Треба відразу сказати, що комп’ютери, що працюють під управлінням OC Windows, представляють із себе досить жалюгідне видовище в плані безпеки, якщо проинсталлировав операційну систему не вжити жодних дій по збільшенню її захищеності. Ми розглянемо основні, хоча і старі варіанти ОС фірми Мікрософт: Windows’95, Windows’98 і Windows’NT. У майбутньому планується зробити невеликий огляд їх порівняльної захищеності від різних атак, а зараз поговоримо про самих атаках. З більшістю з них ви, напевно, вже не раз зустрічалися при роботі в Інтернет, а про деяких, можливо, навіть не підозрюєте.

Отже, всі атаки можна класифікувати за способом роботи на наступні:

Атаки, метою яких є привести систему у неробочий стан.

Атаки, мета яких — отримати якусь інформацію з атакується машини.

Атаки, мета яких — отримати повний віддалений контроль над системою.

Перший тип атак — приведення системи в неробочий стан — широко використовується в Інтернет. Цілі при цьому переслідуються різні: починаючи від дрібних розборок на IRC, кінчаючи політичної віртуальної атакою. Результати атаки бувають різні, але вдале її проведення нічого хорошого для вас не обіцяє: в кращому разі на екрані користувача з’являється добре знайомий синій екран з інформацією про помилку в бібліотеці, що відповідає за роботу з TCP/IP, а в гіршому — комп’ютер намертво зависає, і вся робота, яка велася на комп’ютері перед цим полетить нанівець. І краще навіть не уявляти собі крайній випадок, коли атакуючий зуміє запустити на вашій машині програму-бомбу, яка через кілька хвилин зітре вміст жорсткого диска і прошиє флеш-мікросхему Біоса нулями, після чого комп’ютер можна буде віднести на смітник.

Втім, не будемо так песимістичні. Основні та найпоширеніші знаряддя зловмисників давно відомі, і від них можна захиститися.

Перерахуємо деякі:

Самий старий і класичний наїзд — це WinNuke, він же «нюкер». Технічні подробиці: програма з’єднується з атакуемым по 139 порту, який відповідає за мережевий сервіс машини (NetBios), і посилає за встановленим каналу будь байтікі, з встановленим типом даних — OOB (out of band). В операційній системі Windows’95 така дія викликає припинення діяльності TCP/IP-ядра. Сама система продовжує працювати, але для роботи в мережі вам доведеться перезавантажитися. У Windows’98 ця проблема виправлена. Для захисту від такого нападу допоможе програмка NukeDetect.

Також досить широко відомі програми, дія яких ґрунтується на посилці фрагментованих IP-пакетів з некоректною інформацією про складання. У цьому випадку при отриманні таких даних ядро операційної системи намагається зібрати отримані фрагменти в один, але з-за неправильно зазначених довжин фрагментів відбувається неправильне виділення пам’яті. Робота операційної системи зупиняється повністю. Вона не реагує ні на що, крім виключення живлення. Приклад такої програми: teardrop, ви можете подивитися принцип її роботи в исходнике. На базі teardrop виходило кілька модифікацій, начебто newtear для 100-відсоткового забезпечення результату 🙂 Атаці піддаються і Win’95 і Win’98 і навіть WindowsNT. Для захисту слід поставити на систему патчі.

Якщо атакуючому не хочеться виводити чужий комп’ютер з ладу, то він може використовувати кошти для захаращення каналу користувача даними. У кращому випадку атакується комп’ютер захлинеться хвилею інформацією і довгий час його продуктивність мережі буде незначна, а в гіршому може перестати функціонувати TCP/IP ядро. Але сам комп’ютер при цьому буде повноцінно працювати, хоча і в гордій самоті. Приклад такої атаки — це flood ping на IRC — безперервна подача пакетів без очікування відповіді від жертви. Атаки з метою отримати інформацію з атакується машини

Такі напади почастішали останнім часом, особливо в Росії. Крадуть у нас все. Взагалі все, що представляє якийсь інтерес. Але насамперед — паролі для доступу в Інтернет. Справа в тому, що їх зберігання в ОС Windows відбувається без дотримання потрібних вимог безпеки і вкрасти секцію з системного реєстру, а також кілька *.pwl-файлів зовсім неважко.

При таких атаках найчастіше використовують той недолік Windows, що при встановленій службі Microsoft доступу до каталогів і принтерів та вирішенні в налаштуваннях зробити їх спільними (а так найчастіше все і роблять) всі ресурси системи виявляються в повному розпорядженні для їх використання в Internet. Атакуючому для цього досить знати тільки IP-адресу жертви, після чого він може запустити, наприклад, SmbScan або winhack і просканувати цілого провайдера на предмет відкритих портів у його клієнтів для доступу до їх мережевих ресурсів. Захиститися від такої атаки нескладно — достатньо закрити мережні tcp/ip-порти від доступу з боку. Зробити це можна, наприклад, програмою PortBlock, а виявити приєднання людини до вашої системи — програмою NetStat.

Отримання контролю над машиною атакованої

Такі атаки дуже зручні для зломщика. Насамперед тим, що в разі успішної її реалізації атакуючий отримує повний контроль над системою: він може повністю керувати роботою програм, графічного інтерфейсу, навіть периферією і зовнішніми пристроями. Іншими словами, зломщик отримує віддалену консоль для роботи з атакованої машиною.

Вже класична зараз програма, що забезпечує крэкеру такі можливості — це BackOrifice, або в простонаречии — bo. При запуску вона підміняє деякі системні бібліотеки, сідає на певний порт і слухає його, очікуючи запити від програми bo-клієнта. При надходженні виклику від клієнта відбувається його авторизація (!) і в разі успіху встановлюється з’єднання, передає повне управління системою клієнту. Атакуючий може все — від форматування дискети до програвання мпега на екрані.

Захисту тут універсальної просто не існує, так як таких програм існує декілька, а всі вони використовують хоча і схожі, але трохи різні алгоритми. Тому для кожної конкретної атаки треба шукати конкретний патч або використовувати цілий комплекс засобів для перевірки системи на зараженість серверною частиною таких програм. Для захисту вашої системи від BO ви можете використовувати утиліту NoBo, яка забезпечить вам недоторканність станції для цього виду посягань.

Цілу окрему епопею складають атаки по електронній пошті(подробиці). Цей метод теж дуже поширений останнім часом. Мораль: ніколи не запускайте файл, який прийшов до вас по електронній пошті, не подивившись, що це таке насправді, хорошим антивірусом. Навіть якщо в полі відправника листа стоїть напис [email protected], не запускайте прикладений нібито апдейт або абгрейд, віщує вам шалений приріст продуктивності роботи і виправлення всі глюків всіх операційних систем разом узятих, не запускайте файл, ретельно з ним не розібравшись.

Останнім часом дуже модно і популярно стало посилати по e-mail користувачам Internet повідомлення від технічної підтримки провайдера з радою запустити прикладену програму для прискорення роботи в Мережі, причому для цього попередньо рекомендується увійти в Internet. Насправді ця програма при запуску сканує ваш жорсткий диск, збирає всю цікаву інформацію та надсилає її куди-небудь Васі Пупкіну на станцію, розташовану за тридев’ять земель в добре упрятанном місці. Така програма називається Troyan — за аналогією з троянським конем з «Іліади» Гомера. Троянці найчастіше призначені для збирання інформації про провайдера атакується жертви, його телефоні і логіном та паролем. Так що, якщо ваш рахунок у провайдера став різко зменшуватися, то для початку змініть пароль і уважно поизучайте статистику з’єднань з провайдером системи.