Отсутствие контроля целостности средств обеспечения безопасности.

 

Novell Netware версии 3.11 не контролирует целостность следующих объектов:

программы загрузки SERVER.EXE;

системных файлов на жестком диске сервера;

системных областей на жестком диске (например, таб1 лицы размещения файлов (FAT)};

оперативной памяти сервера;

сетевых пакетов.

В Novell Netware 3.12 и выше после появления "голландской атаки" (см. п. 4.2.3.3.1) появилось средство контроля целостности пакетов, проходящих по сети — подпись пакетов (packet signature), однако она тоже не лишена недостатков.

 

Приведение базы данных связок в неработоспособное состояние.

 

Отсутствие контроля целостности системной информации, хранимой на сервере (такой, как файловая система) позволяет без проблем редактировать ее с помощью программ низкоуровневой работы с жестким диском.

Приводимый ниже способ основан на том, что если база данных связок становится полностью неработоспособной, то Novell Netware автоматически создает ее заново (при этом супервизору не нужен пароль для входа в систему), а вся остальная информация на сервере сохраняется. Этот способ пригоден в том случае, когда у злоумышленника есть доступ к консоли файлового сервера, и он может выгрузить (down) операционную систему Novell Netware и работать физически с жестким диском с помощью DOS-программ.

Самый простой способ привести базу данных связок в неработоспособное состояние — стереть ее. Однако, для того чтобы атака осталась незамеченной, можно скопировать базу данных связок и восстановить ее после атаки. Novell Netware имеет встроенные средства восстановления базы данных связок — это утилита BINDREST, которая копирует файлы, содержащие базу данных, из файлов с расширениями.OLD. Поэтому самый очевидный способ осуществления этой атаки состоит в следующем:

1. Операционная система Novell Netware выгружается

командой DOWN с консоли;

2. Загружается операционная система MS DOS;

3. С помощью программ типа DiskEdit или PCTools анализируется таблица разделов (partition table) и находится начало раздела Novell;

4. С начала раздела Novell ищутся строки "net$obJ.sys", "net$prop.sys" и "net$val.sys", являющихся именами файлов базы данных связок. Естественно, что таких строк может быть найдено несколько, нас интересуют те, которые располагаются в таблице размещения файлов (FAT). Определить это можно таким образом, что перед ними, начиная с кратного 16 смещения с начала сектора на диске, должна идти примерно следующая последовательность байт:

00 00 00 26 10 00 00 03 18 00 0В <имя файла>;

5. У трех найденных строк (они должны быть рядом друг с другом) заменяются расширения.SYS на OLD, а за 8 байт до них байты 26 10 (это атрибуты файлов) заменяются на 00 00;

6. Проделанные в п. 4 и 5 операции повторяются еще раз для второй копии FAT. (Этого можно не делать, но тогда после загрузки сервера придется запускать утилиту VREPAIR.NLM);

7. Загружается операционная система Novell Netware и осуществляется вход в нее как супервизор (пароль не будет запрашиваться);

8. Запускается программа BINDREST, которая восстановит базу данных связок из файлов * OLD, т.е. всю первоначальную информацию.

Как видно, для реализации этого способа не требуется никаких специальных программ.

 

Недостатки механизма подписи пакетов.

 

Последние версии Novell Netware (3.12 и 4) предоставляют специальное средство аутентификации и контроля целостности пакетов, проходящих в локальной сети. Это средство называется подпись пакетов и реализовано на основе известных алгоритмов электронной подписи.

Но для повышения скорости работы сети (включений подписи пакетов и так замедляет работу в 1.5-2 раза в Novell Netware для формирования подписи используются только первые 52 байта пакета. Вся остальная информация может изменяться и никаких предупреждении о нарушении целостности ОС выдавать не будет.

Нетрудно, таким образом, представить себе, что некую важную информацию (например, системную программу) можно исправить так, что изменения окажутся за пределами 52 байт передаваемых пакетов. Безусловно, целенаправленную атаку этим способом провести непросто, но принципиальная возможность такой атаки есть. Это очень значимая брешь в безопасности Novell Netware, т.к. подпись пакетов считается чуть ли не панацеей от всех видов атак.

 

Ошибки, допущенные в ходе программной реализации систем обеспечения безопасности.

Передача нешифрованных паролей программой SYSCON.

 

В Novell NetWare 3.12 была обнаружена серьезная ошибка, сводящая на нет все усилия по шифрованию и хэшированию паролей. При вызове программы SYSCON пользователем с правами супервизора для смены пароля любому пользователю (в т.ч. и себе) новый пароль передается по сети в открытом виде и может быть легко перехвачен. Очевидно, каким-то образом в пакет попадает клавиатурный буфер.

Проявление этой ошибки только для супервизора, наверное, каким-то образом связано со специальным вызовом ChangeBinderyObjectPasswordO (см. п. 4.1.2.1).

Тот факт, что это "свойство" присутствует только в одной версии программы (3.76), позволяет говорить о том, что это — ошибка, а не программная закладка или люк.

 

Наличие средств отладки и тестирования в конечных продуктах.

Наличие встроенного отладчика.

 

В Novell Netware всех версий существует классический пример наличия люка — это встроенный отладчик, который вызывается с консоли. Он предоставляет достаточно широкие возможности для редактирования и отладки всех модулей операционной системы (это связано опять-таки с тем, что контроля целостности исполняемого кода не производится). В частности, ее можно модифицировать так, что будет пропускаться проверка правильности пароля любого пользователя.

Для Novell Netware 3 этот способ состоит в следующем:

• Вызывается встроенный отладчик операционной системы Novell Netware нажатием на консоли сервере комбинации клавиш <Alt>+<Left Shift>+<Right Shift>+<Esc>.

• В нем выполняется поиск байт 74 1F BE FF 00 00 00 (Novell Netware 3.12) или 74 1D ВВ FF 00 00 00 (NovellNetware 3.11) командой

m 074 1F BE FF 00 00 00 или

m 0 74 1D ВВ FF 00 00 00 соответственно.

 

•Отладчик высвечивает адрес найденной последовательности байт. По этому адресу байт 74 заменяется на ЕВ командой

с <адрес> = ЕВ

• Операционная система запускается дальше командой g

Как видно, этот способ не требует никаких специальных программ и перезагрузок сервера. Более того, не вносится никаких изменений на жесткий диск сервера, а изменения в памяти можно также легко удалить при необходимости, изменив байт ЕВ обратно на 74.

Парадоксально, но факт, что средство, предназначенное для блокировки клавиатуры консоли, может быть обойдено с использованием той же клавиатуры. Речь идет об опции "Lock File Server Console" в программе MONITOR. NLM. При такой блокировке клавиатуры все же остается возможность активации отладчика, что позволяет сделать так, чтобы любой пароль для разблокировки клавиатуры воспринимался как правильный. Это достигается следующей последовательностью действий:

• Вызывается встроенный отладчик операционной системы

•В нем выполняется поиск байт 74 14 BE FF 00 00 00 (Novell Netware 3.12) или 74 14 ВВ FF 00 00 00 00 (Novell Netware 3.11) командой

m 074 14 BE FF 00 00 00 или

m 0 74 14 ВВ FF 00 00 00 соответственно.

•Отладчик высвечивает адрес найденной последовательности байт. По этому адресу байт 74 заменяется на ЕВ командой

с <адрес> = ЕВ

• Операционная система запускается дальше командой g

На клавиатуре набирается любой пароль.

Существует также другой аналогичный способ, выполняющий обе эти функции и пригодный для многих версий Netware:

• Вызывается встроенный отладчик,

•Заменяются 6 байт подпрограммы VerifyPassword командой

с VerifyPassword=B8 О О О О СЗ

• Продолжается выполнение ОС командой g

Вообще само присутствие кода, предназначенного для модификации и отладки ОС — очень серьезная брешь в безопасности любой ОС. Даже при запрещении вызова отладчика командой "SECURE CONSOLE" возможен аварийный выход в отладчик по критической ошибке, если злоумышленник моделирует ситуацию, приводящую к такой ошибке.