Пряме підключення до спільно використовуваних ресурсів Win 9x

Цей метод проникнення у видалену систему Win 9x є найочевиднішим і легко здійсненним. Win 9x підтримує три способи діставання прямого доступу до системи: шляхом підключення до спільно використовуваних файлів і принтерів; через компонент сервера видаленого доступу (за умовчанням не встановлюється); за допомогою видаленого маніпулювання системним реєстром. Останній спосіб вимагає спеціального налаштування і знання системи зашиті на рівні користувачів, т те за межами корпоративних мереж трапляється украй рідко.
Що стосується першого методу проникнення, то він грунтується на отриманні відомостей, передаваних видаленим користувачем при його підключенні до спільно використовуваного ресурсу комп'ютера, що працює під управлінням Win 9х. Оскільки користувачі часто використовують одні і ті ж паролі, така інформація може полегшити діставання доступу і до самої системи. Більш того, це може привести до проникнення в інші системи мережі.

Хзкинг спільно використовуваних файлів і принтерів Win 9x

Ми не знаємо жодного методу, за допомогою якого можна було б отримати хоч якусь користь від доступу до спільно використовуваного принтера Win 9x, тому присвятимо частину розділу, що залишилася, виключно проблемі доступу до спільно 'використовуваних файлів Win 9x.
При розгляді інструментальних засобів і методів, які можуть використовуватися зломщиками для сканування мереж в пошуку спільно використовуваних ресурсів Windows (див. розділ 3) наголошувалося, що деякі з них також володіють можливістю підбору пароля для діставання доступу до виявлених ресурсів. Однією з таких утиліт є вже відома нам програма Legion. Окрім забезпечення сканування заданого діапазону IP-адресов у пошуках сумісних використовуваних ресурсів Windows, Legion також містить засіб злому паролів (засіб BF). за допомогою якого можна спробувати підібрати пароль за списком, що міститься в текстовому файлі, і автоматично підключитися, якщо спроба завершилася вдало. Абревіатура BF означає "Brute force", тобто злом, проте коректніше називати цю функцію "підбором пароля", оскільки вона базується на використанні списку паролів. Одна рада: кнопка Save Text головного вікна програми Legion призначена для збереження імен виявлених спільно використовуваних ресурсів в текстовому файлі, що підвищує зручність роботи при введенні значення в полі Path вікна Force Share (мал. 4.1).

Мал. 4.1. Засіб BF програми Legion дозволяє підібрати пароль до спільно використовуваного ресурсу Windows

Шкода, яка може нанести зловмисник, доступ, що отримав таким чином, до системи, залежить від каталога, до якого він підключився. Якщо в цьому каталозі знаходяться файли, критичні для безпеки, або ж якщо даним ресурсом є цілий розділ жорсткого диска (чим нерідко грішать користувачі), то наслідки можуть опинитися справді руйнівними. Зломщик може просто помістити виконуваний файл в каталог %systemroot%\Start Menu\programs\startup, і при подальшому перезавантаженні комп'ютера дана програма буде автоматично запущена без відома користувача. (Приклади програм, які можуть бути упроваджені в систему таким чином, приведені в наступному розділі цього розділу, присвяченому одній з таких програм, — Back Orifice). Нарешті, у розпорядженні хакера може опинитися файл PWL (про це ми поговоримо декілька пізніше).

Контрзаходи: захист від хакинга спільно використовуваних файлів

Захиститися від подібного нападу дуже легко. Достатньо попросту відключити режим сумісного використання файлів на комп'ютері з Win 9x! Системним адміністраторам, у веденні яких знаходиться багато комп'ютерів, ми радимо використовувати редактор системної політики (System Policy Editor) POLEDIT. EXE, за допомогою якого можна заборонити сумісний доступ до файлів і принтерів на всіх комп'ютерах мережі. Програма POLEDIT . EXE, вікно якої ви бачите на мал. 4.2, входить до складу комплекту Windows 9x Resource Kit (далі — Win 9x RK). Знайти її можна в каталозі \tools\reskit\netadmin настановних компакт-дисків системи Win9x .
Якщо вам все ж таки необхідно вирішити сумісне використання ресурсів, обов'язково застосовуйте складні паролі з восьми алфавітно-цифрових символів (на жаль, в системі Win Ех — це максимальна довжина пароля), а також метасимволів (тобто [ ! @ # $ % &) і символів ASCII, що управляють. Крім того, має сенс додати до імені спільно використовуваного ресурсу символ $, як показано на мал. 4.3. щоб це ім'я не відображалося в теці Network Neighborhood при використанні команди net view і навіть в результатах, отриманих в ході сканування мережі за допомогою утиліти Legion.

Мал. 4.2. З використанням редактора системної політики Windows 9x адміністратор мережі може заборонити користувачам надавати ресурси своїх комп'ютерів для сумісного або видаленого доступу

Мал. 4.3. Набавивши символ $ до імені спільно використовуваного ресурсу, ви тим самим зробите його "невидимим" в мережевому оточенні, а також для багатьох утиліт сканування NETBIOS

Повторне використання даних . аутентифікації Win 9x

5 січня 1999 року група дослідження питань безпеки, відома під назвою Lopht, обнародувала документ, що містить інформацію про виявлену нею ваду в процедурі мережевої аутентифікації, що виконується при наданні доступу до спільно використовуваних файлових ресурсів. Тестуючи чергову версію свого сумнозвісного засобу Lophtcrack. призначеного для злому і скритного розкрадання паролів (див. розділ 5). було встановлено, що система Win 9x, на якій встановлений режим сумісного використання файлів і принтерів, кожні 15 хвилин звертається до видаленого комп'ютера за підтвердженням з'єднання. Оскільки система Windows в цьому запиті використовує комбінацію хэш-кода пароля і імені видаленого користувача, а також враховуючи, що ім'я користувача передається у вигляді незакодованого тексту, зломщик може просто переслати перехоплений ним запит на аутентифікацію і успішно підключитися до спільно використовуваного ресурсу системи Win 9x. Якщо все це відбудеться протягом 15 хвилин, хешировпнний пароль буде ідентичним.
Хоча цей випадок є класичною криптографічною помилкою, яку компанія Microsoft просто не повинна була допустити, даною вадою дуже важко скористатися. У документі групи Lopht мовиться про можливість модифікації початкового тексту популярного мережевого клієнта Windows для UNIX під назвою Samba  в цілях ручного відновлення потоку даних, передаваних по мережі при аутентифікації. Проте рівень кваліфікації програміста, необхідний для успішного вирішення цього завдання,, а також необхідність мати доступ до локального мережевого сегменту для прослуховування якого-небудь з'єднання робить повсюдне розповсюдження даного підходу маловірогідним.

Хакинг сервера видаленого доступу Win 9x

Показаний на мал. 4.4 компонент Windows Dial-up Server, що входить до складу Win 9x, — це ще одна "приємна несподіванка" для системного адміністратора. Будь-який користувач, встановивши пакет Microsoft Plus! for Windows 95 і підключивши модем, може створити пролом в системі захисту корпоративної мережі (пакет Microsoft Plus! входить в стандартний комплект постачання Win 98).
Система, що функціонує як сервер видаленого доступу, як правило, вирішує і сумісний доступ до файлів (інакше встановлювати сервер видаленого доступу немає ніякого сенсу). Це означає, що користувач, що знаходиться по той бік модемного з'єднання, може провести інвентаризацію всіх спільно використовуваних ресурсів і спробувати підібрати паролі (якщо, звичайно, вони взагалі використовуються). Про це вже згадувалося в попередньому розділі. Вся відмінність в підходах полягає лише у встановленні зв'язку не по локальній мережі, а через сервер видаленого доступу.

Мал. 4.4. Перетворити систему Win 9х в сервер видаленого доступу надзвичайно просто

Контрзаходи: захист від хакинга через видалені з'єднання

Зовсім не дивно, що рекомендації залишаються колишніми. По-перше, самі не використовуйте сервер видаленого доступу Win 9х а по-друге, за допомогою редактора системної політики забороните його встановлювати і користувачам. Якщо ж видалений доступ все-таки дуже необхідний, обов'язково встановлюйте пароль для вхідних підключень і забезпечте його шифрування. (Такий режим можна встановити в діалоговому вікні Server Турі, яке відкривається після клацання на однойменній кнопці діалогового вікна властивостей Dial-up Server). Можна також перейти до аутентифікації на рівні користувача, тобто виконувати аутентифікацію за допомогою сервера безпеки, такого як контроллер домена Windows NT або сервер Netware. Встановите пароль для доступу до кожного спільно використовуваного ресурсу (причому чим складніше пароль, тим краще), а також зробіть ці ресурси прихованими, додавши до їх імен символ $.
Зломщик, якому вдасться проникнути через сервер видаленого доступу і підібрати пароль до спільно використовуваних ресурсів, може скористатися будь-якою інформацією, яку він виявить в теках, що відкрилися йому, і файлах. Проте він не зможе проникнути в мережу безпосередньо через систему Win 9x, оскільки вона не забезпечує маршрутизацію потоку даних.
Необхідно також пам'ятати, що видалені з'єднання (DUN — Dial-up Networking) вже давно не є виключно модемною технологією. Тепер можливості видаленого доступу використовуються у віртуальних приватних мережах (VPN — Virtual Private Networking), про які ми поговоримо в розділі 9. Тому нам здається, що необхідно сказати пару слів про одне з найважливіших з погляду забезпечення безпеки модулі оновлення вбудованої підтримки мереж VPN в Win 9x. Цей модуль, званий Dial-up Networking Update 1.3 (DUN 1.3), дозволяє системі Win 9х устанаштівать захищеніші з'єднання з серверами віртуальної приватної мережі Windows NT. Якщо ви використовуєте технологію VPN компанії Microsoft, не роздумуючи встановите модуль DUN 1.3. DUN 1.3, як ми незабаром переконаємося, дозволяє також захиститися від порушення роботи із-за виникнення умови DOS.
Докладніше про недоліки видаленого доступу і мереж VPN ми поговоримо в розділі 9.

Видалений хакинг системного  реєстру Win 9x

На відміну від Windows NT, система Win 9x не містить вбудованих засобів підтримки видаленого доступу до системного реєстру. Проте якщо встановлений компонент Remote Registry Service (RRS), який можна знайти на настановному компакт-диску Windows 9х в каталозі \admin\nettools\remotreg. то це стає цілком можливим. Для роботи служби RRS необхідно перемкнутися в режим захисту на рівні користувачів. Отже, для діставання доступу потрібно буде вести правильне ім'я користувача. Якщо зломщикові повезе і йому попадеться система зі встановленим компонентом RRS і спільно використовуваним каталогом, доступним для запису, а також якщо йому вдасться дізнатися яке-небудь ім'я користувача і підібрати відповідний пароль, то в результаті він зможе зробити з такою системою все, що тільки побажає. Чи легко відвести від себе таку загрозу? Нам здається, що так. Більш того, щоб її створити, треба немало потрудитися. Якщо ви хочете встановити службу RRS, обов'язково виберіть хороший пароль, і це буде досить. Інакше не встановлюйте цей компонент взагалі і спите спокійно, знаючи, що всі спроби дістати доступ до реєстру закінчаться нічим.
Остання в нашому переліку, але далеко не остання по ступеню риски і наслідкам загроза видаленого проникнення полягає у використанні протоколу SNMP (Simple Network Management Protocol). В розділі 3, ми вже говорили про те, що цей протокол може з успіхом застосовуватися для інвентаризації комп'ютерів, що працюють пів управлінням Windows NT, на яких запушений агент SNMP, налаштований на використання встановлених за умовчанням рядків доступу типу public. To же саме відноситься і до системи Win 9x, якщо на ній встановлений агент SNMP (відповідний модуль можна знайти в каталозі \tools\reskic\netadmin\snmp настановного компакт-диска). Проте підтримка протоколу SNMP в Win 9x відрізняється від його реалізації в Windows NT тим, що при цьому не повідомляється інформація про імена користувачів і спільно використовуваних ресурсів, оскільки в Win 9x реалізована версія 1 інформаційної бази Ml В. Таким, що управляє, образом, в даному випадку можливості по використанню протоколу SNMP обмежені.