nospam-pl.net

powrót

Windows messenger spam - zagrożenie bezpieczeństwa

Za cenne uwagi i uzupełnienia do tego artykułu dziękuję Piotrowi, Grześkowi, Bronkowi i Andrzejowi.

"Wyskajujące komunikaty"

Ostatnio pojawił się w Internecie nowy rodzaj spamu - to podobne do komunikatów systemowych okienka, "wyskakujące" na monitorach użytkowników systemów Windows NT, XP i 2000. Są to wiadomości wyświetlane przez usługę Windows Messengera (nie mylić z MSN messenger'em). W normalnych warunkach usługa ta jest wykorzystywana np. przez administratora serwera do komunikacji z użytkownikami.

Oprogramowanie do spamowania przez messenger'a

Poniżej zamieszczam tłumaczenie cynicznej reklamy, jaką na swojej stronie internetowej podał producent programu do masowego wysyłania takich spamów. (Hm, ten program tak naprawdę robi niewiele więcej, niż prosta komenda, jaką można wpisać w linni polecen...) Nie podam jednak odnośnika do strony producenta, ponieważ tutaj zajmuję się propagowaniem narzędzi do ochrony przed spamem - a nie do spamowania, wiem zaś, że moimi gośćmi są również spamerzy (a witam, witam... ;-> )

Przypisy

[1.] ...a interneuci, to po prostu psy Pawłowa :->.

[2.] Wcześniej napisałem: "Wydaj się, że to nieprawda, bo adres IP nadawcy tego rodzaju spamu może być stosunkowo łatwo określony - np. w Windows NT za pomocą jednej z komend netstat lub nbtstat -s".
Niestety jednak wygląda na to, że połączenie nawiązywane w celu przesłania wiadomości trwa zbyt krótko, by pozostawić ślady w systemie i komendy te nic nie ujawiną. Oznacza to, że IP nadawcy można sprawdzić tylko przy użyciu jakiegoś programu logującego, np. firewalla - który jednak, odpowiednio skonfigurowany, w ogóle nie powinien dopuścić do wyświetlenia tej wiadomości.

[3.] Mało prawdopodobne, by kiedykolwiek to nastąpiło - protokół przekazywania takich wiadomości nie przewiduje niczego ponad zwykły tekst.

Zasięg rażenia

Właśnie ten rodzaj wiadomości jest wykorzystywany przez spamerów do wyświetlania reklam na zdalnych maszynach - aby być na to narażonym, wystarczy mieć komputer podłączony do Internetu i posiadający numer IP z publicznej puli adresów (czyli - podłączony bezpośrednio, a nie przez jakiś firewall). Nie trzeba mieć łącza stałego - podłączenie może być np. poprzez łącze Dial-Up (zwykły modem), ponieważ rozmaite skanery nieustannie przeszukują sieć w poszukiwaniu komputerów, z których mogliby zrobić jakiś użytek. No i oczywiście, trzeba mieć w komputerze otwarty port 139 - ten port jest w standardowej konfiguracji wszystkich wersji MS windows zawsze otwarty. Jeśli uruchomiony przez kogoś skaner znajdzie Twoją maszynę w trakcie trwania połączenia z otwartym portem 139 - jesteś trafiony-zatopiony :-(.

Najprostszym rozwiązaniem na uniknięcie tego rodzaju spamu jest wyłączenie usługi Messengera (np. w Windows NT: Control Panel / Services / odszukaj serwis Messenger i w jego opcjach Startup wybierz Disabled). Nie jest to jednak rozwiązanie najlepsze, ponieważ możliwe, że ...

... Udostępniasz swój komputer całemu światu

Jeśli na Twoim komputerze pojawił się tego rodzaju spam, nie on jest Twoim największym problemem. Oznacza on bowiem, że każdy wannabie-hacker może przeglądać zasoby Twojego komputera, tworzyć i kasować pliki - tak jak Ty to robisz na dysku Twojego kolegi z sąsiedniego pokoju, który poprzez sieć komputerową udostepnił jakieś zasoby ze swojego komputera. Dzieje się tak dlatego, że messenger wykorzystuje do komunikacji ten sam port 139/TCP na którym ma miejsce komunikacja w protokole SMB służącym do dzielenia zasobów w sieci lokalnej (NetBIOS lub NetBEUI), oraz do utworzenia tzw. null-session - czyli, rzec można, zalogowania użytkownika bez nazwy i bez żadnego hasła (usługa ta jest wykorzystywana przez system - więcej na ten temat przeczytasz na stronie SecurityFocus HOME Infocus[en])  

Poza portem 139/TCP, SMB wykorzystuje również porty 137 TCP i UDP, 138/UDP, a w Windows 200 także port 445 TCP i UDP (SMB z pominięciem NetBIOS'u).

Massenger działa na portach: 135 TCP i UDP, 137/UDP, 138/UDP, 139/TCP, 445/TCP oraz na tymczasowych portach powyżej numeru 1024. Wszystkie te porty należałoby zablokować. Generalnie zresztą, dobrze jest zablokować wszystkie porty, które nie są wykorzystywane przez Twój system. (Pełną listę standardowych portów można znaleźć np. w The Internet Assigned Numbers Authority[en])  

Czy mój komputer jest bezpieczny ?

Aby się tego dowiedzieć, musisz sprawdzić, czy 1.) masz otwarty port 139 2.) czy możliwa jest komunikacja przez ten port ze świata zewnętrznego.

Do stwierdzenia czy port 139 jest otwarty posłużymy się komendą nbtstat, wpisaując ją w linii komend DOS (command prompt): 


C:\> nbtstat -A 192.168.1.1
Zamiast 192.168.1.1 wpisz swój adres IP

Local Area Connection:
Node IpAddress: [192.168.1.1] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
MYNODE <00> UNIQUE Registered
MYNODE <03> UNIQUE Registered
XXXXX <00> GROUP Registered
XXXXX <1E> GROUP Registered
MYNODE <20> UNIQUE Registered

MAC Address = 00-01-03-35-53-18

C:\>

Jeśli jedna z odpowiedzi zawiera kod <03>, to znaczy, że masz uruchomiona usługę Messenger i otwarty port 139.

Załóżmy, że port jest otwarty - ale czy rzeczywiście oznacza to zagrożenie ? Jeśli nie jesteś pewien, to zapewne tak... Ale to też możesz sprawdzić. Proponuję Ci wejść na stronę Gibson Research Corporation[en], odszukać w dziale Shields UP! malutki programik o nazwie ip_agent, załadować go i uruchomić u siebie. Programik ten połączy się ponownie z GRC i umożliwi Ci przetestowanie swojego komputera.

Zabezpieczenie komputera

Wybierz jedną z niżej wymienionych metod - tę, którą w swoim przypadku uznasz za najlepsze rozwiązanie

1. Firewall

Usługa RRAS (Routing and Remote Access Server / Steelhead)

Usługa ta jest dostępna pod Windows NT (w pakiecie Windows NT Option Pack) i w Windows 2000/XP w standardzie. Umożliwia ona filtrowanie połączeń przez określone porty, jej słabością jest jednak nierozróżnianie połączeń przychodzących od wychodzących. Instrukcję konfiguracji RRAS znajdziesz w Windows & .NET Magazine[en].

Program zewnętrzny

Jeśli z jakiegoś powodu musisz mieć otwarty port 139, dobrym sposobem zabezpieczenia komputera jest zainstalowanie jakiegoś firewalla, np. Outpost, Kerio, lub ZoneAlarm, które do celów prywatnych są darmowe, a do komercyjnych - niezbyt drogie. Natomiast na stronie Sicherheit im Kabelnetzwerk[de] znajdziesz spis różnych innych firewalli (p.4) oraz innych (niż GRC) darmowych skanerów dostępnych on-line (p.8). ( Jeżeli język naszych zachodnich sąsiadów jest Ci obcy, możesz się wspomóc serwisem InterTran, aby całą tę stronę przetłumaczyć np. na angielski. )

Firewall po instalacji musi zostać skonfigurowany - poczytaj instrukcję, poświęć na to trochę czasu i zastanów się nad najlepszą dla Ciebie konfiguracją.

2. Wyłączenie usługi udostępniania swoich zasobów

Jest to najprostsza metoda w przypadku komputera, który nie musi udostępniać własnych zasobów (plików, katalogów, drukarek), a co najwyżej korzysta z cudzych.

Windows 2000 / XP

  1. Kliknij na pulpicie My Network Places i wybierz Properties
  2. Odszukaj swoją kartę sieciową (oznaczoną najprawdopodobniej jako "Local Area Connection")
  3. Kliknij prawym klawiszem myszki i wybierz Properties
  4. Wyłącz (odchacz) File and Printer Sharing for Microsoft Networks
  5. Powtarzaj kroki 3 i 4 dla każdego adaptera sieciowego umożliwiającego połączenia z zewnątrz.

Windows NT

  1. Wejść do Panel sterowania/Usługi (Control Panel/Services/).
  2. Znaleźć usługę Serwer (Server). Kliknąć Autostart (Startup) i wybrać Wyłączony (Disabled).
  3. Po restarcie udostępnianie będzie wyłączone.

Można też ianczej - jeśli jest się pewnym, że nie zamierza się nigdy udostępniać zasobów. Poniższe rozwiązanie ma jednak taką wadę, że w przypadku konieczności późniejszego uaktywnienia usługi trzeba najpierw reinstalować ją z CD-ROMu instalacyjnego Windows NT4, a potem zreinstalować używany Service Pack i hotfixy.

  1. Wejść do Panel sterowania/Sieć (Control Panel/Network/).
  2. Wybrać zakładkę Usługi (Services).
  3. Usunąć usługę Serwer (Server).

Windows 95 / 98 / Me

  1. Kliknij na pulpicie Network Neighborhood i wybierz Properties
  2. W pierwszej zakładce Configuration kliknij na klawisz podpisany File and Print Sharing...
  3. Wyłącz (odchacz) oba checkboxy - ...access to my files i ...print to my printer(s)
  4. Teraz kliknij na Protocol TCP/IP - ...Properties - zakładka ...Bindings - odchacz Client of Microsoft Networks (nie wiem jak inne wersje, ale Win Me będzie protestował; nie przejmujs się tym)

3. Ograniczenie dostępu poprzez null-session

Jeśli twój komputer musi udostępniać jakieś zasoby, metodą na zwiększenie bezpieczeństwa jest ograniczenie możliwości dostępu poprzez null-session. Aby to zrobić, można utworzyć w rejestrze specjalny, dodatkowy klucz. Uważaj - grzebanie w rejestrze może być niebezpieczne, jeśli zrobisz coś nieostrożnego

Windows 2000 / NT

Dodaj do rejestru następującą zmienną:

  1. Gałąź i klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
  2. Typ nowej zmiennej: REG_DWORD
  3. Nazwa zmiennej: RestrictAnonymous
  4. Wartość: "1"

Windows 2000 przewiduje dla tej zmiennej również wartość 2, dającą wyższy poziom bezpieczeństwa, ale powodującą brak kompatybilności z wcześniejszymi wersjami MS Windows. Więcej na ten temat przeczytasz w bazie wiedzy Microsoft: Windows 2000, Windows NT

Windows XP

Ten sam efekt co powyżej można osiągnąć również w Windows XP poprzez następujące ustawienia

  1. W Control Panel'u odszukaj i uruchom Security Policy
  2. Zaznacz (enable): Network access: Do not allow anonymous enumeration of SAM accounts
  3. Zaznacz (enable): Network access: Do not allow anonymous enumeration of SAM accounts and shares

4. Ograniczenie dostępu tylko poprzez wybrane adaptery

Ostatnia metoda - nie wiem, jak to zrobić w systemach innych niż Windows NT, bo nie miałem możliwości przetestowania, a materiałów teoretycznych nie znalazłem - ale możliwe jest zablokowanie komunikacji NetBIOS'u tylko w wypadku niektórych adapterów (kart sieciowych itp). W moim przypadku - było to zablokowanie komunikacji przez wbudowany w komputerze modem, służący mi do połączenia z Internetem.

Windows NT

  1. Kliknij na pulpicie Network Neighborhood i wybierz Properties
  2. Wybierz zakładkę Bindings
  3. Z rozwijalnej listy Show bindings for wybierz all adapters
  4. Odszukaj "Remote Access WAN Wrapper" - to urządzenie, które słuzy do połączeń, jakie chcesz zabezpieczyć.
  5. Wybierz z listy pozycję Wins Client(TCP/IP)
  6. Naciśnij klawisz Disable
Uwaga generalna

Po wyborze jakiejkolwiek formy zabezpieczenia i zrebootowaniu komputera, sprawdź za pomocą jakiegoś publicznie dostępnego skanera (np. jednego z wyżej wymienionych), czy naprawdę jesteś zabezpieczony.

A przede wszystkim!

Znajdź w panelu sterowania "Windows update". Musisz regularnie i często aktualizować swoją wersję MS Windows oraz program antywirusowy - instalować wszelkie updaty, patche itp. Masz zainstalowany program antywirusowy, prawda? Jeśli jednak nie, MKS_vir udostępnia darmowy Skaner On-Line - korzystaj z tej usługi.

Aktualizować regularnie i często, to znaczy raz na tydzień, a góra - raz na 2 tygodnie. Najlepiej w każdy poniedziałek rano, między poranna kawą a początkiem pracy. Co? Że często, i że kłopot? Trudno. Jeśli nie musisz korzystać z MS Windows, zainstaluj lepszy system operacyjny. Jeśli musisz, to - prznajmniej do mementu aż Microsoft dokona jakiegoś zadziwiającego przełomu w poziomie zabezpieczeń swoich programów - musisz też dbać o to, by nie narażać się na niebezpieczeństwa, jakie grożą wszystkim użytkownikom tego systemu, a są to rózne niebezpieczeństwa. Zobacz n.p. atykuł na temat komputerów-zombie[nospam-pl.net].

 
 

Poniedziałek, 06.IX.2010

Copyright by Łukasz Kozicki © 2002-2003
witryna hostowana przez home.pl Privacy Policy