SPIS TREŚCI NARZĘDZIA POCZĄTKI ATAK. 12 Mks_vir 9.0 wersja DOM PLUS

Transkrypt

1

2

3

4 SPIS TREŚCI jest wydawany przez Software Press Sp. z o.o. SK Prezes wydawnictwa: Paweł Marciniak Redaktor naczelny: Katarzyna Dębek katarzyna.debek@software.com.pl Redaktor prowadzący: Tomasz Przybylski Kierownik produkcji: Andrzej Kuca andrzej.kuca@software.com.pl Dział produkcji kolportażu: Alina Stebakow alina.stebakow@software.com.pl DTP: Tomasz Kostro Okładka: Agnieszka Marchocka, Łukasz Pabian Dział reklamy: adv@software.com.pl Obsługa prenumeraty: pren@software.com.pl Wyróżnieni betatesterzy: Krzysztof Piecuch, Maksymilian Arciemowicz Opracowanie CD: Rafał Kwaśny Druk: ArtDruk Nakład wersji polskiej egz. Wydawca: Software Press Sp. z o.o. SK ul. Bokserska 1, Warszawa, Polska Tel , Fax Osoby zainteresowane współpracą prosimy o kontakt: cooperation@software.com.pl Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje i programy były poprawne, jednakże nie bierze odpowiedzialności za efekty wykorzystania ich; nie gwarantuje także poprawnego działania programów shareware, freeware i public domain. Uszkodzone podczas wysyłki płyty wymienia redakcja. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach informacyjnych. Do tworzenia wykresów i diagramów wykorzystano program firmy Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit firmy G DATA Software Sp. z o.o. Redakcja używa systemu automatycznego składu UWAGA! Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej niż wydrukowana na okładce bez zgody wydawcy jest działaniem na jego szkodę i skutkuje odpowiedzialnością sądową. hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech, Austrii, Szwajcarii, Polsce. Prowadzimy również sprzedaż kioskową w innych krajach europejskich. Magazyn hakin9 wydawany jest w 4 wersjach językowych: PL EN FR DE UWAGA! Techniki prezentowane w artykułach mogą być używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik ani spowodowaną tym utratę danych. NARZĘDZIA 12 Mks_vir 9.0 wersja DOM PLUS POCZĄTKI 14 Odzyskiwanie danych z twardego dysku ARTUR SKROUBA W dobie masowego rozwoju techniki cyfrowej podstawowym narzędziem pracy, komunikacji i rozrywki dla większości społeczeństwa staje się komputer osobisty (PC). Za jego pomocą można już dzisiaj zrealizować większość codziennych spraw. Niestety, korzystanie z tych dobrodziejstw wiąże się z pewnym ryzykiem, dotyczącym potencjalnego wystąpienia awarii, która w skuteczny sposób może sparaliżować nasz codzienny dzień. ATAK 20 Hakowanie Windows 7 WOJCIECH SMOL Windows 7, będący następcą kompletnie nieudanej Visty, prawdopodobnie okaże się dla Microsoftu szczęśliwą siódemką i powtórzy komercyjny sukces Windowsa XP. System ten nie zapewni nam jednak bezpiecznego środowiska pracy. Wojtek w swoim artykule przedstawi 7 dowodów na potwierdzenie tej tezy. 26 Cloud computing MARCIN KOSEDOWSKI Nie uciekniemy od Cloud computingu. Dostawcy usług przywiążą nas do siebie, po czym zaopiekują się naszymi danymi. Nie nastąpi to w tym roku ani kolejnym, ale trend jest jasny coraz więcej danych i obliczeń będzie rozproszonych w Sieci. To się po prostu opłaca. 34 Błędy typu NULL Pointer Dereference DAMIAN OSIENICKI Nieostrożne operacje na wskaźnikach są źródłem wielu błędów, które mogą posłużyć do eskalacji przywilejów lub ataków DoS. Artykuł opisuje model zarządzania pamięcią wirtualną procesu oraz sposób wykorzystania błędów dereferencji wskaźnika, w systemach linuksowych, na platformie 32-bitowej. 40 Jak zostać władcą portów NORBERT KOZŁOWSKI Nie będziemy potrzebowali floty statków ani pirackiej załogi by zrealizować ten cel. W XXI wieku zdołamy dokonać podobnych rzeczy wyposażeni jedynie w komputer oraz wiedzę pozwalającą na poprawne wykonanie pewnych technik. 4 HAKIN9 1/2010

5 SPIS TREŚCI 46 Maskowanie robisz to źle! MARCIN KOSEDOWSKI Hasła maskowane pozwalają na logowanie z niezaufanych systemów. W teorii zwiększa to poziom bezpieczeństwa, ale stosowane implementacje są dalekie od doskonałości. Przedstawiamy typowe błędy stosowane przez polskie banki i propozycje ich rozwiązania. OBRONA 52 Hartowanie jądra Linuksa SYLWESTER ZDANOWSKI Bezpieczeństwo komputerów jest tematyką często omawianą pod różnym kontem. Budując bezpieczny dom nie wystarczy alarm, groźny pies i czujnik dymu. Bez mocnych fundamentów cała reszta zawali się w mgnieniu oka. Fundamentem systemu jest kernel i prawa dostępu. PRAKTYKA 56 RTIR nie trać czasu na papierkową robotę MARCIN TEODORCZYK Wiadomo, że zdarzenia związane z naruszaniem bezpieczeństwa są nie do uniknięcia. Czy nie warto przygotować się do efektywnej ich obsługi? Nieocenionym narzędziem jest tutaj system wsparcia reagowania na incydenty. BEZPIECZNA FIRMA 68 Bezpieczeństwo informacji ANDRZEJ GUZIK Zapewnienie bezpieczeństwa informacji w organizacji wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji. Polskie normy, dotyczące bezpieczeństwa informacji, obok przepisów prawa oraz standardów branżowych stanowią tzw. najlepsze praktyki, wytyczne dla organizacji lub STAŁE RUBRYKI 6 Aktualności Przedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko. Oto kilka z nich: Zaskakujące wyniki finansowe Microsoftu E-papierowe nowości od AUO HTC wydaje kod źródłowy jądra Hero Pirat działający w Sieci na dużą skalę zatrzymany przez policję 10 Zawartość CD DiskExplorer for Linux V3.41 Kerio MailServer na Windows Runtime GetDataBack Runtime GetDataBack for NTFS Network Security Toolkit (NST) 78 Felieton Diagnoza: Cyberslacking Termin cyberslacking (w krajach anglojęzycznych występujący również w alternatywnej wersji, jako cyberloafing lub goldbricking) w piśmiennictwie po raz pierwszy pojawił się w drugiej połowie lat dziewięćdziesiątych XX wieku. 82 Zapowiedzi Zapowiedzi artykułów, które znajdą się w następnym wydaniu magazynu hakin9 1/2010 HAKIN9 5

6 W SKRÓCIE ZASKAKUJĄCE WYNIKI FINANSOWE MICROSOFTU Pod koniec 2009 roku Microsoft ogłosił wyniki finansowe za pierwszy kwartał roku obrachunkowego, rozpoczęty w lipcu Wyniki zaskoczyły analityków, są znacznie lepsze od oczekiwań. Według raportu firma odnotowała przychód na poziomie 12,92 mld dolarów. Wynik jest słabszy niż w zeszłym roku. Zysk netto wyniósł 3,57 mld dolarów, 40 centów za akcję w stosunku do zeszłego roku słabsze notowania o odpowiednio o 18% i 17%. Niemniej analitycy spodziewali się zysku 32 centów za akcję, więc można powiedzieć, że wyniki znacznie przekroczyły przewidywania rynku. Do tego sukcesu w okresie kryzysu głównie przyczyniło się zainteresowanie systemem Windows oraz konsolami Xbox. E-PAPIEROWE NOWOŚCI OD AUO Firma AUO zaprezentowała największy na świecie moduł e-papieru w technologii EPD (Electrophoretic Display) o przekątnej aż 20 cali. Produkt wyróżnia się wyjątkowo niskim zużyciem energii elektrycznej, wynoszącym niecałe 2W. Dysponuje skalą szarości liczącą 16 poziomów. Moduł nie wymaga podświetlenia, przez co wydaje się idealnym rozwiązaniem do wykorzystania w przyszłości w sektorze Public Display. Oprócz tego firma pokazała 6- calowy wyświetlacz z e-papieru, który można wielokrotnie zginać, co przybliża go funkcjonalnością do zwykłego papieru. TREND MICRO AKCEPTUJE NOWE METODY TESTOWANIA NA ŻYWO OPRACOWANE PRZEZ NSS LABS Firma Trend Micro zaakceptowała nowe metody testowania programów zabezpieczających przed szkodliwym oprogramowaniem, opracowane przez NSS Labs, które lepiej odzwierciedlają warunki panujące w świecie rzeczywistym. Dotychczasowe przestarzałe techniki testowania nie sprawdzały stopnia ochrony przed najnowszymi zagrożeniami pochodzącymi z Internetu. Firma NSS Labs zastosowała w testowaniu programów antywirusowych nową metodę, w której oprócz tradycyjnych pomiarów skuteczności wykrywania zagrożeń mierzy się dwa dodatkowe parametry: stopień wykrywania i blokowania zagrożeń na podstawie ich źródłowych adresów URL oraz czas opóźnienia od chwili, gdy producent programu antywirusowego po raz pierwszy uzyskuje informację o nowym potencjalnym zagrożeniu do chwili, w której ochrona przed tym zagrożeniem dociera do klientów, czyli tzw. czas do uzyskania ochrony (ang. time to protect przyp. red.) powiedział Raimund Genes, dyrektor ds. technicznych w firmie Trend Micro. Jesteśmy zadowoleni, że firma Trend Micro dobrze wypadła w tych testach, ale przede wszystkim cieszą nas postępy w testowaniu produktów chroniących przed szkodliwym oprogramowaniem, które sprawiają, że metody testowania opracowane przez NSS Labs lepiej pokazują rzeczywistą ochronę zapewnianą użytkownikom tych produktów powiedział Genes. Testy powinny koncentrować się na poziomie ochrony klienta, a to znacznie więcej niż tylko wykrywanie zagrożeń. W testach grupowych, w których badano efektywność najlepszych zabezpieczeń dla użytkowników indywidualnych i firm w ochronie przed szkodliwym oprogramowaniem wykorzystującym strategie inżynierii społecznej, firma Trend Micro uzyskała najlepsze wyniki. Jest to kolejne potwierdzenie tego, że internetowa infrastruktura kliencka Trend Micro Smart Protection Network, zapewniająca warstwową ochronę, wygrywa z rozwiązaniami konkurencji i najlepiej zabezpiecza przed zagrożeniami. Testy te zostały przeprowadzone przez NSS Labs niezależnie żaden producent ich nie zlecił ani nie sponsorował. Testowane były następujące produkty Trend Micro: Trend Micro Internet Security dla użytkowników indywidualnych i Trend Micro OfficeScan Client/ Server Suite dla przedsiębiorstw. Łatwo pokonały one produkty konkurencji, w tym firm Kaspersky, McAfee, Symantec, F-Secure, AVG, Panda, Sophos, Eset i Norman. Systemy oceny reputacji plików poza siecią lokalną znacznie poprawiły ogólny poziom bezpieczeństwa, a firma Trend Micro zapewnia najlepszą ochronę w fazie pobierania i uruchamiania szkodliwych programów podsumował Rick Moy, prezes NSS Labs. Z testu tego jasno wynika, że firma Trend Micro odniosła duży sukces dzięki wprowadzeniu wspomnianej metody do swojego arsenału środków. Ogólny wskaźnik ochrony w przypadku rozwiązania Trend Micro dla użytkowników indywidualnych osiągnął poziom 96,4%. Rozwiązanie to zatrzymało 91% zagrożeń w trakcie pobierania i dodatkowo rozpoznało jako szkodliwe 5,5% programów po ich uruchomieniu, co daje łączny wskaźnik 96,4%. Cały raport dotyczący testowania produktów dla użytkowników indywidualnych jest dostępny po zarejestrowaniu się na stronie http: //nsslabs.com/host-malware-protection/ consumer-anti-malware.html. Trend Micro OfficeScan Client/ Server Suite, sztandarowy produkt firmy do ochrony punktów końcowych w przedsiębiorstwach i firmach średniej wielkości, osiągnął najlepszy wynik ze wszystkich testowanych rozwiązań tego typu. Aby bezpłatnie zapoznać się z pełną treścią raportu dotyczącego testowania produktów dla przedsiębiorstw należy zarejestrować się pod adresem EndpointProtection-3Q HAKIN9 1/2010

7 AKTUALNOŚCI Trend Micro OfficeScan wykorzystuje standardową architekturę klient-serwer. Ulepszona konsola zarządzania jest intuicyjna w obsłudze. Łatwe w użyciu rozwiązanie Office Scan nie sprawiało problemów w trakcie naszego testu. Poziom ochrony był niezmiennie bardzo wysoki w czasie całego procesu testowania oceniła firma NSS Labs. Nowe metody testowania NSS Labs sprawdzają możliwość blokowania zagrożeń, zanim dotrą one do punktu końcowego oraz wykrywania tych, które mimo wszystko się przedostaną te dwa parametry zostają uwzględnione w ogólnej ocenie produktu. NSS Labs Live Testing (testowanie na żywo) bada skuteczność produktu w ochronie przed najnowszymi zagrożeniami w warunkach użytkownika, a nie jak inne metody przed nieaktualnymi próbkami w zamkniętym środowisku laboratoryjnym. Przedstawione tutaj wyniki zostały oparte na danych empirycznych zebranych w trakcie 17 dni całodobowego testowania, wykonywanego co 8 godzin, obejmującego 59 odrębnych testów. W każdym z tych testów były dodawane nowe źródłowe adresy URL szkodliwego oprogramowania. Każdy produkt został uaktualniony do najnowszej wersji dostępnej w momencie rozpoczęcia testów i umożliwiał dostęp do Internetu przez cały czas ich trwania. Informacje o rozwiązaniu Trend Micro OfficeScan Client/Server Suite Trend Micro OfficeScan to produkt dla przedsiębiorstw. Chroni on komputery biurkowe, laptopy, serwery, urządzenia pamięci masowej i smartfony w sieci korporacyjnej i poza nią z wykorzystaniem światowej klasy nowatorskich zabezpieczeń przed szkodliwym oprogramowaniem, działających poza siecią lokalną, opartych na infrastrukturze Trend Micro Smart Protection Network. Nowa funkcja File Reputation przenosi pliki wzorców do Internetu, dzięki czemu uwalnia zasoby w punktach końcowych. Natomiast funkcja Web Reputation blokuje dostęp do szkodliwych serwisów internetowych. Elastyczna, modułowa architektura, nowa funkcja kontroli urządzeń, funkcja zapobiegania włamaniom do komputera głównego (HIPS), wirtualizacja oraz obsługa wielu platform obniżają koszty zarządzania i zwiększają elastyczność. Więcej informacji o produkcie można znaleźć pod adresem.http: //us.trendmicro.com/us/products/ enterprise/officescan-client-serveredition/index.html HTC WYDAJE KOD ŹRÓDŁOWY JĄDRA HERO Firma HTC udostępniła kod źródłowy oprogramowania zastosowanego w Hero. Od kiedy Hero pojawił się na rynku, deweloperzy oprogramowania nalegali, by został udostępniony kod źródłowy jądra. Stosowna paczka właśnie co pojawiła się do pobrania. Taka sytuacja jest korzystna nie tylko dla twórców oprogramowania, ale także dla użytkowników, gdyż na świecie zdążyło pojawić się już wielu hakerów Androida, którzy w szybkim czasie dostarczą stosowne modyfikacje dla telefonów HTC Hero. Ruch zapoczątkowany przez firmę HTC będzie przyczyną pojawienia się w Sieci wielu ROM-ów ze zmienionym wyglądem systemu, dodaną funkcjonalnością itd. Na tej samej zasadzie, dzięki hakerom i udostępnionemu kodowi źródłowemu telefonu, na słuchawce G1 można zainstalować ROM dostarczający interfejsu HTC Sense, niedostępnego oficjalnie dla tego modelu telefonu. NOWE DYSKI TWARDE Z SERII DATA LOCKER Firma Origin Storage rozszerzyła linię zewnętrznych dysków twardych Data Locker o dwa nowe modele o pojemności 750 GB oraz 1 TB. W sprzedaży nadal będą dostępne wersje 320 GB i 500 GB. Urządzenia wyposażono w szereg funkcji, gwarantujących bezpieczeństwo przechowywanych danych. Podstawowe to: 256-bitowe szyfrowanie danych AES i zabezpieczenie dostępu hasłem o długości od 6 do 18 znaków, wprowadzanym za pomocą klawiatury LCD, umieszczonej na obudowie. Brak hasła lub niepoprawne wpisanie blokuje możliwość korzystania z dysku. Produkty występują w trzech różnych wersjach, dysponujących różnymi poziomami zabezpieczeń: Data Locker Personal, Data Locker Pro AES oraz Data Locker Enterprise. Urządzenia w przypadku wykrycia ataku metodą brute force wymazują wszystkie dane. WINDOWS 7 POPULARNIEJSZY OD HARRY'EGO POTTERA Na półkach sklepowych można już znaleźć nowy system operacyjny Microsoftu. Firma z Redmond bardzo liczy, że pomoże on w zatarciu złego wrażenia, jakie wywarła Vista. W przedsprzedaży na Amazonie Windows 7 rozchodzi się jak ciepłe bułeczki. Amerykańska firma wiąże duże nadzieje z tym produktem po niezbyt udanym poprzedniku, czyli systemie Vista. Windows 7 ma pozwolić odbudować nadszarpniętą reputację koncernu, niektórzy widzą w nim także szansę na poprawę wyników w całej branży informatycznej. Częstą praktyką jest bowiem kupowanie systemu operacyjnego razem z nowym sprzętem. O znaczeniu wydarzenia niech świadczy fakt, że w Japonii i Zjednoczonym Królestwie będą miały miejsce specjalne wydarzenia związane z premierą, na których obecne będą osoby odpowiedzialne za stworzenie nowego systemu podaje CNET News. Oprócz tego Microsoft otwiera dzisiaj swój pierwszy sklep pod własną marką (w Scottsdale, w stanie Arizona) oraz kawiarnię w samym centrum Paryża. Microsoft ma też kolejny powód do zadowolenia. Brytyjski oddział sklepu Amazon, gdzie od pewnego czasu można było zamawiać kopie Windowsa 7, poinformował, że w ciągu zaledwie pierwszych 8 godzin przedsprzedaży zamówiono więcej egzemplarzy systemu niż w przypadku Visty w czasie całego okresu przed jej wprowadzaniem na rynek podaje TG Daily. Sprzedaż jest też znacznie lepsza niż w przypadku ostatniej powieści Harry'ego Pottera, co stawia 1/2010 HAKIN9 7

8 W SKRÓCIE Windowsa 7 w czołówce listy najlepiej sprzedających się produktów. Brian McBride z Amazon.co.uk powiedział, że sprzedaż systemu operacyjnego przeszła najśmielsze oczekiwania. W ciągu ostatnich trzech miesięcy jedynie najnowsza powieść Dana Browna Zaginiony Symbol sprzedawała się lepiej podaje z kolei Telegraph.co.uk. W sprzedaży dostępnych będzie sześć wersji systemu, jednak dla Microsoftu najważniejsze są Home Premium oraz Professional, jako najpopularniejsze. Firma przypomina, że przejście z Visty na Windowsa 7 nie powinno być trudne, gdyż system umożliwi automatyczne przeniesienie wszystkich programów oraz danych. SUKCES TRÓJMIEJSKIEJ POLICJI: ZATRZYMANIE INTERNETOWEGO PIRATA Z SOPOTU Policjanci zajmujący się zwalczaniem przestępczości gospodarczej Komendy Wojewódzkiej w Gdańsku wspólnie z funkcjonariuszami Komendy Miejskiej z Sopotu zatrzymali w miejscu zamieszkania 31-letniego mieszkańca Sopotu, administratora oraz twórcę płatnych serwisów internetowych, na których bezprawnie rozpowszechniał ponad 3 tysiące filmów o wartości około 240 tys. Jest to jedna z największych tego typu akcji w Polsce, kiedy zatrzymany zostaje sprawca rozpowszechniający filmy w takiej liczbie tytułów i na tak wielką skalę. W czasie przeszukania policjanci zabezpieczyli 2 komputery, 2 dyski twarde oraz 415 płyt CDR i DVDR zawierających nielegalnie skopiowane filmy oraz pirackie programy komputerowe. Wartość programów komputerowych wyceniona została wstępnie na 30 tys. zł. Zabezpieczono również 10 tys. zł pochodzące z działalności przestępczej. W ramach prowadzonej od kilku miesięcy działalności gospodarczej 31-letni mieszkaniec Sopotu za pośrednictwem założonych przez siebie płatnych serwisów internetowych poświęconych tematyce filmowej nielegalnie rozpowszechniał przeszło 3 tysiące filmów. Serwisy działały w ramach ponad dwustu domen (adresów) internetowych (!). Dostęp do zasobów multimedialnych na tych stronach odbywał się po wysłaniu płatnego smsa. W zależności od wartości wysłanego smsa internauta otrzymywał określony czas dostępu do filmów wybranych z udostępnionej przez sprawcę bazy. Za nielegalne rozpowszechnianie utworów grozi kara do 2 lat pozbawienia wolności. Jeżeli sprawca uczynił sobie z popełniania tego przestępstwa stałe źródło dochodu albo działalność przestępną sankcja wzrasta do lat 5. Natomiast za uzyskanie cudzego programu komputerowego bez zgody osoby uprawnionej w celu osiągnięcia korzyści majątkowej grozi kara pozbawienia wolności do lat 5. Mariusz Kaczmarek z Fundacji Ochrony Twórczości Audiowizualnej, organizacji współpracującej z organami ścigania i wymiaru sprawiedliwości w zwalczaniu piractwa filmowego nie kryje satysfakcji z działania policjantów z Trójmiasta: To jedna z największych tego rodzaju spraw. Przyjąć należy, że każdy z 3 tysięcy filmów był wielokrotnie nielegalnie odtwarzany, co ma znaczny wpływ na wysokość strat ponoszonych przez producentów. Sprawca działał sprytnie i na szeroką skalę, więc tym większe słowa uznania należą się policji. Takie same słowa uznania należy skierować pod adresem prokuratury sopockiej, która nie wyklucza objęcia postępowaniem klientów korzystających z nielegalnych serwisów. Bartłomiej Witucki, koordynator Business Software Alliance, organizacji zrzeszającej czołowych producentów oprogramowania i zajmującej się zwalczaniem piractwa komputerowego w Polsce i na świecie dodaje: Ta sprawa to jeszcze jeden dowód, że w Internecie nikt nie jest anonimowy i że każda nielegalna działalność w sieci pozostawia ślady pozwalające na identyfikację sprawcy. Źródło: ov.pl/serwisb.php?nr= HAKIN9 1/2010

9

10 NA CD ZAWARTOŚĆ CD Network Security Toolkit jest to unikalny w swoim rodzaju pakiet narzędzi przeznaczonych dla administratorów sieci i wszystkich, którzy w jakiś sposób muszą sieciami zarządzać. DYSTRYBUCJA: Network Security Toolkit (NST) PROGRAMY: DiskExplorer for Linux V3.41 Kerio MailServer na Windows Runtime GetDataBack Runtime GetDataBack for NTFS NETWORK SECURITY TOOLKIT Network Security Toolkit w wersji można już pobrać z curitytoolkit.org/. Bazą pakietu jest FEDORA, a całość zaprojektowano w taki sposób by zapewnić łatwy i szybki dostęp do najlepszych narzędzi w klasie Open Source Network Security Applications. Pakiet jest botowalnym dyskiem ISO działającym na większości platform x86/x86_64. Większość dostępnych w nim narzędzi znajduję się na liście TOP 100 Security Tools opublikowanej przez INSECURE.ORG. Narzędzie to zmienia dowolny system x86/x86_64 na analizator ruchu w sieci, wykrywacz włamań, generator pakietów i monitor sieci bezprzewodowej. Uruchomienie dystrybucji trwa mniej niż minutę i możliwe jest na dowolnym komputerze stacjonarnym czy też notebooku bez naruszania zainstalowanego na nim systemu operacyjnego. Dystrybucja ta jest również doskonałym narzędziem do odzyskiwania danych lub naprawy systemu, który uległ awarii. Przedstawiona wersja oparta została o Fedora 11 z wykorzystaniem Linux Kernel: fc11. Całość w stosunku do poprzedniej wersji została przeprojektowana i na chwilę obecną wszelkie aplikacje znajdują się w pakietach RPM, co powoduję, iż w prosty sposób możliwa staje się aktualizacja programów przez Internet. NST Live umożliwia odczyt i zapis plików dzięki czemu możliwe jest instalowanie aplikacji pomimo tego, iż uruchomienie nastąpiło z napędu optycznego. Istnieje również możliwość przygotowania bot owalnego systemu uruchamianego z zewnętrznego dysku USB. Ponad to system posiada narzędzia przechwytujące driftnet i tcpxtract. Pierwsze służy do przechwytywania plików graficznych (gif, JPG itd.), drugie natomiast potrafi przechwycić pliki PDF, DOC. Pozostałe aplikacje znane z poprzednich wydań zaktualizowane zostały do najnowszych wersji. Podsumowując dystrybucja Network Security Toolkit stanowi niejako podręczne narzędzie dla każdego kto ma do czynienia z sieciami komputerowymi. Szybkie uruchomienie i dostęp do najpotrzebniejszych wysoko ocenianych narzędzi i aplikacji dotyczących sieci sprawia, iż dystrybucja ta staję się bardzo poręczną i w gruncie rzeczy niezbędną pozycją w wyposażeniu każdego administratora sieci. Po uruchomieniu systemu z płyty CD należy zalogować się do konsoli używająćc loginu: root oraz hasła: nst2003 następnie należy wydać polecenie nstliveinst które uruchomi proces instalacji na dysku twardym komputera. Po zakończonym procesie instalacji należy zrestartować komputer i uruchomić system z dysku twardego. Zalogować się używając użytkownika root oraz hasła nst2003. Po zalogowaniu polecenie yum install nst-live zaktualizuje system poprzez sieć do pełnej wersji Network Security Toolkit. Po przeprowadzeniu procesu instalacji należy wykonać polecenie nstpostinstall które skonfiguruje system. DISKEXPLORER FOR LINUX V3.41 Windows edytor dysku do systemu plików NTFS Ten zaawansowany edytor dysku pozwala badać swoje NTFS i wykonywać odzyskiwanie danych, za pomocą następujących funkcji: przejście NTFS skacząc w tabeli partycji, boot record, Master File Table lub w katalogu głównym, wybierz między widokami, takich jak hex, tekst, przydział indeksu, MFT, boot record, tablica partycji, sprawdź szczegóły wpisu pliku, NT atrybuty itp., szukaj dysku tekstu, tabel partycji, rekordy rozruchu, MFT wpisy, bufory indeks, widok plików, zapisywanie plików lub całych katalogów z dowolnego miejsca na dysku, identyfikacja plików, tworzenie wirtualnego dźwięku podczas boot record, które zostaną utracone lub uszkodzone, edycja dysku za pomocą bezpośredniego odczytu i zapisu w trybie (nie zalecane) lub wirtualny tryb zapisu. 10 HAKIN9 1/2010

11 NETWORK SECURITY TOOLKIT KERIO MAILSERVER NA WINDOWS Kerio MailServer jest nowoczesnym, bezpiecznym serwerem poczty e- mail z mozliwością pracy grupowej, niezwykle wygodnym w małych i średnich przedsiębiorstwach, który zapewnia także wysoką dostępność usług pocztowych jaką powinni zapewnić ich dostawcy. Od wersji 6.6 konsola produktu jest dostępna także w języku polskim. Administrator może zainstalować i skonfigurować serwer pocztowy w kilka minut. Instalacja nie wymaga systemów operacyjnych z linii Windows Server co znacznie obniża koszty całego rozwiązania. Administrator posiada konsolę administracyjną, dzięki której można centralnie zarządzać serwerem pocztowym i innymi produktami firmy Kerio Technologies. Zdalna administracja odbywa się poprzez połączenie szyfrowane. Kerio MailServer jest bezpiecznym serwerem poczty potrafiącym obsłużyć wiele domen, dostarczającym takich usług jak wysyłanie i dostarczanie i z wykorzystaniem protokołów IMAP, POP i SMTP szyfrowanych SSL. W obu naszych produktach: Kerio MialServer ze zintegrowanym McAfee oraz Kerio MailServer ze wsparciem dla zewnętrznych programów antywirusowych (Avast, AVG, NOD32, Sophos, Symantec, CalmAv) zastosowaliśmy wyjątkową globalną ochronę antywirusową. Kerio MailServer jest serwerem owym zwalczającym spam za pomocą autoryzacji SMTP, wykorzystania bazy danych spamerów, wydajnego filtrowania zawartości i dynamicznych ograniczeń obciążenia serwera SMTP. Wygodny interfejs WebMail zapewnia bezpieczny dostęp do skrzynki pocztowej przy użyciu przeglądarki internetowej. Użytkownicy posiadający telefon komórkowy mają dostęp do swojej skrzynki dzięki usłudze WAP. Kerio MailServer jest elastycznym serverem poczty, który może obsługować od 10 kont i również świadczyć usługi ISP dla wielu tysięcy kont. RUNTIME GETDATABACK Zaawansowane narzędzie do odzyskiwania, danych na skutek formatowania, ataku wirusa, awarii urządzenia lub oprogramowania. GetDataBack potrafi odzyskać dane, nawet jeżeli została utracona lub uszkodzona tabela partycji dysku twardego, FAT/MFT. GetDataBack odzyska dane nawet jeżeli dysk nie jest rozpoznawany przez Windows. Alikacja jest bardzo bezpieczna gdyż przeznaczona tylko do odczytu, oznacza to że nie będzie ona próbować zapisać jakąkolwiek informacje na dysk. Program GetDataBack ma bardzo intuicyjny interfejs i działa błyskawicznie. Przy pomocy GetDataBack można odzyskać dane zarówno jak na tym komputerze na którym jest zainstalowana aplikacja tak i na dowolnym innym znajdującym się w sieci lokalnej. Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie, sprawdź ją na co najmniej dwóch napędach CD. W razie problemów z płytą, proszę napisać pod adres: cd@software.com.pl 1/2010 HAKIN9 11

12 NARZĘDZIA mks_vir 9.0 wersja DOM PLUS recenzja Producent MKS Sp. z o.o. Typ Antywirus Strona producenta Recenzent Arkadiusz Krawczyński OCENA ««««Firma MKS oddała do dyspozycji użytkowników wersję swojego sztandarowego produktu opatrzoną numerem 9. Dla użytkowników domowych występuje ona w dwóch wersjach: DOM oraz DOM PLUS. Bogatsza opcja jest rozbudowana o moduł antyspamowy oraz zaporę sieciową. Programy antywirusowe przerodziły się w kombajny monitorujące nie tylko dysk, ale też pocztę, odwiedzane strony internetowe, uruchomione procesy itd. Takim właśnie kompleksowym rozwiązaniem jest pakiet mks_vir 9.0 DOM PLUS. Wersja podstawowa (DOM) zalecana jest dla osób, które mają już chronioną sieć, na przykład przez ISP lub firewall innego producenta. W trakcie instalacji wystarczy tylko podać folder docelowy oraz klucz licencji (lub wybrać wersję demo). Program można zainstalować w dwóch wersjach językowych: polskiej lub angielskiej. Ustawienia języka można również bez problemu zmienić już po zainstalowaniu aplikacji. Nie ma możliwości wyboru instalowanych składników pakietu, wszystkie są instalowane domyślnie. Może być to irytujące dla bardziej zaawansowanych użytkowników, którzy nie używają niektórych modułów i chcieliby mieć możliwość całkowitego ich usunięcia. Niestety producent nie udostępnił zaawansowanego trybu instalacji. Program instalacyjny nie zadaje też żadnych pytań o konfigurację narzędzi, dzięki temu nie wprawia w zakłopotanie osób początkujących. Po zakończeniu instalacji, wymagany jest restart systemu (w celu aktywacji firewalla). Program jest gotowy do działania od razu po uruchomieniu. Oczywiście zastosowana jest domyślna konfiguracja. Jest to znów ukłon w stronę mniej doświadczonych użytkowników. Konfiguracja domyślna została tak przemyślana, aby nie utrudniała korzystania z komputera, a jednocześnie zapewniała przyzwoity poziom bezpieczeństwa. Główne okno programu zawiera zaledwie kilka przycisków umożliwiających włączenie lub wyłączenie poszczególnych modułów oraz dostęp do ustawień. Dzięki tak minimalistycznemu interfejsowi obsługa jest bardzo prosta i intuicyjna, nawet dla osób początkujących. Użytkownicy chcący mieć dostęp do większej ilości ustawień i modułów, mogą przełączyć widok na bardziej szczegółowy. Zmiana wymaga ponownego uruchomienia aplikacji, ale trwa to tylko chwilę. Umożliwia to dostęp do pełnych możliwości konfiguracyjnych programu. To bardzo dobre połączenie potrzeb i wymagań zarówno początkujących, jak i zaawansowanych klientów. Funkcjonalność produktu mks_vir 9.0 nie odbiega od produktów konkurencji. Dostarcza zarówno podstawowych usług, takich jak: skaner i monitor antywirusowy, firewall, kwarantanna czy ochrona poczty, jak i dodatkowych możliwości, na przykład: monitor procesów i monitor rejestru. Osoby, które miały do czynienia z wcześniejszymi propozycjami firmy MKS (mks_vir 2k7), zauważą zapewne znaczne udoskonalenie modułu firewalla. W poprzednich wersjach nie zachwycał on możliwościami konfiguracyjnymi. Zostało to poprawione w najnowszym wydaniu. Dla początkujących osób przydatny będzie tryb uczenia zapory, bardziej zaawansowani użytkownicy mogą natomiast zarządzać ruchem sieciowym za pomocą zdefiniowanych przez siebie reguł. Daje to możliwość dokładnego określenia akceptowanych i odrzucanych połączeń, co znacząco wpływa na podniesienie bezpieczeństwa. Podsumowując, pakiet mks_vir 9.0 DOM PLUS jest bardzo dobrym rozwiązaniem dla użytkowników domowych. Wśród osób decydujących się na to rozwiązanie, zdecydowana większość nie dysponuje wiedzą potrzebną do samodzielnej konfiguracji i dostosowania takich narzędzi jak firewall czy skaner antywirusowy. Dlatego program jest maksymalnie uproszczony i jego uruchomienie nie wymaga dużej wiedzy informatycznej. Jednocześnie daje on szerokie możliwości konfiguracji bardziej zaawansowanym użytkownikom. 12 HAKIN9 1/2010

13

14 POCZĄTKI ARTUR SKROUBA Odzyskiwanie danych z twardego dysku Stopień trudności W dobie masowego rozwoju techniki cyfrowej podstawowym narzędziem codziennej pracy bądź rozrywki staje się komputer osobisty (PC). Niestety, korzystanie z cyfrowych dobrodziejstw wiąże się z pewnym ryzykiem, dotyczącym potencjalnego wystąpienia awarii, która w skuteczny sposób może sparaliżować nasz codzienny dzień. Z ARTYKUŁU DOWIESZ SIĘ jak powinna wyglądać pierwsza pomoc po utracie dostępu do danych, jakie są najczęstsze przyczyny awarii, skutkujące utratą dostępu do danych, jak ustalić źródło problemu, jak przeprowadzić wstępną analizę dysku, czego nam nie wolno robić po utracie dostępu do danych, co zrobić na przyszłość, aby ponownie nie utracić dostępu do danych. CO POWINIENEŚ WIEDZIEĆ znać ogólne pojęcia z zakresu budowy komputera, znać podstawy obsługi systemu operacyjnego, w którym pracujesz, mieć ogólne pojęcie o systemie plików, na którym pracuje twój system operacyjny. W każdym przypadku utraty dostępu do danych pierwszą i podstawową kwestią, którą musimy ustalić jest przyczyna wystąpienia takiego stanu rzeczy. Ustalenie źródła problemu ma kluczowe znaczenie dla samego procesu odzyskiwania danych. Prawidłowa odpowiedź na to pytanie pozwoli nam na podjęcie prawidłowych działań, w konsekwencji których możemy odzyskać dostęp do danych bez niepotrzebnego ryzyka ich bezpowrotnej utraty. Dlatego pamiętajmy; zanim podejmiemy jakiekolwiek działania, musimy wiedzieć co mamy robić. Działania na oślep, często w panice, na ogół pogarszają sytuację lub wręcz definitywnie uniemożliwiają odzyskanie danych. Okoliczności awarii analiza Ustalenie źródła problemu w znakomitej większości sytuacji nie powinno stwarzać większego problemu. Tak naprawdę występują dwa główne rodzaje awarii, jeżeli chodzi o ich naturę: uszkodzenia logiczne, uszkodzenia fizyczne. Każde z nich możemy podzielić jeszcze na pewne podtypy, które posiadają pewną odmienną charakterystykę przyczynowoskutkową. I tak uszkodzenia logiczne dzielą się na: uszkodzenie systemu operacyjnego, uszkodzenie systemu plików, uszkodzenie logiczne powstałe wskutek błędu użytkownika. Natomiast w ramach uszkodzeń fizycznych samego nośnika możemy wyróżnić: uszkodzenie mechaniczne (dekalibracja mechaniczna, dekalibracja termiczna, uszkodzenie łożyska silnika, wybicie stojana silnika), uszkodzenie elektroniczne (uszkodzenie modułu elektroniki zewnętrznej, uszkodzenie głowicowego przedwzmacniacza sygnału), uszkodzenie logiczne lub mechaniczne struktury serwisowej dysku (Service Area). Oczywiście wszystkie wymienione wyżej rodzaje uszkodzeń mogą występować samodzielnie lub jednocześnie; często występuje implikacja przyczynowo-skutkowa. I tak, np. dekalibracja mechaniczna (np. dysk został uderzony) wpływa na uszkodzenia fizyczne części powierzchni roboczej dysku, przez co uszkodzony zostaje system plików (minimalne odkształcenia końcówek głowic mogą powodować rysowanie platerów dysku w obszarze konfiguracyjnym systemu plików). W ramach identyfikacji niezbędnym jest przeanalizowanie wszystkich objawów 14 HAKIN9 1/2010

15 PIERWSZA POMOC i okoliczności mogących mieć wpływ na wystąpienie awarii. Jest to najlepsza wskazówka, dająca często bezpośrednią wiedzę co do genezy wystąpienia problemu utraty dostępu do danych. Poniżej krótki opis objawów i okoliczności, które charakteryzują w sposób bezpośredni rodzaj usterki: Działania wirusów, niedozwolone operacje na strukturach lub plikach systemu operacyjnego, błędne działanie lub niewłaściwe posługiwanie się narzędziami dyskowymi, pojawienie się błędnych sektorów na powierzchni dysku, błędna konfiguracja sprzętowa systemu operacyjnego, nagłe lub nieprawidłowe zamknięcie systemu operacyjnego, itp. wszystkie tego typu czynności mogą wpłynąć na powstanie uszkodzeń systemu operacyjnego lub systemu plików. Przypadkowe lub błędne usunięcie danych tu sytuacja jest jasna. Wszelkiego rodzaju anomalie napięciowe, mogące wystąpić, czyli: nagłe braki w dostawie prądu, przepięcia, zwarcia czy też wysadzenia lokalnej instalacji elektrycznej (bezpieczniki) skutkują najczęściej uszkodzeniem elektroniki komputera, a co za tym idzie elektroniki samego dysku. W tym miejscu należy zaznaczyć, że z tego punktu widzenia najbardziej krytycznym elementem w systemie jest zasilacz. Dobry zasilacz nie dopuści do uszkodzenia wewnętrznych komponentów komputera w najgorszym razie sam ulegnie zniszczeniu, chroniąc jednocześnie pozostałe elementy. Słaby jakościowo zasilacz jest odpowiedzialny za ponad 90% przypadków awarii elektroniki twardych dysków. Uderzenia i upadki całych komputerów lub przenoszonych dysków nawet niewinne, drobne puknięcia lub uderzenia mogą spowodować trwałe i poważne uszkodzenie mechaniczne twardego dysku (szczególnie podczas pracy nośnika). Dzieje się tak, ponieważ prawie wszystkie dzisiejsze dyski twarde (oprócz SSD) są urządzeniami złożonymi m.in. z wysoce precyzyjnej mechaniki, która jest bardzo wrażliwa na fizyczne działania zewnętrzne. Dochodzi wtedy do dekalibracji mechanicznej twardego dysku (zmiana geometrii końcówek pozycjonera z głowicami), nieprawidłowego zatrzymania głowic na platerach lub wybicia stojana silnika. Przegrzanie twardego dysku jeżeli twardy dysk, który pracuje przez dłuższy czas jest narażony na przegrzanie się (praca laptopa na miękkim kocu lub pościeli, umiejscowienie komputera przy kaloryferze, itp.) to dochodzi do mikroodkształceń termicznych na końcówkach głowic. Skutek identyczny, jak w przypadku dekalibracji mechanicznej. Pozostała najczęściej spotykana usterka, tj. uszkodzenie strefy serwisowej dysku może mieć zgoła różne przyczyny w warunkach amatorskich można ją zdiagnozować jedynie po objawach ale o tym później. Objawy wstępne zalecenia diagnostyczne Potwierdzeniem okoliczności powinny być objawy. Poniżej kilka uwag odnośnie ich występowania i charakterystyki. Ze względu na złożoność występujących objawów przeprowadzimy analizę pod kątem uszkodzeń. Na początek coś miłego po podłączeniu zasilania do dysku następuje natychmiastowe automatyczne wyłączenie komputera innymi słowy komputer się nie włącza z podpiętym do gniazda zasilania twardym dyskiem. W tym przypadku mamy do czynienia z dość prostym przypadkiem, polegającym na wymianie elementu zabezpieczającego twardy dysk. Istnieje możliwość samodzielnej naprawy dysku. Na ogół jest to wymiana bardzo szybkiej diody zabezpieczającej Transil (nazwa wprowadzona przez nomenklaturę STMicroelectonics), która jest podpięta w kierunku zaporowym. Pełni ona rolę bezpiecznika w momencie nieprawidłowej polaryzacji zasilania lub zwarcia zostaje ona przebita (przewodzi w obydwu kierunkach), co powoduje zwarcie i uruchamia blokadę zasilania w zasilaczu komputera. Po podłączeniu zasilania dysk jest całkowicie martwy, brak detekcji w biosie, nie wydaje jakichkolwiek dźwięków w prawie 100% przypadków mamy do czynienia z uszkodzeniem modułu elektroniki zewnętrznej. Tego typu uszkodzeniom często towarzyszy swąd spalenizny wydobywający się z dysku lub widoczne nadpalenia układów na elektronice dysku. Wymagana naprawa lub rekonstrukcja modułu elektroniki zewnętrznej. Możliwość wystąpienia uszkodzenia elektroniki wewnętrznej. Po podłączeniu zasilania dysk nie rozkręca się, brak detekcji w biosie, jednakże słychać mniej lub bardziej głośne próby startu samego silnika (takie cichutkie bzyt, bzyt, bzyt). Przy takich objawach możliwe uszkodzenia to: wybicie stojana, uszkodzenie łożyska lub zatrzymanie głowic na platerach dysku. Przy tego typu objawach stanowczo odradzamy samodzielne próby dotarcia do danych. Wymagana jest interwencja specjalisty w warunkach laboratoryjnych. Niektóre modele WD lub MAXTOR posiadają wbudowane multiwibratory generujące sygnały dźwiękowe typu trelemolo, które są uaktywniane w momencie blokady silnika. Po podłączeniu zasilania dysk zaczyna się rozkręcać, jednak nie jest widoczny w biosie i wydaje nienaturalne odgłosy (najczęściej jest to cykliczne stukanie). W tego typu przypadkach najczęściej mamy do czynienia z uszkodzeniem mechanicznym (dekalibracja) lub uszkodzeniem 1/2010 HAKIN9 15

16 POCZATKI elektroniki wewnętrznej, bądź samych głowic. Podobnie jak w przypadku powyżej przy tego typu objawach stanowczo odradzamy samodzielne próby dotarcia do danych. Wymagana jest interwencja specjalisty w warunkach laboratoryjnych. Mało tego w takim przypadku samodzielne, uporczywe próby odczytania danych z dysku mogą zaowocować nieodwracalnym uszkodzeniem powierzchni roboczej nośnika. Po podłączeniu zasilania dysk zaczyna się rozkręcać, jest prawidłowo rozpoznawany w biosie, jest widziany przez system w sposób fizyczny (jako dysk), natomiast nie jest (najczęściej) widziany jako dysk logiczny przy próbie odczytu danych przez jakąkolwiek aplikację narzędziową dysk zaczyna wydawać nienaturalne dźwięki (stukania). W tego typu przypadku mamy najprawdopodobniej do czynienia z uszkodzoną głowicą. W celu potwierdzenia diagnozy niezbędna jest analiza skanu powierzchni dysku, aby wykluczyć lub potwierdzić uszkodzenie jednej z głowic. Kolejny przypadek to sytuacja identyczna do poprzedniej jednakże z wykluczeniem uszkodzenia jednej z głowic. Po podłączeniu zasilania dysk zaczyna się rozkręcać, jest prawidłowo rozpoznawany w biosie, jest widziany przez system w sposób fizyczny (jako urządzenie) i najczęściej jest widziany jako dysk logiczny przy próbie odczytu danych przez jakąkolwiek aplikację narzędziową dysk zaczyna wydawać nienaturalne dźwięki (stukania). W tego typu sytuacji doszło do powstania wielu uszkodzeń na powierzchni roboczej nośnika (Bad Sektory). Potwierdzenie skanem powierzchni dysku. Następny objaw: po podłączeniu zasilania dysk zaczyna się rozkręcać, jest prawidłowo rozpoznawany w biosie, jest widziany przez system w sposób fizyczny i logiczny (jako dysk), nie wydaje nienaturalnych dźwięków jednakże nie ma możliwości wejścia na dysk logiczny (komunikat o niesformatowanym dysku lub partycja nieznana). Objaw świadczący o uszkodzonym logicznie systemie plików lub powstaniu niewielkiej ilości złych sektorów w obszarze konfiguracyjnym systemu plików. Potwierdzenie skanem powierzchni dysku. Po podłączeniu zasilania dysk zaczyna się rozkręcać, jest rozpoznawalny w biosie, wstępny brak objawów nieprawidłowej pracy; dysk widoczny jako wolumin logiczny, możliwość podejrzenia zawartości partycji, przy próbie kopiowania danych występują błędy odczytu. Objawy te świadczącą o powstaniu relatywnie niewielkiej ilości błędnych sektorów. Dane można skopiować za pomocą stosownych aplikacji narzędziowych typu Data Recovery. Odrębnym problemem jest wystąpienie uszkodzeń w obszarze serwisowym dysku (ang. Service Area, potocznie SA). Jest to wydzielony obszar na platerach (talerzach) dysku, niedostępny dla przeciętnego użytkownika (SA mieści się na logicznie ujemnych cylindrach), w którym znajdują się wszystkie dane niezbędne dla prawidłowej pracy nośnika. Znajdują się tam takie informacje jak: translator logiczny, adaptywy, informacje na temat wielkości dysku, nazwa dysku, jego numer seryjny, hasło ATA, itp. Po podłączeniu zasilania główny procesor dysku zaczyna wykonywać procedury zawarte w swoim biosie. Większość z nich zawiera komendy odczytu wyżej wspomnianych danych mieszczących się w strefie serwisowej. Jeżeli wszystko jest w porządku, dysk zgłasza gotowość do pracy. Jeżeli nie No i tu zaczyna się problem Wachlarz objawów uszkodzonego SA jest bardzo szeroki. Najczęstszymi objawami uszkodzenia SA jest błędna detekcja napędu w biosie komputera (nieprawidłowa lub niepełna nazwa dysku, nieprawidłowa pojemność, niewłaściwy numer seryjny), brak statusu ready nośnika, przy próbie skanu powierzchni nośnika wszystkie sektory są błędne, itp. Niestety w prawie wszystkich przypadkach uszkodzenia SA aby dostać się do danych wymagana jest spora wiedza na temat budowy i struktury SA w poszczególnych modelach oraz odpowiednie zaplecze techniczne i narzędziowe. Dlatego przy wystąpieniu objawów świadczących o uszkodzeniu SA stanowczo odradzamy podejmowanie jakichkolwiek samodzielnych prób. Wszystkie powyższe objawy mają charakter czysto orientacyjny po przeprowadzeniu analizy przyczynowoskutkowej możemy na ich podstawie z dużą dozą dokładności (w praktyce jest to ok % przypadków) określić źródło problemu i występujący rodzaj uszkodzenia. Jak przeprowadzić wstępną diagnozę dysku W sytuacji braku komunikacji z dyskiem (uszkodzenia mechaniczne, elektroniczne, uszkodzenie SA) czyli w przypadkach, gdy nie mamy prawidłowej komunikacji z dyskiem (np. brak detekcji dysku w biosie) jedyną diagnozę, którą możemy postawić musimy przeprowadzić w oparciu o dane przyczynowo-skutkowe opisane powyżej. Niestety w większości tego typu przypadków, aby odzyskać dane będziemy zmuszeni do skorzystania z pomocy firm, które zajmują się w sposób profesjonalny odzyskiwaniem danych. Natomiast w momencie, gdy komunikacja z dyskiem występuje, możemy pokusić się o przeprowadzenie wstępnej analizy dysku we własnym zakresie, w wyniku której możliwe będzie samodzielne odzyskanie danych bez potrzeby korzystania z pomocy osób trzecich. Pierwszą czynnością, którą powinniśmy wykonać jest przygotowanie stanowiska pracy. Oto co potrzebujemy: 16 HAKIN9 1/2010

17 PIERWSZA POMOC Komputer klasy PC z płytą główną wyprodukowaną od 2004 r. wzwyż (obsługa LBA 48). Zainstalowany system operacyjny typu Windows (najlepiej XP z ServicePack min.1). Zainstalowany napęd CD oraz FDD. Do diagnostyki używamy komputera klasy PC z systemem Windows ze względu na największy występujący wybór aplikacji narzędziowych. Jeżeli mamy prawidłową komunikację z dyskiem, pierwszą czynnością, którą powinniśmy zrobić jest przeskanowanie powierzchni roboczej dysku. Wyjątkiem jest sytuacja, gdy sam dysk jest sprawny, natomiast chcemy odzyskać utracone dane, które zostały wykasowane. W tym przypadku możemy przystąpić bezpośrednio do odzyskiwania danych. Sprawdzenie powierzchni dysku najlepiej przeprowadzić dyskowymi programami narzędziowymi, działającymi w środowisku DOS, typu Data LifeGuard Diagnostics czy SeaTools. Godnymi polecenia są też komercyjne lub autorskie narzędzia dyskowe jak ByteBack czy MHDD. W każdym razie powinna to być aplikacja dosowa, obsługująca bezpośrednio INT 13 oraz mająca dostęp do dysku przez bios płyty. Skanowanie przeprowadzamy po uruchomieniu programu z bootowalnej dyskietki FDD lub płyty CD. W celu zwiększenia bezpieczeństwa należy odłączyć wszystkie dyski oprócz HDD problemowego. UWAGA! Przed przystąpieniem do skanowania w środowisku DOS należy upewnić się, że nasz źródłowy dysk pracuje w trybie read only w przeciwnym razie może dojść do sytuacji przypadkowego nadpisania danych! Wyniki skanowania możemy sklasyfikować następująco: Brak błędów na dysku najprawdopodobniej mamy do czynienia z logicznym problemem utraty dostępu do danych (tak jak usunięcie danych). W celu odzyskania danych zaleca się wykonanie kopii binarnej nośnika i przystąpienia do czynności odzyskania danych (z tejże kopii). Pojawiające się pojedyncze błędy na dysku w wyniku ich pojawienia się na dysku nastąpiła utrata dostępu do danych. W celu odzyskania danych zaleca się wykonanie kopii binarnej nośnika i przystąpienia do czynności odzyskania danych (z tejże kopii). Duża ilość błędów na dysku należy stwierdzić, czy błędy pojawiają się w sposób uporządkowany. Np. pojawianie się błędów periodycznie (błędy występują non stop w większych grupach) w uporządkowanych odstępach może świadczyć o uszkodzeniu jednej z głowic. W takim przypadku odzyskanie danych w praktyce jest możliwe tylko w warunkach laboratoryjnych. Pojawienie się wielu błędów, występujących w sposób chaotyczny (nieuporządkowany), świadczy o uszkodzeniu fizycznym wielu sektorów. Jeżeli jest to możliwe zaleca się wykonanie kopii binarnej tych obszarów, które są pozbawione błędów w następnej kolejności próbujemy skopiować obszary uszkodzone (na inny sprawny dysk). W przypadku wystąpienia bardzo dużej ilości błędów, zaleca się bezpośrednie użycie programu odzyskującego dane, bazującego na wstępnym skanowaniu tablicy alokacji (bez skanowania całego nośnika). UWAGA!!! W tym przypadku długotrwałe, bądź wielokrotne próby odzyskania danych, mogą w sposób fizyczny nieodwracalnie zniszczyć powierzchnię nośnika. Dlatego w przypadku wystąpienia potrzeby odzyskania ważnych danych (z punktu widzenia użytkownika), zaleca się przekazanie dysku do wyspecjalizowanej firmy. Na koniec opisujemy przypadek związany z uszkodzoną strefą serwisową przy prawidłowej detekcji najczęstszym objawem jest pojawienie się nieczytelnych sektorów praktycznie na całym obszarze dysku. Przy próbie odczytu jakichkolwiek sektorów (z początku, środka i końca dysku kilkanaście prób pod różnymi adresami) otrzymujemy same błędy. W tej sytuacji mamy dwie możliwości: albo dysk jest chroniony hasłem albo posiada uszkodzony translator. Jeżeli nie znamy hasła (w przypadku jego uaktywnienia) lub uszkodzona jest część strefy serwisowej wymagana jest interwencja specjalisty. Po wykonaniu kopii binarnej uszkodzonego dysku możemy przejść do ostatniego procesu odzyskiwania danych. Polega on na zeskanowaniu programem typu Data Recovery wykonanej przez nas kopii i zapisaniu odzyskanych danych na inny nośnik. Nie będziemy podawać konkretnych nazw aplikacji typu Recovery ze względu na to, że każdy z nich posiada swoją specyfikę, która w jednych sytuacjach jest skuteczna, a w innych nie. Dlatego należy zacząć po kolei od bezpłatnych aplikacji, poprzez komercyjne, na profesjonalnych kończąc. Większość aplikacji płatnych umożliwia próbne zeskanowanie dysku, tak aby użytkownik mógł się zorientować, czy dane są do odzyskania. Czego nie wolno robić po utracie dostępu do danych Istnieje pewien żelazny dekalog ograniczający margines działania, związany z czynnościami mającymi na celu odzyskiwanie danych. Podstawową zasadą jest niewpadanie w panikę oraz przeprowadzenie rzetelnej analizy sytuacji. Działania na oślep, bez zastanowienia oraz brak podstawowej wiedzy na temat procedur dotyczących postępowania w tego typu sytuacjach, skutkuje na ogół całkowitym zniszczeniem utraconych danych oraz późniejszym brakiem możliwości ich odzyskania, nawet przez profesjonalne firmy. Do najczęstszych błędów należą: 1/2010 HAKIN9 17

18 POCZATKI otwieranie twardego dysku w warunkach pozalaboratoryjnych (wymagana odpowiednia klasa czystości), wykonywanie jakichkolwiek czynności wewnątrz dysku, dokonywanie jakichkolwiek napraw w elektronice dysku (bez gruntownej wiedzy), zapisywanie jakichkolwiek informacji na dysku, z którego chcemy odzyskać dane, samodzielne próby naprawy dysku poprzez różnego rodzaju programy narzędziowe, przekazywanie dysku (w celu odzyskania danych) osobom lub firmom nieposiadającym stosownych kwalifikacji. W Polsce liczba osób, które dysponują mniejszą lub większą wiedzą informatyczną może oscylować w okolicach kilku milionów. Jednak usługi odzyskiwania danych są tak dalece wyspecjalizowane i momentami tak skomplikowane, że w tej masie tylko kilkanaście do kilkudziesięciu osób dysponuje stosowną wiedzą i warsztatem, pozwalającym odzyskać dane we wszystkich przypadkach, gdzie fizycznie jest to możliwe. Dlatego należy bardzo starannie dokonywać wyboru firmy bądź osoby, której chcemy powierzyć dysk w celu odzyskania danych. W tym miejscu należy zaznaczyć, że na rynku można spotkać coraz więcej firm lub osób reklamujących się jako jednostki wyspecjalizowane w odzyskiwaniu danych. Spowodowane to jest wizją szybkiego zarobienia łatwych i często sporych pieniędzy. Niestety bardzo niewiele z nich posiada gruntowną wiedzę oraz warsztat pozwalający na odzyskanie danych w przypadkach, gdzie faktycznie jest to możliwe. I tak, np. najwyższy, światowy poziom skuteczności odzyskiwania danych oscyluje pomiędzy 70% a 80% na 100 zgłoszonych przypadków. Jest to spowodowane tym, iż sytuacje takie jak nadpisanie utraconych danych, bądź fizyczne uszkodzenie powierzchni roboczej nośnika, nie należą do wyjątków. Niestety, coraz częściej możemy zauważyć reklamy, które delikatnie mówiąc, mijają się z prawdą. Coraz więcej firm ogłasza się jako ta najlepsza, przelicytowując się: 90%, 95% czy nawet 99% skuteczności w odzyskiwaniu danych. Mało tego, na rynku pojawiają się reklamy sugerujące 100% skuteczność czy też mówiące o gwarancji na odzyskiwanie danych. Jest to oczywistą nieprawdą i świadomym wprowadzaniem w błąd klienta. Nie ma na świecie firmy potrafiącej odzyskiwać dane z każdego przypadku ich utraty (nawet po uprzednim zrobieniu kopii strefy serwisowej). Kolejną pułapką jest masowe funkcjonowanie tzw. bezpłatnej analizy warunkowej. Polega to na tym, że coraz więcej firm oferuje bezpłatną analizę nośnika pod warunkiem, że po jej przeprowadzeniu klient skorzysta w danej firmie z usługi odzyskania danych. W przypadku rezygnacji, klient musi pokryć koszty przeprowadzonej analizy często jest to kilkaset złotych. I nie byłoby w tym nic złego, gdyby nie fakt, że taka praktyka przyczyniła się do powstania pewnej patologii, a mianowicie; coraz więcej firm decyduje się po wykonaniu analizy na stosowanie cen zaporowych (szczególnie w przypadkach, w których nie jest w stanie odzyskać dane) tylko po to, aby klient zrezygnował i zapłacił za rezygnację czyli za odbiór własnego dysku. Przy takich praktykach teoretyczna skuteczność faktycznie może osiągnąć 100% i jeszcze gwarantuje przypływ gotówki w każdym możliwym przypadku. Prowadząc taką firmę, równie dobrze można nic nie robić tylko wystawiać faktury. Dlatego pamiętajmy przed wyborem firmy odzyskującej dane powinniśmy gruntownie przeanalizować jej rzetelność. Także przed oddaniem (lub wysłaniem) dysku należy zapoznać się z warunkami, które będziemy musieli pisemnie zaakceptować (czytajmy regulaminy, zamówienia, itp.). W trakcie rozmowy wstępnej sprawdźmy, czy bezpłatna analiza jest faktycznie bezwarunkowa oraz domagajmy się podania widełek cenowych (chodzi o cenę maksymalną) za konkretny rodzaj potencjalnego uszkodzenia, tak aby uniknąć przykrych niespodzianek. Podsumowanie Ktoś kiedyś powiedział, że użytkownicy komputerów dzielą się na tych, którzy robią kopie swoich danych oraz na tych którzy będą robić kopie I w tym jednym zdaniu możemy chyba upatrywać puentę problemu pt. jak zabezpieczyć się przed utratą danych w przyszłości. Kopie, kopie, i jeszcze raz kopie. Nie ma niezawodnych systemów, każdy dysk, każdy serwer, każda macierz może ulec awarii. Są dwa warunki skutecznego robienia kopii danych: Kopie danych muszą być wykonywane regularnie (bez wyjątku). W praktyce przyjmuje się, że trzy źródła danych całkowicie zabezpieczają nas przed ich utratą. Należy pamiętać, że muszą to być trzy, niezależne od siebie w sposób fizyczny lokalizacje zawierające cenne dane. I tak np. pierwsza kopia (a raczej oryginał) może być na dysku lub nośniku źródłowym (czyli na tym, na którym pracujemy). Pozostałe dwie kopie muszą być na innych nośnikach, takich jak dysk zewnętrzny, pendrive, bądź płyta CD/DVD. Przestrzegając tych dwóch warunków możemy być pewni, że w wypadku awarii nie utracimy cennych danych. Sukcesywne wykonywanie kopii i dywersyfikacja nośników, zawierających nasze cenne dane, nam to gwarantuje. Artur Skrouba Autor studiował na wydziale Fizyki i Astronomii Uniwersytetu Warszawskiego; jest także absolwentem Szkoły Głównej Handlowej w Warszawie na kierunku Finanse i Bankowość. Na co dzień zajmuje się profesjonalnym odzyskiwaniem danych w firmie DataMax Recovery, w której pełni funkcję jednego z głównych inżynierów technicznych. Kontakt z autorem: artur.skrouba@data-max.pl. 18 HAKIN9 1/2010

19 19

20 ATAK WOJCIECH SMOL Hakowanie Windows 7 Stopień trudności Windows 7, będący następcą kompletnie nieudanej Visty, prawdopodobnie okaże się dla Microsoftu szczęśliwą siódemką i powtórzy komercyjny sukces Windowsa XP. System ten nie zapewni nam jednak bezpiecznego środowiska pracy. Oto 7 dowodów na potwierdzenie tej tezy. Z ARTYKUŁU DOWIESZ SIĘ o nowościach w mechanizmach bezpieczeństwa najnowszego systemu Windows, o teoretycznych oraz praktycznych zagrożeniach dla bezpieczeństwa Windows 7, o istniejących mechanizmach oraz narzędziach pozwalających na naruszanie bezpieczeństwa Siódemki, o potencjalnych, przyszłych kierunkach rozwoju technik atakowania najnowszego systemu z Redmond. CO POWINIENEŚ WIEDZIEĆ znać podstawowe zagadnienia dotyczące bezpieczeństwa środowiska Windows (w szczególności Visty), znać podstawowe rodzaje ataków (lokalnych oraz zdalnych) na systemy operacyjne. Na kilka tygodni przed oficjalną premierą detaliczną (zaplanowaną na ) systemu operacyjnego Windows 7, poznaliśmy pierwsze informacje dotyczące następców Siódemki. Windows 8 i 9, bo o nich mowa, są już obecnie intensywnie rozwijane w laboratoriach firmy Microsoft. Premiera ósemki planowana jest przez giganta z Redmond na rok 2012, czyli mniej więcej za 3 lata. Windows 8 i 9 mają być pierwszymi 128-bitowymi systemami Microsoft Windows, oferującymi przy tym szereg nowych funkcji. Wiemy to wszystko dzięki (nieplanowanemu?) wyciekowi informacji w serwisie społecznościowym. Otóż Robert Morgan, długoletni pracownik Microsoftu, umieścił w swoim profilu na stronie LinkedIn poufne informacje dotyczące Windows 8 oraz Windows 9. Morgan napisał między innymi, że pracuje nad kompatybilnością 128-bitowej architektury z jądrem Windows 8 oraz projektem systemu Windows 9. Jaki to wszystko ma jednak związek z bezpieczeństwem samego Windows 7? Mianowicie, jeśli Microsoft utrzyma obecną politykę rozwijania systemów operacyjnych, to przedstawione poniżej mechanizmy bezpieczeństwa Siódemki oraz metody ich naruszania, mogą być skuteczne również w przypadku kolejnych edycji Windows! Dokładnie tak, jak można to zaobserwować obecnie w przypadku Windows Vista i 7. Otóż tajemnicą poliszynela jest, że wiele funkcji Windows 7 (oznaczenie kodowe Windows NT 6.1) jest bardzo podobnych (lub nawet identycznych) do tych znanych z... Windows Vista (oznaczenie kodowe Windows NT 6.0). Pracując z Windows 7 odnosi się właściwie wrażenie, że jest to finalna wersja Visty, która sama zaś wydaje się być zaledwie wersją beta Siódemki! Tego rodzaju podobieństwo i kompatybilność większości funkcji ma oczywiście pewne zalety, takie jak chociażby zgodność obu systemów na poziomie sterowników oraz obsługi aplikacji. Sytuacja ta niesie ze sobą jednak pewne efekty uboczne. 7 świętych dróg do piekła Wspomniane podobieństwa Visty oraz Siódemki dotyczą oczywiście również mechanizmów bezpieczeństwa stosowanych przez oba systemy. Ta bezprecedensowa sytuacja jest o tyle ciekawa, że w wyniku owych podobieństw, już przed premierą nowych okienek dysponujemy szeregiem technik oraz narzędzi umożliwiających skompromitowanie bezpieczeństwa Windows 7. Jest tak, ponieważ większość narzędzi stworzonych do testowania i łamania zabezpieczeń Visty, z powodzeniem działa w Siódemce. Poza tym, na długo przed premierą opracowano również metody ataków specjalnie przeznaczonych dla najnowszego oprogramowania systemowego z Redmond. Siódemka jest również narażona na przypadłości 20 HAKIN9 1/2010