Национальные удостоверения личности - ID карты
Судьи наказывают за плохую защиту
Компьютерная безопасность и обязательства
Шутка со сканерами уязвимых мест
Шутка со сканерами уязвимого места
Обычно это происходит, когда Вы подключились к одному из мэйлеров Counterpane's, по указанному стандартному адресу SMTP, читаемого, приблизительно
, как:220 counterpane.com ESMTP Sendmail 8.8.8/8.7.5; Mon, 7 May 2001 21:13:35 -0600 (MDT)
Поскольку эта информация включает номер версии sendmail, некоторые пересылают нам прочитанное сообщение, интерпретированное свободно: "Хе, хе, хе. Компания Брюса отправила глупое письмо!"
До недавних пор, стандартный ответ персонала Counterpane's состоял просто из улыбки и сообщения "Да, несомненно, Вы правы, заголовок, сообщает об этом", оставляя респондента удивляться тому, что нам все равно. (Есть связка причин, что нам это безразлично, и, объясняя это, мы должны взять все на себя).
Однако мы становились немного утомленными всем этим. Мы сделаем так, чтобы компании выполнили определенное проникновение против нас на регулярном основании, и более часто, чем они жаловались, так чтобы каждый из наших публично доступных серверов SMTP имел ту же самую глупую версию
sendmail при этом.Тогда, мы получили результаты сканера уязвимости, выполненного против нашего часового - устройства специального назначения. Сканер жаловался, что 1) меры защиты обслуживания SMTP произвели заголовок, и 2) заголовки SMTP обычно содержат информацию версии. Следовательно, имелась потенциальная уязвимость защиты. Рассматриваемый заголовок был:
220 natasha ESMTP Sentry
Как Вы можете увидеть, этот заголовок не содержит совсем никакой информации о версии. Сканер слепо предупреждает каждый раз сервер SMTP, возвращая заголовок. Это эквивалент тех конвертов, которые сообщают "ВЫ, ВОЗМОЖНО, УЖЕ ПОБЕДИЛИ!" в больших красных письмах. Вы могли иметь уязвимое место. Вероятно, нет; но Вы никогда это не знаете. Вы сообщаете людям что
-то, и они могут быть способными получить информацию из этого.К несчастью, RFC 821 *требует* от сервера SMTP возвращения заголовка. Подлинник RFC показывает заголовок, который начинается с 220 и официального имени машины; остальная часть заголовка - для потребителя. Это традиционно для серверов, которые поддерживают ESMTP. Они упоминают все это в их заголовке. Теперь, многие RFCS разрешают больше нарушений, чем соблюдения правил, а практически, если ваша станция SMTP не говорит, что запуски начинаются с 22
0, это не работает. Никакого заголовка, никакой почты.Это означает, что невозможно избежать выделение уязвимости сканером. Однако, возможно, избежать фактическую раздачу полезной информации. Имеются много подходов к этому: сильный тип, тихий, который показывает наш второй пример (220 hostname ESMTP); вводящий в заблуждение тип, которого достигает наш первый пример (дает заголовок, подразумевающий уязвимость, которой Вы не имеете - для максимального развлечения, выбираете его из архива); запутывающий тип, который дает различные заголовки каждый запуск (некоторые хосты делают действительно забавные версии этого). Однако ни один из них не решает основную проблему обучения людей, чтобы они прекратили жаловаться, и выражать неудовольствие. Это для нас большая проблема, чем нападение на нас.
Нападавшие собираются выяснять то, что станция SMTP функционирует, независимо от заголовка. Они могут просто пробовать все уязвимости. Поэтому, Вы избавляетесь от нападавших, избавляясь от уязвимости. Много нападавших только запускают сценарии, так что Вы можете приводить их в раздражение, делая заголовок, не соответствующий сценарию, и почти любой прием защищает вас.
Люди, которые жалуются, не желают, однако, разобраться в Вашей станции SMTP, чтобы выяснить, какова она. Вводящие в заблуждение заголовки вводят в заблуждение их надежно, при трате Вашего драгоценного времени, имеющего дело с ними. Пустые заголовки не избавляют от них надежно. Мы поэтому перешли в забавную защиту; наше новое чтение заголовков:
220 ESMTP преднамеренно оставляет пробел.
Сканеры все еще пойдет, но вряд ли кто-нибудь может сообщить, что сообщение не содержит полезной информации.
Технически, это не послушно RFC, если Вы не называете Ваш host. Мы волновались бы относительно этого больше, если бы функционировал одиночный host под кратными IP адресами, каждый с различным приложенным названием, каждый с точно тем же самым заголовком, имя хоста и все. Никто некогда не жаловался, что название в заголовке не соответствовало имени хоста. Никакое испытание с помощью преодоления защиты когда-либо даже не заметило, что все эти "различные" машины были одинаковыми. Даже, когда они жаловались относительно информативного заголовка, который сказал им об этом. Мы полагаем, что это, будет делать для нас точно такое же действие, как и название. (Вы могли бы точно также помещать имя хоста после 220, если Вы чувствуете себя способным защититься, или используете систему почты, которая заботится о защите).
Это все очень забавно, и это уменьшает письменные жалобы людей, действительно беспокоившихся, но это не забота о сканерах. И это не просто SMTP, на что указывают сканеры; нет, они жалуются о SSH, и они жалуются о нашем сервере почты, принимающем EXPN (что не возвращает ошибку; а также не возвращают любую информацию, но Вы должны смотреть на выход, чтобы получить дополнительную информацию). Они часто жалуются на то, что оператор принимает EXPN, но при этом даже совсем не отвечает на команду. В общем, сканирования выхода все еще слишком много для моей почты; важные данные скрыты в рекламном почтовом отправлении.
Это написано Elizabeth Zwicky. Опубликовано в ноябрьском номере 2001 года журнала Dr. Dobb's.
Авторское право © 2001 Counterpane Internet Security, Inc.
Русский материал Малютина А.
Предыдущая страница