Все новости от 22 августа 2000 г.

Microsoft винит за хакерские атаки администраторов

Софтверный гигант уверен, что хакеру по имени Herbless удалось получить контроль над SQL-серверами потому, что системные администраторы не установили пароль для административного доступа. Сам Herbless опровергает это утверждение — по его словам, он написал новый код, который использует пробел в защите SQL-серверов.

SQL-серверы могут работать в двух разных режимах: смешанной аутентификации и встроенной аутентификации. В смешанном режиме учетная запись администратора создается при полном доступе к среде SQL, для которого нужен пароль. Microsoft рекомендует использовать SQL-серверы, подключенные к интернету, в режиме встроенной аутентификации, так как в этом случае степень защиты выше. Похоже, что сайты, атакованные хакером Herbless, работали в смешанном режиме с пустым паролем администратора. Городской совет Шеффилда, чей веб-сайт был вскрыт, отказался от комментариев.

Менеджер по маркетингу продукта Microsoft UK Николас Макграт (Nicholas McGrath) настоятельно призывает системных администраторов предпринимать адекватные меры защиты. «Нужно понимать, насколько небезопасен интернет, и действовать соответствующим образом. Оставлять веб-сайт незащищенным — все равно, что бросать полную ценных вещей машину незапертой в месте, где проходят миллионы людей», — говорит он.

Microsoft быстро отреагировала на утверждения Herbless и опубликовала свои рекомендации. Кроме эксплуатации подключенных к интернету SQL-серверов только в режиме встроенной аутентификации, Microsoft рекомендует тем, кто все же работает в режиме смешанной аутентификации, назначать серьезные пароли для административного доступа.

Макграт утверждает, что Microsoft не следует ужесточать защиту. «Мы могли бы это сделать, но при этом нам пришлось бы пожертвовать удобством для пользователей. А мы должны предоставлять им гибкость и разнообразие, хотя это и ведет к потенциальному ослаблению защиты», — говорит он. Смешанный режим аутентификации удобен для сетей, не соединенных с другими сетями.

Аналитик IDC Сандра Эдлер (Sandra Baccari Edler) согласна, что онлайновой защите следует уделять больше внимания, но уверена, что подобные атаки помогают предупредить об опасности других администраторов. «Пробел в защите, который использовал этот хакер, часто упускается из виду ответственными за безопасность в организациях, — комментирует она. — Подобные случаи, надо сказать, способствуют росту осведомленности, что позволяет потенциальным жертвам защитить свои системы прежде, чем они будут вскрыты». Эдлер согласна с Макгратом в том, что организации должны понимать, насколько небезопасен интернет: «Только когда компании откажутся от практики защиты по остаточному принципу, они перестанут быть такой легкой добычей для хакеров».

Обсуждение и комментарии

	dragon - dragonmail.uzhgorod.ua 22 Aug 2000 6:26 PM
Ну вот и начали они отгребать удары своими же граблями... Скоко крика было. NT сможет администрировать любой студент ;)))) Да, но культура... К Кому не зглянеш все работают под адмискими паролями, а в сети для всех пользователей адмиские права ;((((( И ведь, так оно и есть и не только в совке но и на западе. В западло пареньку настраивать нормальные отношения пользователей в сети. Блин окромя отгребание бабок лопатой надо еще и планку культурности держать. А этого Ms отродясь не было. Не даром админ на UNIX бог сети. А на виндах на равне со всеми не долно так быть, не должно. Уровень знаний и ответственности не должен позволять уравниловку. Вечно они божий дар с яичницей мешают. Сори тем кто пришел с UNIX в Винду и принес старую закалку. Не давайте админы спуску своим пользователям...
	Sergey 23 Aug 2000 10:00 AM
Совершенно правильно поставлен вопрос об уровне подготовки администратора. Винда за внешней простотой и удобством скрывает высокие требования к админу. Эта ловушка, поставленная M$, в которую вляпались многие. Так что можно долго кричать маздай и т.д. , но начинать как всегда надо с сомого себя, как это не тяжело. И еще на мой взгляд нет неуязвимых систем, все определяется уровнем подготовки админа, хакера и временем затраченным хакером на взлом. Это и ежу должно быть ясно, извените если кого то обидел
	Антон Блинков - bavinfopac.ru 23 Aug 2000 11:07 AM
определенная доля вины в образовании этой "дырки" лежит и на самой МС: MS SQL 7 при установке c mixed mode authentication не просит изменить стандартный админский пароль (пустая строка) даже в custom режиме установки.
	Shadow 23 Aug 2000 11:10 AM
интересное наблюдение: Женщины-администраторы лучше следят за безопасностью :)))))))))))))
	A 23 Aug 2000 11:33 AM
"Сам Herbless опровергает это утверждение", а о чем тогда базар? :-) Они заботятся об удобстве пользователей! Да никакой нормальный пользователь не будет чувствовать себя комфортно, пока он беззащитен! А видимое удобство Windows -- это действительно ловушка! Да и удобство-то сомнительное. Настройти-ка сеточку в сотню пользователей -- мышка поломается :-) Поэтому народ и "ленится" настраивать.
	REX 23 Aug 2000 12:37 PM
Да причем тут пароли. Вы что думаете Herbless ребенок чтоли пасворды подберать. Это только в кино так:"SEX", "LOVE", "GOD" и вы внутри. Поверьте мне наслово даже с компаниях с тупыми админами гораздо все сложнее :) тем более что: "Сам Herbless опровергает это утверждение". Давайте ему поверим.......
	GOLDEN_key - GOLDEN_keyPapa.Karlou.Camorra.Tale 23 Aug 2000 2:26 PM
M$ с его Zero Administration действительно получил то, к сему стремился. BTW, на самом деле НТ _нормально_администирить_ не намного легче чем *NIX. Да и легче ли ? ;)
	dragon - dragonmail.uzhgorod.ua 23 Aug 2000 2:38 PM
To: Shadow Так уж исторически сложилось что следить за очягом женское дело ;))) Тади чуство собственной безопасности у них развито сильнее. ;))) Психология однако. Вот правда многих нагрузок на такой работе они не выдерживают, хотя более педантичны и менее ветренны в работе чем мужчины. ;))
	K.I.S.S - vatok-i-s-s.kiev.ua 23 Aug 2000 2:48 PM
Маленькое резюме - никогда не доверяй установкам по умолчанию. И в виндах, и в *nix. При детальноп подходе к снаряду (винде) находишь куда больше вопросов, чем ответов на них. Проблема только одна - лень. Как пример - вопрос ко всем - а знает ли кто о пользователе в NT, имеющий привелегии выше чем администратор?
	Favn - favnmail.com 23 Aug 2000 6:46 PM
Вот и ладушки. Побольше бы таких Herbless'ов. Может, люди наконец поймут, что следует покупать полнофункциональные СУБД (Oracle, DB2, ...), а не недоделанный MS SQL. Кстати, и по цене они не все стоят как Oracle. Например, DB2 UDB под NT сравнима по цене с MS SQL, а по производительности значительно лучше. Я уж не говорю про возможности - и сравнивать нечего. Работал и на том, и на другом (на DB2 - по доброй воле, на MS SQL - по принуждению :)
	- chvmmail.ru 23 Aug 2000 9:11 PM
кто работает Oracle - при всей далеко несовершенной защите (вплоть до 8i) - были ли проблемы с атаками извне или внутри ? ( и т.д. - интересно обменяться практикой (байки, мнения, чайник-ревью и т.д.)) ...
	vovan - alexzrambler.ru 25 Aug 2000 9:29 AM
2 K.I.S.S. Непойму, что Вы имеете ввиду в последнем абзаце своей мессаги, но отмечу такой вот баг в NT c NTFS: усер логинится с консоли, создает файл и удаляет все ACE из ACL. Всё - теперь никто, кроме этого усера не получит доступ к этому файлу. Вывод - удалять все ACE Creator Owner (Full Control) всех обьектов файловой системы и вообще никогда не давать усерам полный доступ к файлам, достаточно RWXD. IMXO: Винда действительно нуждается в серьезном подходе и настройке. Все проблемы - из за ушастой прокладки между стулом и клавой. M$ просто хочет, чтобы её софт юзали не только корпоративные, но и домашние пользователи. А на хрена, допустим, дизайнеру настраивать голую ось, когда лучше попроще поставить и работать. А на безопасность ему плевать.
	vovan - alexzrambler.ru 26 Aug 2000 11:17 AM
re: 25.08.00 09:29 Сам себя поправлю: это даже не баг так, как винда предупреждает об этом.
	Kosta - iiiadminaha.ru 26 Aug 2000 3:12 PM
Объяснение vovanu - Админ в NT всегда может сменить собственника файла, и в дальнейшем делать с ним все что угодно.
	PODONOK - podonoksukr.net 8 Sep 2003 5:37 PM
Microsoft полностью расслабился по отношению к своему продукту... Понапридумывал различные хитрости и уловки, чтоб хакеры (самые уважаемые люди)не смогли ни чего сделать... Но они как видно из этой статьи прогорели на самом простом... Ребята проверка ни когда не помешает!!!