RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Windows 9x

   

Windows 9x:
     Данное семейство операционных систем характеризуется практически полным отсутствием элементарной защиты данных пользователя и неустойчивостью работы, но все зависит от того, как вы работаете с данной сисстемой. Вот один совет: Не устанавливайте ничего лишнего на свой компьютер, время от времени чистите системный реестр и временные папки от засорения специализированными утилитами.

Относительно данных ОС можно посоветовать нижеследующее:
+ Установить все update вышедшие на данный момент (хотя в исправлениях дыр всегда есть еще куча новых дыр, но они хотя бы не так широко известны). Устанавливайте только те update, которые доступны на сайте производителя ПО, на других же сайтах вместо update вы можете получить какой-нибудь вирус или троян.

+ При подключении к интернету (по модемному соединению) убрать все лишние протоколы и службы, такие как NetBios и служба сетей M$oft, оставив только ТСР/IP. Данная ошибка, с наличием локальной сети и выделенных общих ресурсов в сеть пользователем, может позволить просмотр, копирование и изменение файлов с удаленной машины. Также не стоит забывать о включенной в Windows возможности удаленного администрирования и ограничением на длину пароля в данном сервисе в 8 символов, что в сумме с неправильно выбранным паролем делает доступными злоумышленнику все диски данного компьютера для чтения и записи, например перебор пароля длинной 8 символов включающих в себя всю таблицу символов по сети 10 Мб занимает около суток без использования словаря, по этому, если вам по какой либо причине нужны эти сервисы, ни в коем случае не ставьте смысловой пароль и не предоставляйте полный доступ на общие ресурсы.


Windows NT, 2000:
    1. Перво-наперво, как и со всеми операционными системами нужно установить самый последний update выпущенный производителем ОС.
    2. Выключить все неиспользуемые сервисы (особенно это касается Internet Services, таких как FTP, WWW, сервиса удаленного управления реестром и др.).
    3. Установите файловую систему NTFS, которая позволяет разграничить доступ к каждому файлу, находящемуся у вас на диске.
    4. Удалить все упоминание о пользователе Guest(Гость) или группе Everyone в установках пермишенс на корневую и системную директории, запретить локальный и сетевой вход, для всех пользователей оставив только используемых на данной машине, и желательно запретить доступ по сети для пользователя Администратор.
    5. Не использовать для повседневной работы пользователя Администратор, проводить аудит, если есть возможность, всех действий Администратора и периодически проверять их на наличие несанкционированных.
    6. Установить фильтрацию TCP/IP пакетов оставив открытыми только используемые порты (например, для того, чтоб работал www сервер достаточно оставить открытым только 80 порт).
    7. Не используйте автоматический ввод пароля при входе в систему, особено для пользователя Администратор.


Общие рекомендации:
    1. На данный момент существует множество интернет пэйджеров типа ICQ, IRC и других. ПОМНИТЕ, что ваши собеседники не обязательно относятся к вам мирно и лояльно поэтому, не убедившись в этом, не выдавайте личной информации, которая может быть использована против вас или для взлома вашего компьютера, почтовых ящиков и так далее. Желательно указывать о себе как можно меньше информации только то, что необходимо и не более, иначе, основываясь на ваших данных, можно будет провести атаку на пароль того же ICQ с помощью составленного словаря. Скрывайте все, что только можно и, конечно же, свой IP. Не используйте дополнительных сервисов (таких, например как личная страничка в ICQ) так как в них тоже очень много лазеек.
    2. Многие сайты созданы специально для получения данных о посещающих их людях….вывод - не лезьте туда, куда вам не надо или включите в обозревателе максимальную защищенность, т.е. без cookies и скриптов (про ActiveX вообще помолчим, J последние проблемы с безопасностью браузеров Netscape и IE, как раз были основаны на ошибках в ActiveX). Стоит задумываться, какие сайты могут заслуживать вашего доверия, а какие нет, потому что веб сервер, используя множественные ошибки операционной системы от Microsoft может делать с вашим компьютером практически все, что угодно. Без проблем может выкачать у вас любой файл, и вы даже об этом можете так никогда и не узнать, что конфиденциально важная информация стала достоянием общественности. По возможности используйте при выходе в интернет анонимные прокси сервера (в любом поисковике по ключевому слову proxy).
    3. Желательно установить какой-нибудь персональный firewall, который перекроет доступ к лишним портам (AtGuard, ZoneAlarm, Outpost и.т.д.). С помощью firewall вы сможете контролировать доступ программ к интернету.
    4. Ни в коем случае не нужно забывать о таких элементарных вещах как обычный антивирус, что то вроде Dr. Web, AVP, Norton Antivirus и так далее. Имея последние обновления антивирусов можно предупредить заражение компьютера каким-либо трояном или вирусом. Поэтому, помимо firewall рекумендуется и еще какой-нибудь резидентный антивирус...
    5. Самое опасное что может ожидать вас в интернете это конечно обыкновенная почта, иногда несущая в себе "смерть". Уже достаточно давно, в компьютерном мире, существуют вирусы и трояны, которые распространяются с огромной скоростью, посредством интернета и электронной почты. Последние из них, например "I Love You", за считаные дни вывел из строя десятки тысяч компьютеров. Вирус считывал вашу адрессную книгу и отправлял от вашего имени письмо содержащее в себе некоторый текст и скрипт который оседал в вашей системе, используя ошибки в почтовом клиенте Outlook Express (вирус написан на языке Vbscript, технически его может реализовать практически любой студент, изучающий этот язык програмирования), Outlook Express автоматически запускает файлы, которые идут с письмом в attachment, не надо иметь много фантазии, чтобы понять чем это грозит. Также стоит упомянуть вирус Klez, который использовал уязвимость в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений. Предотвратить это можно установив заплатку любезно предоставленую Microsoft. Чтобы вылечить уже зараженный компьютер можно воспользоваться утилитой для лечения Klez (всех версий) предоставленную Лабораторией Касперского.
Ваш почтовый клиент - это следующая ступень вашей защиты после firewall и антивируса, я могу рекомендовать почтовый клиент The BAT, который является одной из лучших программ своем классе, но не стоит забывать, что и в нем были обнаружены уязвимости, которые использовал вирус - Stator.
    6. Если у вас есть локальная сеть и есть зашаренные диски значит вы больше чем потенциальная жертва. Самые примитвные сканеры обнаружат отрытые соединения и смогут подключить ваши ресурсы как сетевые диски. Вот такой сервис можете по незнанию нам оказывать... А что бы этого не случилось обратите внимание на привязку tcp/ip - dial up adapter и оставьте там только привязку к клиенту microsoft network и все будет ок.
    7. Не стоит забывать о снифферах, с помощью которых ваши пароли могут стать достоянием общественности. Чтобы защитить конфеденциальную информации нужно использовать программы шифрования трафика, такие как PGPNet которая входит в комплект программы PGP Freeware.


Человеческий фактор
Часто при попытках проникновения на компьютер, почтовый ящик и т. д. , используются:
+ Не верьте письмам присланным от лица администрации каких либо сервисов в инетрнете с просьбой выслать им пароль в следствии его утери или еще по какой причине (им проще поменять его и выслать вам новый);
+ Ни в коем случае не запускайте файлы присланные вам по почте, ICQ и т.д. без предварительной проверки на вирусы (и даже после оной файлы, от сомнительных людей лучше подвергнуть тщательной проверке, например с помощью антивируса с последним обновлением). Стоит очень хорошо подумать, прежде чем запускать что-то пришедшее "от туда", вот один из самых примитивных способов:
В ICQ, методом социальной инженерии, "хакер" прикидывается девченкой и вступает с жертвой в разговор, заинтресовав разговором он под каким либо предлогом устроит обмен фотографиями, только жертва ему пошлет нормальную фотографию, а "хакер" пошлет обыкновенный троян со стандартной иконкой от jpg файлов и кучей пробелов, но его последние 3 символа все таки будут запускными. Как только жертва подаст команду, троян выполнит свое черное дело, заразив систему и распаковав из своего тела небольшую фотографию. Жертва скорее всего не сразу догадается, о том что произошло, ну а последствия могут быть очень серьезными...


Самые главные правила безопасности в линукс:

В кратце:
1. Ни в коем случае не работать в системе под логином суперпользователя, когда это требуется - использовать команды su, sudo.
2. Закрыть ненужные сервисы.
3. Нужные сервисы прикрыть superdemon xinetd для xinetd.
4. Отредактировать файлы /etc/host.allow и /etc/host.deny.
5. Оптимизировать ядро под ваши конкретные потребности, перекомпилировав ядро.
6. Регулярно обновлять компоненты системы и отслеживать баги вашей системы.
7. Навечно отключить сервисы RPC и telnet (telnet нужно заменить на ssh и включить через xinetd).
8. Включите подробное логирование важных сведений в системе. Используйте программы обнаружения вторжения и обыкновенный tail.


Старайтесь не выдавать сообщения при входе в систему вообще, а тем более с информацией о вашей системе. Знание версии и дистрибутива могут существенно облегчить задачу взломщику.

Запомните, root - единственный пользователь в системе, права которого система не ограничивает. Находясь в системе под этим аккаунтом, вы подвергаете систему серьезному риску, все программы, которые вы запустите, унаследуют неограниченные права. Если злоумышленник взломает одну из запущенных вами программ, то он может получить неограниченные полномочия. Для большей безопасности используйте пользовательский доступ (система ограничивает простых пользователей, контролируя их действия) и когда это необходимо, переключайтесь в режим суперпользователя командой su, sudo.

Ограничьте, до минимума, список пользователей которые, могут пользоваться командами su, sudo. Заблокируйте вход рута для всех удаленных сервисов, ограничьте список локальных консолей, в которые может зайти суперпользователь (/etc/seccure). Также подредактируйте /etc/login.defs, там проставляются параметры входа в систему посредством терминалов.

Linux - система класса SYSTEM 4. Это значит, что работа системных сервисов делится на 6 уровней (runlevel) и каждый уровень соответствует директории, которые активируются и деактивируются симлинками. Подробную информацию вы найдете в соответствующем руководстве.
От вас требуется запустить программу setup и выбрать системные сервисы которые вам нужно загружать на текущем уровне, все остальные нужно отключить.

xinetd демон контролирует указанные порты, при обращени на какой либо, он проверяет права доступа к данному сервису. При положительном исходе он активирует данный сервис. Сервисы ssh, ftp, dhcp, sendmail, imap, pop3, portmap, nfs и некоторые другие можно запускать через сервис xinetd, соответственно настроив файл xinetd.conf. Настраивая сервис, четко прописывайте, кто имеет право доступа к данным сервисам и по возможности запускайте его не из под root.
Не рекомендую закрывать сервисы через xinetd : httpd, dns.

Для демона xinetd есть дополнительная защита в файлах host.deny, пропишите all:all, это запретит доступ всем ко всем сервисам тем, кто не разрешен в файле host.alow. Доступ следует прописывать соответственно: название сервиса и кому он будет доступен. Не открывайте сервис если это вообще не требуется, прописывайте доступ только тем, кому это требуется.

Перекомпилируйте ядро в соответствии с вашими аппаратными требованиями. Не включайте в него необязательные или лишние компоненты, старайтесь переносить большую часть ядра в модули для уменьшения его объемов.
Используйте стабильные версии ядра.

Следите за информацией bugtraq и обновляйте свои компоненты, следите за патчами.

Навечно выключите и забудьте о таких сервисах как, telnet, rpc, rsh, rlogin эти сервисы уязвимы для примитивного прослушивания пакетов, информацию и пароли они передают в незашифрованном виде. Обыкновенный сниффер с легкостью перехватит любую информацию и пароли, которые вы будете передавать посредством этих демонов. telnet замените на ssh, inetd замените на xinetd.

Включите точное логирование всех опасных событий в системе. Используйте сканеры проникновенний в систему, анализаторы сетевого трафика, и программы типа tail, например root-tail. Следите за логами.


14 сентября 2003            FAQ по уязвимостям в DCOM/RPC

В этом документе мы кратко описали способы устранения уязвимостей в RPC DCOM и возможные проблемы, которые могут возникнуть при этом.

1. Отключаем DCOM
 Отключение DCOM – самый эффективный способ предотвращения эксплуатации RPC/DCOM уязвимости. Отключить DCOM можно двумя способами:

  1. Через реестр.
  2. Через утилиту Dcomcnfg.exe.
    1.     Если вы используете WinXP\Server2003, выполните следующие действия:
      •    кликните Component Services под Console Root
      •   Откройте папку Computers.
      •   Для локального компьютера, кликните правой кнопкой мыши на My Computer и затем кликните Properties.
      •    Для удаленного компьютера, кликните правой кнопкой мыши на папку Computers, затем new, и затем кликните Computer.
      •    Введите имя компьютера.
    2. Правой клавишей мыши на имени компьютера кликните на Properties.
    3. Кликните на закладку Default Properties.
    4. Снимите переключатель (check box) Enable Distributed COM on this Computer.
    5. Кликните Apply, чтобы отключить DCOM.
    6. Перезагрузите операционную систему.

Обратите внимание:

  1. Отключение DCOM на Windows pre-SP3

Отключение DCOM на Win2K системах, на которых не установлен Win2KSP3 или более поздний, может не сработать. На таких системах, вы должны сперва установить MS01-041/298012. Отключение DCOM на таких системах будет также работать, если установили Windows 2000 Security Rollup Pack 1 (SRP1/311401), который содержит в себе MS01-041.

  1. Для отключения DCOM на WinServer2003, требуются дополнительные шаги для отключения поддержки DCOM в RPC over HTTP. Об этом можно узнать в следующей статье:

How to Disable DCOM Support in RPC over HTTP on Windows 2003 Servers

  1. Предупреждение Microsoft об отключении DCOM

В статье Microsoft об отключении DCOM, содержится следующее довольно неопределенное предупреждение:

Предупреждение, если Вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того, как вы отключаете поддержку DCOM, может случится следующее:

Потенциально существуют множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM.

  1. Список приложений, которые требуют DCOM или имеют проблемы при отключенном DCOM:
  1. Win95/98 и DCOM

Dcom может быть установлен на Win95/98 системах (DCOM95 1.2), однако заплаты для этих систем не были выпущены, так как Win95/98 системы больше не поддерживаются Microsoft.

  1. WinME

Хотя Dcom и включен в операционную WinME, эта система по словам Microsoft не содержит уязвимый код.

  1. Патч MS03-039 содержит в себе патч MS03-026, который ошибочно могут требовать установить некоторые утилиты проверки установки MS03-026. Если вы используете подобный инструмент, то обратитесь к его производителю, чтобы он внес соответствующие изменения в работу программы.
  2. Уязвимость может эксплуатироваться через 80, 443 или 593 порт. К сожалению, нет подробной информации о способах эксплуатации обнаруженных уязвимостей через эти порты. 

Что такое переполнение буфера
Технология использования переполнения буфера (buffer overflow) стара как мир. Первое наиболее известное применение ее было в вирусе-черве Морриса в далеком 1988 году. Причем сам принцип не зависит от конкретной операционной системы. Как показала практика, везде можно найти уязвимый участок кода.

Сама по себе проблема хорошо известна программистам. Попытаемся рассмотреть ее более подробно с точки зрения специалистов самой Microsoft.

Для того чтобы произошло переполнение буфера, необходимо наличие многих факторов включая следующие:

• использование языка программирования, не обеспечивающего безопасность типов (non-type-safe), такого, как C/C++;
• доступ к буферу или копирование буфера небезопасным способом;
• размещение компилятором буфера в памяти рядом с критическими структурами данных.

Рассмотрим каждое положение более детально.

Переполнение буфера — прежде всего проблема C/C++, потому что в этих языках программирования не выполняется никаких проверок границ массива и проверок типов переменных. В результате такого подхода увеличивается скорость работы программы. Переполнение буфера существует и в других языках, но такие случаи редки. И если такая ошибка существует, то это обычно не ошибка разработчика, а скорее ошибка времени выполнения (run-time error).

Далее. Если программа берет данные от пользователя (или нападающего) и копирует их в свой буфер без проверки размера, то вы можете переполнить буфер.

Наконец, и это наиболее важный момент, буферы часто помещаются компилятором рядом с "интересными" структурами данных. Например, в случае вызова функции, которая имеет буфер в стеке, адрес возврата функции помещается в память после буфера. И если нападающий сможет переполнить буфер, он может записать поверх правильного адреса возврата свои данные, и возврат из функции произойдет по адресу, определенному нападающим. Другие интересные структуры данных включают v-таблицы C++, адреса обработчиков исключительных ситуаций (exception handler addresses), указатели на функции и т.д.
Дальше без рассмотрения конкретного учебного примера нам не обойтись.
Посмотрите, что неправильно в этом коде:

void CopyData(char *szData) {
char cDest[32];
strcpy(cDest,szData);
// использование cDest
...

Удивительно, но не может быть ничего неправильного в этом коде. Все зависит от того, как происходит вызов функции CopyData().
Например, следующий код безопасен:
char *szNames[] = {"Michael", "Cheryl","Blake"};
CopyData(szName[1]);

Этот код безопасен, потому что имена жестко закодированы, и точно известно, что длина любой строки не превышает 32 символа. Следовательно, запрос к strcpy всегда безопасен. Однако, если единственный аргумент для функции CopyData() поступает из ненадежного источника, такого, как сокет или файл, то strcpy будет копировать данные до тех пор, пока не встретит нулевой символ, и, если эти данные будут больше, чем 32 символа, то буфер cDest будет переполнен, и вся память выше буфера будет затерта, перезаписана. К сожалению, в этом случае затертые данные — это адрес возврата из функции CopyData(). А это означает, что, когда функция CopyData() закончит работу, программа продолжит выполнение из места, указанного нападающим. Это плохо.

Для предотвращения переполнения буфера специалисты из Microsoft рекомендуют:

• переносить приложения и инструментальные средства с родного Win32 C++ кода на управляемый код. Естественно, вы должны быть реалистами и не пытаться за один вечер переместить все ваши разработки с C++ на C# или другой язык.
• при написании кода на C/C++ вы должны обращать особое внимание на управление пользовательскими данными:
— требуйте, чтобы код передавал длину буфера;
— проверяйте передаваемые данные на допустимость значений;
— защищайтесь. Скажем, в вышеприведенном примере вместо strcpy используйте более безопасную функцию strncpy.

Итак, переполнение буфера успешно выполнено. Теперь задача хакера — внедрить в систему свой код, желательно, но не обязательно, переданный в той же строке. Эта задача не проста, но выполнима.

Если внедрить свой код не удалось, то найденная уязвимость отлично подойдет для организации DoS-атаки (отказ в обслуживании). Поскольку возврат из функции совершается на произвольный адрес, то программа или даже операционная система может аварийно завершиться, что и требовалось. Остается только подобрать длину буфера.

Новые уязвимости и защита
Итак, теперь мы владеем основами для того, чтобы лучше разобраться в сути стоящих проблем.

MS03-026: переполнение буфера RPC
Как уже упоминалось, в основе протокола RPC лежит другой протокол — OSF (Open Software Foundation) RPC. Используемый в Windows протокол RPC представляет собой расширенную версию последнего.

Одно из таких расширений, которое отвечает за обмен сообщениями по TCP/IP, является уязвимым местом. Обработка некорректно составленных сообщений может привести к сбою в работе системы. Это уязвимое место связано с интерфейсом DCOM, который ведет прослушивание портов RPC. Этот интерфейс обрабатывает запросы на активацию объектов DCOM, отправляемых клиентскими компьютерами на сервер, например, запросы путей в стандартном формате записи имен (UNC). Злоумышленник, которому удастся воспользоваться этим уязвимым местом, получит возможность запускать на компьютере пользователя собственный код от имени учетной записи "Локальный компьютер". Он сможет выполнять в системе любые действия, в том числе устанавливать программы, просматривать данные, изменять и удалять их, а также создавать новые учетные записи с полными правами.

Чтобы воспользоваться уязвимостью, злоумышленник должен направить на порты 135, 139, 445 или любой другой специально настроенный RPC-порт удаленного компьютера специальный запрос. Внутри локальной сети эти порты обычно открыты.

Защита: установить соответствующий патч. Прочтите об этом ниже в разделе про MS03-039.
Обратите внимание: система, исправленная патчем, выпущенным для уязвимости MS03-026, все еще остается незащищенной для уязвимости, объявленной в MS03-039 (об этом см. далее).

В качестве временного решения Microsoft в разных статьях предлагает:
• заблокировать UDP-порты: 135, 137, 138 и 445.
• заблокировать TCP-порты:
69 (TFTP), 135, 139, 445;
593 — используется RPC over HTTP End Point Mapper, эта служба нужна для работы RPC over HTTP;
4444 — используется удаленной командной оболочкой.
• отключить COM-службы Интернета (CIS) и RPC over HTTP, которые ведут прослушивание портов 80 и 443.
• кроме того, необходимо закрыть все остальные RPC-порты удаленного компьютера, которые, возможно, были специально настроены.

Для блокировки портов в Windows XP, Windows 2003 нужно использовать встроенные брандмауэры (файрволы). В операционных системах Windows 2000 и Windows NT отсутствует брандмауэр подключения к Интернету, поэтому предлагается воспользоваться фильтрами TCP/IP.

Для защиты обмена данными по сети между компьютерами под управлением Windows 2000 можно использовать протокол IPSec (Internet Protocol Security).

Также предлагается отключить DCOM на всех компьютерах, которым угрожает опасность, но при этом объекты этого компьютера не смогут взаимодействовать с объектами других компьютеров. Для домашних ПК это небольшая потеря.
После отключения протокола DCOM на удаленном компьютере вы уже не сможете удаленно подключить его заново. Теперь для его подключения вам потребуется физический доступ к компьютеру.

Для отключения DCOM запустите Dcomcnfg.exe, выберите закладку Свойства по умолчанию, снимите галочку с Разрешить использование DCOM на этом компьютере, нажмите кнопку Применить и OK. Dcomcnfg.exe облегчает установку значений по умолчанию в системном реестре, которые применяются ко всем приложениям на компьютере.

Также можно просто выполнить REG-файл следующего содержания:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

либо выполнить команду (в одну строку):
reg add \\<hostname>\HKLM\ Software\Microsoft\OLE /v Ena-bleDCOM /t REG_SZ /d N /f

После этого необходимо перезагрузить компьютер.

Примечание: отключение DCOM на компьютере не имеет никакого воздействия на локальные COM-объекты. Даже если вы отключили DCOM, а пользователь имеет физический доступ к компьютеру, то он может запустить сервер при условии, если это явно не запрещено.
Список приложений (неполный), которые требуют DCOM или имеют проблемы при отключенном DCOM:

• Microsoft Access Workflow Designer.
• FrontPage с Visual Source Safe на IIS.
• BizTalk Server schedule client.
• Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с MS SNA Server.
• Microsoft Exchange Conferencing Server.
• Dell entire Open Manage suite.
• Veritas Backup Exec, Network based backup.
• Citrix NFuse Elite.
• Sophos (Antivirus) Enterprise Manager.
• SMS 2.0.

Впервые бюллетень MS03-026 и соответствующее исправление в системе безопасности были выпущены корпорацией Microsoft 16 июля 2003 г. И, как всегда, проигнорированы многими системными администраторами. А уже 11 августа 2003 г. Microsoft начала исследование компьютерного червя, о котором сообщили службы поддержки продуктов Microsoft, а группа Microsoft Security Team выпустила соответствующее оповещение. Этот червь представляет собой компьютерный вирус, который обычно распространяется по сетям без участия пользователя и создает свои точные копии, иногда с небольшими изменениями. Он выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. 

Этот червь и его разновидности известны под именами W32.Blaster.Worm и W32.Lovsan.Worm. Отправленный в систему пользователя код загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto up-date" = msblast.exe I just want to say LOVE YOU SAN!! bill
Уязвимым оказалось все семейство операционных систем на базе NT: Windows 2000, XP, 2003.
Признаки заражения этим вирусом следующие:

• наличие необычных файлов TFTP.
• появляются сообщения об ошибках: "Служба удаленного вызова процедур (RPC) неожиданно прервана. Система завершает работу. Сохраните результаты выполняемых задач и выполните выход из системы. Любые несохраненные изменения в данных будут потеряны. Это завершение работы инициировано пользователем NT AUTHORITY\SYSTEM".
• компьютер отключается или перезагружается через небольшие промежутки времени.
• в папке Windows\System32 имеется один из файлов с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.

Некоторые способы защиты мы уже рассмотрели выше.

MS03-039: переполнение буфера в службе RPCSS может привести к запуску кода
10 сентября 2003 г. корпорация Microsoft опубликовала бюллетень MS03-39, посвященный обнаружению сразу трех серьезных уязвимостей в системе безопасности операционной системы Microsoft Windows, классифицируемых по шкале угроз компании как "критические" (Critical).

В который раз уязвимым опять оказалось все семейство операционных систем на базе NT.

Опубликованный в рамках данного бюллетеня патч устраняет уязвимость, описанную в распространенном ранее бюллетене MS03-026, а также три новых дефекта в системе безопасности Microsoft Windows. Два из них могут привести к запуску произвольного кода на пораженном компьютере, а один — к организации DoS-атаки. Первопричина уязвимостей кроется, как всегда, в ошибочной обработке неправильных пакетов.

RPCSS.EXE — это так называемый resolver/end-point mapper process, который выполняется прежде любых удаленных DCOM-запросов. RPCSS представляет собой WinNT сервис, запускающийся при старте системы.

Для ликвидации угрозы необходимо скачать и установить соответствующие патчи.
Эти патчи заменяют собой исправления для MS03-26 и MS01-048.

Кроме того, остаются в силе все рекомендации по временной защите, приведенные в бюллетене MS03-26.

Чтобы убедиться, что в системе установлен необходимый патч:

• в Windows 2000 проверьте наличие ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Updates\Windows 2000\SP5\KB824146
• в Windows XP с установленным SP1 проверьте наличие ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Updates\Windows XP\SP2\KB824146
• в Windows 2003 Server проверьте наличие ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Updates\Window Server 2003\SP1\KB824146
MS03-034: дыра в NetBIOS может привести к раскрытию информации
И совсем уж незамеченным на этом фоне проскочил бюллетень MS03-034 от 4 сентября. Возможно, эта уязвимость не так критична, а возможно, ее время еще не пришло. Уязвима, опять-таки, вся линейка ОС Windows: NT, 2000, XP, 2003.
Проблема в защите MS Windows была в том, что атакующий мог удаленно по сети просматривать память компьютера. Эта уязвимость касается одного из сервисов NetBIOS over TCP/IP (NetBT), называемого NetBIOS Name Server (NBNS).
Сервис NBNS стандартно используется для нахождения IP-адреса компьютера по его NetBIOS имени, и наоборот. При некоторых условиях ответ на NBNS-запрос в дополнение к обычному ответу может содержать случайные данные из памяти компьютера адресата. 
Этими данными может быть часть HTML-страницы, если пользователь на компьютере адресата использует браузер Интернет, или это могут быть другие типы данных, которые существовали в памяти в то время, когда компьютер адресата отвечал на запрос NBNS. Атака может проводиться на UDP-порт номер 137.
Необходимо установить следующие патчи:
• для Windows 2000: Windows2000-KB824105-x86-RUS.exe;
• для Windows XP: Win-dowsXP-KB824105-x86-RUS.exe;
• для остальных систем также имеются соответствующие заплатки.
Временные решения, предлагаемые Microsoft, такие:
• заблокировать порты TCP и UDP 137, например, файрволлом;
• настроить фильтры IPSec;
• запретить NetBT (NetBIOS over TCP/IP).
Эти способы являются временными мерами. Они могут только помочь блокировать пути нападения, но не исправляют основную уязвимость.
Эксплоит или полезная утилита?
12 августа появился эксплоит KaHT2, использующий уязвимости RPC DCOM. Он работает против большинства версий Windows, поддерживает макросы, доступен его исходный код. Короче говоря, в наше время не нужно быть суперхакером, чтобы заниматься взломом чужих систем — достаточно вовремя скачать нужную утилиту. 
С другой стороны, KaHT2 оказался полезен автору этих строк не только для того, чтобы выявить уязвимые системы и установить необходимые заплатки, но и для того, чтобы убедить пользователей и администраторов сделать это.
Кстати, KaHT2.exe опознается антивирусным пакетом DrWeb 4.30a — как Exploit. DCom.6, антивирусом Касперского 4.5 как Exploit.Win32. DCom.Y. 
Но, естественно, нападающий не будет у себя на компьютере лечить этот файл, а заблокировать сетевую атаку антивирус не сможет, если только не скрестить антивирус и файрволл, как это уже сделала компания F-Secure со своим пакетом F-Secure AntiVirus Client Security. 
И, опять же, скачав исходные тексты и немного поправив их, можно сделать так, что антивирус "не узнает" новую версию "утилиты".
Есть и другие утилиты-сканеры на предмет уязвимости DCOM, например, от самой Microsoft (утилита KB824146 scan.exe легко находится на сайте, но она не работает под Win9*) или от авторов XSpider. Правда, в отличие от KaHT2, они лишь сообщают о проблеме и никак не влияют на стабильность работы сканируемой системы.
Для оценки защищенности (но не только для уязвимостей MS03-026 и MS03-039) Microsoft выпускает бесплатную утилиту — Microsoft Baseline Security Analyzer (MBSA).
Для проведения анализа с ее помощью, локально или удаленно, вы должны иметь права администратора. Утилита предназначена для серверов или рабочих станций, работающих под WinNT/2K/XP/.NET.
Чтобы решить, какую утилиту от Microsoft использовать, просмотрите следующую таблицу:

Задачи

Microsoft Baseline Security Analyzer

KB824146scan.exe

Сканирование для 824146 (MS03-039)

да

да

Сканирование для 823980 (MS03-026)

да

да

Запуск сканирования без административных привилегий на целевой системе

нет

да

Сканирование на предмет других уязвимостей

да

нет

Выявление проблем в конфигурации безопасности

да

нет

Выявление слабых паролей

да

нет

Что делать?
Вопрос "кто виноват?" мы подробно рассмотрели выше. Каждый может подобрать ответ по своему разумению. Теперь попробуем понять, что же делать дальше. Обратимся к опыту самой Microsoft. Специалисты корпорации предлагают инструкцию, состоящую из трех шагов. Итак:
Шаг 1. Используйте интернет-брандмауэр (firewall). До того, как вы подключите свой компьютер к Интернет, вам необходимо установить файрволл. Я бы добавил, что файрволл на своем компьютере необходимо иметь, даже если ваша локальная сеть не имеет выхода в Интернет. Файрволл — это первый эшелон вашей защиты. Если вы используете Win2K\ME\98\95\NT, вы должны установить софтверный или хардверный файрволл. Далее следует список знакомых всем хотя бы по названиям софтверных файрволлов: Black-ICE PC Protection, McAfee Security, Symantec, Tiny Personal Firewall, Zone Alarm. Лично я бы рекомендовал Agnitum Outpost Firewall v2.
Сейчас на время отвлечемся от рекомендаций-шагов Micro-soft и коротко рассмотрим опасности, поджидающие нас в сети.
Главная проблема безопасности связана с тем, что, получая доступ к ресурсам многих тысяч и миллионов компьютеров в Интернете или даже нескольких десятков в вашей локальной/корпоративной сети, вы одновременно предоставляете доступ, в той или иной степени, к ресурсам вашего компьютера со стороны других компьютеров сети. Поэтому при работе в сети:
— вы можете подвергаться атакам, например, того же Lovesan/Blaster;
— на вашем компьютере могут начать исполняться, например, при отображении на активных web-страницах, содержащих ActiveX или Java-апплеты, поступившие извне программы, которые в принципе могут выполнять на вашем компьютере любые действия — например, передавать файлы с вашей частной информацией другим компьютерам в сети, причем управлять работой удаленных компьютеров вы не имеете возможности;
— другие компьютеры в сети могут получить или попытаться получить доступ к файлам на вашем компьютере;
— на вашем компьютере может размещаться информация типа Cookie или Referrers, по которой другие компьютеры сети смогут определить, к какой информации вы обращались;
— на вашем компьютере могут быть размещены без вашего ведома троянские программы, т.е. программы, передающие приватную информацию, например, пароли или номера кредитных карточек, с вашего компьютера на компьютер злоумышленника. Основным отличием троянца от программ-вирусов является именно то, что вирус, попавший на ваш компьютер, никак не связан со своим создателем, а троянец как раз и предназначен для последующего взаимодействия с пославшим его злоумышленником;
— вместе с запрашиваемой в компьютер загружается и ненужная информация рекламного характера — баннеры, всплывающие окошки, флэш-ролики. Хотя сами по себе эти объекты, как правило, не могут вызвать потерю или искажение информации на компьютере, однако они существенно увеличивают время загрузки веб-страниц, особенно при работе через модем;
— на вашем компьютере без вашего ведома может быть размещена Spyware — программа, которая передает своему разработчику информацию о владельце компьютера и его пристрастиях — например, информацию о получаемых из сети файлах.
Система Outpost Firewall относится к разряду персональных брандмауэров и обладает следующими основными свойствами:
— русский/английский интерфейс и документация;
— возможность использования сразу же после установки без необходимости предварительной настройки;
— возможность использования большого количества настроек для ограничения доступа из сети и выхода в сеть работающих приложений. Говоря конкретнее, при использовании Outpost Firewall вы можете ограничить список приложений, получающих доступ в сеть, при этом для каждого из этих приложений указать список допустимых протоколов, портов, направлений обращения;
— возможность создания "невидимого" режима работы, при котором остальные компьютеры в сети не в состоянии обнаружить ваш компьютер;
— совместимость со всеми версиями Win95/98/ME/NT/2K/XP и низкие системные требования: минимум iP-166, RAM 16 Mb, 4 Mb свободной памяти на жестком диске.
— используя Outpost Firewall, вы можете запретить или ограничить поступление на локальный компьютер незатребованной информации, в частности: баннерной рекламы, всплывающих окон в web-страницах, данных с определенных web-страниц; ограничить или запретить использование программных компонент, встроенных в веб-страницы, таких, как Java-апплеты и программы на языке JavaScript, ActiveX и т.д.; ограничить или запретить использование Cookie.
— возможность определить зону "дружественных" IP-адресов — например, адресов локальной сети, в которой установлен ваш компьютер. В этой зоне Outpost Firewall не будет осуществлять контроль и ограничивать сетевой обмен;
— Outpost Firewall может выдавать предупреждение при попытке атаковать ваш компьютер из сети и предотвращать такие попытки;
— при всем прочем Outpost Firewall ведет необходимые протоколы, которые можно просмотреть, распечатать, экспортировать, отфильтровать и т.д.

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004