08 Сентября 2003 17:09 08 Сен 2003 17:09 |

Поделиться

Отказоустойчивость Windows и Linux сравняли вирусы, черви и хакеры

Один из основных конкурентов систем на базе продуктов Microsoft (во всяком случае — его так называют в широких слоях «компьютерной» общественности) — ОС Linux и ее дистрибутив, производимый компанией RedHat. К примеру, остановимся пусть не на самом последнем, но любимом пользователями и системными администраторами стабильном дистрибутиве RedHat Linux v7.3. По ссылке расположен список выявленных по состоянию на настоящее время уязвимостей. С 1 января этого года только проблем с безопасностью выявлено 83, причем среди них достаточно много позволяющих удаленно получить права администратора системы (root). Здесь вспоминаются знаменитые проблемы с samba («An anonymous user could exploit the vulnerability to gain root access on the target machine»), многочисленные проблемы в sendmail, OpenSSL, перманентно unsecured wu-ftpd, который RedHat настойчиво вносила в свои дистрибутивы до версии 8.0 включительно.

Желающие могут просмотреть весь этот список. Примечательно, что примерный состав пакетов, входящих в различные дистрибутивы Linux, у фирм-производителей во многом совпадает, будь это RedHat, Su.Se, Debian или SlackWare. То есть у них одинаковый список уязвимостей. Напрашивается вывод, что отсутствие массового заражения систем в интернете специфическими червями, написанными именно для этих систем, объясняется только двумя факторами — их относительно небольшой распространенностью и требованиями к квалификации системного администратора (в случае Linux/Unix — они однозначно выше).

Коммерческие версии систем на базе UNIX подвержены тем же самым болезням. Как правило, они используют многие версии пакетов от конкретных производителей. «Многострадальный» wu-ftpd портирован, как минимум, в такие крупные коммерческие системы, как HP-UX, Sun Solaris, Irix, BSD и т.д. В бюллетене по вопросам безопасности ОС HP-UX HPSBUX0309-277/SSRT3603 (CAN-2003-0466): WU-FTPD упоминается о проблемах с этим продуктом в последних версиях системы до v11.22 включительно. Есть администраторы, которые его используют. Плюс к этому — практически в каждой из коммерческих версий Unix регулярно обнаруживают ошибки в security, специфические для каждой конкретной ОС. Достаточно заглянуть в bugtrack — только в августе этого года OC HP-UX упоминается в нем минимум 5 раз. AIX? IRIX? И здесь проблемы. Август этого года — многочисленные ошибки в IRIX (multiple bugs).

Другой общеизвестный производитель оборудования и программного обеспечения — Apple Inc. со своей относительно новой операционной системой MAC OS X — тоже недалеко ушел в вопросах безопасности. ОС фирмы Apple базируется на ядре одной из версий Unix и унаследовала как ее достоинства, так и недостатки. Достаточно зайти на сайт, посвященный вопросам защиты данных для этой операционной системы. Здесь сразу обнаруживается знакомая картина — 4.10.2003 News Security Update! Mac OS X 10.2.5 has been made available for update! This version fixes a security issue in Apache 2.0 (CAN-2003-0132), File Sharing/Service (CAN-2003-0198), DirectoryService (@STAKE), OpenSSL (CAN-2003-0131), Samba (CAN-2003-0201), and sendmail (CAN-2003-0161).

Из всего упомянутого следует простой вывод. Практически любую из коммерческих ОС, покупаемых за деньги, а иногда — за очень неплохие деньги, можно взломать, используя если не прорехи в самой операционной системе, то, как минимум, дыры в пакетах прикладных программ, включенных в состав дистрибутива. Для некоммерческих ОС — картина практически совпадает, и радоваться этому не приходится. Более того, в среде квалифицированных системных администраторов уже давным-давно справедливо считают, что даже самая последняя версия системы, полученная прямо от производителя, ни в коем случае не допускается для установки в открытом доступе. Ее «правят напильником», выбрасывая потенциально опасные пакеты. В ней заменяют часть дистрибутива на свои собственные, либо свободно распространяемые наработки. Только после этого полученную версию системы сдают в эксплуатацию пользователям. Но при этом ее оставляют под постоянным присмотром.

В настоящее время создалась странная ситуация — коробочными версиями продуктов с настройками «по умолчанию» в очень многих случаях пользоваться попросту нельзя. И эта тенденция прослеживается практически для всех версий операционных систем, вне зависимости от производителя, типа ОС, времени выпуска, оборудования и т.п. Есть, конечно, экзотические продукты, например, NetBSD или QNX, но они распространены слабо и достаточно сильно ограничены функционально.

В то же время, анализ статистики повреждений продуктов Microsoft, наиболее распространенных среди пользователей, более чем настораживает. Их в настоящее время вообще нельзя выставлять в интернет без дополнительных «средств защиты». Не успели еще «отгреметь залпы» войны с доступом к системам на базе ядра NT через прорехи в DCOM, как пришла очередная новая волна проблем. Системные администраторы и пользователи хорошо с ними знакомы — это «Раскрытие произвольных частей памяти в Microsoft Windows NetBios», «Удаленное переполнение буфера в MDAC-функции во всех версиях Windows», «Множественные уязвимости в Microsoft Internet Explorer» и т.д. и т.п. Внешне это выглядит так, как будто Microsoft лихорадочно латает расползающееся на глазах лоскутное одеяло старых ОС, параллельно обещая пользователям «златые горы» в виде замены «программного обеспечения в вашей организации на системы Windows Server 2003, Office 2003, Windows XP Professional и ISA Server 2000». При этом на страничке Microsoft обещаются защита от вирусов, спама, бесперебойная работа системы, защита от несанкционированного доступа и т.д. И это при том, что еще три недели назад через прореху в DCOM Windows Server 2003 был доступен для кого угодно. Можно ли верить таким обещаниям?

В результате создается не просто печальная, а душераздирающая картина. Последняя лицензионная и честно купленная версия системы практически любого производителя с установками по умолчанию доступна для взлома хакера средней руки как извне, через интернет, так и изнутри. Все это способствует созданию дополнительных и весьма серьезных угроз ИТ-безопасности. Много ли работников довольны своими начальниками и зарплатой? В большинстве организаций имеющегося количества квалифицированных системных администраторов, при существующих технологиях защиты операционных систем, абсолютно недостаточно для решения вопросов безопасности. Подтверждением этому является регулярное нашествие интернет-червей различных типов. Они используют прорехи как в общедоступных, так и в коммерческих ОС. Сегодня единственный «путь к спасению» — это «прятаться». Именно сейчас, а не через год, когда Microsoft напишет «практически защищенную ОС» или RedHat наконец-то создаст удобоваримую десктопную версию Linux.

Дискуссия в метавселенной: ИИ, обмен данными и иммерсивные сценарии

ИТ в банках

Но просто «спрятаться» уже недостаточно. Именно сейчас обострилась необходимость скрывать свою родную систему от внешних воздействий всеми возможными способами. Маскировать ее структуру, вплоть до количества машин и объема передаваемых данных. Компаниям поможет установка межсетевых экранов, но с обязательным выносом интернет-сервисов в так называемую демилитаризованную зону (DMZ), с защитой почтового сервиса. В локальных сетях потребуется использование аппаратных средств, разбиение пользователей на группы, недоступные друг другу, при обмене данными только через сервера. Возможно, потребуется установка межсетевых экранов даже внутри локальной сети. В этом случае корпоративный E-Mail/HTTP-сервер, как минимум, следует пометить в DMZ, при обязательном контроле антивирусной системой и регулярных проверках квалифицированным системным администратором.

Для лучшей защиты системы пользователям лучше работать с интернетом через внутрикорпоративный прокси-сервер, который маскирует часть информации об их системах. Но этот прокси-сервер рекомендуется спрятать за внешним межсетевым экраном. При этом обязательна фильтрация доступа пользователей к ресурсам интернета. Причем, это минимальный пакет необходимых требований. На самом деле — его вполне можно расширить, вплоть до фильтрации всей информации, проходящей по сети. Обычным же, рядовым dialup-пользователям интернета остается идти на поклон к квалифицированным системным администраторам, инсталлировать и исправлять свои системы, используя доступ только через защищенные соединения. И в обязательном порядке использовать программные средства защиты.

Игорь Каминский / CNews.ru

Ознакомиться с полным списком учебных курсов Школы CNews можно здесь.

Ближайшие учебные курсы:

Анализ рисков информационных систем компании

Система анализа защищенности System Scanner

Расследование компьютерных инцидентов

Поделиться

Подписаться на новости Короткая ссылка