برترین مقالات کامپیوتر
برترین مقالات کامپیوتربرترین مقالات کامپیوتر
برترین مقالات کامپیوترحفره های ویندوز
عمده ترین حملات موفقیت آمیز هکرها روی سیستم عامل ویندوز تنها از چندین حفره موجود روی برنامه ها انجام می گیرد. به تعبیری می توان گفت هکرها فرصت طلب هستند که آسان ترین مسیر را انتخاب کرده اند و از روی شکافهای شناخته شده exploit خود را صورت می دهد و بعد به طور گسترده ای از برنامه های ساخته شده برای به انجام رساندن عملیات خود بهره می گیرند. معمولا هم به سراغ سایت های متعلق به سازمان های بزرگ می روند و ابتدا به ساکن سیستم و شبکه آنها را اسکن می کنند و باقی قصه را هم که حتما می دانید. در این میان فهرست کردن حفره ها و برشمردن آنها کار طاقت فرسایی است ؛ اما می توان گزیده ای از مهمترین آنها را جمع آوری کرد و ضمن بررسی حفره ها به نحوه بستن آنها نیز نگاهی دقیق تر داشت.
1- سرویس IIS :
برنامه IIS مایکروسافت (internet information services)از دیرباز عمده ترین حفره ها را در خود جای داده و بالطبع نیز بیشترین حملات را به سوی خود جلب کرده است.
حفره پذیری IIS تقریبا در 3کلاس فرعی قابل دسته بندی است : یکی قصور به سوی به کار گرفتن درخواست های غیرقابل پیش بینی ، دوم سرریز شدن ضربات از ضربه گیر ( bufferoverflow ) و سوم اپلیکیشن های ساده.
الف : بسیاری از حملات روی IIS براساس این حفره که می توان درخواست های نافرم HTTP را برای به کار گرفتن درخواست های غیرقابل پیش بینی استفاده کرد، صورت می گیرد. یک مثال خیلی ساده وجود یک حفره در تراورسال دایرکتوری یونیکد بود که براحتی به ویروس codeBlue اجازه نفوذ می داد. یعنی درخواست یا Request به ظاهر قانونی بوده ؛ اما به عنوان یک نیرنگ به صورت exploit از آن سوءاستفاده شده و با آن کنترل رایانه در اختیار حمله کننده می افتاده است.
پس IIS اجازه می دهد تا با حفره ای که حمل می کند اجازه ارسال درخواست های نافرم را از طریق HTTP به هکر بدهد و وی نیز با ارسال این درخواست به ظاهر قانونی کنترل سیستم را به عهده بگیرد.
ب: سرریز کردن ضربات و پشت سر نهادن ضربه گیرهای تعریف شده از دیگر حفره های موجود در IIS است که روی الحاقات سیستم مانند پرینتر ، ISAPI و ASP و... خود را نشان می دهد. مثلا ویروس codeRed از الحاقی idq برای بافر شدن بهره می گرفت و زمینه حملات Dos روی سیستم را فراهم می کرد.
ج: اپلیکیشن های ساده اغلب روی محیطهای سرور خود را نشان می دهند و تحمل حملات را نیز ندارند. در این میان Default تعریف شده روی IIS به عنوان اولین راه نفوذ روی سرورها مدنظر هکرها قرار می گیرد. به عنوان مثال یک اپلیکیشن ساده نظیر newdsn.exe اجازه می دهد که هکر حملات از راه دور خود را برای نوشتن مجدد فایل های سرور انجام دهد. برخی دیگر از اپلیکیشن ها که وظیفه جمع آوری دیتای حیاتی نظیر کلمه عبور را دارند نیز مورد سوئاستفاده هکرها قرار می گیرند و یا مثلا یک فایل ism.dll یا iisadmin اگر به دست هکر بیفتد، می تواند در نقش راهبر سیستم کل سرور را هک کند. بیشترین سیستم عامل هایی که از طریق IIS مورد حمله قرار گرفته اند NT نسخه 4 است که روی آن IIS4 نصب است.
بعدی سرور 2000است که روی آن IIS5 نصب است و دیگری نیز ویندوز xp است که روی آن IIS1.5 نصب شده است.
از چه راهی می توانیم ببینیم IIS ما حفره پذیر شده است؟
ویندوز مایکروسافت وقتی روی سیستمی نصب می شود به ماشین میزبان اجازه می دهد تا فایلها و دایرکتوری های خود را براساس شبکه و از طریق ارتباط با سایر میزبانها به اشتراک بگذارد و به اصطلاح Share کند. مکانیزمی که برای این کار در نظر گرفته شده پروتکل (SMB (sever message block یا common internet file system است.
این پروتکل ها اجازه می دهند تا یک میزبان بامهارت کامل فایلها را به صورت از راه دور کنترل کامل کند. اگرچه این ویژگی برای مایکروسافت یک برتری و فناوری جذاب و نوین محسوب می شود؛ اما اشتراک گذاری فایلها به طریقه ناشیانه ممکن است فایلهای حیاتی را بی پناه بگذارد یا اجازه بدهد تا یک هکر با اجرا کردن یک برنامه کنترل کامل ماشین میزبان را به طریقه از راه دور در دست بگیرد. یکی از راههای عمده نفوذ ویروس سیرکام و نیمدا در تابستان 2001، سوئاستفاده از همین شیوه بود تا هکر بتواند به فایلهای میزبان به طور کامل دسترسی یابد و بسیاری از راهبران بی اطلاع خود جاده صاف کن نفوذگران شده اند و با آسان کردن راه دسترسی کاربران تنبل خود به فایلها به راحتی اجازه دور زدن سیستم را صادر می کنند، اما راهبران آگاه با پیکره بندی مناسب روی شبکه به نحو مطلوبی فایلهای اشتراک گذاشته شده را تعریف می کنند و ریسک نفوذ را به کمترین حد می رسانند. تمام آنچه که در بالا گفته شد به Net Bios سیستم و بی حفاظ ماندن آن برمی گردد و در این میان تمام نسخه های ویندوز از 95 گرفته تا xp در معرض تهدید سیستم این حفره قرار می گیرند. برای آگاهی از سوراخ بودن سیستم بهترین راه اسکن کردن ماشین با ابزار MBSA مایکروسافت است که قبلا در مورد آن شرح داده شد. تنها نکته قابل توجه این که با تحلیلگر حفره های مایکروسافت ( MBSA ) از هر 2طریق محلی ( LAN ) و از بیرون از شبکه تست را انجام دهید. شبکه های تجاری باید بسیار در این زمینه محتاط باشند، چرا که از بودن فایلها بلای ناگهانی تلقی می شود. یکی از سایتهای معتبر نیز می تواند باز بودن شبکه تان را به صورت یک گزارش با برنامه SMB مختصر و مفید برایتان از روی اینترنت بگوید که می توانید به این آدرس مراجعه کنید: http://grc.com مایکروسافت معمولا جزییات خوبی را در قسمت Help ارائه کرده است.
نکته دیگر آن که برخی موارد SMB به شما می گوید که آسیب پذیر نیستید؛ اما shieldsup می گوید، هستید. کارشناسان می گویند به دومین گزارش باید بیشتر بها دهید. اما راه چاره برای در امان بودن انواع حملات از این طریق پیکره بندی مناسب فایلهای به اشتراک گذاشته شده از سوی راهبر است.
اگر نیازی به shareدر شبکه ندارید، حتما قید آن را بزنید. از داخل control panel خود share شبکه را حذف کنید.
نصب یک فیلتر بر سر راه درخواست های مخرب روی HTTP : بسیاری از حفره های شناخته شده که کرمهایی نظیر Code Blue یا Code Red از آن بهره می گیرند مربوط به این حفره روی IIS هست اما می توانید یک فیلتر قوی جلوی ارسال هرگونه درخواست مخرب بگذارید و جلوی نفوذ را بگیرید. خود مایکروسافت برای این کار استفاده از نرم افزار URLSCAN را توصیه می کند که می توانید از آدرس زیر آن را بردارید و روی سرور و ماشین خود اجرا کنید:
microsoft.com/technet/security/tools/Locktool.asp
2- دومین حفره بزرگ کامپوننت های روی دیتااکسس مایکروسافت ( MDAC ) است.
سرویس دیتای از راه دور یا RDS جزو مولفه های اصلی روی دیتااکسس نسخه های قدیمی است. روی این برنامه شکافی وجود دارد که به کاربران از راه دور اجازه می دهد فرمان هایی را در حد راهبر سیستم به اجرا بگذارند.
این در حفره در Jet database engine 3.5 روی برنامه اکسس قرار گرفته است و این exploit به هر کاربر ناشناس یا anonymous خارجی اجازه دسترسی به دیتای داخلی را می دهد.(با نصب نسخه بالاتر حفره برطرف می شود). از این حفره به مدت 2سال در بسیاری از حملات هکری استفاده شد اما جلوی بیشتر آنها از سوی مایکروسافت با دستورالعمل های لازم بسته شد.
سیستم های قدیمی و راهبرانی که با این حفره آشنا نبوده و نیستند هنوز در معرض خطرند و از این ناحیه هک می شوند.
اغلب ویندوزهای NT با IIS نسخه 3 و 4 و نیز RDS نسخه 5/1 یا ویژوال استودیو نسخه 6 تحت تاثیر این حفره و نفوذپذیر هستند.
اگر NT نصب کرده اید دنبال یک فایل به نام msadcs.dll بگردید و بدانید که حفره ذکر شده از طریق این DLL سیستم شما را تهدید می کند. خود مایکروسافت چندین بولتن امنیتی در این باره منتشر کرده است. برای رفع حفره می توانید به نشانی های زیر مراجعه کنید:
http://support.microsoft.com/support/ kb/articles/q184/3/75.asp
http:// www.microsoft.com/technet/security/bulletin/ms98- 004.asp
http://www.microsoft.com/technet/security/bulletin/ms 99- 025.asp
بهترین راه چاره به روز کردن MDAC است. اگر این کار را روی ماشین سرور خود که NT دارد انجام دهید همه مشکلات حل می شود برای دانلود کردن آن به نشانی زیر مراجعه کنید:
www.microsoft.com/data/Download.htm
یکی از راهها، رفتن به شاخه زیر در رجیستری و ساختن یک پوشه به ارزش DWORD است.
نام پوشه را باید HandlerRequired بگذارید و value آن را به یک (1) تغییر دهید:
HKEY-LOCAL-machineSoftwareMicrosoftDataFactoryHandleriNFO
ورودی دیگر در نشانی های زیر در رجیستری را کاملا پاک کنید:
HKEY-CLASSES-ROOTMicrosoft.jet.OLEDB.3.51
HKEY=CLASSES-ROOTMicrosoft.jet.OLEDB.3.51 Errors
سومین حفره بزرگ در ویندوز وجود سوراخ های متعدد و بزرگ روی مایکروسافت اسکیوئل سرور (MSSQL) است که به کاربر از راه دور، اجازه دسترسی به اطلاعات حساس سرور و سیستم های وابسته ، دسترسی به بانک اطلاعاتی و پیکره بندی اطلاعات را به آسانی مهیا می کند. کرم بزرگی که در ماه مه 2002 روی اسکیوئل آمد، حفره بزرگی را روی این سرور مایکروسافت آشکار کرد و البته سیستم های زیادی را نیز مبتلا کرد. اولین کاری که این کرم انجام می داد، این بود که به یک میزبان دستور می داد تا در ترافیک شبکه اخلال ایجاد کند. پورت1433 (که پورت تعریف شده اسکیوئل سرور است) مرکز این حملات به شمار می رود و با اسکن کردن این پورت و افتادن آن به دست هکر حمله آغاز می شود. برای اطلاعات بیشتر به سایت زیر مراجعه کنید:
www.cert.org/advisories/CA-2002-22.html
سیستم هایی که روی آن اسکیوئل سرور نسخه 7و یا اسکیوئل 2000یا اسکیوئل سرور دسکتاپ انجین 2000 نصب شده ، آماده حفره پذیری هستند. برای تشخیص حفره پذیری سیستم ، ابتدا شاخه رجیستری ویندوز خود به آدرس زیر را چک کنید:
HKEY-LOCAL-MACHINESSoftwareMicrosoft
MSSQLserverserverMSSQL
هر نوع برنامه SQL که به روز نشده و هیچ گونه پس دستوری روی آن نصب نشده به احتمال قوی آسیب پذیر است.
برای تشخیص این موضوع بهترین راه ، استفاده از تحلیلگر حفره های مایکروسافت ( MBSA ) است که به راحتی حفره های اسکیوئل نسخه 7و 2000را تشخیص می دهد. برای نصب این تحلیلگر گرافیکی به آدرس زیر مراجعه کنید:
microsoft.com/tecnet/security/tools/MBSAhome.asp
برای حمایت از اسکیوئل خود ابتدا آخرین پس دستورها و سرویس پک ها را روی آن نصب کنید و بعد سرور خود را در سیستم شبکه کاملا ایمن نمایید.
www.microsoft.com/sql/downloads/2000/sp2.asp
www.microsoft.com/sql/downloads/sp4.asp
یکی از حملات شایع حمله روی اکانت موسوم به sa است که با یک پسورد جای خالی اجازه دسترسی همگان در حد راهبر را به سرور می دهد. اگر شما اکانت saرا دارید، مطمئن باشید که با دست خودتان سیستم را باز گذاشته تا انواع کرمها به سیستم نفوذ کنند و هکرها ماشین شما را براحتی دور بزنند. اگر یک کلمه عبور بسیار قوی و نیرومند برای آن تهیه کنید ، می توانید از این خطر مصون بمانید.
microsoft.com/sql/techinfo/productdoc/2000/books.asp
خود مایکروسافت نحوه تعویض saرا داده و حتی نحوه Login کردن را نیز آموزش داده است و از آن می توانید استفاده کنید.
msdn.microsoft.com/library/en-us/modadmin/html/deconchangingsqlserveradministratorlogin.asp
اسکیوئل خود را تحت یک دومین معتبر و نه دومین administrator بالا بیاورید که کمترین ریسک را به جان بخرید. همه تاییدیه های سیستم ( authentication ) را مجددا پیکره بندی کنید و انواع ادیت از سوی کاربران را چک نمایید. اگر مجبورید از پورت 1433یا 1434روی دروازه اینترنت شبکه خود استفاده کنید، باید یک فیلترینگ قوی روی اسکیوئل خود و روی این پورتها نصب کنید.
حفره بعدی ویندوز مربوط به اکانت های بدون کلمه عبور و یا کلمه های عبور ضعیف است. پسوردها یا کلمه عبور کدهای امنیتی هستند که به صورت مجازی در یک تعامل مستقیم میان کاربر و سیستم اطلاعاتی به کار گرفته می شود و بیشتر به شکل گرفتن تاییدیه از کاربر با تکیه بر حروف انکریپت شده بنا شده اند. در وهله اول یک هکر باید این دیوار دفاعی را بشکند تا بتواند دسترسی مستقیم به فایلها و دیتای ماشین پیدا کند.
Policy برای انتخاب کلمه عبور در اینجا نقش حیاتی پیدا می کند و بیشتر تهدیدها و حفره های پسورد از همین جا ناشی می شود که اکانت یک کاربر با کلمه عبور ضعیف ساخته شد، اکانت هایی با پسورد ضعیف یا نداشتن کلمه عبور روی شبکه یا ماشین ، فرار از کلمه ها و پسوردهای طولانی و سخت و سوم وجود برنامه هایی که تا حد Admin به سیستم نفوذ کرده و همه چیز را کنترل می کنند و بعد الگوریتم روی hashها که قبلا توضیح داده شد همه و همه باعث مرئی شدن کلمه عبور می شوند.
بهترین راه مبارزه با آن نیز اعمال سیاست سختگیرانه انتخاب کلمه عبور از سوی راهبر برای کاربران است بنابراین ابتدا هر کاربری باید با کلمه عبور وارد شبکه شود و بعد کلمه عبور آسان نباشد.
3برنامه اصلی شکستن کلمه های عبور روی اینترنت وجود دارد که شامل Lc4 و Johntheripper و SymantecNetRECON هستند و با آنها ضمن امتحان کردن خود می توانید بفهمید که به چه سادگی می توان کلمه های عبور را سرقت کرد.
دوباره تاکید می شود که هرگز اسکنر پسورد روی اکانت Admin اجرا نکنید که این به معنی مرگ برای شما و سیستم تان خواهد بود اما به صورت رایگان می توانید از برنامه ها به عنوان تست استفاده کنید که قابل اعتمادترین آنها را در بالا ذکر کردیم.
بیشتر پسوردشکن ها از دیکشنری Attack بهره می برند. اگر شما کلمه عبور را Jim بگذارید، طبق تعاریف ان تی استرینگ تعریف شده شما به صورت Jim به همراه 11تا صفر است و براحتی قابل شکستن از سوی نرم افزارهاست.
شبیه سازی password از طریق کدهای آلفانومریک نیز چندان جذاب نیست.
مثلا برخی می گویند به جای کلمه عبور password می توانید از pa$$w0rd استفاده کنید.
این کار نیز صحیح نیست ؛ بلکه به طور کامل باید چنین کلمات را کنار گذاشت.
در سیستم های لینوکس نیز این موضوع رعایت نشده است و بیشتر پسورد root به صورت r00t زده شده و سیستم آسیب پذیر می شود.
برخی برای این که کلمه عبور را فراموش نکنند اول حرف یک شعر را انتخاب می کنند که حالت تصادفی به خود می گیرد که این موضوع قابل تحمل از موارد سابق است ؛ اما در همین جا بگوییم که اگر راهبر هستید کلمه عبور زیر 25حرف را قبول نکنید و اگر امکان گم شدن وجود داشت راهبر به عنوان امین سیستم می تواند کمک اصلی باشد.
password های حساس را باید هر 2روز یک بار عوض کرد و password های غیر حساس (بسته به تعریف راهبر) هر یک هفته یک بار باید عوض شود.
خود انتخاب نام کاربر نیز مهم است و باید نام کاربر با نام موسسه یا سازمان و... یکی نباشد تا هکر را یک قدم دیگر به عقب راند.
در قسمت سیاست های اکانتینگ هر گونه Guest حذف شود و هر نوع اکانت در حد راهبر از سیستم پاک شود.
خود کلمه Administrator باید Rename شود.
یک فهرست کامل از اکانت ها درست کنید ؛ اما روی رایانه نگه ندارید و اگر به صورت سی دی یا فلاپی آن را ضبط کردید در مکان بسیار مطمئن قرار دهید. اکانت کاربرانی که برای همیشه از موسسه می روند را به طور کامل پاک کنید.
برنامه ESM متعلق به سیمانتک می تواند در این زمینه راهگشا باشد تا با حملات فرضی کلمه های عبور شما را امتحان کند.
اولین قدم برای بستن این راه نفوذ، تخریب هرگونه اکانت به صورت anonymous است که باید حتما در نظر راهبران قرار گیرد. Domain controler احتیاج شدیدی به Null session دارد و تخریب کامل آن کار درستی نیست ؛ اما می توان میزان حملات را به صفر رساند. برای این کار باید Valuedata در شاخه رجیستری زیر را حتما به 1(یک) تبدیل کنید تا آسیب نبیند.
HKEY-LOCAL MACHINEsystemcurrent controlsetcontorolLSARestrict Anonymous
پس پوشه Restrict Anonymous را بازکنید و داخل آن عدد 1 تایپ نمایید و ok کنید. (این پوشه به صورت Dword تعریف شده است). هنگام این تغییر ابتدا سیستم هنگ می کند اما با یک بار خاموش و روشن کردن همه چیز درست می شود. داشتن یک پشتیبان از هارد نیز ضروری است.
چرا که بعضی وقتها یک اسب تروا روی سیستم می نشیند که اگر این تغییر انجام شود همه چیز را به هم می ریزد. روی شبکه توصیه می شود ماشین هایی که اینترنت را می بینند به این سیستم مجهز شوند. تاکید می شود که هیچ کاربری روی شبکه نباید به Domain controler دسترسی داشته باشد و اصلا حق ندارد که یک کاربر خارجی تعریف کند. حفره بزرگ بعدی در ویندوز وجود آسیب پذیری در سیستم تصدیق روی LAN Manager است. اگرچه سیستم های کنونی ویندوز نیاز به این سیستم ندارند ؛ اما ذخیره شدن کلمه عبور LANMAN hashes آسیب و خطر عمده ای به شمار می آید که روی ویندوز ان.
تی ، 2000 و XP وجود دارد. به دلیل انکریپت ضعیف روی سیستم های NTLM و NTLM2 ، کلمه های عبور روی LANMAM براحتی در عرض کمتر از چند دقیقه شکسته می شوند و کلمه های عبور سخت تر به دلیل ضعف در سیستم ورودی و خروجی سخت افزاری قابل نفوذ می شوند. ( hash ، یک الگوریتم به کار رفته روی محاسبات ریاضی یکطرفه است که اجازه ورود دیتاها با حجم بالا و مخلوط را با هم به روی سیستم می دهد و هرگونه تغییر در ورودی دیتا تغییر در hash نیز محسوب می شود. ازجمله دیتاها ورود یک پیام به سیستم است که با یک hash چندین ورودی قابل اطمینان را می سازد. مثلا MD5 یک استاندارد یکطرفه با فهرست hash 128بیتی است که به وسیله RSA توسعه یافته است و در آن دیتاها روی پروتکل PPP براحتی قابل تصدیق (Authentication) می شوند. پروتکل NTLM نیز که اولین بار روی N.T به صورت Default به کار رفت ، یک پروتکل تصدیق براساس سیستم مبارزه پاسخ نباشد. ضعف در LM hashها می تواند براساس مبانی زیر اتفاق بیفتد. مثلا کلمه های عبور کمتر از 14حرف باشد یا کلمه عبور با وجود یک Space تکراری باشد و یا همه حروف روی کلمه عبور قابل تبدیل به یک کلمه ساده باشد و یا این که کلمه عبور تکرار 2حرف در رده 7حرفی باشد. یک هکر با پردازش hashing روی سرور از راه دور با کنار هم قرار دادن یک ردیف از حروف 7حرفی ضربدر 2می تواند به شبکه دسترسی یابد. هر 7حرف روی کلمه عبور می تواند یک حرف با ترکیبی از استرینگ و کاراکترهای 14تایی باشد و همه 14حرف از جمله Space می تواند 7حرف واقعی باشد و یک لغتنامه attack بتواند بقیه حروف را بخواند و تشخیص دهد.
LM hash روی SAM فایل ذخیره شده و پردازش روی LAN و گرفتن تصدیق بیشتر از سوی سرور به عنوان یک Client مورد تایید قرار می گیرد. در این میان یک Packet Sniffing بر سر راه شبکه می تواند کلمه های عبور را به داخل خود بکشاند و ذخیره کند. بنابراین شکسته شدن کلمه عبور از این راه حتی اگر تعداد حروف زیادی نیز به کار ببرید ، امکانپذیر است.
اگر LAN Manager را به صورت Default روی سرور خود دارید، قطعا بدانید که ماشین تان نفوذپذیر است.
بیشتر ابزار شکستن کلمه عبور سیستم عامل ویندوز نظیر برنامه LC4 از همین حفره استفاده می کند و هکرها با اجرای آن روی شبکه هایی که می خواهند به آن نفوذ کنند ، کلمه های عبور را می شکنند و با خواندن فایل SAM که کلمه های عبور NTLM و NTLM2 را ذخیره کرده ، سیستم براحتی قابل حمله می شود. (هرگز یک اسکنر کلمه عبور روی سیستم خود با اکانت Admin نصب نکنید) بیشتر نرم افزارهای موجود که می گویند قصد حمایت از پسوردهای شما را دارند، تقلبی است و می خواهند کلمه عبور سرور و ماشین هایتان را به دست بیاورند؛ اما راه چاره ابتدا از کار انداختن تصدیق LAN Manager روی شبکه است ؛ اما آلترناتیو آن نصب NTLMV2 است که بسیاری از حفره ها روی آن گرفته شده است و انکریپت آن نیز قوی تر است.
در رجیستری ویندوز شاخه زیر را پیدا کنید:
HKEY-LOCAL-MACHINESYSTEMCurrentcontrosetControlLSA
یک پوشه به ارزش DWORD به نام LM Compatibility Level هست که Value آن از صفر تا 5 قابل تغییر از سوی راهبر است و البته Default آن صفر است.
صفر در اینجا به معنی اجازه به سیستم مبارزه و پاسخ (یعنی باز بودن سیستم) است.
Value یک یعنی اگر کسی درخواست فرستاد NTLMV2 کار کند. ارزش دو (2) فقط تصدیق روی NTLM می فرستد. ارزش (3) ارسال تصدیق روی NTLMV2 است و 4یعنی تصدیق روی LM را اصلا نمی پذیرد و شماره 5 نیز یعنی تصدیق روی LM و NTLM را رد می کند.
اگر ماشین شما ویندوز ان.
تی با سرویس پک 4 به قبل است از عدد 3 روی همه Clientها استفاده کنید و از عدد 5 روی دومین کونترولر استفاده نمایید.
با نصب مستقل NTLMV2 شاخه LMCompatibility از ارزش صفر تا 3 را دراختیار شما می گذارد.
اگر قادر نیستید پوشه LMCompatibility level را 4 بدهید.
سپس ، از هر گونه ذخیره شدن hash جلوگیری کنید. حتی در برخی موارد همچنان hashها روی فایل SAM ذخیره می شوند.
روی ویندوز 2000 شاخه زیر را بسازید:
HKEY-LOCAL-MACHINEsystemcurrentcontrolsetcontrolNOLMHASH
روی زیر شاخه control رفته و سمت راست موس را زده و new و بعد Key را انتخاب کرده و NOLMHASH را تایپ کنید) با وجود این پوشه دیگر هیچ نوع hashes ذخیره نمی شود اما روی xp به شاخه زیر بروید.
HKEY-LOCAL- MACHINEsystemcurrentcontrolsetcontrolLSA
و بعد پوشه ای به نام NOLMHASH به ارزش DWORD بسازید و value آن را یک بگذارید.
با یک بار تغییر کلمه عبور روی شبکه از سوی کاربر تمامی hashها پاک می شوند.
اما طریقه دیگر برای از کار انداختن کنترل رجیستری از راه دور مراجعه به management computer در control panel است و با رفتن درون services دنبال سرویسی به نام Remote Registry بگردید و سمت راست موس را کلیک کنید و با گرفتن Properties ابتدا سیستم را stop نمایید. بعد داخل Logon بروید و منوی Hardware را از enable به disable تغییر دهید و Apply کنید.
سپس در منوی General نوع Startup را به disable تغییر دهید و Apply و OK کنید تا همه چیز درست شود.
آخرین حفره بزرگ ویندوز وجود هاست اسکریپت های ویندوز (WSH) به عنوان منشاء ورود کرم های خطرناک است که آن را بررسی می کنیم.
در بهار سال 2000 ویروس لاوباگ به عنوان کرمی نوشته شده با اسکریپت ویژوال بیسیک (VBScript) میلیون ها دلار خسارت به بار آورد.
بعدها این کرم منشائ بسیاری از ویروس ها شد که با استفاده از هاست اسکریپت های ویندوز (WSH) حفره بزرگ بعدی ویندوز این اجازه را پیدا کرد تا هرگونه متن را به صورت vbs توسعه دهد و آن را قابل اجرا به عنوان اسکریپت ویژوال بیسیک در بیاورد.
تحت (WSH) یک کرم می تواند خود را درون انواع فرمت فایلهای توسعه دهد و کل سیستم را آلوده کند.
وقتی راهبران مجبور هستند تا با اپلیکیشن هایی نظیر مرورگرها و mail client کنار بیایند ، وجود پس دستورها و نصب آنها از راه اسکریپت باعث ریسک پذیری سیستم ها می شود.
بنابراین از کار انداختن هاست اسکریپت ها (WSH) می تواند خطر گسترش ویروس ها را کاهش دهد.
به صورت پیش تعریف شده هاست اسکریپت روی تمام نسخه های ویندوز فعال است و هر سیستمی که این سرویس را از کار نینداخته باشد ، قطعا آسیب پذیر است.
به منظور Remove کردن هاست اسکریپت بسته به نوع سیستم عامل باید وجود فایلهای اسکریپت را از کار بیندازید.
اگر ویندوز 95دارید باید سمت راست را روی My computer بزنید ، با مراجعه به view/option در منوی بالا روی File Types کلیک کنید و به دنبال VBScript script file بگذارید و بعد آن را Remove و ok کنید.
در ویندوز 98 باید در control panel بروید و در Add/Remove باید windows setup را انتخاب و بعد روی Accessories بزنید تا جزییات آن را بگیرید و در نهایت تیک جلوی windows scripting host را بردارید.
در سیستم ان تی و 2000نیز با پسورد راهبر (Admin) داخل سیستم شوید و سمت راست را روی My computer بزنید و File Types را پیدا کنید و داخل آن VBScript را بیابید و Remove کنید.
اگر نخواستید با این راهها خود را سرگرم کنید، می توانید فایل اجرایی زیر را پس از دانلود کردن ، اجرا کنید تا تغییرات به طور خود کار انجام شود.
http://churchofireland.net/avlinks/noscript.exe
در واقع کلیدهای ردیف اول به صورت ردیف دوم تغییر پیدا می کنند که در زیر آنها را مشاهده می کنید.
:For example, these registry keys
HKEY_CLASSES_ROOTJSFile
HKEY_CLASSES_ROOTVBSFile
HKEY_CLASSES_ROOTWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESVBSFile
HKEY_LOCAL_MACHINESoftwareCLASSESWSHFile
HKEY_LOCAL_MACHINESoftwareCLASSESJSFile
: become
HKEY_CLASSES_ROOTJSFile.SymantecDisabled
HKEY_CLASSES_ROOTVBSFile.SymantecDisabled
HKEY_CLASSES_ROOTWSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSES VBSFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSES WSHFile.SymantecDisabled
HKEY_LOCAL_MACHINESoftwareCLASSES JSFile.SymantecDisabled
اگر xp دارید فایروال آن را به کار اندازیداین کار باکلیک راست روی منوی شبکه و گرفتن properties میسر است.
بعد به سراغ networking بروید و پروتکل TCP را آبی کنید و از روی آن properties بگیرید و به داخل advanced بروید. سپس روی منوی wins بروید و NetBios خود را کاملا disable کنید.
اگر مودمی هستید در روی منوی شبکه تیکی به نام client for microsoft را بردارید و بعد به عنوان یک کاربر روی درایوها بروید و با گرفتن properties ابتدا Security را برگزینید و فهرست everyone و... را بسته به کار خود حذف کنید.
از راه Groupe policy editor و از روی Administrator tools در control panel نیز می توانید آن را انجام دهید.
وقتی روی اینترنت هستید با account ، Admin خود صفحات وب را مرور نکنید ؛ بلکه یک User عادی تعریف کنید و با آن روی اینترنت بروید.
به Shareهای بی هویت اجازه ورود ندهید و فورا آنها را disable کنید.
اگر مجبور شدید یک فایل جدید و بی مصرف را روی درایو غیربرنامه ای خود بسازید و آن را share کنید ، اجازه دسترسی کامل را از کاربر خود بگیرید.
یک IP ویژه به آن اختصاص دهید؛ اما نام DSN خود را طور دیگری برگزینید و در آخر پورتهایی که sharing ویندوز از آن استفاده می کنید را ببندید.
پورت نت بایوس را طبق گفته قبلی از کار بیندازید و یک فایروال قوی پشت روتر و سیستم بگذارید تا خطاها کمتر شود.
پورتهایی که باید از کار بیفتد 137 و 139 روی TCP و 137 و 139 روی UDP و 445 روی TCP و UDP هستند.
5- راه بعدی نفوذ به نفوذ به ویندوز از طریق وارد شدن به سیستم به طریقه ناشناس و بی نام (anonymous Logon) است.
نحوه ورود از طریق ناشناس به وسیله ارتباطات پوچ یا (Null session) انجام می گیرد.
با این کار دسترسی به فایلهای به اشتراک گذاشته شده روی شبکه فهرست کاربران در دسترس قرار گرفته و کاربرناشناس بدون گرفتن تاییدیه وارد سیستم می شود.
معمولا از محیط اکسپلورر روی ویندوز و تست کردن فرمان های مورد نظر می توان چنین کاری را انجام داد.
در ویندوز 2000 و NT و XP، Logon کردن به ماشین از طریق Accuont System کار سختی نیست.
معمولا اکانت سیستم به هنگام بحرانی شدن ماشین استفاده شده تا کاربر بتواند وارد سیستم شود و اطلاعات خود را بازیابی کند.
در واقع وقتی یک کاربر می خواهد دیتای خود را از یک ماشین بازیابی کند ، Accuont System فعال شده و اجازه می دهد تا از طریق کنترل از راه دور وارد سیستم شود.
مثلا وقتی کلمه عبور را گم می کنید و راهبر مجددا آن را برایتان پست می کند در واقع logon از طریق Accuont System و از روی ماشین راهبر انجام می شود.
Accuont System نیازی به داشتن کلمه عبور ندارد؛ اما نمی تواند درون سایر سیستم ها برود و تنها روی همان ماشین حمله انجام می گیرد.
پس هکر درون Null session نفوذ می کند.
بر روی سایتهای هکری انواع مدلهای نفوذ به سیستم از طریق Null session ذکر شده است.
مثلا با دستور زیر می توانید روی یک رایانه نحوه ورود به Null session را تست کنید:
''''net use \a.b.c.dipc$''''/user
در این صورت a.b.c.d همان IP مورد نظر شماست و user نیز همان اسم کاربری که شما به آن logon کرده یا خواهید کرد ، است.
اگر این دستور جواب داد ، بدانید سیستم شما کاملا آسیب پذیر است و اگر جواب خطا را برای شما پس فرستاد، بدانید سیستم شما نفوذ ناپذیراست.
حفره بزرگ بعدی ویندوز ، مرورگر اینترنت اکسپلورر (IE) است که به صورت Default روی همه سیستم عاملهای ویندوز نصب می شود. همه نسخه های مرورگر مذکور آسیب پذیر هستند و به دلیل داشتن باگهای بزرگ ، بیشتر مواقع به عنوان واسط حملات و exploitها از آن استفاده می شود. یک هکر در حد Admin از روی همین صفحه می تواند صفحات وب سیستم مورد حمله قرار داده شده را برهم بریزد. حفره ها به چندین دسته قابل تقسیم هستند که از آن جمله WebPageSpoofing ، Activex Control ، Active Scripting ، انواع MIME و Buffer Overflow هستند.
در نتیجه این حفره ها ،کوکی های سیستم برای هکر آشکار شده و دسترسی به فایلهای محلی و اجرای برنامه های مخرب و دانلود کدهای اختیاری روی سیستم امکانپذیر می شود. همان طوری که گفته شد مرورگر IE روی همه نسخه های ویندوز ازجمله سرورها نصب شده و امکان در خطر بودن سیستم کاملا آشکار است.
برای آگاهی از آسیب پذیر بودن سیستم ، می توان به بولتن های امنیتی مایکروسافت مراجعه کرد و پیش از هر چیز باید اطمینان پیدا کرد که جدیدترین پس دستور IEاجرا شده است یا نه.
اگر نشده بود، باید بسیار سریع دانلود و نصب گردد. برای این کار می توانید به آدرس زیر مراجعه کنید:
Windowsupdate.microsoft.com
اگر پس دستورها نصب شد، برای آگاهی بیشتر می توانید از 2ابزار چک کردن سیستم یعنی MBSA پیش از این شرح داده شد و نیز از Hfnetchk استفاده کنید.
Microsoft.com/technet/security/tools/hfnetchk.asp microsoft.com/technet/security/tools/Tools/MBSAhome.asp
همچنین برای شناسایی فشارهای ناشی از حفره و ارزیابی آن از سایت زیر استفاده کنید:
http://browsercheck.qualys.com
برای چاره سازی ابتدا اگر نسخه IE زیر 01/5 است ، آن را به سرعت به روز کنید. جدیدترین نسخه ها را می توانید از آدرس های زیر دانلود نمایید.
microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp
(مربوط به IE نسخه 6 با سرویس پک 1است)
microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
(مربوط به IE نسخه 5/5 با سرویس پک 2است.)
microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
(مربوط به IE نسخه 01/5 با سرویس پک 2است)
بعد از به روز کردن مرورگر خود ، باید آخرین پس دستور ارائه شده تا این تاریخ را نصب کنید:
microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp
