Narzędzia. Początki. Atak. hakin9. Witam! W skrócie 6. Zawartość CD 10. Recenzja NETASQ NA-F Recenzja Panda Internet Security

Transkrypt

1

2

3

4 hakin9 Witam! Jako że redagujemy pismo, dotyczące bezpieczeństwa IT, często bywamy na konferencjach poświęconych temu tematowi. Zaciekawiła nas jedna z nich, a mianowicie konferencja o piractwie komputerowym, zorganizowana przez firmę BSA i Microsoft. Swoją wiedzą i wypowiedziami zaintrygował nas zwłaszcza Krzysztof Janiszewski z Microsoftu, zajmujący się problematyką ochrony własności intelektualnej. Nasze zaciekawienie zaowocowało wywiadem. Gorąco polecam ową rozmowę, którą nasi Czytelnicy mogą przeczytać w poniższym wydaniu h9 8/2007. Pan Krzysztof obiecał, że będzie nam dostarczał ciekawych informacji dotyczących piractwa komputerowego, więc zapraszam do śledzenia kolejnych numerów naszego czasopisma, by dowiedzieć się czegoś więcej na ten temat. My, ze swojej strony gwarantujemy, że zagadnienia te poruszymy w rozmowie z rzecznikiem BSA. Oprócz znakomitego wywiadu w h9 znajdziecie jak zawsze zbiór bardzo interesujących artykułów, takich jak: Hakowanie SSL, Hakowanie powłoki, Apache jako Reverse Proxy i wiele, wiele innych, których lekturę gorąco polecam. Specjalnie dla naszych Czytelników udostępniamy multimedialny kurs Stack Overflow Windows Vista, dwa programy oraz 3 nowe tutoriale. Pozdrawiam Katarzyna Juszczyńska W skrócie 6 Mateusz Stępień Przedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko. Zawartość CD 10 Prezentujemy zawartość i sposób działania najnowszej wersji naszej sztandarowej dystrybucji hakin9.live Narzędzia Recenzja NETASQ NA-F60 12 Recenzja Panda Internet Security Recenzja EagleeyeOS Professional Severe 14 Początki Podejrzany klucz rejestru 16 David Maciejak David zaprezentuje jak wykryć ślady złośliwego oprogramowania na platformie Windows. Nauczycie się też, jak pisać własne pluginy Nessusa za pomocą NASL. Atak Restrykcyjne powłoki jak je obejść? 26 Dawid Gołuński Dawid pokazuje nam, jak zmodyfikować restrykcyjne środowisko w celu ograniczenia dostępu dla użytkownika. Poznasz charakterystykę działania restrykcyjnej powłoki oraz jej budowę. Hakowanie protokołu SSL 34 Artyr Czyż Artur pokazuje, jakie błędy kryją się w protokole SSL oraz jak za pomocą ataku MITM przejąć dane konta innej osoby. Hakowanie rejestru 38 Rafał Podsiadły Rafał pokaże nam, jak napisać wirusa oraz na co zwrócić uwagę przy tworzeniu szkodliwego kodu. 4 hakin9 Nr 8/2007

5 Obrona Microsoft SQL Server 2005 bezpieczne aplikacje 44 Artur Żarski Artur przedstawi techniki tworzenia bezpiecznych aplikacji o charakterze baz danych w oparciu o Microsoft SQL Server Bezpieczna podróż przez sieć LAN i Internet? 50 Michał Poselt Michał pokaże, jak zabezpieczyć się przed Phishingiem oraz jak używać McAfee Site Advisor. Apache jako Reverse Proxy 56 Radosław Pieczonka Radosław napisze nam o tym, czym jest reverse proxy, jak skonfigurować serwer Apache2 dla reverse proxy. Secure Remote Password Protocol 62 Cezary G. Cerekwicki Cezary pokaże, jak działa najbezpieczniejszy protokół uwierzytelniający przez użycie hasła. Bezpieczna Firma Bezpieczeństwo informacji w polskich normach 66 Andrzej Guzik Andrzej napisze nam, jakie normy i raporty techniczne stanowią najlepsze praktyki w zakresie zapewnienia bezpieczeństwa informacji w instytucji. Klub Techniczny Outpost Security Suite 72 Wywiad Wywiad z Krzysztofem Janiszewskim, pracownikiem firmy Microsoft 74 Robert Gontarski, Katarzyna Juszczyńska Krzysztof Janiszewski specjalista ds. Ochrony Własności Intelektualnej z firmy Microsoft Felieton 78 Patryk Szlagowski Przeglądarki temat tabu Zapowiedzi 82 jest wydawany przez Software Wydawnictwo Sp. z o.o. Dyrektor: Sylwia Pogroszewska Redaktor naczelny: Martyna Żaczek martyna.zaczek@software.com.pl Redaktor prowadzący: Katarzyna Juszczyńska katarzyna.juszczynska@software.com.pl Asystent redaktora: Robert Gontarski robert.gontarski@software.com.pl Tłumaczenie: Piotr Żuk Wyróżnieni betatesterzy: Przemysław Prytek, Tomasz Przybylski Opracowanie CD: Rafał Kwaśny Kierownik produkcji: Marta Kurpiewska marta@software.com.pl Skład i łamanie: Artur Wieczorek arturw@software.com.pl Okładka: Agnieszka Marchocka Dział reklamy: adv@software.com.pl Prenumerata: Marzena Dmowska pren@software.com.pl Adres korespondencyjny: Software Wydawnictwo Sp. z o.o., ul. Bokserska 1, Warszawa, Polska Tel , Fax Osoby zainteresowane współpracą prosimy o kontakt: cooperation@software.com.pl Jeżeli jesteś zainteresowany zakupem licencji na wydawanie naszych pism prosimy o kontakt: Monika Nowicka monika.nowicka@software.com.pl tel.: +48 (22) fax: +48 (22) Druk: 101 Studio, Firma Tęgi Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje i programy były poprawne, jednakże nie bierze odpowiedzialności za efekty wykorzystania ich; nie gwarantuje także poprawnego działania programów shareware, freeware i public domain. Uszkodzone podczas wysyłki płyty wymienia redakcja. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach informacyjnych. Do tworzenia wykresów i diagramów wykorzystano program firmy Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit firmy G DATA Software Sp. z o.o. Redakcja używa systemu automatycznego składu UWAGA! Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej niż wydrukowana na okładce bez zgody wydawcy jest działaniem na jego szkodę i skutkuje odpowiedzialnością sądową. hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji. Prowadzimy również sprzedaż kioskową w innych krajach europejskich. Magazyn hakin9 wydawany jest w 7 wersjach językowych: PL ES CZ EN IT FR DE Nakład wersji polskiej egz. Zapowiedzi artykułów, które znajdą się w następnym numerze naszego pisma. UWAGA! Techniki prezentowane w artykułach mogą być używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik ani spowodowaną tym utratę danych. hakin9 Nr 2/2006 5

6 W skrócie Dziurawe blogi W popularnym oprogramowaniu do tworzenia blogów WordPress odkryto trzy poważne luki, które pozwalają napastnikowi na wstawienie własnych skryptów PHP i ich wykonanie. Błąd występuje we wtyczkach myflash, wordtube i wp -Table i jest związany z nieprawidłowym przetwarzaniem parametru wppath w modułach wordtube-button.php, js/wptable-button.php i myflash-button.php. Wszystkie wtyczki, w których zostały wykryte luki, wyszły spod ręki tego samego programisty. WordPress to system obsługi blogów napisany w języku skryptowym PHP. Do swojego funkcjonowania wykorzystuje bazę MySQL. Rozpowszechniany jest na licencji GNU General Public License. Rozwojem WordPressa kieruje Ryan Boren oraz Matt Mullenweg. Uwaga na trojan imitujący aktywację Windows Specjaliści z firmy Symantec ostrzegają użytkowników systemu Windows przed nowym koniem trojańskim Kardphisher, który do złudzenia przypomina produkt Microsoftu - Windows Genuine Advantage (WGA). Po uruchomieniu Trojana użytkownikowi wyświetlany jest komunikat, z którego wynika, że niezbędne jest przeprowadzenie powtórnej aktywacji OS-u. Jeśli użytkownik nie wyrazi zgody na aktywację, komputer zostanie zrestartowany, zaś po jego uruchomieniu znów pojawi się żądanie ponownej aktywacji systemu. Kardphishera można usunąć za pomocą uaktualnionego programu antywirusowego. Eksperci ostrzegają przed nowym robakiem rozprzestrzeniającym się poprzez klipsy USB Firma Sophos informuje o nowym robaku SillyFD-AA, który instaluje się w systemie, a następnie wyświetla za pomocą przeglądarki internetowej informację Hacked by 1BYTE. Szkodnik wyszukuje podłączone do komputera urządzenia USB i kopiuje się na nie, aby potem zarażać inne komputery, Spadek cen klipsów USB sprawia, iż stają się one narzędziem cyberprzestępców - zauważa Graham Clueley z firmy Sophos. Aby uniknąć ataku robaka, użytkownicy powinni wyłączyć w systemie Windows funkcję Autorun. Warto również od czasu do czasu przeskanować dysk USB programem antywirusowym. Włamanie na serwery AOL-u Vista całkowicie złamana Sieci pojawiła się całkowicie złamana wersja Windows W Visty Ultimate - donosi The Inquirer. Zabezpieczenia najnowszego systemu Microsoftu zostały przełamane przez grupę NoPE. O scrackowanych wersjach Visty słyszeliśmy już kilkakrotnie, jednak obecna jest wyjątkowa. Otóż zabezpieczenia Visty zostały całkowicie pokonane! Nie trzeba używać żadnych numerów seryjnych, kluczy aktywacyjnych, nie trzeba przerabiać BIOSu. Wystarczy po prostu umieścić Siedemnastolatek z Nowego Jorku włamał się do systemów informatycznych koncernu AOL. Mike Nieves został jednak szybko zdemaskowany i zatrzymany, a sprawa trafiła do sądu w NY. Podczas pierwszej rozprawy przedstawiono mu zarzuty popełnienia czterech przestępstw i jednego wykroczenia. Młody nowojorczyk po włamaniu na serwery miał dostęp m.in. do szczegółowych danych klientów, komputerów działu supportu oraz kont pracowników. Atak na AOL był zemstą skierowaną przeciwko firmie, która bezprawnie odebrała mu konto w serwisie AOL.com. Włamania dokonał pomiędzy a W tym czasie wielokrotnie włamywał się na serwery AOL. Firma w wyniku ataku poniosła straty sięgające 500 tys. USD. Według niepotwierdzonych informacji nastolatek należy do grupy hakerskiej, która specjalizuje się we włamaniach do dużych korporacji. AOL to duży dostawca usług internetowych, spółka korporacji medialnej America Online. W latach 90, AOL obsługiwał 30 milionów subskrybentów, chociaż obecnie liczba ta znacząco spadła. Usługi AOL zostały uruchomione w 1985 jako rodzaj mega-bbs dla komputerów Commodore 64 i 128. Rysunek 1. Zrzut ekranu poczty IncreditMail Hakerzy ponownie zaproszeni na konferencję Microsoftu Koncernr Microsoft po raz kolejny zaprosił do współpracy członków społeczności hakerskiej na swoją konferencję Blue Hat. Konferencja z udziałem specjalistów od łamania zabezpieczeń i wyszukiwania luk w oprogramowaniu odbyła się w głównej siedzibie Microsoft w Redmond. Na spotkaniu obecni byli między innymi Kevin Mahaffey i John Hering z Flexilis, David Maynor w napędzie specjalną wersję DVD, przygotowaną przez grupę NoPE i normalnie zainstalować system. Microsoft od wielu lat boryka się z tym samy problemem i jak na razie programistom nie udało się stworzyć odpowiednich narzędzi antypirackich, które w 100% zabezpieczą produkty giganta z Redmond. Zabezpieczenie antypirackie w poprzedniej wersji systemu Windows XP, zostało złamane jeszcze przed udostępnieniem beta wersji. i Robert Graham z Errata Security oraz Rob Thomas z Team Cymru. Gigant z Redmond liczy na to, iż hakerzy podpowiedzą mu, jak poprawić zabezpieczenia jego produktów. Microsoft zainicjował cykliczne konferencje z udziałem hakerów dwa lata temu w celu wypromowania dialogu pomiędzy jego wewnętrznym zespołem ds. bezpieczeństwa, a zewnętrznymi badaczami. 6 hakin9 Nr 8/2007

7 W skrócie Poważna luka w Novell NetMail Policja zamyka napisy.org programie pocztowym Novell W NetMail 3.52e wykryto poważną lukę, która pozwala napastnikowi na zdalne uruchomienie dowolnego kodu z uprawnieniami, z którymi działa usługa NetMail. Błąd dotyczy usługi NMDMC.EXE, która nie przeprowadza właściwej kontroli wejścia podczas kopiowania danych do wewnętrznego bufora. Novell przygotował już nową wersję programu (3.52f), w której błąd został naprawiony. Novell NetMail to system zarządzania pocztą, kontaktami i spotkaniami, wyposażony we własny komunikator. System obsługuje wszystkie podstawowe protokoły SMTP, POP3, IMAP4, HTML, S/MIME, a jego najnowsza wersja działa na platformach NetWare, Solaris, Linux oraz Windows NT/2000. Novell NetMail jest też powiązany z rozwiązaniami, takimi jak edirectory, ifolder czy GroupWise. NetMail współpracuje z większością popularnych klientów pocztowych Outlook, Eudora, Netscape Mail oraz platformami GroupWise, Exchange i Lotus Notes. Pierwsze narzędzie do audytu Policjanci z Wydziału PG KWP w Katowicach zatrzymali dziewięć osób, które nielegalnie tłumaczyły dialogi z filmów i zamieszczały je na znanym portalu internetowym napisy.org. Portal był najpopularniejszą stroną z tłumaczeniami dialogów filmowych w Polsce. Pozwalał setkom tysięcy użytkownikom miesięcznie oglądać obcojęzyczne filmy z polskimi napisami. Ustalono, że domena Napisy.org. znajduje się na niemieckim serwerze, a administratorem jest 26-letni właściciel sklepu z częściami komputerowymi z Zabrza. W likwidowaniu nielegalnego serwisu brali udział policjanci z czterech województw, policja niemiecka oraz przedstawiciele Fundacji Ochrony Twórczości Audiowizualnej. Policja rozpoczęła przygotowania do całej akcji na wniosek firm pokrzywdzonych działaniami serwisu Napisy.org. Podejrzanym grozi teraz kara nawet do 2 lat pozbawienia wolności. Nie są to pierwsze problemy Napisy.org. W zeszłym roku serwis ten wraz ze stroną Napisy.info stał się celem ataków dystrybutora Gutek Film. Wtedy jednak po krótkiej przerwie serwis wrócił do Sieci. Na stornie znajduje się list otwarty tłumaczy-hobbystów w sprawie zatrzymań osób tworzących napisy do filmów. Dostawca narzędzi zarządzania, firma Quest Software wprowadziła do sprzedaży najnowsze narzędzie wspomagające bezpieczeństwo systemu pocztowego: Quest InTrust Plug-in for Exchange. Jest to pierwszy produkt na rynku, który umożliwia śledzenie w czasie rzeczywistym dostępu i działań właścicieli skrzynek pocztowych oraz użytkowników uzyskujących dostęp do skrzynek pocztowych w imieniu właściciela (administratorzy). Rozwiązanie to pozwala także na przeprowadzanie audytu zmian uprawnień lub konfiguracji w środowisku Exchange Server. Narzędzie Quest InTrust Plug-in for Exchange raportuje oraz generuje alarmy w oparciu o zapisy w dzienniku zdarzeń, pozwala również przeglądać i archiwizować informacje zawarte w logach, generować raporty związane z aktywnością serwera Exchange i wysyłać alerty w przypadku stwierdzenia nieprawidłowości lub krytycznych zachowań użytkowników. InTrust Plug-in for Exchange umożliwia przeprowadzenie szczegółowego audytu zmian konfiguracyjnych i uprawnieniowych w środowisku Exchange Server. W zakresie zarządzania infrastrukturą Microsoftu, Quest konkuruje z takimi dostawcami, jak Bindview, NetIQ oraz NetPro. Luka w odtwarzaczu Winamp Haker o pseudonimie Marsu Pilami wykrył poważny błąd w najnowszej wersji popularnego odtwarzacza muzyki Winamp. Błąd występuje w bibliotece libmp4v2.dll, która odpowiedzialna jest za przetwarzanie plików MP4. Odpowiednio spreparowany plik muzyczny może spowodować wykonanie złośliwego kodu i w konsekwencji doprowadzić na przykład do przejęcia kontroli nad komputerem. Błąd występuje tylko w najnowszych wersjach Winampa, oznaczonych numerami 5.33 i AOL, obecny właściciel Winampa, poinformował, iż pracuje nad załataniem luki. Użytkownicy Photoshopa w niebezpieczeństwie Wykryto krytyczną lukę w aplikacji Adobe Photoshop, która umożliwia przejęcie kontroli nad komputerem. Oznaczona jako wysoko krytyczna dziura dotyczy Photoshopa w wersji CS2 oraz CS3. Odpowiednio spreparowany plik graficzny.bmp (.dib,.rle) może ułatwić przeprowadzenie ataku związanego z przepełnieniem bufora, a to z kolei ułatwi przejęcie kontroli nad atakowanym komputerem. Specjaliści z firmy Secunia nie odnotowali jeszcze istnienia złośliwego oprogramowania wykorzystującego dziurę. Zaleca się jednak, aby użytkownicy Photoshopów nie otwierali map bitowych pochodzących z nieznanych źródeł. Crakerzy napadli na piratów Popularny serwis P2P The Pirate Bay został zaatakowany przez hakerów, którzy wykorzystując dziurę w oprogramowaniu do obsługi blogów wykradli zawartość bazy danych serwisu, zawierającą nazwy użytkowników i hasła 1,6 miliona użytkowników. Przedstawiciele The Pirate Bay uspokajają, iż dane te są dodatkowo zaszyfrowane, więc jest raczej mało prawdopodobne, iż złodzieje zdołają je wykorzystać. Internautom posiadającym konta na stronie zalecono jednak jak najszybszą zmianę haseł dostępu. Administratorzy twierdzą, iż wiedzą, kto jest odpowiedzialny za atak jednak na razie informacji tej nie podano. The Pirate Bay to jeden z największych trackerów BitTorrenta na świecie. TPB został uruchomiony przez szwedzką organizację Piratbyran na początku roku 2004, a od października 2004 jest osobną organizacją. hakin9 Nr 8/2007 7

8 W skrócie The Pirate Bay stworzyło nową stronę z muzyką The Pirate Bay pracuje nad nową, udostepniającą pliki muzyczne stroną, która pozwoli użytkownikom na legalne ściąganie muzyki, przy równoczesnym wspieraniu artystów finansowo. Projekt Playble.com powstał dzięki współpracy The Pirate Bay ze szwedzką grupą rockową Lamont i ich managerem Kristopherem S. Wilburem. Tym, co wyróżnia Playble.com od innych stron (np. Itunes), jest bezpośrednie wspieranie artystów i muzyki. Użytkownicy portalu będą mogli płacić miesięczną dobrowolną opłatę za ściąganie muzyki, podczas gdy wiele podobnych stron narzuca użytkownikom własne opłaty. Wykryto lukę w programie pocztowym IncrediMail Specjaliści z US-CERT poinformowali o luce w module ActiveX, który instalowany jest przez program IncrediMail. Dziura pozwala na wprowadzenie do komputera ofiary złośliwego kodu. Błąd polega na przepełnieniu bufora w module IMMenuShellExt. Lukę można wyeliminować poprzez wyłączenie obsługi kontrolek ActiveX. Incredi- Mail to rozbudowany klient poczty elektronicznej, który oferuje duże możliwości kreacji i edycji listów, do których można dołączać grafikę, animowane elementy, efekty 3D oraz odręczny podpis. Microsoft Forefront Client Security Evaluation Edition Microsoft udostępnił testową wersję oprogramowania Microsoft Forefront Client Security, które oferuje ochronę przed szkodliwym oprogramowaniem: spyware, wirusami, rootkitami, koniami trojańskimi i robakami. W skład rozwiązania Forefront Client Security wchodzą dwa elementy: Agent zabezpieczeń który zapewnia ochronę w czasie rzeczywistym i Serwer centralnego zarządzania który umożliwia zarządzanie i aktualizowanie skonfigurowanych agentów szkodliwej zawartości. Microsoft przygotował pełną dokumentację produktu: Microsoft Forefront Client Security Product Documentation, która dostępna jest za darmo na stronie internetowej firmy. W dokumentacji znajdziemy szczegółowe przewodniki po nowych produktach linii Forefront. Luka w aplikacjach firmy McAfee Specjalista ds. Bezpieczeństwa, Peter Vreugdenhil poinformował o bardzo poważnej luce w aplikacjach firmy McAfee. Wykryta podatność umożliwia zdalny dostęp do systemu. Luka występuje w takich aplikacjach jak McAfee Internet Security Suite 6.x, McAfee VirusScan Plus 2007, McAfee Personal Firewall Plus 5.x, McAfee SpamKiller 5.x, McAfee AntiSpyware 2.x. Firma McAfee opublikowała upgrade do wersji lub , który dostępny jest pod adresem: login.asp Firma McAfee, z siedzibą centrali w Santa Clara w Kalifornii, jest światowym liderem w dziedzinie Rysunek 2. ochrony przed włamaniami do sieci i zarządzania zagrożeniami bezpieczeństwa. Oferuje sprawdzone rozwiązania i usługi służące do prewencyjnego zabezpieczania systemów i sieci informatycznych na całym świecie. Dzięki niezrównanej znajomości zagadnień bezpieczeństwa oraz zaangażowaniu na rzecz innowacyjności, McAfee dostarcza indywidualnym użytkownikom, firmom, instytucjom z sektora publicznego i usługodawcom mechanizmy do nieustannego monitorowania i poprawy ich bezpieczeństwa, blokowania ataków oraz zapobiegania zakłóceniom działalności. Microsoft: Open Source narusza 235 patentów Według firmy Microsoft otwarte oprogramowanie, między innymi Linux, narusza 235 patentów należących do korporacji z Redmond. Microsoft doszukał się złamania 42 patentów w kodzie jądra Linuksa, 65 w graficznym interfejsie użytkownika, 45 w pakiecie OpenOffice.org, 15 w programach pocztowych oraz 68 w innym oprogramowaniu FOSS. Społeczność Open Sopurce, a także firmy, które należą do stowarzyszenia Open Invention Network, m.in. Sony, Red Hat, IBM, NEC, Oracle czy Phillips, zapowiadają gotowość do kontrataku. Na łamach InformationWeek Linus Torvalds (twórca jądra Linux) wypowiedział się na temat zarzutów łamania patentów przez wolne oprogramowanie. "Zdecydowanie jest bardziej prawdopodobne, że to Microsoft łamie jakieś patenty niż Linux" stwierdza Torvalds. "Podstawowe teorie systemu operacyjnego zostały dokładnie określone pod koniec lat 60. Prawdopodobnie IBM posiada tysiące prawdziwie 'fundamentalnych' patentów" dodaje Torvalds. Aktualnie Microsoft nie zamierza dochodzić swoich praw w sądzie. "Gdybyśmy tego chcieli, zrobilibyśmy to już lata temu" - powiedział dla IW Horacio Gutierrez, przedstawiciel Microsoftu. Mateusz Stępień 8 hakin9 Nr 8/2007

9

10 hakin9.live Zawartość CD EagleEyeOS Professional Severe Program ten oferuje zupełne zabezpieczenie kompletny zasięg w rozpoznawaniu alertów, rozwinięte monitorowanie w kwestii wykorzystywania drukarek. Świetnie nadaje się do zastosowania zarówno w dużych firmach, jak i średnich i małych przedsiębiorstwach. Cykl życia dokumentów może być kontrolowany i śledzony za pomocą monitorowania aktywności użytkownika, tworzenia dokumentów kwarantanny, a także poprzez kontrolowanie urządzeń przenośnych. EagleEyeOS Professional Severe obsługuje też drukarki i alerty innych dowolnych zdarzeń. Nawigacja po programie jest łatwa i szybka, panel kontrolny EagleEye wykorzystuje jego stronę domową. Znajdują się na niej wielokrotnie używane linki i generalne dane statystyczne. Real-Time Monitoring monitoruje w czasie rzeczywistym zdarzenia, pojawiające się w całej Sieci. Zwiększenie efektywności badania incydentów w czasie rzeczywistym pomaga wykonywać pracę na odpowiedni poziomie. Reports umożliwiają analizowanie zdarzeń użytkowników. Dzięki tworzonym raportom mamy możliwość grupowania, przeszukiwania i układania w kolejności tych zdarzeń w odpowiedniej kolejności, tak aby usprawnić pracę. File Lifecycle Tracking to z kolei specjalna opcja umożliwiająca śledzenie operacji pliku. The File Lifecycle Tracking przedstawia zestawienie śladów życia pliku za pomocą drzewa. Istnieje też możliwość przeszukania plików bezpośrednio z zapytanego raportu. Storage Lifecycle Tracking pokazuje, który host połączył się z urządzeniem przechowującym dane (jak pen drive czy aparat) i kiedy to zrobił. Bazując na możliwości identyfikacji sprzętu, narzędzie zawiadamia o tym, kto sie połączył, kiedy to zrobił, z którego hosta oraz jaki rodzaj operacji został wykonany na pliku. Alerts zawiadamiają o dowolnym zdarzeniu i generują się w momencie mającego miejsce zdarzenia. Alerty mogą być wywoływane z Raports i z File lifecycles. Ma to duże znaczenie dla natychmiastowego wykrywania nadużyć. File AntiCopy Chroń swoje pliki razem z File AntiCopy. Nikt nie będzie w stanie otworzyć, skopiować lub wykasować pliku bez twojego zezwolenia. Masz gwarancje że program nigdy nie straci twoich danych. Instalacja jest bardzo prosta, wystarczy uruchomić plik fac.exe, nie jest wymagany żaden kod. Każda osoba z podstawową wiedzą komputerową może zabezpieczyć swoje pliki, gdyż interface aplikacji jest bardzo prosty. Logowanie odbywa się przez wprowadzenie loginu admin i hasła admin. Wyświetli się panel konfiguracyjny. Aby zabezpieczyć plik, należy dodać go do plików chronionych i zmienić status Anti-Copy na Aktywny. Opis kursu Visty Zabezpieczenie ASLR Windows Visy jest włączone domyślnie dla programów produkowanych przez firmę Microsoft i umożliwia zapewnienie bezpieczeństwa pamięci aplikacji i usług, aby uniknąć wykorzystania przepełnienia bufora. Tego rodzaju dziura umożliwia wykonanie kodu z prawami podatnego programu. Nowe zabezpieczenia Microsoft Windows Visty uniemożliwiają wykorzystanie tych słabości. W tym artykule spróbujemy zrozumieć działanie mechanizmów zabezpieczających. Przedstawimy również kilka technik, których można użyć, aby wykorzystać przepełnienia bufora. Poruszymy najpierw temat działania /SafeSeh (potwierdzenie programów zarządzających wyjątkami) i /DynamicBase (które umożliwia szczegółową randomizację stosu, sterty i obrazu plików wykonywalnych). Użyjemy kilku technik, aby zmniejszyć wpływ tych zabezpieczeń na wykorzystanie przepełnienia bufora oraz aby zaobserwować, w jakim stopniu można użyć techniki SEH overwrite, nawet w kontekście zabezpieczenia przez /SafeSeh et /DynamicBase. Artykuł ten pozwoli Ci lepiej zrozumieć mechanizmy zabezpieczające, jakie umożliwia Windows Vista oraz pokaże ich ograniczenia. Aby w pełni korzystać z tego wideo, zalecamy poznanie działania OllyDbg, a także sposobów przeprowadzania ataków przez przepełnienie bufora w systemie Windows. Ten artykuł wideo został przygotowany przez Ali Rahbar, inżyniera i konsultanta ds bezpieczeństwa informatycznego. Aulin Cadeac (wstęp), Ali Rahbar (realizacja wideo) SYSDREAM, szkolenia i porady w kwestii bezpieczeństwa informatycznego ( Rysunek 1. Wykorzystanie podobnego programu Vista 10 hakin9 Nr 8/2007

11 Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie, sprawdź ją na co najmniej dwóch napędach CD. W razie problemów z płytą, proszę napisać pod adres: cd@software.com.pl

12 NETASQ NA-F60 Narzędzia Producent: NETASQ Model: NA-F60 Typ: Firewall Przeznaczenie: małe i średnei firmy Strona producenta: Cena: 6534,60 PLN Ocena: 4,5/5 W dobie wszechobecnego Internetu należy kłaść coraz większy nacisk na zabezpieczenie swojej Sieci przed atakami z zewnątrz. Mamy tu bardzo duże możliwości wyboru oprogramowania, jednak dużo większą ochronę zapewni nam urządzenie specjalnie do tego celu zaprojektowane. Jednym z tego typu urządzeń jest NA-F60. Jest to sprzęt firmy Netasq przeznaczony do małych i średnich sieci. Urządzenie jest więc dedykowane zarówno użytkownikom domowym, jak też małym firmom. Podczas tworzenia Sieci podłączonej do Internetu najważniejszym priorytetem jest bezpieczeństwo. Oczywiście istnieje mnóstwo oprogramowania, które zabezpieczać może poszczególne komputery, ale dopiero przy wykorzystaniu właściwego sprzętu możemy chronić całą naszą Sieć i decydować o tym, z jakich zasobów mogą korzystać jej użytkownicy. W pudełku z urządzeniem znajdziemy komplet kabli oraz płyty z oprogramowaniem i podręcznikami. Dość istotnym minusem przynajmniej dla mnie jest brak instrukcji w wersji polskiej. Wiem, że język angielski jest dla większości osób zrozumiały, ale producent chyba zapomniał, że swój produkt skierował na rynek polski. Drugim minusem jest brak podręcznika wydrukowanego, ponieważ część osób woli zapoznawać się z urządzeniem w wygodnym fotelu niż wpatrując się w monitor. Firma NETASQ upchnęła w opisywanym urządzeniu wszystkie elementy niezbędne do zabezpieczenia Sieci. NA-F60 zawiera firewall, system wykrywania i blokowania włamań IPS (Intrusion Prevention System), serwer VPN, Rysunek 1. NA-F60 system antywirusowy, system antyspamowy oraz system filtrowania dostępu do stron internetowych (filtr URL). Sprzęt posiada cztery wbudowane routowalne interfejsy oraz 128Mb pamięci w postaci Compact Flash. Wydajność urządzenia określają najlepiej zestawione poniższe wartości: przepustowość IPS-Firewall 115Mbps, przepustowość kanału VPN szyfrowanego AES 18 Mbps, maksymalna liczba połączeń TCP 15000, maksymalna liczba kanałów VPN IPSEC 100 maksymalna liczba reguł filtrujących 512 UTM posiada bardzo dobry system wykrywania i blokowania włamań, na który składają się: wykrywanie anomalii w protokołach (HTTP, FTP, DNS, SMTP, POP3, IMAP4, RIP, H323, EMULE, SSH, SSL, NNTP, TELNET), analiza heurystyczna, sygnatury kontekstowe oraz analiza protokołów warstwy aplikacji. Zabezpiecza naszą Sieć również przed wirusami poprzez wbudowany ClamAV, transparentne skanowanie HTTP, SMTP i POP3 oraz bardzo ważne aktualizacje automatyczne, bez których żadne zabezpieczenia antywirusowe nie spełniają swojego zadania. Bardzo ciekawym dodatkiem jest możliwość filtrowania treści stron WWW, poczty przychodzącej i wychodzącej, programów P2P oraz ruchu multimedialnego. Do zarządzania urządzeniem dostajemy do dyspozycji bardzo rozbudowany pakiet administracyjny niestety tylko pod Windows konsolę SSHv2 oraz połączenie przez RS-232. Urządzenie jest warte zainteresowania dzięki szerokiemu zakresowi możliwości, jakie nam oferuje. Jednak brak dokumentacji w języku polskim (a przecież produkt ma być sprzedawany nam - Polakom) i pakiet administracyjny przygotowany tylko dla systemów z rodziny Windows trochę zniechęca. Pomimo tych niedociągnięć jest to urządzenie godne polecenia. W sieciach domowych pozwala na filtrowanie informacji napływających z Internetu i trafiających do naszych pociech, a w małych firmach pozwala ograniczyć dostęp do Sieci tylko do konkretnych aplikacji, niezbędnych do pracy. Robert Zadrożny 12 hakin9 Nr 8/2007

13 Narzędzia Panda Internet Security 2007 Producent: Panda Software Cena: 210 PLN Strona producenta: Typ: Ochrona komputera Ilość stanowisk: 3 Licencja: 1 rok Ocena: 5/5 Każdego dnia nasz komputer atakowany jest przez różnego rodzaju wirusy, robaki i inne złośliwe oprogramowanie. Z tego też względu coraz ważniejsze jest jego dobre zabezpieczenie. Nie wystarczy już sam antywirus uruchamiany od przypadku do przypadku, niezbędne jest kompleksowe zabezpieczenie. Oferuje je nam właśnie pakiet o nazwie Panda Internet Security Jest to najbardziej rozbudowane, wśród spotykanych na rynku, oprogramowanie do ochrony komputera, pochodzące od firmy Panda Software. Jego ogromną zaletą jest już możliwość zainstalowania go na trzech komputerach przy zakupie tylko jednej licencji. Dodatkowo mamy do dyspozycji pomoc techniczną 24 godziny na dobę przez 365 dni w roku poprzez Internet. PIS 2007 składa się z kilku modułów, które pozwalają zadbać o bezpieczeństwo. Są to: Ochrona danych osobowych. Dzięki temu modułowi możemy dokonywać w Internecie wszelkiego typu transakcje bez obawy, że ktoś przechwyci nasze dane i wykorzysta je do własnych potrzeb. Najnowszej generacji program antywirusowy. Przez wykorzystanie technologii heurystycznej, PIS jest w stanie automatycznie wykryć i wyeliminować wszelkiego rodzaju (nawet jeszcze nie znane) wirusy, robaki i trojany. Osobisty firewall. Jest to chyba najbardziej podstawowe zabezpieczenie komputera przed atakami hakerów. Dzięki niemu mamy możliwość ustawienia, które programy mogą się łączyć z Internetem, a jakie nie. Dodatkowo PIS informuje nas o wszystkich nieautoryzowanych próbach połączenia się z naszym komputerem Antispyware. Pomaga nam chronić swoją prywatność w Internecie. Jest to zabezpieczenie przed programami, które mogą np. spowalniać pracę naszego komputera, wyświetlać tysiące irytujących reklam czy też po prostu śledzić nasze poczynania podczas pracy na komputerze. Antispam. Rozpoznaje i blokuje maile, w których znajdują się niebezpieczne dla naszego komputera załączniki, a także wszelkiego rodzaju reklamy, których jest coraz więcej w naszej skrzynce. Kontrola rodzicielska. Ten moduł umożliwia stworzenie użytkowników z dostępem na hasło i określenie dla nich różnego rodzaju dostępu do Internetu. Dzięki temu możemy mieć pewność, że nasze dzieci nie będą odwiedzały stron szkodliwych dla nich, a nasz pracownik nie będzie surfował po Internecie, zamiast pracować. Wymagania jak na programy tego typu są bardzo skromne. Aby program funkcjonował, wystarczy, że będziemy posiadali komputer z procesorem 300MHz, 128MB pamięci ram i 160MB wolnego miejsca na dysku. Wszystko to sprawia, że opisywany produkt jest niemal idealny do zabezpieczenia komputera. Podczas codziennej pracy w ogóle nie daje się odczuć, że działa on w tle. Jego obsługa jest intuicyjna, przez co nie będą miały problemu z nią problemów nawet osoby, które nigdy wcześniej nie korzystały z tego typu oprogramowania. Według mnie jest to obecnie najlepszy program do ochrony komputera. Robert Zadrożny Rysunek 1. Zrzut ekranu programu Panda Internet Security hakin9 Nr 8/

14 Narzędzia Eagleeyeos Professional Severe Producent: EagleEyeOS Typ: Program zabezpieczający Przeznaczenie: Użytkownicy indywidualni i nie tylko Strona producenta: Cena: 317 PLN Rysunek 1. Professional Severe-NFR W końcu dostałem do swych rąk program Eagleeyeos Professional Severe. Produkt ów nie wydawał się, po okładce sądząc, zbyt skomplikowany, a jednak okazało się, że jest wprost przeciwnie. O ile program jest bardzo dobry i funkcjonalny, o tyle wadą jest jego bardzo skomplikowana instalacja, stąd zamierzam na niej właśnie położyć nacisk w tej recenzji. Dlaczego akurat instalacja? Ponieważ okazała się ona bardziej skomplikowana niż samo użytkowanie tego programu. Wkładając program do czytnika CD, nie wiedziałem jeszcze, co mnie czeka. Okazało się, że proces instalacyjny stanowi tu nie lada wyzwanie, ponieważ nie każdy uczy się języka angielskiego, a cała instalacja i rejestracja programu przebiega właśnie w języku angielskim. Nie miałem żadnego punktu zaczepienia i nie wiedziałem, jak ugryźć ten program, aż w końcu napisałem własny tutorial na temat jego instalacji. Okazało się, że wcale nie było to takie trudne. Wreszcie przystąpiłem do instalacji. Jednak i tu nie obyło się bez błędów. Już powoli zaczynało brakować mi czasu i ochoty, by się ciągle męczyć z programem. Jednak często, jak mam juz coś zrobić, to wiem, że muszę zrobić to dobrze. Tak też było z tym programem. Po zakończeniu instalacji zapoznałem się z jego funkcjonalnościami i okazało się, że program jest wart swojej ceny! EagleEyeOS Professional Severe zapewnia ochronę zupełną. Kompletny zasięg inteligencji przez posługiwanie alarmów, rozwiniętego monitorowania w przypadku użyć drukarzy. Cykl dokumentów może zostać skontrolowany i wyśledzony z monitorowaniem działalności użytkownika, tworząc kwarantanny dokument, ponadto kontrolując urządzenia przenośne. Program gwarantuje kompletne zarządzanie siecią dla małych i dużych przedsiębiorstw. Strony: Home, Real-Time Monitoring, Reports, File Lifecycle Tracking (FLT), Storage Lifecycle Tracking (SLT), Auto Reports, Alerts, Center. Panele takie jak: Hosts, Properties, Servers, Archives, Operators, Server Log, Install Log. Forest: Rule Groups, Log Filters, Filters, Devices, Quarantines, Snapshot, Printers. Technologia: Kernel Level Development, Application Independece, File System and Hardware Independence, Support of the Non-Microsoft-Based File Sparing, Reproduction Independence, Own Protective Line, Devices (Availability Independence), Storages (producer and type independence), SQL Support, EagleEyeOS Zone, SYSLOG Support, Notebook handling (local storage procedure) oraz Data Loss Prevention. Co prawda nie znam się dokładniej na tego typu programach, jako że nie prowadzę własnej działalności gospodarczej, jednak z całą pewnością mogę stwierdzić, że program rzeczywiście jest profesjonalny i niczego więcej mu nie potrzeba. Cała sztuka w tym, aby zrozumieć, co jest napisane w języku angielskim. Stosujmy się więc do poleceń i zaleceń autorów. Moim zdaniem produkt jest bardzo przydatny i niezwykle funkcjonalny. Polecam go wszystkim tym, którzy posiadają swoje przedsiębiorstwo - te duże i te całkiem małe. Karol Ciężki 14 hakin9 Nr 8/2007

15

16 Podejrzany klucz rejestru Początki David Maciejak stopień trudności Ten artykuł prezentuje sposoby wykrycia działania złośliwego oprogramowania. Może ono być przeprowadzane automatycznie za pomocą skanera luk zabezpieczeń obsługującego lokalne testowanie skryptów, takiego jak Nessus. Malware lub PuP musi przechowywać pewne dane w systemie, aby wchodzić z nim w interakcję. Konieczne jest to, aby móc tworzyć lub modyfikować usługę, aby automatycznie uruchamiać się podczas bootowania, aby podłączyć się do Internet Explorera. Te czynności mające miejsce w systemie, a właściwie w rejestrze Windows, można wykryć. Podejrzany klucz, przykład potencjalnie niepożądanego programu poprzez moduły Browser Helper Object dla aplikacji Internet Explorer. Browser Helper Object (BHO) jest modułem DLL, zaprojektowanym jako plugin dla przeglądarki internetowej Microsoft Internet Explorer w celu dostarczenia dodatkowej funkcjonalności. Moduły BHO zostały wprowadzone do IE w październiku 1997 wraz z ukazaniem się wersji 4 Internet Explorera. Większość modułów BHO jest jeden raz ładowana przez każdą nową instancję Internet Explorera ( en.wikipedia.org/wiki/browser_helper_object). Przykład użycia: chcemy wykryć CursorZone, Grip Toolbar, znane spyware zbierające informacje o przeglądaniu i modyfikujące domyślną stronę wyszukującą. Aby dowiedzieć się więcej na jego temat, zobacz: /tk gripcz4_dll.html, tdisplay.aspx?name=grip%20toolbar&threatid= Znamy GUID (skrót od Globally Unique Identifier, unikalnej 128-bitowej liczby tworzonej przez system Windows lub przez niektóre aplikacje Windows w celu identyfikacji konkretnego komponentu, aplikacji, pliku, wpisu w bazie danych, i/lub użytkownika) ({4E7BD74F-2B8D- Z artykułu dowiesz się jak wykryć ślady infekcji, zwłaszcza na platformie Microsoft Windows, jak pisać własne pluginy Nessusa używając NASL. Co powinieneś wiedzieć jak używać narzędzia Nessus, mieć podstawową wiedzę na temat NASL i/lub umiejętność pisania skryptów, znać systemy Microsoft Windows i Linux. 16 hakin9 Nr 8/2007

17 Podejrzany klucz rejestru Listing 1a. Sprawdzanie klucza rejestru Grip Toolbar if(description) { script_id(16314); script_version("$revision: 1.6 $"); name["english"] = "Potentially unwanted software"; script_name(english:name["english"]); desc["english"] = " This script checks for the presence of files and programs which might have been installed without the consent of the user of the remote host. Verify each of softwares found to see if they are compliant with you security policy. Solution : See the URLs which will appear in the report Risk factor : High"; script_description(english:desc["english"]); summary["english"] = "Checks for the presence of differents dll on the remote host"; script_summary(english:summary["english"]); script_category(act_gather_info); script_copyright(english:"this script is Copyright (C) 2005 David Maciejak and Tenable Network Security"); family["english"] = "Windows"; script_family(english:family["english"]); script_dependencies("smb_hotfixes.nasl"); script_require_keys("smb/registry/enumerated"); script_require_ports(139, 445); exit(0); } #load specific SMB function include("smb_func.inc"); include("smb_hotfixes.inc"); if ( get_kb_item("smb/samba") ) exit(0); global_var handle; #get port info from knowledge base port = kb_smb_transport(); if(!port)exit(0); #get credential and domain name from knowledge base if(!get_port_state(port))return(false); login = kb_smb_login(); pass = kb_smb_password(); domain = kb_smb_domain(); soc = open_sock_tcp(port); if(!soc)exit(0); session_init(socket:soc, hostname:kb_smb_name()); #connect to IPC$ share ret = NetUseAdd(login:login, password:pass, domain:domain, share:"ipc$"); if ( ret!= 1 ) exit(0); #open an handle on registry entry KKEY_CLASS_ROOT handle = RegConnectRegistry(hkey:HKEY_CLASS_ROOT); if ( isnull(handle) ) exit(0); function check_reg(name, url, key, item, exp) { local_var key_h, value, sz; #open the registry key key_h = RegOpenKey(handle:handle, key:key, mode: MAXIMUM_ALLOWED); if(! isnull(key_h) ) { #query the subkey if item!= NULL value = RegQueryValue(handle:key_h, item:item); RegCloseKey(handle:key_h); if (! isnull(value) ) sz = value[1]; else return 0; } else return 0; #if subkey equals the exp value that we expected if(exp == NULL tolower(exp) >< tolower(sz)) hakin9 Nr 8/

18 Początki 469E-A6E4-FC7CBD87BD7D}) i jedną z nazw plików, które dodawany jest do systemu (gripcz4.dll). Skrypt (Zobacz Listing 1) łączy się do zdalnego rejestru, aby sprawdzić, czy istnieją GUID oraz nazwa pliku (jest to wycinek z smb_suspicious_files.nasl). Listing 2. przedstawia nieco łatwiejszy przykład. Nie musimy w nim testować wartości wpisu klucza, ale dowiedzieć się tylko, czy klucz istnieje. Microsoft umożliwia możliwość zabezpieczenia się przed luką, polegającą na zdalnym uruchomieniu kodu w Vector Markup Language (aby dowiedzieć się więcej, zobacz CVE ). Użytkownicy muszą wyrejestrować vgx.dll. Plugin sprawdza, czy plik DLL został wyrejestrowany i wtedy nie jest uwzględniany w rejestrze. Podejrzany autostart programu Złośliwe oprogramowanie często wykorzystuje następujące klucze do dodania do nich wpisu i uruchamienia przez system podczas jego startu: H K E Y_ LO C A L _ M A C H I N E\ S O F T W A R E \ M i c r o s o f t \ Windows\CurrentVersion\Run przeznaczone dla programu, który musi być uruchamiany podczas każdego bootowania. Warto zauważyć, że root path może mieć też postać HKEY_CURRENT USER, Listing 1b. Sprawdzanie klucza rejestru Grip Toolbar { report = string( "'", name, "' is installed on the remote host.\n", "Make sure that the user of the remote host intended to install this software and that its use matches your corporate security policy.\n\n", "Solution : ", url, "\n", "Risk factor : High"); #report specific data based on this malware security_hole(port:kb_smb_transport(), data:report); } } i = 0; ############################################################################### name = make_list(); name[i] = "Grip Toolbar"; url[i] = " key[i] = "CLSID\{4E7BD74F-2B8D-469E-A6E4-FC7CBD87BD7D} \InprocServer32"; item[i] = NULL; exp[i] = "gripcz4.dll"; ############################################################################### for(i=0;name[i];i++) { #call the check_reg function check_reg(name:name[i], url:url[i], key:key[i], item:item[i], exp:exp[i]); } RegCloseKey(handle:handle); NetUseDel(); Tabela 1. Początkowa wartość usług Windows Typ uruchomienia Loader Znaczenie 0x0 (Boot) Kernel Reprezentuje część stosu sterownika dla bootowanego (uruchamianego) wolumenu i dlatego musi być załadowany przez Boot Loader. 0x1 (System) I/O subsystem Reprezentuje sterownik ładowany podczas inicjalizacji Kernela. 0x2 (Auto load) 0x3 (Load on demand) 0x4 (disabled) Service Control Manager Service Control Manager Service Control Manager Ładowany lub uruchamiany automatycznie dla wszystkich uruchomień, bez względu na rodzaj usługi. Dostępny bez względu na typ, jednak uruchamiany tylko przez użytkownika (na przykład poprzez kliknięcie na ikonę Urządzenia w Panelu sterowania). NIE POWINIEN BYĆ URUCHAMIANY W ŻADNYM WY- PADKU. 18 hakin9 Nr 8/2007

19 Podejrzany klucz rejestru Listing 2. Sprawdzanie wyrejestrowania dll w Vector Markup Language if(description) { script_id(90001); script_cve_id("cve "); script_bugtraq_id(20096); script_version("$revision: 1.0 $"); name["english"] = "Vulnerability in Vector Markup Language Could Allow Remote Code Execution (925568)"; script_name(english:name["english"]); desc["english"] = " Synopsis Arbitrary code can be executed on the remote host through the client or the web browser. Description The remote host is running a version of Internet Explorer or Outlook Express which is vulnerable to a bug in the Vector Markup Language handling routine which may allow an attacker execute arbitrary code on the remote host by sending a specially crafted . Solution A workaround is availabe at: Risk factor High / CVSS Base Score: 8 (AV:R/AC:H/Au:NR/C:C/A:C/I:C/B:N)"; script_description(english:desc["english"]); summary["english"] = "Checks if VML is registered"; script_summary(english:summary["english"]); script_category(act_gather_info); script_copyright(english:"this script is Copyright (C) 2006 Tenable Network Security"); family["english"] = "Windows : Microsoft Bulletins"; script_family(english:family["english"]); script_dependencies("smb_hotfixes.nasl"); script_require_keys("smb/registry/enumerated"); script_require_ports(139, 445); exit(0); } #load smb modules include("smb_func.inc"); include("smb_hotfixes.inc"); include("smb_hotfixes_fcheck.inc"); #get credential and hostname from kb login = kb_smb_login(); pass = kb_smb_password(); domain = kb_smb_domain(); port = kb_smb_transport(); #exit if port is closed if (!get_port_state(port))exit(1); #open socket soc = open_sock_tcp(port); if (!soc) exit(1); #init session, connect to IPC$ share session_init(socket:soc, hostname:kb_smb_name()); r = NetUseAdd(login:login, password:pass, domain:domain, share:"ipc$"); if ( r!= 1 ) exit(1); hkcr = RegConnectRegistry(hkey:HKEY_CLASS_ROOT); if ( isnull(hkcr) ) { NetUseDel(); exit(1); } registered = 0; #try to open given CLSID key_h = RegOpenKey(handle:hkcr, key:"clsid\{10072cec-8cc1-11d1-986e-00a0c955b42e}\inprocserver32", mode:maximum_allowed); if (!isnull(key_h)) { registered = 1; } RegCloseKey(handle:hkcr); NetUseDel(); #if key was found if (registered) security_hole (port); hakin9 Nr 8/

20 Początki Listing 3. Sprawdzanie wpisu podklucza rejestru robaka NetSky if(description) { script_id(12070); script_version("$revision: 1.1 $"); name["english"] = "Netsky.B"; script_name(english:name["english"]); desc["english"] = " This system appears to be infected by Netsky.B which is a mass-mailing worm that uses its own SMTP engine to distribute itself to the addresses it collects when probing local hard drives or remote mapped drives. Solution: Update your Anti-virus definitions file and perform a complete system scan. See also: Risk factor: High"; script_description(english:desc["english"]); summary["english"] = "Detects Netsky.B Registry Key"; script_summary(english:summary["english"]); script_category(act_gather_info); script_copyright(english:"this script is Copyright (C) 2003 Renaud Deraison modified by c.houle@bell.ca"); family["english"] = "Windows"; script_family(english:family["english"]); script_dependencie("netbios_name_get.nasl", "smb_login.nasl","smb_registry_access.nasl"); script_require_keys("smb/name", "SMB/login", "SMB/password", "SMB/domain","SMB/transport"); script_require_ports(139, 445); exit(0); } include("smb_nt.inc"); #return item found under key on HKEY_LOCAL_MACHINE root version = registry_get_sz(key:"software\microsoft\windows\currentversion\run", item:"service"); if (! version ) exit(0); if("services.exe -serv" >< version ) security_hole(port); Listing 4. Sprawdzanie obecności podejrzanej usługi robaka Sdbot if(description) { script_id(95000); script_version("$revision: 1.0 $"); name["english"] = "W32/Sdbot.worm.gen.by"; script_name(english:name["english"]); desc["english"] = " This system appears to be infected by W32/Sdbot.worm.gen.by which is a worm spreading using multiple attacking vector. Solution: Update your Anti-virus definitions file and perform a complete system scan. See also: Risk factor: High"; script_description(english:desc["english"]); summary["english"] = "Detects W32/Sdbot.worm.gen.by"; script_summary(english:summary["english"]); script_category(act_gather_info); script_copyright(english:"this script is Copyright (C) 2006 D. Maciejak"); family["english"] = "Windows"; script_family(english:family["english"]); script_dependencie("netbios_name_get.nasl", "smb_login.nasl","smb_registry_access.nasl"); script_require_keys("smb/name", "SMB/login", "SMB/password", "SMB/domain","SMB/transport"); script_require_ports(139, 445); exit(0); } include("smb_nt.inc"); #return item found under key on HKEY_LOCAL_MACHINE root filepath = registry_get_sz(key:"system\currentcontrolset\services\rpcsvc ", item:"imagepath"); if (! filepath ) exit(0); if("\system32\rpcsvc.exe" >< filepath ) security_hole(port); 20 hakin9 Nr 8/2007