08 Сентября 2003 17:09 | 08 Сен 2003 17:09 | |

Поделиться

Отказоустойчивость Windows и Linux сравняли вирусы, черви и хакеры

Один из основных конкурентов систем на базе продуктов Microsoft (во всяком случае — его так называют в широких слоях «компьютерной» общественности) — ОС Linux и ее дистрибутив, производимый компанией RedHat. К примеру, остановимся пусть не на самом последнем, но любимом пользователями и системными администраторами стабильном дистрибутиве RedHat Linux v7.3. По ссылке расположен список выявленных по состоянию на настоящее время уязвимостей. С 1 января этого года только проблем с безопасностью выявлено 83, причем среди них достаточно много позволяющих удаленно получить права администратора системы (root). Здесь вспоминаются знаменитые проблемы с samba («An anonymous user could exploit the vulnerability to gain root access on the target machine»), многочисленные проблемы в sendmail, OpenSSL, перманентно unsecured wu-ftpd, который RedHat настойчиво вносила в свои дистрибутивы до версии 8.0 включительно.

Желающие могут просмотреть весь этот список. Примечательно, что примерный состав пакетов, входящих в различные дистрибутивы Linux, у фирм-производителей во многом совпадает, будь это RedHat, Su.Se, Debian или SlackWare. То есть у них одинаковый список уязвимостей. Напрашивается вывод, что отсутствие массового заражения систем в интернете специфическими червями, написанными именно для этих систем, объясняется только двумя факторами — их относительно небольшой распространенностью и требованиями к квалификации системного администратора (в случае Linux/Unix — они однозначно выше).

Коммерческие версии систем на базе UNIX подвержены тем же самым болезням. Как правило, они используют многие версии пакетов от конкретных производителей. «Многострадальный» wu-ftpd портирован, как минимум, в такие крупные коммерческие системы, как HP-UX, Sun Solaris, Irix, BSD и т.д. В бюллетене по вопросам безопасности ОС HP-UX HPSBUX0309-277/SSRT3603 (CAN-2003-0466): WU-FTPD упоминается о проблемах с этим продуктом в последних версиях системы до v11.22 включительно. Есть администраторы, которые его используют. Плюс к этому — практически в каждой из коммерческих версий Unix регулярно обнаруживают ошибки в security, специфические для каждой конкретной ОС. Достаточно заглянуть в bugtrack — только в августе этого года OC HP-UX упоминается в нем минимум 5 раз. AIX? IRIX? И здесь проблемы. Август этого года — многочисленные ошибки в IRIX (multiple bugs).

Другой общеизвестный производитель оборудования и программного обеспечения — Apple Inc. со своей относительно новой операционной системой MAC OS X — тоже недалеко ушел в вопросах безопасности. ОС фирмы Apple базируется на ядре одной из версий Unix и унаследовала как ее достоинства, так и недостатки. Достаточно зайти на сайт, посвященный вопросам защиты данных для этой операционной системы. Здесь сразу обнаруживается знакомая картина — 4.10.2003 News Security Update! Mac OS X 10.2.5 has been made available for update! This version fixes a security issue in Apache 2.0 (CAN-2003-0132), File Sharing/Service (CAN-2003-0198), DirectoryService (@STAKE), OpenSSL (CAN-2003-0131), Samba (CAN-2003-0201), and sendmail (CAN-2003-0161).

Из всего упомянутого следует простой вывод. Практически любую из коммерческих ОС, покупаемых за деньги, а иногда — за очень неплохие деньги, можно взломать, используя если не прорехи в самой операционной системе, то, как минимум, дыры в пакетах прикладных программ, включенных в состав дистрибутива. Для некоммерческих ОС — картина практически совпадает, и радоваться этому не приходится. Более того, в среде квалифицированных системных администраторов уже давным-давно справедливо считают, что даже самая последняя версия системы, полученная прямо от производителя, ни в коем случае не допускается для установки в открытом доступе. Ее «правят напильником», выбрасывая потенциально опасные пакеты. В ней заменяют часть дистрибутива на свои собственные, либо свободно распространяемые наработки. Только после этого полученную версию системы сдают в эксплуатацию пользователям. Но при этом ее оставляют под постоянным присмотром.

В настоящее время создалась странная ситуация — коробочными версиями продуктов с настройками «по умолчанию» в очень многих случаях пользоваться попросту нельзя. И эта тенденция прослеживается практически для всех версий операционных систем, вне зависимости от производителя, типа ОС, времени выпуска, оборудования и т.п. Есть, конечно, экзотические продукты, например, NetBSD или QNX, но они распространены слабо и достаточно сильно ограничены функционально.

В то же время, анализ статистики повреждений продуктов Microsoft, наиболее распространенных среди пользователей, более чем настораживает. Их в настоящее время вообще нельзя выставлять в интернет без дополнительных «средств защиты». Не успели еще «отгреметь залпы» войны с доступом к системам на базе ядра NT через прорехи в DCOM, как пришла очередная новая волна проблем. Системные администраторы и пользователи хорошо с ними знакомы — это «Раскрытие произвольных частей памяти в Microsoft Windows NetBios», «Удаленное переполнение буфера в MDAC-функции во всех версиях Windows», «Множественные уязвимости в Microsoft Internet Explorer» и т.д. и т.п. Внешне это выглядит так, как будто Microsoft лихорадочно латает расползающееся на глазах лоскутное одеяло старых ОС, параллельно обещая пользователям «златые горы» в виде замены «программного обеспечения в вашей организации на системы Windows Server 2003, Office 2003, Windows XP Professional и ISA Server 2000». При этом на страничке Microsoft обещаются защита от вирусов, спама, бесперебойная работа системы, защита от несанкционированного доступа и т.д. И это при том, что еще три недели назад через прореху в DCOM Windows Server 2003 был доступен для кого угодно. Можно ли верить таким обещаниям?

В результате создается не просто печальная, а душераздирающая картина. Последняя лицензионная и честно купленная версия системы практически любого производителя с установками по умолчанию доступна для взлома хакера средней руки как извне, через интернет, так и изнутри. Все это способствует созданию дополнительных и весьма серьезных угроз ИТ-безопасности. Много ли работников довольны своими начальниками и зарплатой? В большинстве организаций имеющегося количества квалифицированных системных администраторов, при существующих технологиях защиты операционных систем, абсолютно недостаточно для решения вопросов безопасности. Подтверждением этому является регулярное нашествие интернет-червей различных типов. Они используют прорехи как в общедоступных, так и в коммерческих ОС. Сегодня единственный «путь к спасению» — это «прятаться». Именно сейчас, а не через год, когда Microsoft напишет «практически защищенную ОС» или RedHat наконец-то создаст удобоваримую десктопную версию Linux.

Но просто «спрятаться» уже недостаточно. Именно сейчас обострилась необходимость скрывать свою родную систему от внешних воздействий всеми возможными способами. Маскировать ее структуру, вплоть до количества машин и объема передаваемых данных. Компаниям поможет установка межсетевых экранов, но с обязательным выносом интернет-сервисов в так называемую демилитаризованную зону (DMZ), с защитой почтового сервиса. В локальных сетях потребуется использование аппаратных средств, разбиение пользователей на группы, недоступные друг другу, при обмене данными только через сервера. Возможно, потребуется установка межсетевых экранов даже внутри локальной сети. В этом случае корпоративный E-Mail/HTTP-сервер, как минимум, следует пометить в DMZ, при обязательном контроле антивирусной системой и регулярных проверках квалифицированным системным администратором.

Для лучшей защиты системы пользователям лучше работать с интернетом через внутрикорпоративный прокси-сервер, который маскирует часть информации об их системах. Но этот прокси-сервер рекомендуется спрятать за внешним межсетевым экраном. При этом обязательна фильтрация доступа пользователей к ресурсам интернета. Причем, это минимальный пакет необходимых требований. На самом деле — его вполне можно расширить, вплоть до фильтрации всей информации, проходящей по сети. Обычным же, рядовым dialup-пользователям интернета остается идти на поклон к квалифицированным системным администраторам, инсталлировать и исправлять свои системы, используя доступ только через защищенные соединения. И в обязательном порядке использовать программные средства защиты.

Игорь Каминский / CNews.ru

Ознакомиться с полным списком учебных курсов Школы CNews можно здесь.

Ближайшие учебные курсы:

Анализ рисков информационных систем компании

Система анализа защищенности System Scanner

Расследование компьютерных инцидентов

Поделиться

Короткая ссылка