò bezpeènosti dát i celého informaèného systému. Pokia¾ sa bez nich skutoène nie je mo né zaobís , nezostáva niè iné, ne izolova takýto neoverený systém od ostatných poèítaèov s dátami kritickými pre pou ívate¾ov a vykonáva pravidelné kontroly a preverovanie bezpeènostného podsystému. Súèasne je potrebné danú problematiku konzultova s pouèenými a znalými osobami v oblasti bezpeènosti informaèných systémov. Preèo teda chráni systémy pred rôznymi nástrahami a sabotá ami? Poèítaèe v súèasnosti kontrolujú a riadia takmer v etky oblasti ná ho ivota. Kontrolujú napr. dodávky energie, leteckú prevádzku, finanèné slu by, zdravie ¾udí a informácie o kriminálnych prípadoch. Pri vo¾bách sa rozhoduje o budúcnosti celej krajiny a jej budúcom smerovaní. Ohrozená mô e by aj národná bezpeènos , èi zmenený demokratický vývoj celých oblastí a teritórií. Celý vyspelý svet sa celkom ponoril do pohodlných poèítaèových systémov, ktoré prepájajú v etky èasti ka dodenného ivota. Dôsledky napadnutia alebo dokonca kolapsu týchto vzájomne prepojených systémov si takmer nikto nedoká e predstavi . Problémy s poèítaèovou kriminalitou sú e te navy e komplikované úplnou nepripravenos ou medzinárodnej legislatívy. Pokraèovanie: Ochrana proti útokom a naru eniu súkromia z Internetu Milo mirjak Literatúra [1]
Èáp, J.: Internet guru. In: PC World 2/1999, str. 118-121
[2]
Ziemann, F.: Nenechte si vykrást svùj obchod. In: Computerworld 27/2000, str. 18
[3]
Pinte, M.: Hacker útoèí. In: CHIP 10/2000, str. 103-104
[4]
mirjak, M.: Bezpeènos informaèných systémov a ochrana dát. Seriál o poèítaèovej bezpeènosti, http://programovanie.pc.sk, 2001
[5]
Smejkal, V., Valá ek, M. A.: Nepøítel naslouchá? In: CHIP 5/2001, str. 54-56
[6]
Webová stránka o poèítaèovej bezpeènosti http://security.namodro.cz
[7]
Bezpeènostní mana er si nasazuje hackerský klobouk. In: Computerworld 9/2001, str. 20
[8]
Pøiná íme vám dobrovolné pøiznání hodného hackera. In: Computerworld 10/2001, str. 17-18
[9]
Nebezpeèný ISA Server. In: Computerworld 16/2001, str. 5
[10] Potøebujete heslo? Staèí zavolat help desk. In: Computerworld 19/2001, str. 17 [11] Agresivita hackerských útokù a jejich úspì nost je okující. In: www.underground.cz