Дыры, которые потрясли мир

Содержание

<IFRAME> и MSOE
hcp:// и Windows ME
Другие дыры IE и OE
Дыры в Media Player
Дырища в Windows Vista, Windows 7, Windows 2008 Server

Эпидемии глупости (вместо вступления)

Существует общеизвестная мера безопасности: пользоваться антивирусными программами (лучше всего резидентными) и регулярно обновлять антивирусные базы. Но это ещё не гарантия, что ничего не случится. Например, когда «AVP монитор» обнаруживает вирус в почтовой базе MSOE, он блокирует к ней доступ, в результате чего Вы не можете прочитать не только заражённое письмо, но и все остальные полученные письма. Естественно, чтобы прочитать их, юзер выключает «AVP монитор». После чего, если он не знает, где именно находится вирус...

Свирепые кибер-чудовища - черви KLEZ и Bugbear совсем недавно перепугали добрую половину Всемирной Сети, вызвав настоящую эпидемию, я бы даже сказал, пандемию. Однако, эта «пандемия» вызвана на самом деле ничем иным, как глупостью новых пользователей Интернет.

Большинство новых (и не очень) юзеров демонстрируют поистине идиотскую неспособность принимать даже самые примитивные меры по собственной безопасности. Конечно, они в этом не виноваты. Как водится, юзер у нас занимается самообразованием и на первых порах их голова не может вместить даже того, что предлагает мастдай (он же Microsoft) в хелпе. А если учесть, что ни в справках по Винде, ни в справках по браузерам, ни в справках по популярным почтовым программам просто ни слова не сказано об основных брешах в защите и о том, чем и как эти бреши прикрыть, то не стоит удивляться столь идиотским эпидемиям, вызываемым примитивными вирусами. Ведь те же самые klez и bugbear проникают к Вам старым "добрым" способом: из почтовика через iframe.

Конечно, брешей на самом деле очень много, но они не так часто используются злоумышленниками по сравнению с тем же iframe'ом в MSOE версий 5.x. Именно этой дверцей пользуется большинство вирусов, вызывающих "глупые" эпидемии. Расскажем подробнее об этой и других дырах, и о том, как их залатать.

Надо сказать, что, к чести производителей антивирусных программ, они уже не блокируют почтовые базы данных. Теперь они сканируют входящий почтовый трафик в поиске вирусов во входящей почте.

<IFRAME> и MSOE 5.x

Едва начав осваивать программу Outlook Express, начинающий пользователь наслаждается областью просмотра, где можно видеть содержимое выделенного в списке сообщения. Наслаждается, пока не получит свой первый вирус. Этот вирус пользуется тегом языка HTML <iframe> и дырой в защите MSOE для запуска своего вредоносного кода. Обычно код имеет вид вложения, причем расширение вложенного файла обычно совершенно не соответствует указанному в свойствах сообщения его же (файла) типу MIME. Например, расширение .pif, а тип MIME - x-audio/x-wav.

Что же делать? Если Вы еще не заразились, то прежде всего выберите в меню Вид команду Раскладка... Далее снимите флажок "Отображать область просмотра" и нажмите ОК.

Если Вы получили письмо с вложением (особенно от неизвестного адресата), то есть смысл просмотреть сначала его свойства - чтобы, не открывая сообщения, узнать тип файла, тип MIME, адрес отправителя, IP-адрес (если повезет) и т. д. Как просмотреть свойства сообщения: щёлкните письмо в списке правой кнопкой мыши, выберите Свойства. Затем выберите вкладку Подробности и нажмите кнопку "Исходное сообщение..." (делайте это только после того, как последуете предыдущему совету!)

Добавлю, что помочь также могут Service Pack 2 (SP2) для MSIE 5.5 либо установка IE 6, либо вообще снос Эксплорера.

hcp:// и Windows ME

Опасная дыра имеется в операционной системе Windows Millenium Edition (WinME). Виновен в наличии дыры обработчик URL с префиксом "hcp://", изначально предназначенным для связи со службой поддержки мастдая. Из-за переполнения буфера в справочной системе злоумышленник может получить возможность выполнять команды на удалённой машине, лишь указав (например, в письме) адрес с префиксом "hcp://".

Из почтовых клиентов (под Windows ME) наиболее уязвимы Outlook версии до 2002 и Outlook Express версии до 6.0. В этих программах старых версий запуск вредоносного кода может произойти даже без уведомления пользователя. В новых версиях—только если нажмёте на «злодейскую» ссылку. Относительно других почтовых клиентов тоже не дам никаких гарантий. Также уязвим и браузер Internet Explorer, поэтому не ходите по ссылкам с префиксом "hcp://", найденным на сайтах, не связанных с технической поддержкой Windows ME.

Лучший выход для пользователей Windows ME—скачать предлагаемую Microsoft заплатку: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-006.asp.

Другие дыры IE и OE

В браузере MSIE и почтовике MSOE существует, кроме описанных здесь, также множество других «дыр». Они связаны с реализацией как скриптовых языков (JavaScript и VBScript), так и непосредственно HTML/MHTML/XML. И если в первом случае отключение скриптов в настройках зоны безопасности вам поможет, то во втором случае бесполезно и это.

Если у вас есть желание максимально защитить себя от этих дыр, то стоит выбрать альтернативный обозреватель и/или почтовый клиент.

Из браузеров в сравнении с IE более безопасны Google Chrome, Opera и Mozilla Firefox (а также текстовые браузеры и браузеры без поддержки скриптов, но о них молчу, потому что сами подумайте, какой инет без скриптов и тем более без картинок/анимации). Кстати, есть свои особенности и у разных реализаций виртуальной машины Java, но об этом также молчу, т.к. Java-апплеты не столь распространены, как JavaScript, да и сам я не так много об этом знаю. ЗАМЕТЬТЕ: от дыры в WinME новый браузер вас не спасёт!

Из почтовиков в сравнении с OE гораздо безопаснее The Bat (что не лишает его других недостатков), Mozilla Thunderbird. Существуют, конечно, и прочие почтовые клиенты, такие как Netscape Mail (входит в состав пакета Netscape), Eudora и т.д. Но об их возможностях сказать ничего не могу.

Если Вы по какой-либо причине продолжаете пользоваться MSOE (ну в самом деле, не у всех же проц потянет «тяжеловесного» «The Bat» или «Netscape Mail»), то могу присоветовать оригинальную отечественную надстройку к OE по имени Fidolook. Эта штука позволяет запретить запуск вложений, помечает потенциально опасные (формата HTML) письма и много ещё чего.

Ещё одно средство обезопасить себя: когда Вас не интересует содержимое страниц, а нужно лишь скачать какие-либо файлы, по возможности пользуйтесь протоколом FTP. Наиболее респектабельные сайты (например, службы поддержки крупных софтверных компаний), ряд независимых распространителей программ / исходных текстов Open Source предоставляют такую возможность. От таких же «разработчиков» как я или владельцев бесплатных сайтов не стоит этого требовать.

Дыры в Media Player

Любителям видео следует поостеречься записей в майкрософтовских форматах. Прежде всего я имею в виду формат WMV. Приведу сообщение сети USENET, в котором описывается один из случаев нахождения троянских программ в таких видеофайлах.

==========================================================================
* Forwarded by Seryi ibn Skobar`
* Newsgroup: fido7.f1072.compnews
* From: "NewS"
* Date: Sun, 16 Jan 2005 02:27:04 +0300
* To: All
* Subj: Вредоносные коды через WMV-файлы [15.01.2005 19:45:00]
==========================================================================


 Вредоносные коды через WMV-файлы  [15.01.2005 19:45:00]
Hа этот раз появились вредоносные коды, которые встроены в WMV-файлы и,
используя возможности Microsoft Windows Media Player, заставляют
пользователей собственноручно переписать из Интернет целую кучу шпионского и
рекламного ПО, а также откровенных вредоносных кодов.
Два новых троянских коня (по терминологии Panda Software - WmvDownloader.a и
WmvDownloader.b, по терминологии "Лаборатории Касперского" -
Trojan-Downloader.WMA.Wimad.a и Trojan-Downloader.WMA.Wimad.b) встроены в
видео-файлы, распространяющиеся через P2P-сети типа eMule и KaZaA. Троянцы
используют функции DRM в Windows Media Player 10 и Windows XP SP2.
Когда пользователь запускает защищенный файл, проигрыватель требует
предоставить лицензию. Если лицензии нет, то проигрыватель ищет ее в
Интернет и
предлагает скачать или купить. Hо троянец пытается скачать не лицензии, а
различные вредоносные коды.
Один из студентов Гарварда, занимающийся исследованием шпионского ПО, провел
небольшой эксперимент. Hа чистом компьютере он попытался открыть троянский
файл, а, когда тот предложил установить лицензию, студент согласился. Hа
компьютере сразу же появилось большое количество шпионского ПО. Если в
цифрах, то в одно мгновение было создано 58 различных папок, добавлено 786
файлов и 11975 записей в реестре!
Пользователям P2P-сетей следует быть очень осторожными. Всем остальным также
не мешает обновить антивирусные базы, так как не исключено, что
инфицированные файлы появятся и в свободном плавании в Интернет.


-- 
Серый ибн Скобарь, люмпен-пролетарий.

Вот так. И это было в 2005 году. Можно не сомневаться, что ныне подобных «видео»-вирусов существует множество.

Дырища в крутых виндах (Vista, 7, 2008 Server)

В этих системах специально сконфигурированные UDP-пакеты, посланные кем-либо из Интернет (или локальной сети) в закрытый (!) порт, могут открыть путь к удалённому выполнению хакером любого кода на Вашей машине. Подробнее можно прочесть вот здесь (по-английски) или тут (по-русски).

Обсуждение уязвимости читайте здесь. Кое-кто даже утверждает, что нужно получить в UDP-порт непрерывным потоком около 114 Гб (или больше), иначе переполнения счётчика не возникнет, а значит, «хацкера» ждёт «облом». В общем, читайте и судите обо всём сами. А заплатку поставить было бы всё же неплохо.

обратно на «Выживание в Сети»

Автор статьи Михаил Шмелев, 2002-2013