Poniższa praca została zebrana w listopadzie 2000 roku.
Wszelkie materiały i zagadnienia przytoczone są tu wyłącznie w celach edukacyjnych.
Kiedy WWW zaczęło zyskiwać na popularności - witryny internetowe były statyczne i służyły tylko do wyświetlania informacji. Prezentowały one głównie materiały promocyjne lub naukowe. Od tego czasu sieć ta, zwana pajęczyną, zyskała na funkcjonalności. Technologie takie jak CGI (Common Gateway Inferface) i Java dramatycznie zmieniły sposób korzystania z Internetu. Obecnie WWW umożliwia integrację baz danych, elektroniczną wymianę danych, elektroniczny handel, a nawet prowadzenie wideo-konferencji. Wiele z wymienionych technologii wprowadziło nowe języki i rozszerzenia. Używamy tych narzędzi do poszerzania funkcjonalności witryn internetowych - dzięki temu stają się one bardziej interesujące i interaktywne. Jak to często z nowymi technikami bywa, bardzo szybko okazało się, że nie sposób się bez nich obejść - typowymi przykładami wykorzystania CGI są przecież liczniki wizyt, ankiety, wyszukiwarki itd. Standard ten jest do dzisiaj najpowszechniej wykorzystywanym narzędziem, a interpretery są dostępne we wszystkich serwerach WWW. Zapotrzebowanie na te technologie sprawiło, że rozwój oprogramowania stał się bardziej konkurencyjny, niż kiedykolwiek. W pogoni za zdobywaniem rynku, wiele firm przeoczyło słabości w systemie bezpieczeństwa swoich produktów.
Stop the Break-ins! Takim hasłem wita czytelników lista 10 najpoważniejszych luk w bezpieczeństwie sieciowym, sporządzona przez Sans Institute. Czy usunięcie 10 luk z naszej sieci naprawdę zabezpieczy ją przed włamaniem? Z pewnością powstrzyma "script kiddies", jednak bezpieczeństwo to coś więcej niż jednorazowe usunięcie kilku wybranych problemów.
Przeglądając ukazujące się co jakiś czas listy najgroźniejszych luk w bezpieczeństwie, zauważamy, że większość problemów wynika z braku dokładności w szczegółach. Dopiero połączenie wielu drobnych błędów umożliwia atakującemu włamanie. Błędem, który najczęściej umożliwia włamanie do systemu jest możliwość przepełnienia bufora (buffer overflow). W 1999 roku opublikowano skaner zabezpieczeń sieciowych BASS, który poszukiwał kilku "popularnych" i niezbyt nowych dziur. Wśród innych skanerów wyróżniło go to, że został użyty do przeskanowania całego Internetu. Wyniki potwierdziły najgorsze przypuszczenia: większości włamań można dokonywać za pomocą luk, o istnieniu których wiadomo już od co najmniej dwóch miesięcy. Na liście Sans Institute znajdują się m.in. znane od dawna problemy z programami BIND (1. miejsce) i sendmail. Na uwagę zasługuje czwarta pozycja luki w serwerze Microsoft IIS - te problemy również nie są niczym nowym. Przerażająca jest natomiast pozycja 8 listy pod tytułem konto root/administrator ze słabym hasłem lub bez niego. Wydawać by się mogło, że wszyscy administratorzy wiedzą, iż długie, silne hasła to jedna z podstawowych praktyk bezpiecznej administracji. Drugą pozycję w tym niechlubnym rankingu zajęły podatne na ataki programy CGI i różnego rodzaje rozszerzenia aplikacji instalowane na serwerach WWW.
Na uwagę zasługuje fakt, iż lista SANS korzysta ze standardu CVE. Miejmy nadzieję, że będzie ona dalej rozwijana. Należy jednak pamiętać, że sprawdzenie podatności na 10 wybranych problemów nie czyni naszej sieci bezpieczną. Dopiero kompleksowy audyt może udzielić rzetelnej odpowiedzi na pytanie, czy taką jest w rzeczywistości.
10 NAJWIĘKSZYCH LUK W BEZPIECZEŃSTWIE SIECI
BIND - pakiet Berkeley Internet Name Domain (BIND) jest najbardziej rozpowszechnioną implementacją systemu obsługi DNS. Z badań przeprowadzonych w 1999 roku wynika, że ok. 50 proc. witryn korzysta z podatnych na różne ataki wersji binda. Problem dotyczy wielu systemów typu Unix i Linux.
CGI - podatne na ataki programy CGI i różne rodzaje rozszerzeń aplikacji instalowane na serwerach WWW. Wiele serwerów ma fabrycznie instalowane dodatkowe rozszerzenie w postaci CGI, które nie były projektowane pod kątem bezpieczeństwa.
RPC - luki w rpc.ttdbserverd (ToolTalk), rpc.cmsd (Calendar Manager) i rpc.statd pozwalają na natychmiastowe zdobycie praw roota. Remote Procedure Call sprawia bardzo dużo problemów z punktu widzenia bezpieczeństwa, problemy te są notorycznie wykorzystywane do włamań.
RDS i Microsoft Internet Information Server - Remote Data Services są wykorzystywane przez atakujących do wykonywania zdalnie komend z uprawnieniami administratora.
Sendmail buffer overflow - ten program do obsługi poczty elektronicznej jest niekończącym się źródłem problemów z bezpieczeństwem.
Sadmind i moutd - moutd kontroluje dostęp do zamontowanych systemów plików NFS, natomiast sadmind pozwala na zdalną administarcję Solarisem. Oba deamony są podatne na ataki przez przepełnienie i pozwalają na zdobycie praw roota.
Globalne współdzielenie zasobów dysków - problem dotyczy wszystkich platform systemowych, które umożliwiają tego typu operacje. Zła konfiguracja tych usług pozwala na kradzież i wyciek informacji. W systemach Windows umożliwia również szybkie rozprzestrzenianie się wirusów.
Złe hasła lub ich brak (szczególnie w przypadku administratora) - no comments
IMAP i POP buffer overflow lub nieprawidłowa konfiguracja - z powodu swojej specyfiki, serwisy i aplikacje obsługujące pocztę elektroniczną są bardzo dobrym celem ataku. W wielu przypadkach może się on zakończyć prawie natychmiastowym zdobyciem praw administratora.
SNMP public i private - słaba autentykacja i brak ochrony komunikacji czyni protokół służący do zarządzania sieciami wymarzonym celem ataku. Informacje w ten sposób zdobyte mogą posłużyć do dalszej penetracji systemu.
