«Безопасность в Windows XP. (v.2.2)»

Автор - FurA [Russian Net Hunters team], zhe .
Дополнение, материал по службам и вкусности - Hail Caeser [Russian Net Hunters team]

Цель данной статьи - дать теоретические и практические навыки по построению системы защиты начального уровня в ос Windows XР

Мы много раз сталкивались с вопросами ньюбов о проблеме защите информации от разного рода хакеров, спец. служб и всякой разной заразы =). Нашей задачей было объединить наши познания в данной области и объяснить всё понятным русским языком. Сложно начать развивать эту тему – не знаешь за что взяться.. вроде так много интересного вокруг. Мы попытаемся открыть вам глаза на основные проблемы в этой области. Что из этого получиться судить вам.

#########Общие положения по обеспечению безопасности при работе в Интернете для пользователей Windows XP или INTRO#########
Вы должны понять, что светить свои личные данные не рекомендуется ни при каких обстоятельствах. Это может послужить козырем для спец. служб и для хакеров. Вспомните ситуацию со своим почтовым адресом – вы наверно регистрировали его на своё имя, на секретный вопрос про девичье фамилия вашей матери отвечали правдиво и пароль установили этак символа в 3-4. Поставьте себя на место хакера – ему не составит труда подобрать пароль или узнать ответ на секретный вопрос. Социальной инженерией бывалый хакер владеет как никто иной. Достаточно ему от имени какой-либо девушки постучатся в аську, как все ответы разложатся по полочкам.

Установите у себя на компьютере Spectral personal SMTP server. При грамотной её настройки отправка почты проходит анонимно.
Можете воспользоваться сервисом, который подменяет e-mail отправителя. Реализацию подобной вещи можно увидеть тут : stimevlad.ru/vkusnosti.php. Не используйте короткий пасс и при возможности нигде не светите свой Email. Для общения создайте отдельный почтовый ящик . Тот, который является основным должны знать только проверенные люди.

Рассмотрим другой вариант – ICQ. Аська сама по себе есть нескончаемое зло, отнимающее бесценное свободное время. Но не пользоваться ей не возможно – она уже надолго вошла в нашу повседневную жизнь. Поговорим немного об анонимности и в ней самой. Старайтесь иметь 2 номера ICQ – один для показа «на публику», а другой приватный, про который не должны знать никто кроме самых близких людей. В деталях приватного УИНа не должно быть ничего похожего на то, что это именно ваш номер. Никаких ников, фамилий, имён – одна пустота. Про то какие опции стоит отрубить надеюсь рассказывать не надо.

#########Рассмотрение проблемы безопасности при работе в Интернете глубже.#########
(объединено со статьёй "Прокси-сервера" от FurA)

Прокси сервера. Теория.

Proxy-server - сервер-представитель (англ.)
Опишем это понятие простым русским языком. Прокси-сервер, это шлюз, выполняющий запросы к серверу вместо клиента. Идея разработки прокси-сервера пришла администраторам перегруженных серверов. По их задумке, шлюз должен прерывать все попытки клиента подключения к серверу и запрашивать у него ресурсы, необходимые клиенту. Путём несложных умозаключений получаем, что на стороне шлюза можно создать кэш ресурсов популярного сервера. Это поможет уменьшить нагрузку на основные каналы и оптимизировать загрузку сервера в целом. Основная особенность большинства прокси-серверов в том, что при подключении через него происходит замена IP адреса клиента IP адресом шлюза. Этот факт можно рассмотреть с разных позиций.

в нынешние дни прокси-сервера поддерживают большинство современных протоколов : HTTP, SOCKS, FTP... Поэтому-то они и получили такое распространение. Крупные сети сейчас невозможно без них представить. С точки зрения администраторов, прокси сервера вносят большой плюс при организации выхода в Интернет, связывания сегментов сети и т.д.. За одним проксиком могут находится сотни, а то и тысячи компьютеров. Преимущество при, допустим, выходе в Интернет в том, что машины сети будут иметь адрес proxy-server`а. Тем самым взломщику будет невозможно определить внутренний IP-адрес нужного ему компьютера. Но есть у этого и отрицательные стороны - все системы управления состоянием или защитой, работа которого основана на использовании IP-адреса клиента, оказываются в неудел. Для этих целей были придуманы шлюзы, которые не подменяют IP адрес клиента (None-transparent).

#1 Кратко об архитектуре клиент-сервер и переменных окружения.

Архитектура клиент-сервер используется для всех приложений, которые используют Интернет.
Переменные окружения это данные, которые передаются от клиента к серверу.
Их количество зависит от двух составляющих - от настроек клиента и конфигурации сервера. Для того, чтобы понять к какому виду поркси-сервера относят ваш, нужно знать 3 переменных : REMOTE_ADDR, HTTP_VIA и HTTP_X_FORWARDED_FOR.

#2 Типы прокси-серверов.

В общем прокси-сервера можно разделить на 2 категории - анонимные или нет.
Начнём с не анонимных, а точнее с их переменных окружения.
В поле REMOTE_ADDR должен стоять IP-адрес проксика, в поле HTTP_VIA должно быть имя или IP проксика, а в HTTP_X_FORWARDED_FOR ваш IP-адрес. Как видите, данный вид прокси-серверов не скрывает ваш IP- адрес. Такой вид прокси-серверов в основном используется администраторами для использования возможности кэширования, управления потоками, аутентификации по хостам, паролям, логирования проходящих через него пакетов данных, а иной раз даже шифрование. Примером тому может служить squid.

Далее - анонимные.

Анонимные прокси, это прокси, скрывающие IP адрес клиента. Анонимные проксики делятся на простых, искажающих и на серверов повышенной анонимности.

Для первой подкатегории всё понятно - во все три переменных окружения, которые нами рассматриваются, вписывается IP-адрес прокси.
Во второй подкатегории значению HTTP_X_FORWARDED_FOR присваивается случайный Ip адрес, а остальные 2 поля заполняются IP адресом прокси-сервера.
ну и наконец, серверы повышенной анонимности.

В них переменные HTTP_VIA и HTTP_X_FORWARDED_FOR не определены, а в поле REMOTE_ADDR стоит IP адрес прокси-сервера.
Прокси-сервера также можно различить по протоколам, через которые они работают.

Самые осноные - это HTTP и SOCKS. HTTP проксики можно использовать для большинства целей, которые потребуется при повседневном сёрфинге Интернета, к тому-же их можно связывать в цепочки. Иной раз это сказывается на быстродействии передачи пакетов данных в целом. Аналогичная ситуация и с SOCKS-проксиками. Их можно использовать в цепочке, объединять с другими типами прокси и ,что самое важное, можно использовать специальные программы, называемые SOCKS-ификаторами, которые позволяют использвать SOCKS-proxy дял любых приложений, будь-то почтовик The Bat, Браузер Opera, ICQ-клиенты.

а) Прокси-сервера. Практика.

Сразу оговоримся, что под словом «прокси» будем подразумевать как proxy, так и Socks4 или Socks5. Какой лучше выбрать? Универсального ответа не существует. Конечно, можно пользоваться публичным прокси, главное, чтобы он был анонимным. Проверить прокси-сервера на анонимность можно на сайте http://leader.ru/secure/who.php или на http://win-lin.h15.ru/cgi-bin/site.pl?x=about – это два совершенно разных по типу проверки ресурса. На последнем также можно узнать о последних анонимных Proxy, Socks4 и Socks5 – серверах. Socks4 и Socks5 по многим параметрам лучше прокси – они работают наподобие релея – передают информацию от вашего компьютера к запрошенному в таком виде, каком она поступила, то есть никак не изменяя. К сожалению, пока некоторые программы, например, отсылки почты, не поддерживают Socks. Чтобы это исправить, можно воспользоваться программой SocksChain http://www.ufasoft.com/socks. Она имеет хорошее руководство пользователя на русском языке, так что проблем с использованием не должно быть.

Однако при пользовании даже анонимным публичным прокси-сервером или Socks есть риск быть вычисленным, так как многие из них ведут логи, а некоторые являются HoneyPot`ами (горшочек с медом – приманка для хакеров).

Отсюда следует, что лучше его сделать самостоятельно. В сети есть несколько открытых проектов, например, 3PROXY от 3APA3A, который можно скачать с этой страницы http://www.security.nnov.ru/soft/3proxy. Обратите внимание, что там есть ссылки как на Windows, так и *nix-версии, а также исходные коды и подробный FAQ. Его можно установить на веб-шелл (купленный – бесплатные шеллы вряд ли имеют такую возможность), в каталоге, где находится бинарник 3proxy создать файл конфигурации 3proxy.cfg, в котором написать

nserver 127.0.0.1 # адрес DNS для автоматического соединения
auth none # авторизация выключена
allow * # разрешаем использовать любого IP адреса
socks –p7855 # номер порта прокси.
internal 127.0.0.1 # внутренний IP – обычно он 127.0.0.1
log /dev/null # запись логов в «черную дыру»

Запускаем прокси командой ./3proxy 3proxy.cfg. Все. Теперь в настройках компьютера можно указать IP нашего веб-шелла и порт 7855.
Еще более безопасным, но уже не законным способом является установка прокси на чей-нибудь компьютер. В этом случае будет полная анонимность, главное – выбрать «глупую» жертву, не обремененную оплатой за трафик и мало заботящуюся о собственной безопасности.

б) Поговорим о защите от нападения. Для этого нам поможет фаервол. Мой любимый фаервол – Agnitum Outpost Firewall, хотя на вкус и цвет товарищей нет. Правильно отконфигурировать его вам поможет документация, поставляемая вместе с программой.

Как совет, могу посоветовать вам пользоваться основным правилом при составлении RUles`ов - "Всё, что не разрешено, запрещено". Защитой же от вирусов может послужить антивирус. На мой взгляд самый продвинутый в этом деле это антивирус NOD от ESET. Хочу поведать вам про honeypot`ы вкратце. Ои используются для собирания информации о тех людях, которые посегли на ваши кофеденциальные данные. Программы из этих серий эмулируют на компьютерах множество всяких уязвимых сервисов и логируют всё происходящее с ними и вокруг них.

в)Немного расскажу про пароли – использовать пасса по 5 символов длиной давно вышло из моды =) да и на безопасности отражается отрицательно. Если ставить пароль более 10 символов то можно забыть о том, что такое брутофорс, - эта атака просто будет не рентабельной и не принесёт существенной отдачи. Даже если удастся взломать, то на это потребуется достаточно много затрат и усилия себя в большинстве случаев не оправдают. Я советую вам хранить на своём компьютере программу, которая генерирует и хранит в своей базе пароли. Таких прог много, но у меня стоит Password comander. Сказать честно – я ей доволен. Достаточно знать мастер-пасс и ты получаешь доступ ко всей базе паролей. Сами пароли шифруются по алгоритмам, выбранным при установке. Ушли в прошлое бумажки и тетрадки.

#########Защита и скрытие данных на компьютере с операционной системой Windows.#########

а) Рассмотрим проблему удаления файлов. Если удалять файл стандартными средствами системы, то содержимое файла останется на диске. Можно установить программу-eraser, которая будет перезаписывать несколько раз содержимое файла и лишь затем - стирать. Из конкретный программ что-либо стоящее посоветовать не могу – их много и все основаны на одном и том же. Единственный совет – использование алгоритма Питера Гутмана (Peter Gutmann), при котором данные перезаписываются определенным алгоритмом. Даже после того, как файл затерт таким методом, в системе остаются побочные следы существования файла.

Например, стандартный файловый менеджер Windows - эксплорер - записывает в реестр открываемые/сохраняемые файлы. По принципу дозаписывания: к старому добавляется новое, и выходит, что месторасположение (и, что важно, имя) удаленного несколько месяцев назад файла очень просто определить.

Можете посмотреть самостоятельно следующие разделы реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Его подразделы - кладезь информации. Даже по расширению отсортированы.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
И это называется "недавние документы!"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop
А здесь все, что было открыто/сохранено на рабочем столе.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts

А сколько программ на компьютере? И почти каждая ведет подобные логи.

Так что надо знать, что и куда пишет программа. А поскольку часто это недокументированно, проследить очень сложно. Хорошо, если есть исходники, а они бывают редко. Еще примеры записи в реестр различными пользовательскими программами приведены здесь: http://win-lin.h15.ru/cgi-bin/site.pl?x=pages&id=15.

Если информация очень важная и хочется от нее избавиться, то можно предложить на низком уровне перезаписать весь винчестер. Это можно сделать, используя программу DBAN - http://dban.sourceforge.net/. Русское описание есть на предыдущей ссылке.

Но не затирать же каждый раз винчестер. Тогда надо задаться вопросом, где хранить информацию. Конечно, можно это делать на выносных носителях типа USB Flash. Однако, в случае, если к Вам придет наряд из правоохранительных органов, скорее всего первоначально будет вырублено электричество, и вся информация останется на USB Flash, что тоже плохо. Можно хранить данные в оперативной памяти, которая, как известно, «обнуляется» после прекращения подачи питания, и восстановить информацию с нее после этого невозможно. Как это сделать? – скачать драйвер виртуального диска с http://win-lin.h15.ru/WWW/download/ram.rar. В архиве находится инструкция по установке и исходные тексты программы.
Также можно посоветовать использовать систему виртуальных машин VMWare или VirtualPC. Они служат для эмуляции операционной системы. Другими словами, если у Вас уже загружена Windows (или Linux – VMWare есть для Linux), в ней можно загрузить еще одну операционную систему (Linux, BSD, Windows – по желанию). И в ней делать свои дела, не боясь за крах реальной или скрывая в Интернете свою систему. После работы можно просто удалить файл, в котором располагается данная система. Например, в случае с VMWare, это файлы в папке, которую Вы указали при установке новой операционной системы на эмулятор VMWare. Таким образом, на реальной машине следов практически не останется.

Еще один способ – использование LiveCD дистрибутивов. Это компакт-диск, с которого в оперативную память загружается операционная система. Сейчас есть как Linux-системы (Russian Trinux Kit, Frenzy), так и Windows (с помощью утилиты PEbuilder http://www.nu2.nu/pebuilder/ можно сделать самостоятельно такую систему). Жесткий диск может быть отключен за ненадобностью. После перезагрузки данные из оперативной памяти восстановить невозможно.

б)Применение средств шифрования информации.

Здесь главный аспект в том, что зашифрованная информация в любом случае когда-нибудь будет находиться в расшифрованном виде и будет доступна для троянских программ.

Можете смело отказываться от виртуальных шифрованных дисков, которые представляют PGP и другие подобные им программы, поскольку уже существуют трояны, сканирующие виртуальный PGP-диск при его подключении и высылающие список файлов злоумышленнику.

*************дополнение от FurA*************
Не знаю как zhe, но я предпочитаю утилиту Drive Crypt. Не навязываю своего мнения, но программы подобного рода должны быть на любом компьютере. На новый раздел, созданный драйв криптом, полезно будет положить не только свои хакерские тулзы, но и клиент ICQ, и мыльный клиент, и впредь все свои логи сохранять туда. Полезно будет замаскировать контейнер под .wav файл.
*************дополнение от FurA*************

Вообще, если будет найден файл с шифрованной информацией на Вашем компьютере, в 50% случаев можно будет установить, какой программой он зашифрован, поскольку сейчас многие программы организовывают свой формат хранения данных в файле, хоть он и зашифрован. Легче изучить какой-либо алгоритм шифрования, написать собственную программу и быть уверенным в ее надежности.

Хранить зашифрованные данные лучше не в виде файлов, видимых в файловой системе, а писать шифрованную информацию через порты, а потом следить, чтобы никакая программа не создала файл в данном месте. Таким образом, присутствие файла в системе полностью скрывается. Определить, что информация зашифрована становится возможным только лишь по сигнатурам, но найти их на кажущемся пустым месте накопителя очень сложно. Из подобных программ мне известна лишь BDV DataHider http://www.badevlad.hotmail.ru/, но ее возможности очень ограничены – можно записывать только на флоппи диск.

Что касается длины ключа, то чем больше, тем лучше. Использовать меньше 512 Байт при ассиметричном и 128 Байт при симметричном шифровании не рекомендуется. Симметричное шифрование – это один секретный ключ, ассиметричное – два ключа: приветный и публичный, чем оно и выгодней симметричного. Однако, при равных длинах ключей, симметричное шифрование труднее расшифровать.

#########Удобство не во благо или функции, которые нужны не каждому в ос Windows XP Professional#########

а) Windows XP Professional включает в себя большое количество разнообразных служб , некоторые из них нужны только в условиях развитой корпоративной сети .

1)Автоматическое обновление

В свое время она попортила мне нервы ещё со времен Windows 2000 Service Pack 4 . Е сли у вас нет постоянного выхода в Интернет то лучше ее отключить .

2)Беспроводная настройка

Обеспечивает настройку параметра компьютера к сетевым ресурсам и сервисам при подключению к беспроводной сети с помощью адаптеров 802.11 .

3)Internet Connection Firewall / Internet Connection Sharing

Чтож , это вещь очень милая , однако надо заметить , что ICF - не самый удобный и функциональный брандмауер . Вот из-за этого ее стоит отключать и использовать другой брандмауер . Я рекомендую Black Ice или Bit Defender .

4)Web-client (Веб клиент)

Её функция заключается в том , чтобы позволить программам Windows создавать , получать доступ и изменять файлы , хранящиеся в Интернете без необходимости реализации протоколов HTTP/FTP.

5)Secondary Login

Многие пользователи не замечают эту службу . Смысл данной службы в том , что зайдя в систему под одним именем , можно запустить программу от имени другого пользователя.

6)Distributed Link Tracking System

Служба отслеживания изменившихся связей необходима для того , чтобы программы могли отслеживать связи NTFS файлов , перемещаемых в пределах одного NTFS-тома , из одного NTFS тома в другой в пределах одного компьютера или между компьютерами в домене.

7) Computer Browser

Используется для обслуживания компьютеров в сети по протоколу NetBios .

8)Server (Сервер)

Используется для обеспечения общего доступа к файлам, принтерам и наименованным каналам , через сетевое подключение.

9)Portable Media Serial Number

Эта служба получает серийные номера всех переносных медиаустройств , подключенных к системе .

10)Справка и поддержка

Она необходима для вывода справки Windows по различным вопросам и позволяет осуществлять поиск в online ресурсах Microsoft .

11) Remote Registry Service

Огромнейшая дыра ! Очень полезная служба для удаленного доступа к компьютеру - служба удаленного реестра .
Практически во всех этих службах были обнаружены уязвимости

#########STuFF#########
СОВЕТЫ:

• Настройте систему так, чтобы ежедневно обновлялся весь софт, который стоит на защите вашего компьютера. (Windows update, обновления фаерволов, антивирсных баз и т.д.)
• Вы наверно слышали умную фразу линуксоидов – не тусуйся под рутом =). Это справедливо и для винды. Вам надо создать пользователя с минимальными правами, а на администратора поставить приличной длинны пароль.
• переведите все разделы жёсткого диска в файловую систему НТФС и проиграйтесь с разрешениями.
• поотрубайте ненужные сервисы, ибо за то что через дыру в каком либо из них вас поимеют ответственность майкрсофт нести не будет.
• чтобы добавить новый уровень защиты пытайтесь думать нестандартно.
• сделать систему на 100% безопасной нельзя. Примите к сведенью =).
  

Набор софта, который помогает противостоять большинства злым сторонам Интернета :
Trojan Remover
Win patrol
Drive Crypt
Password commander
SPECTral Personal SMTP Server
SocksChain
Xteq Systems X-Setup
ESET NOD
Agnitum Outpost Firewall
VMWare


Кстати, Вы знали, например, что по умолчанию в WinXP включена нуль-сессия - любой анонимный пользователь может зайти на Ваш компьютер.

*************дополнение от Hail Caeser*************
Windows XP , по умолчанию больше не содержит анонимного доступа, а вот в Windows NT & Windows 2000 он есть.
*************дополнение от Hail Caeser*************

Присутствует скрытый административный доступ к локальным дискам. Да много чего есть. Если заинтересовались, идите по ссылкам:

• http://windows.nxt.ru/art1.html
• http://windows.nxt.ru/art4.html
• http://windows.nxt.ru/art5.html

Вкусности Windows XP (thx for Hail Caeser)
The Security Configuration Command Line Tool (secedit.exe) - ее
предназначение для:

1. Анализа безопасности.
2. Примененья политики безопасности к системе Windows XP

Опции в командой строке позволяют применять индивидуальную систему
защиты для защищенных зон с применением файла конфигурации.
Также в Windows XP есть шаблон, устанавливающий политику безопасности
при установки по умолчанию .
Посмотреть на него вы можете в %SystemRoot%\security\templates, файл
"setup security.inf" .
Там же вы можете найти несколько других шаблонов , каждый из них
устанавливает разные степени защиты :
compatws.inf , securews.inf , hisecws.inf.

#########OUTRO#########

From FurA:
"Эхх, смотрю на эту большую кучу текста и ума не приложу, будет ли это кому-нить нужно...
Надеюсь, что хоть какую-то ценную информацию вы для себя вынесли. Хочу поблагодарить человека с ником zhe, который внёс огромнейший вклад в развитие этой статьи. Так сказать, то что вы сейчас читаете это в основном его заслуга.
респект!
далее, хотел бы поблагодарить всех мемберов Russian Net Hunters team за то что они есть. Парни, с вами реально работать =). Продолжаем в таком-же темпе =).
Хочу передать привет девушке, которой не перестаю восхищаться до сих пор. далее - родителям. За что думаю уточнять не стоит =).

УСПЕХОВ ВАМ ВО ВСЕХ НАЧИНАНИЯХ!

###########################THE END###########################

"Лаборатория Касперского" - международная компания-разработчик программного обеспечения для защиты от вирусов, хакеров и спама. Продукты компании предназначены для широкого круга клиентов - от домашних пользователей до крупных корпораций. В активе "Лаборатории Касперского" 16-летний опыт непрерывного противостояния вирусным угрозам, позволивший компании накопить уникальные знания и навыки и стать признанным экспертом в области создания систем антивирусной зашиты.

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе, различные скидки от

Академия Информационных Систем (АИС) создана в 1996 году и за время работы обучила свыше 7000 специалистов различного профиля. АИС предлагает своим партнерам десятки образовательных программ, курсов, тренингов и выездных семинаров. Сегодня АИС представлена направлениями: «Информационные технологии», «Дистанционное обучение в области ИТ», «Информационная безопасность, «Управление проектами», «Бизнес-образование», «Семинары и тренинги», «Экологические промышленные системы», «Конференции», «Консалтинг» и «Конкурентная разведка на основе Интернет».

Интернет-магазин www.watches.ru входит в состав крупной специализированной сети часовых салонов МОСКОВСКОЕ ВРЕМЯ, которая насчитывает более 40 торговых точек по Москве и регионам России. В нашем магазине представлены более 3000 моделей часов производства Швейцарии, Германии, Франции и Кореи. Доставка по Москве - бесплатно. Для постоянных клиентов существует гибкая система скидок и выдается накопительная дисконтная карта «Московское время».