Приведение базы данных связок в неработоспособное состояние.

Отсутствие контроля целостности системной информации, хранимой на сервере (такой, как файловая система) позволяет без проблем редактировать ее с помощью программ низкоуровневой работы с жестким диском.

Приводимый ниже способ основан на том, что если база данных связок становится полностью неработоспособной, то Novell NetWare автоматически создает ее заново (при этом супервизору не нужен пароль для входа в систему), а вся остальная информация на сервере сохраняется. Этот способ пригоден в том случае, когда у злоумышленника есть доступ к консоли файлового сервера, и он может выгрузить (down) операционную систему Novell NetWare и работать физически с жестким диском с помощью DOS-программ.

Самый простой способ привести базу данных связок в неработоспособное состояние — стереть ее. Однако, для того чтобы атака осталась незамеченной, можно скопировать базу данных связок и восстановить ее после атаки. Novell NetWare имеет встроенные средства восстановления базы данных связок — это утилита BINDREST, которая копирует файлы, содержащие базу данных, из файлов с расширениями.OLD. Поэтому самый очевидный способ осуществления этой атаки состоит в следующем:

1. Операционная система Novell NetWare выгружается командой DOWN с консоли;

2. Загружается операционная система MS DOS:

3. С помощью программ типа DiskEdit или PCTools анализируется таблица разделов (partition table) и находится начало раздела Novell;

4. С начала раздела Novell ищутся строки "net$obj.sys", "net$prop.sys" и "net$val.sys", являющихся именами файлов базы данных связок. Естественно, что таких строк может быть найдено несколько, нас интересуют те, которые располагаются в таблице размещения файлов (FAT). Определить это можно таким образом, что перед ними, начиная с кратного 16 смещения с начала сектора на диске, должна идти примерно следующая последовательность байт: 00 00 00 26 10 00 00 03 18 00 0В <имя файла>;

5. У трех найденных строк (они должны быть рядом друг с другом) заменяются расширения.SYS на.OLD, а за 8 байт до них байты 26 10 (это атрибуты файлов) заменяются на 00 00;

6. Проделанные в п. 4 и 5 операции повторяются еще раз для второй копии FAT. (Этого можно не делать, но тогда после загрузки сервера придется запускать утилиту VREPAIR.NLM);

7. Загружается операционная система Novell NetWare и осуществляется вход в нее как супервизор (пароль не будет запрашиваться);

8. Запускается программа BINDREST, которая восстановит базу данных связок из файлов *.OLD, т.е. всю первоначальную информацию.

Как видно, для реализации этого способа не требуется никаких специальных программ.

Недостатки механизма подписи пакетов.

Последние версии Novell NetWare (3.12 и 4) предоставляют специальное средство аутентификации и контроля целостности пакетов, проходящих в локальной сети. Это средство называется подпись пакетов и реализовано на основе известных алгоритмов электронной подписи.

Но для повышения скорости работы сети (включение подписи пакетов и так замедляет работу в 1.5-2 раза) в Novell NetWare для формирования подписи используются только первые 52 байта пакета. Вся остальная информация может изменяться и никаких предупреждений о нарушении целостности ОС выдавать не будет.

Нетрудно, таким образом, представить себе, что некую важную информацию (например, системную программу) можно исправить так, что изменения окажутся за пределами 52 байт передаваемых пакетов. Безусловно, целенаправленную атаку этим способом провести непросто, но принципиальная возможность такой атаки есть. Это очень значимая брешь в безопасности Novell NetWare, т.к. подпись пакетов считается чуть ли не панацеей от всех видов атак.

 

ОШИБКИ, ДОПУЩЕННЫЕ В ХОДЕ ПРОГРАММНОЙ РЕАЛИЗАЦИИ СИСТЕМ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ