книги хакеры / журнал хакер / специальные выпуски / Специальный выпуск 24_Optimized

Стандартное правило для браузеров - тоже не прелесть, например, есть строка PASV FTP, в которой указано, что исходящее соединение разрешено на порты 1024-65535, что полностью перекрывает правило PROXY, то есть одно из них явно лишнее. Если же ты работаешь через проксю и только че- рез нее, то следует оставить единственное разрешенное соединение на твою проксю, а остальное потереть. Меньше будет проверять, значит быстрее будет работать. В противном случае стирай правило про проксики, оно тебе не пригодится. Наиболее грамотно написано стандартное правило для Download manager, в принципе для всяких reget, flashget и прочих менять ничего не надо. Но если тебе досаждают баннеры, то можно запретить обращаться к конкретному серверу, а можно просто включить плуг для кастрации рекламы. Мылер тоже переполнен всем, что только можно. Тут и NNTP, и IMAP, ну, конечно же, есть POP3/SMTP :). Лично я оторвал ему IMAP

ЗАЩИЩАЕМСЯ ПОД WIN

FIREWALL

TanaT (TanaT@hotmail.ru)

В мае этого года некий программер Паоло Иорио реализовал метод, позволяющий обходить файрволлы изнутри. Итальянец написал небольшую программу, которая, будучи запущенной под файрволлом, может беспрепятственно подключиться к сети и скачивать тестовый файл. Если быть точным, то эта мега-прога дурачит не все файрволлы, а лишь: Kerio Personal Firewall, McAfee Personal Firewall, Norton Internet Security 2002, Sygate Personal Firewall Pro, Tiny Personal

Firewall (всего-то :) - прим. ред.). Вначале разберем, что делает утилитка под названием BackStealth. Чтобы она заработала, нужно запустить ее на компе с установленным файрволлом. Тогда BS просканирует машину и попытается определить, установлен ли на ней какой-ли- бо из «поддерживаемых» файрволлов. Если BS найдет хоть один из них, то попытается установить соединение с сетью и скачать файл по адресу: www.pcfacile.com/security/backstealth.txt. Этот файл она сохраняет на винте: C:\retrieve.dat. Вот его содержимое:

BACKSTEALTH test

A collaboration with http://www.pc-facile.com

Copyright 2002 Paolo Iorio

If you are reading this message it means BackStealth has managed to download this file WITHOUT your firewall being aware of it. No need to say that this is not good at all!

Как видишь, проведение самого теста никакого вреда причинить не может. Благо файл текстовый, а не деструктивно-исполняемый. Теперь давай посмотрим, как BS’у удается такой трюк.

Сам автор решил не сильно распространяться о механизме работы своей программы и сообщил лишь следующее: «BS использует Win API функцию VirtualAlloc, чтобы разместить необходимый для исполнения код в памяти, которую ОС выделила файрволлу. Таким образом, при обращении к сети и ОС, и файрволл думают, что в Интернет лезет сам файрволл!» Действительно, если запустить эту прогу под файрволлом (мы пробовали это на каждом файрволле из предлагаемого списка), то в списке открытых соединений реально будет прописан работающий файрволл. (Список открытых соединений можно просмотреть командой «netstat -an» èëè ñ

Mega Info:

Paolo Iorio: http://piorio.supereva.it

E-mail: piorio@yahoo.com

BackStealth Security Test 1.1:

http://piorio.supereva.it/backstealth.zip

помощью любой графической утилиты, например, TCPview: www.sysinternals.com/files/tcpview.zip)

Кажись, все ясно, прога маскируется под файрволл и пытается выдать себя за его часть. Но на самом деле автор немножко схитрил. Что будет, если запустить BackStealth под любой последней версией файрволла (было бы глупо думать, что разработчики никак не отреагируют на такую дырку)?

Очень просто, BS отыщет сторожа и попытается в него внедриться; так как разработчики уже что-то там поменяли, у нашего ренегата ничего не полу- чится. Появится ошибка: VirtualAllocEx failed:120.

Ну что ж. Запускаем MSDN и смотрим, что это за функция и где она живет. Видим, данная функция позволяет работать с памятью, уже занятой другим процессом. В отличие от VirtualAlloc, которая управляет памятью, еще никому не выделенной или выделенной

своему процессу. Создатель «случайно» перепутал функции?

LPVOID VirtualAllocEx(

Обрати внимание на последний формальный параметр функции. Он может принимать несколько значений, позволяющих либо полностью защитить выделенную память от чтения/записи, либо сделать это частично. Видимо, разработчики файрволлов не обратили на flProtect особого внимания и использовали память, не защищая ее от вторжения. Теперь же попытка обращения к защищенной памяти приводит к ошибкам или исклю- чениям.

Красным шрифтом мы выделили три фрагмента. В первом фраза «I can’t to open» просто показывает, что автор не дружит с английским :), слово «to» там абсолютно излишне. Во втором число 120 является номером процесса. Видимо, именно это число и удалось выяснить для каждого файрволла. Третий фрагмент как раз и указывает на ошибку при вызове

функции VirtualAllocEx с параметром 120 в качестве дескриптора чужого

процесса...

Также интересным является тот факт, что функцию VirtualAllocEx не поддерживают Win95/98/ME, хотя VirtualAlloc поддерживается всеми ОС. Теперь становится почти прозрачным алгоритм работы BS:

1.Сканируем память и ищем запущенные файрволлы.

2.Внедряемся в их память (благо дома можно с помощью отладчика подобрать все размеры памяти либо адреса дескрипторов или сами дескрипторы файрвольных процессов).

3.Записываем свой небольшой кусочек кода, скачивающий наш файл. Можно либо поместить его в оставшееся свободное место в памяти (ты же помнишь, что память выравнивается по параграфам для ускорения обращения к ней), либо на занятое место процесса так, чтобы ОС не зависла. Примечательно, что представитель компании Symantec заявил, что их пользователям данная программа не страшна, так ее еще на момент запуска отловит Norton Antivirus. В принципе, это самый верный подход, ведь фаерволл не может защитить сам себя от внутреннего вмешательства. Хотя эту дыру уже залатали (мы проверили работоспособность проги на САМЫХ последних версиях файрволлов - BS везде проваливается с треском), можно найти и новые. А вот антивирус здесь в самый раз. Если софтина ищет что-то в памяти и начинает прыгать по чужим процессам - зна- чит она вирус или, в крайнем случае, просто подлежит уничтожению.

Другие компании отреагировали проще: втихую поменяли какие-то свои параметры и выпустили новые версии своих продуктов.

Обрати внимание, что всеми любимые ZoneAlarm Pro и Agnitum Outpost оказались на высоте - у них врожденный иммунитет к этой программе. Видимо, у автора просто не дошли руки до них...

Что касается BS, то тут можно согласиться с BugTraq, который на странице, посвященной творению Паоло, написал просто: «Дискуссия закрыта». Мы же возвращаемся к нашим баранам: чтобы обойти файрволл, нужно найти в нем дырку, заслать свою прогу-эксплоит и придумать легенду, чтобы ее запустили. Самым сложным моментом является поиск дырок. Не все способны кодить в ring 0 или на низком осевом уровне, но посещать сетевые проекты, посвященные безопасности, может каждый. Опыт показывает, что 75% пользователей и сисадминов не реагируют на новые сообщения о дырках и ошибках. Поэтому единственное, что тебе нужно, - отыскать дыру среди вновь найденных и правильно ею воспользоваться. Вывод прост - чаще посещай www.xakep.ru, а конкретно - его раздел BugTraq, и не забывай поглядывать на www.securityfocus.com (там иногда тоже полезное лежит).

A

FIREWALL

К примеру, заменитель ICQ - Messenger (которым они обещают затмить популярность системы ICQ) или интерфейс для записи дисков, позволяющий обойтись без внешней программы вроде DirectCD, и даже Web-сервер IIS - это и многое другое, хочешь ты этого или нет, тебе без лишних вопросов поставят вместе с Windows XP. Видимо, скоро достаточно будет поставить на твою тачку один лишь Windows и больше не придется ставить ничего другого (только не это, шеф! - прим. ред.). Про то, сколько все эти прелести будут занимать места и сколько сожрут ресурсов, страшно, пожалуй, даже подумать (ты уже сейчас можешь это увидеть, если поставишь XP на несильно навороченную тачку). Особенно учитывая тот факт, что мелкомягкие изо всех сил стараются свести манипуляции пользователя при установке этой оси к критическому минимуму и избавить от такой бесполезной, на их взгляд, функции, как возможность выбрать компоненты для установки. А вот избавиться от некоторых ненужных тебе про-

грамм по окончанию установки иногда бывает очень трудно, вспомни хотя бы, как ты выковыривал IE из Windows 98, ведь без него окошки работали куда шустрей, а в качестве браузера можно было использовать Opera или Netscape. Я вот только недавно смог избавиться от пресловутого Messenger’а - не знаю, как ты, но Асю я ни на что не променяю. То же самое касается и брандмауэра, встроенного в XP, о котором, собственно, и пойдет речь.

ДЕСКРИПШН

Итак, в XP встроен пользовательский файрволл, напоминающий чем-то старый добрый ATGuard (который, кстати, никуда не исчезал, а просто входит сейчас в состав Norton Internet Security), но с меньшим набором возможностей. Конечно, для защиты корпоративного сервера или чего-то бо-

лее серьезного, чем домашняя или офисная тач- ка или небольшая сеть, он вряд ли подойдет. Но для мирных домашних (и офисных) целей вполне покатит, если, конечно, ты не ярый любитель сетевых разборок с применением тяжелых вооружений. Ведь основной принцип защиты основан на том, что прога не только закрывает порты, но и делает твою машину невидимой в сети; так ее вряд ли удастся обнаружить сетевым сканером (впервые эта фича появилась в Outpost’e, а теперь ее юзают все, кому не лень - прим. ред.). Хотя, как можно предположить, у этого есть и свои отрицательные стороны, так как некоторые нужные сервисы могут оказаться неработоспособными при таких условиях. Поговорим о том, как лучше и логичней настраивать это средство. ХР-шный файрволл можно настроить индивидуально для каждого соединения, то есть, если тебе в домашней сети нужно запретить доступ к некоторым сервисам, а в Инете ты активно их юзаешь, то, соответственно, в настройках соединения для домашней сети их можно отключить, но оставить включенными для соединений с Инетом (кстати, эту функцию поддерживают далеко не все пользовательские файрволлы). Плохо это или хорошо -решать тебе; с одной стороны - это удобно, с другой - много лишнего гимора, так как, возможно, придется выполнять двойную работу для каждого из соединений. Кроме того, если твоя тачка является сервером и все компьютеры сети соединены с Инетом через нее, то можно защитить их и распределить их обязанности, настроив правила для каждого: вот этот компьютер будет HTTP/FTP сервером, а этот почтовым и т.д.

Настроить файрволл для любого из соединений очень просто. Дело в том, что у него нет практи- чески никакого интерфейса :). Войди в свойства соединения и выбери вкладку «дополнительно». В этой вкладке поставь флажок «защитить мое подключение» и нажми кнопку «параметры». Там ты увидишь список различных служб и протоколов, для каждого из которых можно задать свои правила, а также указать сетевое имя или IP машины в сети, на которой данная служба работает. В списке уже есть наиболее распространенные службы, такие, как HTTP, FTP, Telnet и POP3/SMTP. Но если тебе нужно настроить правила для чего-то другого, то можно задать все самому, с этим проблем нет.

По умолчанию любые службы и сервисы будут запрещены, пока ты не пометишь их флажком и не выберешь соответствующие параметры. Например, если на твоей тачке (или на любой другой в твоей сети) нужно разрешить работу с протоколом HTTP, то помечай ее флажком и указывай в ее свойствах сетевое имя или IP своей тачки или той, на которой эта служба требуется. Во вкладке «ведение журнала безопасности» можно указать, нужно ли записывать логи и куда их сохранять. При этом есть возможность получить информацию о пропущенных пакетах и успешных соединениях.

И еще одна полезная функция - это настройка правил для ICMP пакетов. По умолчанию они тоже являются заблокированными, и до твоего компьютера при такой настройке не пройдет даже ping-запрос (как раз та самая «плохая» невидимость, о которой я уже упоминал).

БИЛЕТ В ОДИН КОНЕЦ

Самый большой недостаток и, собственно, при- чина, по которой лично я не юзаю это средство самообороны, так это то, что ХР-шный файрволл позволяет защищать порты лишь для входящих соединений. А вот любая программа или сервис могут без проблем заюзать любой порт на твоей тачке и передавать через него пакеты, не спросив у тебя разрешения. Это значит, что любой засланный троянец может открыть свой порт и

передать через него любые данные своему хозяину. То же самое касается и подмены экзешника - ему плевать, какой размер или версия у файла. Конечно, залетный кулхацкер может быть и не получит доступ к открытому трояном порту и не сможет тебя админить, но если он не ламер, ни- что не помешает ему грамотно настроить свою лошадку. И тогда она принесет хозяину все что нужно и без его непосредственного вмешательства. Не буду упоминать даже банальное отсылание твоих данных на мыло - от этого вообще может спасти только твоя бдительность. Как вариант - вполне возможно, что троянец просто пропишет свой порт как открытый в настройки программы, и, пока ты этого не заметишь, злобный хаксор сможет юзать этот порт как ему вздумается - но это в принципе можно сделать практически с любым файрволлом, если знать, как он устроен.

Еще один момент. Предупреждение о запросе на открывание каким-либо сервисом, какоголибо порта ты вряд ли получишь, чего не скажешь о большинстве других файрволлов. Единственное, что ты можешь сделать с исходящими соединениями, это почитать логи и узнать, что, куда и через какой порт передавалось («передавай привет мамочке!»).

Кроме всего прочего, разработчики не рекомендуют использовать этот файрволл в локалке без выхода в Инет, так как это может нарушить обмен данными между компами в этой сети. Так что в локалке, особенно если она у тебя большая, этот файрволл особо не сможет тебе помочь.

Отсутствие блокировки исходящего трафика, невозможность тонкой настройки, отсутствие предупреждений и возможные конфликты с сетевыми сервисами - вот основные слабые моменты этого файрволла.

НЕ ХЭППИЭНД

Не знаю, как ты, а я по-прежнему буду юзать свой Norton Internet Security (aka ATGuard), который тоже не является эталоном безопасности, но все же не раз меня спасал от всяческих сетевых атак и бесцеремонных вторжений. А однажды он даже обнаружил троянца, которого пропустил даже хваленый AVP - но это уже совсем

другая история...

A

FIREWALL

Шухер в Зоне =)

Это файрволл понравится тем, кто любит, чтобы все хорошее было красивым. Надеюсь, ты и сам можешь увидеть это на скриншоте выше.

Из обычных файрвольных функций присутствуют почти все. При инсталляции программа спросит тебя, хочешь ли ты сразу разрешить своему браузеру выходить в Интернет; советую ответить «Yes», т.к. в дальнейшем все равно придется создавать для него правило. При попытке программы соединиться с Интернет, ZoneAlarm тут же оповестит тебя об этом и предложит тебе два варианта: разрешить исходящий трафик или блокировать. Также существует галочка «Remember this answer the next time I use this program» (напомни мне этот вопрос в следующий раз, когда я буду использовать эту программу), которая по дефолту не нажата, что очень удобно.

Можно выставить режим автоматической блокировки всего входящего\исходящего трафика, например, когда нету интернет-активности в течение 10 мин или когда включается Screen Saver. Файрволл удачно прячет последний сегмент твоего IP адреса, блокирует все не IP-пакеты (что полезно при ДОС-атаке на тебя - прим. ред.), ведет логфайл, проверяет себя на обновление и делает еще кучу всякого полезного (ловит, например, вирей во входящем мыле).

Как и предыдущий конкурент, ZA сразу засек трояна и не дал ему пробиться в Интернет.

Ах да, забыл добавить, что при стандартной замене iexplore.exe на telnet.exe firewall вежливо сказал мне, что файл изменился с момента последнего его запуска. Приятно.

Èòîã: получился хороший, добротно сделанный файрволл, который можно использовать уже не только для домашних и личных целей, но и в офисе, для защиты корпоративной сетки.

NeoWatch

ßçûê: English

Качать: http://www.kodsweb.ru/dwn/netsecurity/neowatch23.exe

Размер: 1566 Êá Shareware

Îñü: all win32

Чтобы не мотать тебе нервы одним и тем же, скажу, что NeoWatch умеет делать все, что может понадобиться дома. Про ведение лога, настройку безопасности и т.п. я говорить не буду.

Из полезного отмечу, что при помощи функции Trace Firewall может показать тебе на карте то место, откуда тебя только что пинганули. Только сна- чала тебе нужно указать свое место жительства, но если ты живешь в Козлопердуйске, то лучше укажи самый близкий к тебе большой город, тогда ты сможешь увидеть все в нормальном цвете =).

Если ты не знаешь что такое Ping или Flood, то при помощи пимпы «More information» в логе ты сможешь про все это подробно почитать в системе помощи. Но плохо то, что помощь эта вся в Интернете и обязательно нужно быть в онлайне ;(, и если у тебя проблемы с английским, то лучше ею не пользоваться.

Если тебя кто-то пытается просто пропинговать, то файрволл тут же сообщит тебе об этом на бросающемся в глаза попапе, где будет информация об обидчике, включая его IP адрес.

Неплохо... правда?

>

FIREWALL

Ты сразу же можешь занести его в Banned List. Также файрволл выдаст тебе всю информацию о том, кто и что у тебя сканирует.

Например, если кто-то сканирует тебе 5000 порт, то NW тут же выдаст тебе окно со всей инфой, включая то, где обычно используется данный порт и чем это опасно.

Èòîã: Красивый, удобный в настройке, понятный даже новичку файрволл. С большим количеством действительно полезных функций, и если добавить сюда еще ведение лога с возможностью фильтрации и печати отчета, то получается очень полезная в хозяйстве вещь!

Outpost Firewall

ßçûê: русский, но можно и другой

Качать: http://www.agnitum.com/download/OutpostProInstall.exe Размер: 2577 Êá

Shareware (íî åñòü è Freeware) Îñü: all win32

Начну с того, что OF признан лучшим файрволлом года! Это уже о многом тебе должно сказать. В природе существует как полнофункциональная платная версия (о ней я тебе и расскажу), так и полностью Freeware. Первое, что бросается в глаза - это полностью русифицированный интерфейс, так что с настройками у тебя проблем возникнуть не должно.

Этот файрволл имеет функции всех вышеперечисленных, но... Просто так файрволлом года не станешь, у него есть туча приятных фич внутри :). Из особых полезностей хочу выделить блокировку Куков и АктивХ элементов, так что теперь можно быть немного спокойнее за сохранность своей анонимности в то время, когда ты бродишь по сети.

Встроенная резалка рекламы. «А, такое мы уже видели», - скажешь ты. Но не тут-то было, т.к. Аутпост режет рекламу разными способами, как то: не загружает картинки заданных размеров (например, популярные баннеры

Первый шагом по настройке файрволла будет получение ясного представления для тебя, чего именно ты ожидаешь от его работы. В будущем это даст возможность сравнить результаты тестирования и имевшиеся до этого ожидания и таким образом оценить величину имевшейся ошибки.

Убедись в безопасности файрволла в плане физического доступа к нему посторонних лиц. Если с этим проблемы, то весь остальной труд напрасен.

Следующее, используемая ОС сама по себе должна быть достаточно грамотно настроена в плане безопасности. Но т.к. мы рассматриваем виндовые файрволлы, то лучшим выбором будет, на мой взгляд, Windows NT/2К.

Следующий шаг - сканирование портов файрволла как со стороны внутренней сети, так и со стороны Internet (icmp, udp, tcp) для определения открытых портов. Большинство правильно сконфигурированных файрволлов не имеет открытых портов. Более того, они игнорируют ICMP-пакеты, приходящие из внешней сети.

Работать должно всего несколько служб. Без крайней необходимости порты не должны открываться.

Необходимо руководствоваться правилом: запрещено все, что не разрешено, а не правилом - разрешено все, что не запрещено. Поэтому база правил должна начинаться с правила, запрещающего любой трафик (Режим полной блокировки), входящий и исходящий. Остальные правила должны идти за этим основным. После проверки базы правил firewall’а проверь его логи. Определил ли firewall проводившееся сканирование и давал ли он соответствующие сигналы (alerts). Какой трафик и каким образом был записан в логи. Если файрволл не зафиксировал большую часть активности во время тестирования его настроек, это свидетельствует о наличии серьезных проблем. Степень безопасности, которую дает применение файрволла, прямо пропорциональна тщательности, с которой он был настроен.

100*100 и т.п., в поставке проги уже есть стандартный набор правил для обрезания =)), но ты можешь как удалять, так и добавлять свои. Еще можно заблокировать графику\рекламу по ключевым строкам в коде HTML, в итоге все эти действия существенно повысят скорость загрузки страни- чек, притом что ничего полезного ты пропустить не должен (а кто-то нам говорил про ускорялки Интернета...).

Еще одна замечательная фича пригодится в большинстве своем родителям или системным администраторам. Она позволяет блокировать загрузку страниц как по ключевым словам, так и по названию самого сайта. «Теперь ваши детки не будут лазить по вкусным сайтам!» - так можно обозвать эту возможность OF. Самой же главной отличительной чертой этого файрволла от других является открытость архитектуры, за счет чего можно создавать различные плагины («подключаемые модули» в жаргоне программы). В стандартный набор входят уже шесть плагинов, которых должно хватить на все случаи жизни: Детектор атак, Защита файлов, Блокировка рекламы, Блокировка содержимого страниц, Кеширование DNS (для еще более быстрой загрузки страниц) и Блокировка активного содержимого, куда входят блокировка куков, АктивХ компонентов, всплывающих окон и т.п.

Все действия, производимые файрволлом, тут же записываются в лог и выводятся на экран, так что ты можешь без напрягов наблюдать за ней.

И что еще замечательно, так это то, что для каждого сетевого приложения можно настроить свои правила работы в Интернете: к примеру, если ты пользуешься несколькими браузерами, то данная фенька тебе очень пригодится.

При тестировании файрволл с легкостью заметил, что троян хочет проникнуть в Интернет и что мою машину кто-то усиленно сканирует. И начал злостно орать, когда я попытался заменить файл iexplore.exe на telnet.exe.

Èòîã: Must Have однозначно! Мой выбор!

СОСКРЕБЕМ НАКИПЬ

Это, так сказать, лидеры в желтых майках. Я хочу сказать тебе, что больше в Интернете я на данный момент не нашел достойных к рассмотрению файрволлов! Я не стал придерживаться такой тактики, как «Что найдешь, то и опиши», т.к. в последнее время обзоры стали немного скучнее - паратройка программ супер, а остальные описаны как фуфлыжные. Так зачем их описывать, если все равно пользоваться ими никто не будет!? Такие проги, как AtGurad, ConSeal PC Firewall, я рассматривать не стал по причине того, что уже староваты они - сами на ногах не держатся.

Остальные тестируемые мною FireWall’ы не справились с большинством из поставленных задач, а они были, если ты забыл: