p2u в моей районной сетке этого хватает, я уже об этом писал. У Зины логи просто "пухли", от сетевых вирусов.Сообщение от p2u
p2u в моей районной сетке этого хватает, я уже об этом писал. У Зины логи просто "пухли", от сетевых вирусов.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Тогда у меня шел тест на "атаку извне" с минимальной настройкой. KIS тестировался естетственно в различных условиях, поэтому мне очень удивительно, что он вот так вот запросто "все пропускает" - нужно тщательно все проверить, воспроизвести и т.п. Мой полигон воспроизводит ЛВС, сеть провайдера и прямой выход в Инет - так что можно изучить все варианты
Ну сейчас тоже речь идет об атаках внешних, т.е. хакер все равно опережает, теоретически нашел уязвимость под приложение (путем сканирования), а KIS "узнал" эту уязвимость, когда под нее подготовили патч.Методы скан, уязвимость, эксплоит, взлом, как были так и остаются.
Немного масла ещё в огонь:
В AVZ получите предупреждение если SSDP работает; выглядит это предупреждение примерно вот так:
Почему это здесь по комментариям, которые я раньше читал в данной теме вдруг не важно? Именно эта служба обнаруживается nmap/nessus...8. Поиск потенциальных уязвимостей:
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
Paul
Последний раз редактировалось XP user; 06.08.2008 в 21:26.
Кстати, в той же ZONE, в логах вполне можно определить (и не особо продвинутому юзеру), когда "ломиться" сетевой червь (скан с одного айпи раз .....ть, особенно в локалке), в KIS такая информация отсутствует. Наверное, чтобы не напугать пресловутую домохозяйку.
По умолчанию, эта служба выключена. Если ее включили, значит если ее задавить фаерволом, то вполне вероятно, что что-то будет работать не так как нужно юзеру.
Если юзер продвинутый, он сам решит что ему делать, поставить правило для фаервола, запретить службу, забить.
Если юзер не продвинутый, то ничего делать не будет и ничего страшного не произойдет. А вот если у него что-то работать не будет из-за того что мы задавили фаерволом нужную службу, то может все поотключать, а это гораздо опаснее. Часто именно это хакеру и нужно, добиться что-бы пользователь сам отключил защиту.
Немного масла ещё в огонь
В AVZ получите предупреждение если SSDP работает; выглядит это предупреждение примерно вот так:
Почему это здесь по комментариям, которые я раньше читал в данной теме вдруг не важно? Именно эта служба обнаруживается nmap/nessus...
Paul
По умолчанию служба на ручном запуске. И кто-то её при старте системы толкает - я в службах вижу, что она запущена, хотя запуск и ручной.
Ага. Работает всё время
Left home for a few days and look what happens...
Предыдущие ораторы уже указали на то, как на самом деле, но для убедительности:
http://www.oszone.net/2568/
Мой (грустный) опыт такой, что то, что в Windows стоит на 'Вручную' на практике работает как раз тогда, когда МЫ это НЕ хотим.Название службы: SSDPSRV
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Вручную
По умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение: Отключена
Вход от имени: Локальная служба
Мы не говорим просто о 'чём-то'! Каким образом эта потенциально опасная служба связана с защитой, которую 'хакер хочет, чтобы мы отключили?' Из описания явствует:
И теперь ещё другой вопрос:Данная служба включает обнаружение UPnP-устройств в домашней сети. Однако, необходимость данного сервиса в домашних условиях вызывает большое сомнение.
При выпуске каждого нового патча по службам Интернета сама Майкрософт (которая лучше знает своё барахло, чем мы с вами) пишет следующее предупреждение (то, что многие это не читают - уже не важно):
Загнули там в Майкрософте, хотите сказать?На непосредственно подключённых к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов.
А как всё-таки быть с 'доверенной' локалкой провайдера, где ситуация временами даже ХУЖЕ, чем в Интернете? Её поставить в 'Публичную Сеть' ничего не даёт, кажется, так как КИС чует разницу, и всё равно доверять будет...
Paul
Последний раз редактировалось XP user; 07.08.2008 в 15:44.
Посмотрел в брандмауэре Висты, кто запускает SSDP (запуск по умолчанию - ручной)
Это обнаружение сети, беспроводные переносные устройства, Инфраструктура одноранговых подключений Windows, Медиаприставка Media Center, Обнаружение сети, Служба общего доступа к сети проигрывателя Windows Media, Служба регистрации имен компьютеров конференц-зала Windows, Удаленный помощник.(SSDP - исходящий и входящий)
а еще про порт 2869/tcp смотрим в ХР здеся -
Пуск - Панель управления - Брандмауэр Windows - Исключения - UPnP-инфраструктура - Изменить - TCP 2869 - Изменить область
и убеждаемся, что встроенный виндовый фаер открывает этот порт по умолчанию только для локалки
Спасибо. Виста совсем другая история - я могу только говорить об XP, система, которая тестировалась здесь.
Кто её запускает (или от кого она зависит тоже другая история и не относится к данной проблемой). Для данного вопроса (можем мы её отключить или нет?) только важно: какая служба (или какие) от неё зависит? Это на практике только одна: Universal Plug and Play, которая тоже в чёрном списке.
http://www.oszone.net/display.php?id=2592
PaulДанная служба обеспечивает поддержку универсальных PnP-устройств узла.
Название службы: UPNPhost
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Вручную
По умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение: Отключена
Вход от имени: Локальная служба
Последний раз редактировалось XP user; 07.08.2008 в 14:29.
По умолчанию и в ХР и в Висте она имеет ручной запуск. И как видно из сообщений ALEX(XX) и pig ручной = автоматический.
Попробовал поработать с остановленной SSDP - так и не заметил потребности в ней. Чему мешает остановка службы?
bovar
вот здесь хорошо написано
чтоб уже как-то логически завершить про один только порт - 2869/tcp - стоит почитать Microsoft Security Bulletin MS07-019 о критической уязвимости именно в UPnP, позволяющей удаленное выполнение кода и закрывать которую рекомендуется немедленно. Исправление есть, но мониторит ли кис хотя бы необходимые (критические) обновления винды? (Я не знаю, так как обновляю. А из-за новой "идеологии" кисового фаера эксперименты проводить опасаюсь.) Немного объясняется эта уязвимость на Shavlik:Microsoft Security Bulletin MS07-019
Vulnerability in Universal Plug and Play Could Allow Remote Code Execution (931261)
All XP systems are vulnerable, however, the patch is only avaiable for Windows XP SP2
This is a server-side bug for Windows XP, meaning it can be exploited remotely and no user interaction is required on the XP system. Any unpatched XP system can be attacked remotely if the attacker can access UDP port 1900 or TCP port 2869. The attacker could then execute code on that system under the context of LocalService account (which is not quite as good as an admin account)
Customers should block UDP port 1900 and TCP port 2869 with the XP firewall, or they can disable the Universal Plug and Play service.
Although there are no reports of current attacks using this vulnerability, Shavlik expects exploit code to surface for this attack very soon.
Последний раз редактировалось costashu; 08.08.2008 в 14:40.
Я наконец провел масштабные тесты на полигоне, и удалось установить истину (хочется особо поблагодарить costashu, p2u за насточивость и приведенные аргументы и тесты).
Вот что было установлено:
1. Описанный выше тест велся идеологически не совсем верно, так как по сути он имитировал не атаку из Интернет, а атаку из ЛВС - т.е. из априори доверенной зоны. Фокус в том, что если KIS ставится в "режиме домохозяйки", то он самонастраивается по умолчанию, не задавая технических вопросов. Это в частности означает, что автоматически опознаются все сети, и они автоматом классифицируются. Сеть с немаршрутизируемыми адресами (типа 192.168.xxx.xxx) классифицируется как локальная сеть, и правила фильтрации пакетов для локальной сети крайне либеральные - почти все разрешено, например, открыты все порты MS, UPNP, разрешен ICMP протокол. Поэтому с логе сканера портов мы видим кучу открытых портов, ничего удивительного в этом нет - таковы правила для локальной сети. Для публичной сети фильтрация намного сильнее, в частности ПК уже не отвечает на пинги из публичной сети и порты MS для нее перекрыты. Соответственно в результате атакующему не удается точно определить тип ОС и не сработает подавляющее большинство эксплоитов
2. В ходе описанных выше опытов при сканированиях отключено противодействие атакам (активное по умолчанию), которое существенно затрудняет уязвление ПК, отключая атакующего и блокируя его на 60 минут. Эта фича введена специально как раз на тот случай, если атака пойдет из доверенной сети, например ЛВС - в этом случае атакующий будет адаптивно блокироваться, и вероятность ущерба будет ниже
3. Если кроме сканирования портов еще и идентифицировать службы и атаковать их (что я собственно и сделал), то KIS детектирует/блокирует известные ему эксплоиты и атаки, и отражает их. Это еще больше снижает опасность успешной атаки ПК в случае, когда атака идет с доверенного источника. UPNP на XP SP2 мне не удалось уязвить, а вот по MS портам/протоколам я сравнительно успешно атаковал систему (эксплоит поймал KIS). Понятное дело, что в данной ситуации мы получаем проблему, аналогичную сигнатурному детектированием - успешно опознать можно только атаку, описанную базой детектора атак
Т.е. если резюмировать результаты моих тестов, то речь идет не о уязвимостях Firewall, а о том, что быть может продуктом не совсем верно выбирается зона для определенной сети ("ЛВС", "публичная сеть" и т.п.) и несколько лояльны правила по умолчанию. Угадать тип сети по моему мнению почти невозможно на автомате : а блокировать по умолчанию все по максимуму очень нехорошо - например, если закрыть UPNP в ЛВС, то перестанет работать UPNP оборудование (таковым в частности являются ADSL модемы, и управлять по UPNP ими крайне удобно). Естественно, что вручную несложно перекрыть все порты, для этого в KIS есть готовые правила - нужно только их активировать для определенной зоны, и компьютер немедленно станет 100% неуязвимым - но это нужно проделать вручную, и понятное дело в случае, если человек точно знает, что ему нужно, а что - нет. В остальном проблема с автоматическим определением типа сети существует, оно детально обсуждается и прорабатывается, в частности принято решение ужесточить правила фильтрации пакетов, применяемые по умолчанию : (в скором времени видимо выйдет патч для этого), кроме того, быть может будут и еще какие-то модификации для повышения степени защиты ПК.
PS: я в свою очередь постараюсь написать на выходных статью о том, как настраивать FW в KIS с картинками и рекомендациями, что и как стоит настроить для того, чтобы
получить 100% защиту от атак извне - это несложно
Последний раз редактировалось Зайцев Олег; 08.08.2008 в 18:40.
Спасибо за анализ, Олег! Поблагодарил через реп.
Paul
Зайцев Олег, благодарю вас за проведенный анализ также и этим сообщением. Спасибо!
дополнительно хочу уточнить два момента во избежание недоразумений:так и было. Но для тестов я изменил в кис тип сети вручную. На атакующем компе поставил доверенную, на атакуемом - публичную
так и было. Но хочу подчеркнуть - отключено было только блокированиеВ ходе описанных выше опытов при сканированиях отключено противодействие атакам (активное по умолчанию), которое существенно затрудняет уязвление ПК, отключая атакующего и блокируя его на 60 минут.
Последний раз редактировалось costashu; 08.08.2008 в 22:12.
Я тоже менял с доверенной на публичную на атакуемом
Left home for a few days and look what happens...
Так как насчёт обещаной статьи:
В этом году увидим?PS: я в свою очередь постараюсь написать на выходных статью о том, как настраивать FW в KIS с картинками и рекомендациями, что и как стоит настроить для того, чтобы
получить 100% защиту от атак извне - это несложно
Ваши права в разделе
Ответить с цитированием
