Форум

Безопасность в твоих руках. Конфигурирование MS Windows XP

teleprogi — Sun, 06 Jan 2013 13:17:39 GMT

Безопасность в твоих руках. Конфигурирование MS Windows XP

Сегодня мы поговорим о способах защиты компьютера путем конфигурирования ОС Windows XP. Необходимость этого, прежде всего, связана с атакой и взломом самих настроек операционной системы, а также использованием ее ошибок. Заранее предупреждаю, что при управлении службами вы должны быть внимательными и запоминать, какие службы отключаются.

Итак, начнем с простого. Одним из способов распространения угроз является переполнение буфера. Напомню, что это запись данных в выделенную область памяти, которая превышает предельный для нее заявленный объем. В результате чего данные, не вмещающиеся в буфер, записываются в соседние области памяти и могут повредить их содержимое. Новые, 64-разярядные процессоры от AMD и Intel имеют аппаратные средства защиты от переполнения буфера, а в ОС Windows это организовано одноименным модулем защиты DEP (Data Execution Prevention). Этот модуль вы найдете тут: Пуск – Настройка – Панель управления – Система, далее во вкладке Дополнительно ищем Параметры быстродействия и выбираем вкладку Предотвращение перевыполнения данных.

Самый надежный способ защиты — это отказ от возможности обмена файлами по локальным сетям и через Интернет. Для этого, предварительно отключив сетевое подключение, нам необходимо пройти к его свойствам: Пуск – Настройка – Сетевые подключения, выбрать ваше подключение и открыть свойства. Удалить в свойствах подключения все, что бы остался только Протокол TCP/IP. Далее ищем в свойствах протокола TCP/IP раздел WINS, в котором нам необходимо отключить NetBIOS и снять галочку, где стоит Включить просмотр LMHosts.

Для предотвращения заражения посредством автоматического запуска содержимого съемных носителей необходимо отключить автозапуск для всех типов дисков. Чтобы не рыться в ключах реестра, посоветую хорошую программу, которая сама все за вас сделает – Panda Research USB Vaccine.

А теперь перейдем к основным источникам внедрения угроз – службам операционной системы. Основной задачей при отключении служб является закрытие сетевых портов, это предотвращает эксплуатацию уязвимостей системных сервисов и других установленных программ посредством сетевых атак. Как только служба прекращает работу, используемый ею сетевой порт перестает быть открытым. Другие службы рекомендуется отключать потому, что сами функции, которые они предлагают, могут быть использованы в злонамеренных целях. И, несомненно, плюсом от отключения служб является высвобождение ресурсов оперативной памяти.

Для закрытия наиболее атакуемых сетевых портов Windows рекомендуется использовать специальную программу – Windows Worms Doors Cleaner. Достоинством этой программы является то, что она не полностью отключает службы, а закрывает их используемые порты через правку реестра. Эти действия защищают ОС от нежелательных ошибок в реестре при правке вручную.

Остальное, к сожалению, придется делать вручную через администрирование служб. Пройти к менеджеру служб можно через Пуск – Настройка – Панель управления – Администрирование – Службы.

В списке служб понадобится выбрать службу, два раза кликнуть по ней и в открывшемся окне свойств выбрать Выключено. Если по необходимости некоторые службы вами будут использоваться - выставлять Авто. Обратите внимание на пояснение, так как вы должны сами понимать, используется эта служба операционной системой или нет, службы без описания можно просто отключить (при этом имейте в виду, что установка, скажем, антивирусной системы или же сетевого экрана, как правило, ведет к созданию соответствующей службы. Например, Agnitum Client Security Service у продуктов Agnitum Ltd. – Евгений Кучук).

NVIDIA Display Driver Service;
ASP.NET State Service;
DHCP-клиент (позволяет компьютеру получать динамический IP-адрес, а также выполнять обновление DNS, следовательно, выключаем, если у вас нет подключения к Интернету через модем);
DNS-клиент (выполняет запросы на соотнесение доменных имен и IP-адресов, после чего сохраняет их в кэше и позволяет не обращаться к DNS-серверу повторно);
Machine Debug Manager;
NetMeeting Remote Desktop Sharin (служба разрешает получать доступ к удаленному рабочему столу с использованием ресурса NetMeeting); NET Runtime Optimization Service,
Office Source Engine ;
QoS RSVP;
Windows Media Player Network Sharing Service ;
Автоматическое обновление;
Брандмауэр Windows/Общий доступ к Интернету (ICS);
Веб-клиент (данный ресурс предназначен для обеспечения доступа к файлам, размещенным в Интернете. С помощью данной службы приложения Windows способны создавать, получать доступ и изменять файлы в сети Интернет);
Вторичный вход в систему (отключаем, если вы единственный пользователь на компьютере);
Диспетчер сетевого DDE (этот сервис организует динамический обмен данными между компьютерами в локальной сети, но никак не затрагивает Интернет);
Доступ к HID-устройствам (служба предназначена для поддержки клавиш быстрого доступа на различных устройствах ввода или управления); Координатор распределенных транзакций;
Маршрутизация и удаленный доступ;
Модуль поддержки NetBIOS через TCP/IP(отключаем через Windows Worms Doors Cleaner);
Планировщик заданий;
Сервер папки обмена;
Служба COM записи компакт-дисков IMAPI (отключать, если не пользуетесь встроенными возможностями Windows для записи);
Служба Windows Media Connect;
Служба восстановления системы (специализированные программы намного лучше);
Служба времени Windows (Синхронизирует время через Интернет);
Служба загрузки изображений (WIA);
Служба индексирования (предварительно нужно на всех дисках снять галочку, где установлено "Разрешить индексирование для быстрого поиска". От отключения службы поиск не замедляется);
Служба обнаружения SS (Назначение этой службы - обнаружение сетевых устройств Universal Plug and Play в локальной сети, таких как принтеры или МФУ);
Служба регистрации ошибок;
Служба сетевого DDE;
Служба шлюза уровня приложения (Application Layer Service) (можно отключить только на SP2),
Служба IPSEC (служба IPSEC обеспечивает безопасность протокола IP посредством проверки узлов на сетевом уровне, проверок подлинности, а также управляет политикой IP-безопасности);
Служба терминалов;
Совместимость быстрого переключения пользователей (отключаем, если вы единственный пользователь на компьютере);
Справка и поддержка (рекомендую выставить "вручную");
Узел универсальных PnP-устройств;
Фоновая интеллектуальная служба передачи (BITS);
Центр обеспечения безопасности;
Remote Registry - Удаленный реестр (если стоит ОС Win XP Professional, требуется обязательно отключить, по причине того, что служба позволяет полностью управлять компьютером по сети).

Все изменения заработают после перезагрузки системы.

Вот такими способами можно обезопасить свой компьютер от вирусов и сетевых атак. И конечно, не следует забывать об антивирусе и фаерволле, управлении cookies, а также контролировать автозапуск программ в Windows.

Оборона почтового ящика

teleprogi — Thu, 27 Dec 2012 22:31:33 GMT

Оборона почтового ящика

Интернет-почта, или, как говорят в народе, «мыло», уже давно не редкое явление на сетевых просторах. Такие известные серверы, как mail.ru, yandex.ru и rambler.ru, насчитывают около 20 миллионов зарегистрированных пользователей, и каждый день эта цифра увеличивается. Почта используется как рядовыми юзерами, так и разнообразными фирмами, организациями, компаниями для связи. И с самого момента появления первых почтовых серверов появились и люди, которые заинтересовались в получении доступа к почтовому ящику. Цели при этом были разные: кто-то хотел прочитать письма своей жены, кто-то хотел получить деньги за взлом на заказ, кто-то узнать имена клиентов конкурирующей фирмы, кто-то еще чего- нибудь. Поэтому они стали искать разнообразные уязвимые места в безопасности, причем вполне успешно. Прошло уже много времени с момента обнаружения и устранения первых уязвимостей, но проблема защиты почтового аккаунта остается актуальной и по сей день. Очень много сайтов — в основном, на хакерскую тематику — рассматривают разнообразные способы взлома мыла, но нет таких, которые дали бы хорошие советы по защите почты. Именно этот вопрос я бы хотел осветить в данной статье.

Прежде всего, чтобы защитить свое мыло от несанкционированного взлома, нужно знать методы, к которым прибегает взломщик при попытке получить доступ к ящику:

1. Взлом с помощью социальной инженерии

Принцип: Социальная инженерия (СИ) — очень мощное средство взлома. Метод основан на психологическом факторе, а точнее, на постоянных человеческих ошибках. В основном это обман пользователя или введение его в заблуждение. В общем, главная задача социального инженера — войти с вами в контакт и настроить вас на мысль, что ему можно доверять. Очень часто для взлома почтового ящика хакер отправляет жертве письмо от имени администрации, где сообщает о проведении смены оборудования на сервере и просит прислать логин и пароль — в ином случае мыло будет удалено. Вы, боясь, что ваше мыло будет удалено, наивно отправляете свои данные злоумышленнику. Причем многие даже не смотрят, от кого пришло письмо, хотя эта мера предосторожности не нужна в случае, если хакер подменил имя отправителя. Содержание письма может быть и другим, но в любом случае у вас просят логин и пароль, а это уже должно вас насторожить.

Способ защиты: Запомните: никогда и ни под каким предлогом администраторы почтовых, да и любых других, серверов не требуют от своих пользователей прислать им свои пароли. Поэтому ни за что не отправляйте свои данные в ответ на подобные подозрительные письма.

2. Взлом с помощью троянов

Принцип: Как известно, многие трояны воруют пароли. И пароли для почты не стали исключением. Удачно подсунутая троянская лошадка может спокойно похитить ваши данные для входа и переслать их злоумышленнику.

Способ защиты: Самой лучшей мерой противодействия почтовым троянам является антивирус и файрволл (Firewall, или сетевой экран). Первый не даст уже известным вредоносным программам этого типа запуститься на компьютере и выполнять свои злые намерения, а второй будет контролировать работу всех приложений с сетью и отлавливать подозрительные попытки отправки почты, заливки файла на FTP-сервер и подобного. Кроме того, Firewll защитит систему от хакерский вторжений, принудительных загрузок вредоносного ПО из сети и подобной гадости. На мой взгляд, очень хорошим сетевым экраном можно считать российскую разработку — Agnitum Outpost Firewall.

3. Взлом с помощью фейков

Принцип: Fake в переводе с английского означает хитрость, обман, мошенничество. Данный способ заключается в создании специальной web- странички, абсолютно схожей с формой входа на каком-либо почтовом сервере, и размещении ее в интернете. Затем вам отсылают письмо, где просят перейти по ссылке и, например, проголосовать за какую-нибудь фотку. Хитрость заключается в том, что при переходе по ссылке вы видите форму входа в почтовый ящик, вводите все данные и нажимаете кнопку «Вход», после чего браузер перекидывает вас на какую-нибудь страничку. Вот и все! Ваш логин и пароль теперь известен злоумышленнику, и он может получить доступ к вашему мылу.

Способ защиты: Всегда проверяйте ссылки, по которым вас просят перейти. Все фейк-странички размещены, в основном, на бесплатных хостингах. Поэтому их URL-адрес всегда содержит какой-нибудь дополнительный текст — например, сайт.freehostia.com, сайт.narod.ru, сайт.ucoz.ru и тому подобное. Если вы перешли по ссылке, и там вам предложили ввести свои логин и пароль, то обязательно сравните содержание ссылки с адресом страницы входа на вашем почтовом сервере. Так, например, для Mail.ru это сайт . Если ссылка не совпадает — значит, вас пытаются обмануть.

4. Взлом с помощью уязвимостей почтовых серверов

Принцип: Многие разнообразные серверы в интернете уязвимы для хакерских атак, и почтовые — не исключение. Так вот, зная какую-нибудь брешь в безопасности системы, например XSS, любой может воспользоваться ею для получения вашего пароля.

Способ защиты: от подобного рода атак вас никто не может защитить, кроме системных администраторов почтового сервера. Но есть один очень хороший способ, который называется Почтовый клиент. Это программа, которая позволяет получать и отправлять почту без посещения интернет- страниц мыльного сервера, используя протоколы SMTP и POP3. А это значит, что уязвимости в web-интерфейсе вас не коснутся никаким боком. Кроме того, вы сэкономите время, поскольку вам не придется вводить свои регистрационные данные и ждать загрузки страниц, а также получите еще много и много полезных функций (антиспам-фильтры, удобная записная книга, постоянный доступ к уже полученной почте и другое). Самые лучшие, на мой взгляд, почтовые клиенты — это TheBat! и ThunderBird.

5. Взлом брутфорсом

Принцип: Brute force переводится с английского как «грубая сила». Этот способ основан на простом переборе возможных вариантов паролей. В частых случаях такой перебор выполняется автоматизированно какой-нибудь программой.

Способ защиты: Не стоит в качестве пароля указывать свое имя, домашний или мобильный номер, дату своего рождения и тому подобное. Такие пароли легко предугадать, чем и пользуются хакеры. Самый лучший вариант — пароль длиной не меньше 6-7 символов, причем он должен содержать буквы, цифры и значки по типу вопросительного знака, скобок и подобного. Если такой пароль вам сложно запомнить, то вторым вариантом станет какая- нибудь фраза, записанная без пробелов или со знаком «_». Это может быть, например, знаменитая фраза Шекспира — «be_or_not_to_be». Такие пароли угадать гораздо сложнее.

6. Ответ на контрольный вопрос

Принцип: Я думаю, многим известен такой способ восстановления пароля, как ответ на контрольный вопрос, указанный при регистрации почтового ящика. Чаще всего это вопросы типа «Мое любимое блюдо» или «Как зовут мою собаку». Узнать ответ на эти вопросы абсолютно несложно — достаточно познакомится с жертвой, если вы с ней еще не знакомы, и как-нибудь узнать ее любимое блюдо или имя домашнего питомца. Узнав, взломщик получает возможность задать новый пароль для мыла.

Способ защиты: Не надо использовать такие банальные и стандартные вопросы. Лучше всего указать свой, причем ответ на него должны знать только вы. Так, например, на вопрос «Какой цветок у меня стоит на столе в кухне?» вряд ли кто-то ответит, кроме вас и ваших близких. Или очень хорошим вопросом станет номер вашего паспорта.

7. Кража сессии (cookies)

Принцип: Возможно, кто-нибудь из вас не знает, что такое Cookies (или «куки», как говорят компьютерщики), поэтому стоит пояснить: это текстовые файлы, хранящиеся на компьютере пользователя и содержащие служебную информацию. Многие web-серверы сохраняют разнообразные данные вроде номера сессии и настроек именно в куки для того, чтобы при следующем посещении ресурса вам не пришлось заново вводить все эти данные. Иногда в куки записывается пароль к аккаунту, чаще всего зашифрованный алгоритмом MD5. Это надо для того, чтобы при переходе от одной странички к другой нам не пришлось проходить по сотне раз авторизацию.

Способ защиты: Если вы просто закроете браузер после посещения почты, то куки так и останутся у вас на диске. Украв файл сессии и установив его у себя, хакер тем самым обманет сервер, поскольку последний будет считать взломщика настоящим пользователем мыла и даст полный доступ к ящику. Чтобы этого избежать, на любом почтовом сервере есть такая кнопочка — «Выход». По нажатию на нее ваша сессия закрывается, и кража куков будет бесполезной!

Как видим, способов взлома почтового ящика довольно много, но и это еще не все. Почему я не описал остальные? Да потому, что все они основываются на любом из вышеприведенных. Например, перехватив сетевой трафик пользователя, можно выудить оттуда логин и пароль. А для того, чтобы всучить кому-нибудь такую программу, нужно владеть социальной инженерией. Следуя всем моим советам, вы можете легко защитить свой почтовый ящик от постороннего вмешательства.

Программно-аппаратные угрозы или хрупкий мир глазами железяч

teleprogi — Thu, 01 Nov 2012 18:26:59 GMT

Программно-аппаратные угрозы или хрупкий мир глазами железячника

Споры о том, насколько реально физическое разрушение тех или иных узлов компьютера в результате действия вредоносных программ, начались задолго до появления "персоналок", видимо сразу после того как возникли понятия "процессор" и "программа". Вместе с тем и сегодня, когда мир уже многократно переживал атаку вирусов, разрушающих содержимое ROM BIOS, встречаются люди, заявляющие о принципиальной невозможности такого сценария. Существует и противоположная крайность – описание картин дыма и огня, вырывающихся из системного блока, якобы в результате запуска таинственного фрагмента машинного кода размером несколько десятков байт.

Предлагаемый материал – это попытка навести порядок в данном вопросе. Разумеется, поставить "жирную" точку не выйдет, хотя бы потому, что список уязвимостей постоянно расширяется, в связи с появлением принципиально новых устройств и технологий.
Эта статья написана не по мотивам известных вирусов, разрушающих "железо". Вместо этого, на основе более чем 10-летнего опыта разработки аппаратного и системного программного обеспечения, а также ремонта материнских плат и других узлов персонального компьютера, автор анализирует существующие потенциальные угрозы. Каждая из них описана по стандартной схеме:

суть угрозы;
симптомы;
устранение проблемы, что делать, если это уже случилось;
минимизация угрозы, профилактические меры;
дополнительная информация для специалистов.

Заметим, что вирусная тема, это только часть рассматриваемого вопроса. Почти все приведенные ниже сценарии, с некоторой вероятностью, могут осуществиться и в результате обычного программного сбоя.
Искажение содержимого BIOS ROM

На одном из этапов эволюции платформы PC, а именно в середине 90-х годов прошлого века, во времена процессоров Intel Pentium и AMD K5, в качестве носителя BIOS начали использовать микросхемы электрически стираемых и перепрограммируемых постоянных запоминающих устройств (Flash ROM). Это позволило изменять ("перешивать") содержимое BIOS без физического вмешательства в компьютер. Мотивацией для обновления BIOS является поддержка новых технологий и устройств, исправление ошибок, допущенных разработчиками BIOS, установка пользовательских заставок и т.п. Напомним, что одной из важнейших функций BIOS является выполнение стартовой процедуры POST (Power-On Self Test) при включении питания или сбросе. Именно в ходе этой процедуры платформа инициализируется и подготавливается к загрузке ОС. Именно к BIOS (по адресу FFFFFFF0h) обращается процессор при чтении первой команды после сброса или включения питания. Таким образом, искажение содержимого BIOS может привести к отсутствию старта материнской платы. Такое искажение может произойти не только из-за действий вредительских программ, стирающих содержимое BIOS ROM или записывающих в него некорректную информацию, но и по другим причинам, например из-за дефекта микросхемы Flash ROM или зависания программы перезаписи в интервале времени, когда старый BIOS уже вытерт, а новый еще не записан.

Большинство микросхем Flash ROM, используемых в качестве физического носителя BIOS, имеют так называемый Boot Block размером 8-16 Кбайт (в зависимости от типа микросхемы). Это область, аппаратно защищена от перезаписи и вероятность ее искажения существенно меньше, чем у основного блока. Иногда используется синоним – Top Block, поскольку данный блок расположен в верхних адресах микросхемы Flash ROM. Основная задача Boot Block – проинициализировать контроллер ОЗУ, выполнить распаковку основного блока в ОЗУ и передать управление на распакованный код для продолжения старта платформы. При распаковке проверяется целостность основного блока. Если он искажен, Boot Block активирует механизмы, позволяющие его восстановить без физического вмешательства в компьютер, например, ищет файл с образом BIOS на сменных носителях и, найдя его, записывает в микросхему Flash ROM. Этот процесс может проходить без вывода информации на экран, контролировать его можно по обращению к CD или FDD приводу и звуковым сигналам на PC Speaker. Многие производители материнских плат помещают файл образа BIOS на CD диск, которым комплектуется плата. Более старый подход – загрузка DOS и запуск утилит перезаписи BIOS с гибкого диска. Важно понимать, что функциональные возможности Boot Block существенно меньше, чем у BIOS. По этой причине, например, Boot Block часто не умеет инициализировать видео адаптеры, подключенные к шинам AGP и PCI Express. Шансы увидеть на экране какие-либо сообщения от Boot блока, пытающегося восстановить BIOS, возрастут, если установить видео адаптер, использующий "старую" шину PCI. Как было сказано выше, при распаковке основного блока и проверке его целостности используется ОЗУ, поэтому, при некоторых неисправностях ОЗУ или кэш-памяти процессора, могут быть такие же симптомы, как при искажении BIOS, несмотря на то, что BIOS не искажен.

Выше рассмотрена ситуация, при которой основной блок BIOS искажен, а Boot Block исправен и пытается выполнить восстановление основного блока. Если данная операция завершится успешно, BIOS будет восстановлен без физического вмешательства в систему. Разумеется, если для такого аварийного запуска использовался "старый" BIOS с CD диска, желательно после восстановления нормального функционирования компьютера, "прошить" свежий BIOS с сайта производителя платы.

Если защита Boot Block оказалась неэффективной, и он вытерт или искажен, восстановить работоспособность материнской платы можно только путем физического извлечения микросхемы BIOS и "перепрошивки" ее в программаторе или другой плате того же класса, методом "hot-swap". Если микросхема BIOS не установлена в "панельку", а запаяна, потребуется паяльная станция. Такая операция обычно выполняется в условиях сервисного центра.

Что, кроме банального соблюдения антивирусной дисциплины, можно сделать для профилактики подобных неприятностей?

Рекомендуется обратить внимание на перемычки (jumpers) управления доступом к Flash ROM, установленные на некоторых платах. Такая защита более эффективна по сравнению с программной защитой, управляемой из BIOS Setup. Если есть перемычка для запрета записи в Boot Block, рекомендуется запретить запись. Как было сказано выше, если BIOS искажен, но Boot Block сохранился, восстановление BIOS под силу даже рядовому пользователю. Так как данная перемычка может по-разному называться на платах различных производителей, следует обратиться к документации на плату. Пример названия - TBL (Top BIOS Lock).

Наличие перемычки, полностью запрещающей запись в BIOS Flash ROM (а не только в Boot Block), позволяет еще более повысить уровень безопасности, однако может препятствовать законным операциям BIOS по перезаписи блоков ESCD (Extended System Configuration Data) и DMI (Desktop Management Interface) при изменении конфигурации системы. Иногда помогает компромиссный вариант – после изменений в конфигурации системы (например, перестановки модулей памяти), разрешить запись на время одной перезагрузки, чтобы BIOS обновил блоки параметров. Разумеется, не следует путать информацию Flash ROM и CMOS. Память CMOS, хранящая установки BIOS Setup находится в составе "южного моста" чипсета и запрет записи Flash ROM на нее никак не влияет.

При выборе материнской платы, обратите внимание на модели, имеющие описанные механизмы защиты, если вопрос вирусоустойчивости BIOS для Вас актуален. Если на Вашей плате нет описанных перемычек, но вы разбираетесь в цифровой схемотехнике и умеете держать в руках паяльник, защиту Flash ROM можно реализовать самостоятельно. Как это сделать – тема отдельной статьи, такой материал будет подготовлен при наличии читательского интереса к данной тематике. Тем, кому "не терпится" рекомендую начать с изучения документации на Flash ROM, которая обычно доступна на сайте производителя микросхемы.

Примеры микросхем с раздельными сигналами адреса, данных и управления приведены в [1-2], [14], [22], с интерфейсом LPC (Low Pin Count) в [3], [15-16], [19-20], с интерфейсом SPI (Serial Peripheral Interface) в [17-18].
Искажение содержимого Video ROM

Если на видео адаптере, в качестве носителя BIOS, используется микросхема Flash ROM с программной перезаписью, то, как и в случае с системным BIOS, существует возможность злонамеренной модификации ее содержимого. Вирус может повторить те же действия, которые выполняет законная программа перезаписи Video BIOS, но вместо BIOS, записать например блок нулей. Насколько это реализуемо практически? Сначала требуется настроить конфигурационные регистры графического процессора для размещения Flash ROM в адресном пространстве. Это делается в соответствии со спецификацией PCI PnP. Заметим, что для непосредственного доступа к Flash ROM видео адаптера используется динамически назначаемая область адресов выше 1MB, а не сегмент 0C000h, в котором находится Shadow RAM (копия Video BIOS в оперативной памяти). Далее, требуется выключить защиту записи. Операции, необходимые для этого (в какие регистры что записать), специфичны для каждого графического процессора, а иногда и зависят от реализации видео адаптера (если защита записи реализуется средствами, внешними по отношению к микросхеме графического процессора). Здесь вирусописателю потребуется информация, которая обычно не публикуется разработчиками графических процессоров и видео адаптеров. К тому же, вирус должен быть снабжен модулями поддержки под каждый графический чип, а иногда и конкретные модели видео адаптеров. Затем требуется распознать тип Flash ROM (используя команду Read ID) и активировать процедуру записи, которая также должна быть своя для каждого Flash ROM. Как видим, процедура реализуема, а потому, угроза реальна.

Если это уже случилось, симптомы зависят от характера искажения. Обычно, если Video BIOS просто вытерт, либо вместо него записан блок данных, не имеющий сигнатуры Additional BIOS (два первых байта не 055h, 0AAh), либо некорректна контрольная сумма, признаки будут такие же, как при отсутствии видео адаптера – нет вывода на экран и специфический звуковой сигнал. Напомним, что реакция материнской платы на отсутствие видео адаптера зависит от того, как написан BIOS материнской платы и установки опций Setup. Иногда звуковой сигнал не подается. Будет ли выполнен останов процедуры POST из-за отсутствия видео адаптера или BIOS приступит к загрузке ОС, несмотря на данную неисправность (это будет заметно по обращению к жесткому диску), также зависит от модели материнской платы. Если вы хотите заранее знать, какова будет реакция заданной материнской платы на данную неисправность видео адаптера, включите ее без видео адаптера.

Как в домашних условиях отремонтировать видео адаптер, если его BIOS искажен? Во-первых, нужно найти программу для "перешивки" Video BIOS, например ATIFLASH или NVFLASH, в зависимости от производителя графического процессора – ATI или NVIDIA. Версия программы должна быть адекватна поколению адаптера. Старые программы не поддерживают новые адаптеры и наоборот. Эта задача решается с помощью стандартных методов поиска информации в Интернете. Во-вторых, нужен двоичный образ BIOS, то есть файл, который собственно будет записан в Flash ROM. С этим сложнее. Обычно для видео адаптеров, в отличие от материнских плат, файлы BIOS не выкладываются на сайте поддержки. Хотя исключения все же бывают. Если поиск нужного Video BIOS в Интернете не дал результатов, попробуйте найти такой же адаптер (не просто похожий с таким же графическим процессором, а именно адаптер той же модели) и прочитать его Video BIOS в файл. Сделать это можно не разбирая компьютер, с помощью тех же утилит ATIFLASH или NVFLASH. Напомним, что эти утилиты вычитывают образ Flash ROM, а не содержимое Shadow сегмента 0C000h, где находится распакованное в ОЗУ содержимое ROM.

Итак, у нас есть двоичный образ видео BIOS и программа для его прошивки. Если бы речь шла об обновлении BIOS на исправном видео адаптере, то дальнейшие действия очевидны, но напомним, что наш адаптер не стартует. Если мы ремонтируем адаптер с интерфейсом AGP или PCI Express, нам потребуется второй адаптер с интерфейсом PCI. Запускаемся на этом адаптере, опцию в BIOS Setup, отвечающую за последовательность опроса адаптеров на разных шинах, устанавливаем в состояние "PCI". После этого, добавляем ремонтируемый адаптер (разумеется, при выключенном питании). Теперь в нашей системе два адаптера: нестартующий, который надо "перешить" и работающий (активный), который используется для вывода на дисплей. Далее процесс "перешивки" не отличается от обновления BIOS на исправном адаптере. Перед прошивкой рекомендуется сохранить в файле старый образ BIOS. Это позволит просмотреть его, определить характер искажения, и искажен ли он вообще, а также при необходимости вернуть исходное содержимое Flash ROM. Подробности в [6-13].
Искажение содержимого DIMM SPD ROM

Детектирование объема, типа и параметров модулей оперативной памяти (DIMM) основано на использовании протокола SPD (Serial Presence Detect). На каждом модуле устанавливается микросхема Flash ROM с последовательным доступом, объемом 256 байт. Используется микросхема 24C02 фирмы Atmel, описанная в [23] или ее функциональные аналоги. BIOS на одном из этапов выполнения процедуры POST, считывает информацию из микросхем SPD и использует ее при инициализации контроллера памяти. Для доступа к SPD используется шина SMB (System Management Bus), функционирующая на базе протокола I2C, предложенного фирмой Philips. Шина SMB описана в [28]. Контроллер шины SMB обычно находится в составе "южного моста" чипсета. Примеры в [4-5]. Шина SMB также используется для доступа к регистрам тактового генератора и некоторых модификаций схем аппаратного мониторинга.

В чем, собственно, угроза? Микросхема SPD, как и любой Flash ROM, поддерживает не только считывание, но и запись. Контроллер SMB позволяет выполнить эту операцию. Таким образом, существует возможность программного искажения содержимого SPD. Отметим, что работа вирусописателя здесь осложнена тем, что на программную модель контроллера SMB не существует общего стандарта и в различных чипсетах он реализован по-разному. Существует и аппаратная защита – у микросхемы 24C02 есть вход WP (Write Protect), это 7-ой контакт 8-контактного корпуса микросхемы. Подача уровня логической "1" на этот вход запрещает запись. Если разработчики DIMM подключили WP=1, а также, если вместо 24C02 применена микросхема, не поддерживающая перезапись, возможность программного изменения содержимого SPD отсутствует.

Если SPD искажено, симптомы зависят от характера искажения и от типа материнской платы. Отметим, что во времена PC66/PC100/PC133 SDRAM протокол SPD уже применялся, но большинство плат могли работать при неисправном SPD, детектируя память по-старому, путем записей и контрольных считываний по специальному алгоритму. Платы, использующие DDR/DDR2/DDR3 обычно, не стартуют при некорректном содержимом SPD, процедура POST останавливается на детектировании памяти.

Как восстановить модуль с искаженным SPD? Во-первых, нужна информация, которую будем записывать в Flash ROM, а если конкретнее – 256-байтный двоичный файл образа SPD. Как правило, производители DIMM не предоставляют подобные файлы на своих сайтах. Составить содержимое SPD самостоятельно – достаточно интересная и познавательная задача, но это потребует больших затрат времени. Простейший путь – скопировать образ SPD из аналогичного модуля DIMM, если таковой имеется. Заметим, что DIMM должен быть строго точно такой же, того же производителя и модели. Если таковой недоступен, экспериментировать с похожими модулями есть смысл если совпадает объем, количество микросхем, частотная спецификация, и, разумеется, тип памяти (SDR/DDR/DDR2/DDR3). Можно взять за основу образ SPD от похожего модуля и редактировать параметры вручную, не забывая корректировать контрольную сумму. Для чтения и записи микросхем 24C02 можно использовать соответствующий программатор или программу, выполняющую эту операцию непосредственно на материнской плате. Написание такой программы, а также детальное рассмотрение содержимого SPD – темы для двух отдельных больших статей, автор планирует рассмотреть эту тему в будущем.

На коротком поводке: ограничиваем пользователей, выслеживаем

teleprogi — Thu, 01 Nov 2012 17:35:40 GMT

На коротком поводке: ограничиваем пользователей, выслеживаем нарушителей и наводим порядок в локальной сети

В любой организации есть юзвери, которые пытаются использовать ресурсы Сети в своих целях. В результате, несмотря на установленные антивирусы и брандмауэры, клиентские системы начинают кишить вирусами, троянами, малварью и левыми программами, периодически вызывающими сбои в работе Windows. Да и начальство требует убрать лишнее с компов (игры, чаты, обучалки), контролировать использование трафика и установить запрет на подключение флешек. Естественно, хлопоты по разруливанию ситуаций ложатся на плечи админа.
Групповые политики

Групповые политики (GPO) - удобный и функциональный инструмент, позволяющий управлять настройками безопасности Windows. С его помощью можно настроить достаточно много параметров ОС. К сожалению, большая их часть скудно описана в литературе, и начинающие админы часто даже не знают о том, какой потенциал у них в руках. К тому же, групповые политики постоянно развиваются, и в новых версиях ОС (а также сервис-паках) GPO получают новые функции. Узнать различия и доступные параметры довольно просто, — скачай с сайта Microsoft cписок "Group Policy Settings Reference" для используемой операционки.

В Win2k8 управление GPO осуществляется при помощи консоли Group Policy Management Console (GPMC.msc) 2.0. Установки безопасности производятся в ветке "Конфигурация компьютера - Конфигурация Windows - Параметры безопасности" (Computer Configuration - Windows Settings - Security Settings). Здесь довольно много настроек, при помощи которых можно определить политики паролей, задать блокировки учетной записи, назначить права доступа, установить порядок аудита, политики реестра, файловой системы, NAP, IP-безопасности и многое другое. Разберем самые интересные из них.

Выбираем в консоли группу политик "Назначение прав пользователя". Политика "Архивация файлов и каталогов" позволяет игнорировать разрешения файлов при операциях резервного копирования. Следует четко определиться, кто будет входить в такую группу, так как права на создание резервных копий, предоставленные кому попало, могут привести к утечке корпоративных данных. Политика "Загрузка и выгрузка драйверов устройств" (Load and Unload Device) позволяет устанавливать драйвера после настройки системы; здесь лучше оставить в списке только администраторов, чтобы пользователи не могли самостоятельно подключать сторонние девайсы. Разрешив "Отладку программ", мы предоставим пользователю возможность подключать отладчик к любому процессу или ядру, а ты сам понимаешь, какой это риск. По умолчанию сюда входит только группа администраторов, но в организациях, занимающихся разработкой ПО, хочешь не хочешь, а такое право давать придется. Соответственно, нужно отслеживать легитимность его применения.

Особое внимание удели политикам в группе "Параметры безопасности", где много полезных пунктов. Например, мы можем: отключить возможность анонимного доступа к сетевым ресурсам, переименовать учетную запись гостя (если такая используется и необходима). В политиках, начинающихся с "Устройства", одним щелчком мышки можно заблокировать возможность подключения и форматирования сменных устройств, дискет, компакт дисков и внешних хардов. Впервые политики блокировки сменных устройств появились в Vista и Win2k8. Ранее для этих целей приходилось использовать программы сторонних разработчиков вроде DeviceLock. В этой же вкладке разрешаем или запрещаем подключение принтера выбранной группе пользователей.
Политики ограниченного использования программ

Одной из самых важных в контексте статьи будет группа объектов GPO "Политики ограниченного использования программ" (Software Restriction Policies, SRP). Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с WinXP и выше. Принцип настроек совпадает с настройками правил файрвола: администратор указывает список приложений, которые разрешено запускать на системах организации, а для остальных ставит запрет. Или поступает наоборот: разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости или возникновении проблем с запуском нужных приложений.

По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку "Политики ограниченного использования программ" (в "Конфигурация компьютера" и "Конфигурация пользователя" есть свои пункты) и выбрать в контекстном меню "Создать политику ограниченного использования программ" (New Software Restriction Policies). По умолчанию установлен уровень безопасности "Неограниченный" (Unrestricted), то есть доступ программ к ресурсам определяется NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как запрещенные. Чтобы изменить уровень, нужно перейти в подпапку "Уровни безопасности", где находятся пункты активации еще двух политик – "Запрещено" (Disallowed), при которой возникает отказ в запуске любых приложений, кроме явно разрешенных админом. Политика "Обычный пользователь" (Basic User), появившаяся в GPO, начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам с правами обычного пользователя, вне зависимости от того, кто их запустил.

В организации с повышенными требованиями информационной безопасности лучше самому определить список разрешенных программ, поэтому дважды щелкаем по "Запрещено" и в появившемся окне нажимаем кнопку "Установить по умолчанию" (Set as Default). Информация в появившемся окне сообщит, что выбранный уровень — более строгий, и некоторые программы могут не работать после его активации. Подтверждаем изменения. Теперь переходим в подпапку "Дополнительные правила". После активации SRP создаются две политики, перекрывающие правила по умолчанию и описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по умолчанию политики для них установлены в "Неограниченный". То есть после активации политики "Запрещено" системные программы будут запускаться в любом случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем отдельный файл, по которому генерируется хеш, позволяющий определить его однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft, Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и легко можно запретить выполнение всех файлов из каталога, разрешив запуск только отдельных. Правила для хеша имеют приоритет перед остальными и наиболее универсальны. Правда, с учетом того, что хеш некоторых системных приложений (того же Блокнота) будет отличаться в разных версиях ОС, к процессу генерирования хеша лучше подойти внимательно.

Если щелкнуть по ярлыку "Политики ограниченного использования программ", получим доступ еще к трем настройкам. Выбор политики "Применение" (Enforcement) откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов или исключить DLL (по умолчанию). Учитывая количество DLL'ок в системе, активация контроля всех файлов потребует дополнительных ресурсов, поэтому кастомный вариант выбираем, только когда это действительно необходимо. По умолчанию политики актуальны для всех пользователей без исключения, но в настройках предлагается снять контроль за деятельностью локальных админов. В третьем поле активируется поддержка правил сертификатов. Такие политики также замедляют работу системы и по умолчанию отключены.

С помощью политики "Назначенные типы файлов" определяются типы файлов, которые считаются исполняемыми. В списке уже есть все популярные расширения, но если используется что-то свое, добавляем его/их в перечень. И, наконец, в "Доверенные издатели" задаем тех, кто может (пользователь и/или админ) добавить подписанное доверенным сертификатом приложение, а также определять подлинность сертификата. Для максимальной безопасности разреши добавлять приложения только админам доменного уровня.
AppLocker

За несколько лет существования технология SRP так и не смогла завоевать популярность, ведь, как ты мог убедиться из предыдущего раздела, точно настроить политики - не такая уж и простая задача. Максимум, на что обычно хватало админа, — запрет отдельных прог и игрушек. В Win7/Win2k8R2 было представлено логическое продолжение SRP - AppLocker. Впрочем, сам SRP никуда не делся, оставлен в целях совместимости. В отличие от SRP, Applocker работает не в пользовательском окружении, а в системном: устанавливаемые политики более эффективны.

Настройки AppLocker находятся во вкладке Security Settings (secpol.msc) - Application Сontrol Policies. Если раскрыть дерево, то увидим три подпункта, в которых настраиваются политики в соответствии с типами файлов:

Executable Rules - правила для файлов с расширением exe, com и src;
Windows Installer Rules - правила для msi и msp файлов;
Script Rules - правила для bat, cmd, js, ps1 и vbs скриптов.

По умолчанию используется политика Default, работа которой основывается на установке GPO. Но для каждого типа правил можно выбрать еще одну из двух политик:

Enforced — политики активны, и все, что не описано в правилах, блокируется;
Audit Only — режим аудита, все события, для которых созданы правила, вместо блокировки заносятся в журнал. Полезен при знакомстве и первоначальной отладке работы AppLocker.

Для активации нужного варианта переходим во вкладку "Enforcement" окна свойств AppLocker. Перейдя в "Advanced" и установив флажок "Enable DLL rule collection", можно активировать проверку DLL. Как и в случае с SRP, проверка потребует дополнительных системных ресурсов. По умолчанию правил нет, поэтому ограничения на запуск программ не накладываются (кроме прав NTFS, естественно), и в отличие от SRP, рулесеты нужно создать самому. Этот процесс в AppLocker выглядит несколько проще. Контекстное меню предлагает для этого три варианта:

Create New Rule - при помощи визарда создаются правила для издателя (Publisher), пути (Path, каталог или файл) и хеша (File Hash);
Automatically generate Rules - здесь просто указываем на каталог, в котором находятся установленные проги, и мастер автоматически создает правила (Path/Hash) для всех исполняемых файлов внутри;
Create Default Rules - создается набор правил по умолчанию.

При выборе последнего пункта будут созданы разрешающие правила для запуска приложений из каталогов Windows (%WINDIR%) и Program Files (%PROGRAMFILES%); пользователи, входящие в группу локальных администраторов (BUILTIN\Administrator), ограничений по запуску не имеют. После того как первые правила в категории сформированы и выбран вариант Enforced, запуск приложений возможен только в том случае, если он разрешен политикой. В последующем корректируем имеющиеся правила и создаем новые. Чтобы отредактировать правило, вызываем его свойства и меняем: учетные записи и группы, которые попадают под политику, путь к каталогу или файлу, действие (Action) блокировать или разрешить. Использование учетных записей и групп в правилах AppLocker группы достаточно удобно, так как можно создать группу пользователей, которым разрешен запуск офисных приложений, группу "интернетчиков" и так далее, и затем включать в них отдельных пользователей.

Настройки во вкладке Exceptions позволяют задать исключения для отдельных объектов. Нажав кнопку Add, указываем отдельный файл, хеш или издателя, которые не будут подпадать под действие редактируемой политики. Так можно достаточно тонко указать разрешения для большого количества файлов.

Да, и как ты, наверное, заметил, возможность настройки правила для зоны сети в AppLocker отсутствует.

После доводки Default Rules приступаем к созданию индивидуальных политик. Для чего выбором Create New Rule запускаем мастер и в пошаговом режиме производим нужные настройки. Первое окно пропускаем, во втором задаем действие Allow/Deny и указываем пользователя или группу, для которых будет действовать политика. Далее выбираем тип политики Publisher/Path/File Hash и, в зависимости от произведенного выбора, отмечаем объект. При определении пути AppLocker использует переменные. То есть, если указать в Проводнике C:\soft, путь будет преобразован к виду %OSDrive%\soft\*. Кроме того, возможны такие переменные: %WINDIR%, %SYSTEM32%, %PROGRAMFILES%, %REMOVABLE% (CD/DVD) и %HOT% (USB-устройства). Причем особо отмечается, что это внутренние переменные AppLocker, а не системные, хотя некоторые названия совпадают.

Политики созданы, но чтобы они применялись, нужно запустить службу Application Identity (AppIDSvc). Делается это через консоль Services (services.msc) или в редакторе групповых политик (Security Settings -> System Services). После изменений обновляем политики:

> gpupdate /force

Борьба с NAT'ом

С "халявным" интернетом на работе у многих пользователей появляется соблазн использовать его в своих целях. Конечно, времена, когда к системному блоку подключался модем и через него выходили в интернет, практически канули в лету (для некоторых провинциальных городов это все еще актуально), но менеджеры порой берут работу на дом, а доступ к нужной инфе пытаются получить посредством диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает любителей, и остается удивляться, как народ на выдумки горазд. Кроме сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза (+ может быть похищена конфиденциальная информация).

Для определения работы из-за NAT нас интересует возможность контроля TTL (время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое значение TTL, например, все версии Windows - 128, Linux - 64 (максимально 255), а при прохождении пакета на каждом роутере отнимается единица. То есть, если получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о наличии NAT (виртуальные машины также работают из-за NAT). Открываем список фильтров и в "IP only" устанавливаем значение поля ip.ttl в отлов всех пакетов, TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа, поэтому можно захватить трафик с минимальными ограничениями, а затем просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.

Кроме графического интерфейса, возможен запуск Wireshark в командой строке. Смотрим список сетевых интерфейсов по команде "tshark -D", а затем вылавливаем значение поля TTL в проходящих пакетах.

> tshark -i 1 -e ip.ttl -Tfields

Поддерживаются tcpdump-подобные правила, поэтому можно просто считать значения нужного поля IP (ip[8] < 64, поле TTL находится в 8-м байте IP-заголовка).

Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm), совмещающий в себе функции файрвола и монитора трафика, с возможностью построения различного рода графиков. Система фильтров позволяет задать любое правило и затем отслеживать все пакеты, которые под него попадают.

Кроме того, не забываем производить периодическое сканирование сети при помощи Nmap и сравнивать результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений в списке открытых портов производим расследование. Это позволит обнаружить лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так далее.
Обнаруживаем сниферы

В любой LAN найдется парочка умников, которые захотят знать больше, чем им положено. Любопытный кекс запускает снифер в надежде поймать пароль, если не админа, то любого другого пользователя, или почитать инфу, ему не предназначенную. Для перехвата всех пакетов сетевая карта переводится в неразборчивый режим (promiscuous mode), обнаружить который можно как локально, так и удаленно. В первом случае регистрируемся в системе и просматриваем настройки интерфейсов, во втором - актуальны два способа:

мониторинг ресурсов на всех хостах сети - при переводе NIC в promiscuous mode возрастает нагрузка, так как ядру приходится обрабатывать большее количество информации, быстро заполняется место на харде;
ошибки в реализации - сетевой интерфейс должен "забирать" только свои пакеты; так и настроены ОС, но поскольку теперь ядро получает инфу обо всех пакетах, можно попробовать послать ARP-пакет с правильным IP или именем, но неправильным МАС-адресом.

В последнем случае система может ответить на неправильный пакет. Добавляем заведомо неверные данные в ARP таблицу и пингуем "подозрительный" хост:

> arp -s hackerhost 00:11:22:33:44:55
> ping hackerhost

Если ответ получен, значит, с большой долей вероятности можно сказать, что узел находится в режиме прослушивания. Не забываем удалить неправильную запись после проверки:

> arp -d hackerhost

Удобнее для выявления нарушителей использовать специальные утилиты. Например, proDETECT, которая, правда, уже несколько лет не обновлялась, поэтому грешит багами. Настройки позволяют задать список узлов и указать периодичность их проверки. Отчет отправляется на e-mail.

Еще одна прога – PromiScan — также позволяет задать диапазон IP и провести ряд тестов. Если будет обнаружен хост, прослушивающий сеть, админ получит визуальное предупреждение. Предусмотрена возможность выполнения внешней команды.

Кстати, Microsoft также предлагает свой вариант решения проблемы - утилиты Promqry и PromqryUI, скачать которые можно с офсайта. Первая командная, вторая - с GUI. Принцип прост: указываем IP-адрес отдельной машины или диапазон и жмем "Start Query".
Диктатура админ

После произведенных настроек мы получим полностью контролируемую сеть, в которой будут использоваться только разрешенные программы, а пользователи не будут отвлекаться от работы. Также не забываем о записях системы аудита, в которых будет присутствовать информация о переводе сетевого интерфейса в пассивный режим или установке программ. Конечно, это не все варианты установления "диктатуры" админа в LAN; добавим сюда отключение пользователя от интернета при превышении лимита, шейпинг трафика, контроль МАС- и IP-адресов, блокировку мессенджеров, фильтрацию URL и контента и многое другое.