На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2001-11-8 на главную / новости от 2001-11-8
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 8 ноября 2001 г.

Новый список Top 20 ФБР: во главе по-прежнему MS IIS

Обычно чрезвычайно трудно выявить уязвимые места в защите своих систем, однако ситуация меняется.

Престижный институт SANS, сотрудничающий с ФБР, предложил список top 20 общих уязвимостей, которые открывают хакерам доступ к интернет-сайтам. Он содержит описания пробелов в защите, рекомендации по их устранению и перечень продуктов, с помощью которых системные администраторы могут исключить уязвимые места или удостовериться, что в сети все в порядке.

Директор SANS Institute по исследованиям Алан Паллер (Alan Paller) и сотрудники ФБР обнаружили, что некоторые проблемы распространены более других. «Этот год, несомненно, год Microsoft IIS, — говорит Паллер, — так этот сервер популярен и так легко его взломать». Проблема усугубляется тем, что компании часто не знают обо всех своих инсталляциях IIS. В конфигурацию Windows NT, Windows 2000 или Windows XP может входить полнофункциональный веб-сервер, но многие администраторы даже не догадываются о его существовании. А если эту версию IIS специально не отключить, то она будет работать в фоновом режиме, открывая лазейку в компьютер.

Но не надо думать, что уязвима только операционная система Microsoft. Многие Unix- или Linux-серверы тоже имеют черный ход, который часто остается незапертым. Обычно это примеры скриптов, помогающие администраторам веб-серверов писать свои собственные скрипты. Они не предназначены для использования в интернете, поэтому в них не предусмотрена встроенная защита. К тому же они могут быть так плохо составлены, что при исполнении этих скриптов открываются лазейки, о которых администратор даже не подозревает.

К счастью, большинство уязвимостей устранить легко, так что они существуют лишь до тех пор, пока администратор не займется ими. Впрочем, сказать легче, чем сделать, так как производители и дистрибьюторы операционной системы не спешат на помощь. Паллер полагает, что Microsoft следовало бы выпустить усиливающие защиту апдейты для более ранних версий Windows. А программы инсталляции Unix и Linux хорошо бы изменить так, чтобы примеры скриптов с ними не устанавливались.

Теперь пользователи будут знать, что проблемы нужно решать. В этом и заключается цель создания списка SANS Top 20. Он будет, обещает Паллер, постоянно обновляться, так что новые методы, решающие проблемы защиты, а также вновь обнаруженные уязвимости будут публиковаться сразу же, как только появятся. «В первые восемь дней мы опубликовали около 20 дополнений», — сказал Паллер, отметив, что у SANS есть целый ряд верных кандидатов на включение в список. 

 Предыдущие публикации:
2001-09-26   Gartner рекомендует компаниям отказаться от Microsoft IIS
2001-10-03   ФБР называет 20 наиболее опасных пробелов в защите
2001-10-04   Microsoft решает проблемы защиты
2001-10-22   Microsoft: «Перестаньте подсказывать!»
 В продолжение темы:
2001-11-12   Хакер: не полагайтесь на IBM
2001-11-27   Ошибка CDE делает Unix-системы уязвимыми
2001-12-13   Хакеры дорвались до серьезной уязвимости Solaris и AIX
Обсуждение и комментарии
Волков
9 Nov 2001 1:02 AM
Престижный институт SANS, сотрудничающий с ФБР, предложил хакерам список из 20-и наиболее распространённых уязвимостей, открывающих доступ к веб-сайтам лохов.
 

Skull - sibskullmail.ru
9 Nov 2001 5:47 AM
Народ! Объясните мне, ламеру, где и какие скрипты идут с apache в RedHat? Документация - да, а вот скрипты не идут. Или господа из ФБР путают модули и скрипты?
 

Pers
9 Nov 2001 6:41 AM
2Skull с апачем идет 2 скрипта-примера, один из них выдает браузеру переменные среды (написан на bash :-))

>В конфигурацию Windows NT, Windows 2000 или Windows XP может >входить полнофункциональный веб-сервер, но многие >администраторы даже не догадываются о его существовании.
да-а, хорош администратор :-((, увольнять таких!
 

VicTor
9 Nov 2001 8:54 AM
2Pers: А чего Вы хотите: NT/2000/XP может управлять даже домохозяйка :))
 

Skull - sibskullmail.ru
9 Nov 2001 9:37 AM
2Pers: я сегодня не поленился, посмотрел rpm с apache - там каталога с документами и скриптами нет. Хотя я соглашусь - можно по дырке в sh заломать сервер.
 

Peter
9 Nov 2001 12:08 PM
А я вот не поленился и посмотрел этот самый список. Там, короче, три раздела.
1. Список уязвимостей общий для всех систем, типа, пустых паролей, установок по умолчанию, открытых портов, отсутсвия логов и бэкапов.
2. Отдельный список для Виндусовых систем - 6 уязвимостей.
3. Отдельный список Иксовых уязвимостей - 7 штук.

И почему ЗДНет сделал вывод что MS - чемпион по дыркам?

А уж не знать что у тебя IIS стоит !!! Это полным мудаком надо быть. Американские админы совсем отупели!!
 

-
9 Nov 2001 12:09 PM
Пока есть козлы-администраторы (неважно под какой ОС),
до тех пор будет работа у нормальных пацанов :)
 

glassy
9 Nov 2001 1:27 PM
2Pers: у тех скриптов нет права на исполнение. Ты знаешь, что это такое? :)
 

Chkaloff
9 Nov 2001 2:49 PM
Вообще, W2K спрашивает при инсталляции, какие компоненты ставить.
Если админ сам поставил галку на IIS, а потом забыл, то хреновый это админ.
 

glassy
9 Nov 2001 3:03 PM
Я уже забыл смысл первых нескольких дыр от M$, но то, что это было похоже на студенческие ляпы, помню. Патчи и/или советы, конечно, есть везде, но это ведь смешно.

Кстати, если win2k падает от виртуальной машины MS-DOS уже месяц(?), то когда же выйдет нормальный захват? Наверняка ведь уже есть ;)
 

Pers
9 Nov 2001 3:13 PM
2glassy знаю :-)
только когда я скачал свой первый апач 1.3.9 кажется, там эти скрипты были с правами исполнения, чем меня сильно удивило :-(

2Skull незнаю как в рпм но в сырцах они есть. Хотя признаю, прав на экзекуцию нет :-)
 

Pers
9 Nov 2001 3:14 PM
в смысле нет прав на исполнение сейчас.. тогда может просто ошибра разрабочика, была незнаю
 

Qrot
9 Nov 2001 3:25 PM
"win2k падает от виртуальной машины MS-DOS уже месяц"
Glassy, ты о чем? если про \t\b то виртуальная машина здесь не причем. скорее всего бага в libc.
 

Gordey
9 Nov 2001 5:09 PM
2 Peter. Полностью с тобой согласен. Я, хоть и не знаком ни с одним американским админом, но, судя этому ТОПу 20 и многим другим материалам, уровень их подготовки - полный абзац. У меня впечатление, что их специально низводят до уровня каких-нибудь "операторов говномешалки", чтобы всякие свои же американские "консультанты" и "эксперты" роились вокруг и тоже могли подкормиться на своих советах им. Да и ФБР работки подкинут, а, заодно, и финансирование... "Алло! Это агент Jack Foolly. А не установлен ли у Вас случайно и незаметно ИИС?". ПИ$^ЕЦ.
 

R2D2
9 Nov 2001 11:39 PM
Qrot
\t\b\b

к сожалению не libc... но даже если бы и она, то что ОС разрешается падать от такого? Это даже насморком не назовёшь, так случайный чих от пылинки... и всё ... ОС с копыт.... это как тогда назвать?
 

Qrot
10 Nov 2001 12:41 AM
"к сожалению не libc..." - откуда инфа? ссылочку, плз.
ОС вообще падать не разрешается, ИМХО. но таких нет в природе.
 

Президент России Владимир Путин - Putinmail.ru
10 Nov 2001 11:55 AM
Может американские админы и говно, вот только зарабатывают они раз в 5 больше чем самые лучшие наши...
 

Egres
12 Nov 2001 8:56 AM
К сожалению стремление создателей дистрибутивов все упростить является плохим тоном. Не секрет, что даже небольшая фирмочка вполне может держать свой собственный сайт в наше время. Но если фирмочка небольшая заполучить себе хорошего специалиста равняется практически 0. Отсюда вывод, берут делитантов, которые как правило умеют только водить мышку по экрану. При установки сервера, к примеру Виндовс 2000, как правильно ранее заметили, достаточно установить только галочку. После установки сервер "готов" к использованию, достаточно залить только странички в нужную папочку, и можно играться в любимую игрушку. Вы думаете таких спецов у нас мало???
 

Skull - sibskullmail.ru
12 Nov 2001 10:40 AM
2Egres: жаль, что нет цивилизованного рынка аутсорсинга. Ведь оплачивать труд наемных профессиональных специалистов дешевле, чем содержать своих. Ан нет, у нас еще долго сапоги будет тачать пирожник :(
 

glassy
12 Nov 2001 11:30 AM
2Путин:
http://zdnet.ru/?ID=175929&Discuss=1&Message=100702 #Message_100702
 

редактор
12 Nov 2001 12:09 PM
От этой фразы выпал в осадок:

"В конфигурацию Windows NT, Windows 2000 или Windows XP может входить полнофункциональный веб-сервер, но многие администраторы даже не догадываются о его существовании".
 

Igbs
12 Nov 2001 11:31 PM
Да что вы, мужики, копья ломаете - в 90 может 95 % мелких ( а порой и средних)
фирмах ВООБЩЕ НЕТ никаких админов!!! Прибегает один мужик по вызову на
полчаса-час и быстро-быстро исправляет замеченные глюки-баги
(оплата то почасовая!!). Вот поэтому и такие сервера стоят (падают!)
А где сидит сисадмин - там гарантированно все с ПОРЯДКЕ! (это его бабки!)
 

vIv
13 Nov 2001 3:49 PM
при _почасовой_ оплате как-раз никуда не спешат... админ спит - денежки идут ;-)
 

Юрий
13 Nov 2001 8:40 PM
Win... интелектом еще не обзавелась, а характер уже появился, поэтому если после каждого setup`а не проверять систему, что она еще доставила, кроме того о чем ее просили, то можно не только IIS найти. Система америкосовская, но ментал совдеповский, а может просто большевистский. Не зря термин придумали "Подавляющее большинство", вот и давят уроды.
 

VB man
13 Dec 2001 11:05 PM
об американских админах -
нормальний американский админ даст 100 очков фори нашему? почему? а ви поездите на всякие кофенции и курси от: Cisco, IBM, Microsfot, etc - а наш что нарил на фришних сайтах - то и знает.

Ну и конечно везде есть исключения...
 

 

← октябрь 2001 1  2  5  6  8  9  12  13  14 декабрь 2001 →
Реклама!
 

 

Место для Вашей рекламы!