| |
- Knoppix - ДЛЯ ДЕЛА: ПРОФИ - Debian - ДЛЯ ДЕЛА: РОЛЛЫ - ArchLinux - ДЛЯ ДЕЛА: СОБЕРИ САМ - Gentoo - ДЛЯ ДЕЛА: ЛЁГКИЕ - TinyMe - ЗАЩИТА - Openwall - МУЛЬТИМЕДИЯ - Planet CCRMA - ПРИЛОЖЕНИЯ - OpenDisc - ДЛЯ ЗАБАВЫ - Линукс Геймер - ЭКСПЕРИМЕНТ - коЛинуксы - РОДНЯ - BSD-семейство - УСТАРЕВШИЕ - ASP Linux -
(2003 - 2011)
ПИНГВИН В КАРМАНЕ
|
За последние несколько суток наш сайт подвергся настоящему шторму хакерских атак и, поскольку пара из них удалась, став причиной перерыва в работе сайта, давайте сегодня остановимся на разборе произошедшего. Тем более что на форуме начали обсуждаться версии случившегося и чтобы не плодить слухи, внесём ясность. Итак, два несанкционированных проникновения имели место 18 и 22 ноября. В обоих случаях взломщики подкорректировали структуру сайта: первый раз были заменены лицевые странички сайта и форума, второй раз - только лицевая страница сайта. Оба раза вместо нормальных файлов оставлялись короткие записи, гласившие что-то про операционные системы семейства BSD. Честно говоря, не суть важно, что там говорилось, важно что отсюда и пошло мнение, что хакеры проникли в сердце системы, взломав наш сервер. И это - первое заблуждение. Linux.su/Knoppix.ru устроен просто и включает в себя две основных компоненты. Первая - собственно сервер (компьютер, с работающей на нём операционной системой и серверными программами вроде веб-сервера Apache). Вторая - сайт и работающие на нём прикладные программы (наш форум и магазин, написанные на языке PHP). Сервер нам не принадлежит, мы лишь арендуем место на сервере екатеринбуржской компании УралРелком. При этом Linux.su размещается не на выделенном сервере, а в так называемом режиме co-location - совместного размещения, деля серверное пространство с некоторыми другими сайтами. Таким образом, если бы взломщикам действительно удалось проникнуть в святая святых, заполучив управление сервером, изуродованным мог оказаться не только наш сайт, но и те несколько сайтов, которые размещаются "рядом" с нами.
Какая операционная система управляет уралрелкомовским сервером? Не имею представления, да это и не играет никакой роли. Знаю только, что это какая-то из UNIX-систем. Сканирование knoppix.ru утилитой nmap выдаёт FreeBSD - вполне возможно так оно на самом деле и есть, но доверять этой информации стопроцентно не стоит: администраторы крупных серверов часто подменяют названия своих ОС, дабы ввести в заблуждение взломщиков. Пусть даже сервер работал бы под управлением MS DOS или CP/M - сознательный выбор достоин уважения. Если администраторы следят за состоянием вверенной им системы, правильно её настроив и защитив, вовремя устанавливая необходимые патчи, клиентам нет нужды заботиться о чём-либо, кроме своих данных. В этом смысле УралРелком зарекомендовал себя с лучшей стороны - о взломах их серверов мне ничего не известно. Таким образом, как вы уже поняли, все громкие заявления хакеров, подменивших странички нашего сайта (кажется, одному нравилась FreeBSD и не нравилась Linux, другому наоборот), не более чем пустые слова: операционная система была ни при чём. Виноватым оказался наш форум - phpBB. Это красивый, функциональный и весьма популярный свободный продукт с открытым кодом - и, как и полагается в таком случае, время от времени в нём отыскиваются уязвимости, позволяющие злоумышленникам завладеть правами администратора форума и сайта. Ничего особенно хитрого здесь нет: за пять минут с помощью Google можно нарыть несколько способов взлома phpBB устаревших версий. На нашем сайте работала как раз старая версия форума, уязвимая во многих местах. В последние дни phpBB попал в центр внимания компьютерной прессы по причине обнаружения в нём сразу нескольких критических уязвимостей. Если вы пользуетесь этим продуктом, загляните на сайт разработчиков и скачайте самую свежую версию - 2.0.11.
Разбор логов, оставшихся после нападения, вскрывает довольно неприглядную картину: у мальчиков, осуществивших взлом, не хватило ни способностей, ни фантазии на что-то большее, кроме банального применения стандартного инструментария для перебора возможных "дыр". Судя по тому, что даже защитить свои IP-адреса они не смогли (хотя как минимум один и пытался), придумать что-то оригинальное в плане взлома им было и вовсе не под силу, так что вся история не оставила после себя ничего кроме неприятного осадка: на разбор случившегося и обновление форума потрачено в общей сложности шесть часов за несколько суток. Пользуясь случаем хочется пожелать горе-хакерам поскорее справиться с кризисом переходного возраста и, по достижении половозрелости, суметь направить свою энергию на что-нибудь общественно-полезное. Возвращаясь же к вопросу о недостатках и преимуществах различных UNIX-совместимых операционных систем, стоит отметить, что дискуссии по этой теме не утихают ни на минуту, но чем дальше, тем меньше смысла в них участвовать. Дело в том, что Linux, которая традиционно считается младшей сестрой "более защищённых" систем BSD-семейства, постепенно перенимает у них полезные свойства, наращивая свой иммунитет к вторжениям. Линус Торвальдс особо подчёркивает тот факт, что в последнее время вопросам защищённости он и его коллеги уделяют особенно большое внимание: приоритет отдаётся коду, который написан с предвидением возможных ошибок. Вместо того чтобы ломать копья в спорах, стоит посмотреть на то, какое программное обеспечение, кроме операционной системы, работает на вашей лично машине. Эксперты подтверждают: наибольшую угрозу для информационной безопасности скрывает именно прикладной софт. Взгляните на обновлённый список десяти самых опасных уязвимостей в UNIX-системах, опубликованный институтом SANS (тем самым, что действует на пару с ФБР) [techrepublic.com.com]. Вовремя не обновлённые серверы DNS (BIND), веб (Apache), электронной почты (Sendmail, Qmail, Courier и др.), баз данных - вот что таит в себе наибольшую угрозу. Слабые пароли, неправильные настройки и запущенные программы, назначение которых вам неизвестно - три дополнительных фактора избыточного риска. Заметили? Эксперты SANS ничего не говорят ни про Linux, ни про FreeBSD, ни про NetBSD - только про программное обеспечение! Времена, когда ОСи были важнее прикладного софта, канули в Лету.
Как проверить свою систему на уязвимости? Для этого существуют специальные (и, конечно, свободные) программы. Первая из них - сканер nmap: этот инструмент поможет провести разведку, определив тип операционной системы, составить список служб, работающих на компьютере [www.insecure.org]. Вообще говоря, nmap больше интересен для планирующих атаку, нежели для тех, кто оценивает свою безопасность. Вспомните "Матрица: Перезагрузка" - Тринити работала с nmap. Вторая программа - Nessus: это более мощный инструмент, который не только покажет, какие порты открыты, но и составит для вас подробнейший отчёт по всем уязвимостям, обнаруженным в самой операционной системе и работающих прикладных программах [nessus.org]. Именно Nessus будет интересен большинству рядовых пользователей. Попробуйте натравить его на свой собственный компьютер или машину знакомого - и я гарантирую вам немало интересных открытий. К примеру, с его помощью легко обнаруживаются сидящие на Windows-машинах "трояны" и "черви", определяются пустые пароли к базам данных и различным серверным службам. Кроме прочего, Nessus умеет составлять превосходные отчёты (совет: попросите программу сформировать отчёт в виде HTML-странички). Покуда жив последний программист, в программах будут ошибки - и до тех пор, пока не отправится за решётку последний взломщик, эти ошибки будут находить и обращать против нас, пользователей. Это простое правило подтверждается каждый день и нет в мире проекта, для которого его справедливость не была бы подтверждена историей. Казалось бы, что может быть более чистым от ошибок, чем ядро Linux 2.6.9 - проверенное сотнями профессионалов? Но и в нём уже открыта масса уязвимостей [www.securityfocus.com]: по хакерским сайтам бегут сообщения о нескольких опасных "дырах", найденных в Linux-ядрах всех версий, за исключением упоминавшейся вчера 2.4.28. "Провинился" компонент, реализующий поддержку файловой системы SMBFS (та самая, через которую Linux-машины пользуют ресурсы Windows-машин и наоборот). В бесконечной саге о взломах и защите начинается новый этап! Вы можете обсудить этот материал в посвящённом ему разделе нашего форума: knoppix.ru/forum3/viewforum.php?f=21 Семейство ядер 2.6.x во многом остаётся экспериментальным - его частенько обвиняют в нестабильной работе, в него включено множество как следует не протестированного кода - но всё же подавляющее большинство рядовых пользователей Linux уже перебралось на новое ядро. И виной тому не только и не столько мода, сколько удобства и производительность, предлагаемые веткой 2.6. Вместе с тем не прекратилось и развитие старой ветви 2.4: на днях на официальном сайте линуксоидов-ядерщиков kernel.org была выложена её самая свежая версия - 2.4.28. Полюбоваться длиннейшим списком исправлений и дополнений, внесённых в ядро на нескольких промежуточных этапах, отделяющих 2.4.27 от нынешней версии, можно на соответствующей страничке [www.kernel.org], обобщая же можно сказать, что включает оно в основном исправления ошибок - ищущим новые функции следует обратиться к ветви 2.6. Сам собой напрашивается вопрос: кому и зачем может понадобиться сегодня, во времена 2.6.9 и 2.6.10 preview, устаревшее ядро? Впрочем, выше мы же на него почти что и ответили: всем, кому нужен проверенный временем, достаточно стабильный и предсказуемый код. Большинство систем, эксплуатирующих ядро 2.4.x, принадлежат к классу серверных: администраторам крупных серверов, услугами которых пользуются десятки, сотни и тысячи человек и машин, выгоднее быть разумными консерваторами, придерживаясь старых, но защищённых и стабильных версий программного обеспечения, нежели сражаться с неожиданными глюками нового софта. В ядрах 2.4.x открыто немало "дыр" и 2.4.28 выпущена как раз для того, чтобы закрыть известные уязвимости.
Вместе с тем "стабильность" - термин, который так часто применяют по отношению к старому и выверенному софту, не только по отношению к ядру Linux - штука весьма и весьма сложная. Разборкам с нею посвящена хорошая статья Джема Матцана, опубликованная недавно сайтом NewsForge [www.newsforge.com]. Стабильность в общепринятом понимании - способность системы работать под нагрузкой в течение неограниченного времени устойчиво, без каких-либо ошибок или сбоев. Это же подразумевает и отсутствие в системе известных "багов", которые могли бы воспрепятствовать нормальной работе (есть и другая трактовка стабильности, однако её преимущественно эксплуатируют разработчики - называющие стабильной даже промежуточную версию программы, если та не "падает"). Казалось бы, определение исчерпывающее, но на самом деле оно не лишено изъяна, который можно проиллюстрировать на примере стабильной версии дистрибутива Debian, известной под названием Woody. Возраст программного обеспечения, вошедшего в этот дистрибутив, исчисляется примерно двумя годами - и два года назад оно действительно работало без проблем. Но ведь технический прогресс на месте не стоит: за прошедшее время появилось новое "железо" и "стабильный" Woody (кстати, основанный на ядре ветки 2.4) уже не может работать без ошибок на компьютерах современной комплектации. Стабильность оборачивается нестабильностью!
Таким образом и совсем свежий софт не удовлетворяет определению стабильного, но и "старый" совсем не значит "стабильный". Так что же делать? Искать золотую середину - ту версию программы или пакета, с которой работает наибольшее число пользователей. Тем самым вы максимально упростите поиск ответа на возникающие вопросы и минимизируете время, необходимое на приведение системы в стабильное состояние. Относительно версии ядра Linux советовать не возьмусь, а вот относительно уже упомянутого Дебиана - рекомендую Debian Sarge, тестовую версию дистрибутива, находящуюся между старой "стабильной" Debian Woody и новой, нестабильной Debian sid. Дистрибутивы Дебиан МИНИ и Дебиан НОРМА на нашем сайте как раз составлены на основе Sarge. Впрочем, туманные основания вопроса о стабильности отнюдь не мешают производителям создавать замечательные произведения электронного искусства, основывая их на сваях свободного софта. Очередной приятный подарок - правда, в первое время только для японских покупателей - сделали компании NEC и Panasonic, совместно разработавшие серию сотовых телефонов 3-го поколения (3G), работающих под управлением операционной системы Linux [www.linuxdevices.com]. В моделях N900iL, N901iC и P901i, первый из которых уже продаётся, использован вариант свободной ОС от американской компании MontaVista Int., популярный среди разработчиков разного рода бытовой электроники. Аппараты, работающие в высокоскоростном диапазоне W-CDMA, оснащены всевозможными мультимедийными примочками (просмотр потокового видео - в порядке вещей) и могут переключаться в режим Wi-Fi (802.11b), превращаясь в Интернет-телефон (голос цифруется и передаётся через Сеть). Последнее обстоятельство даёт надежду увидеть их однажды и за пределами Страны восходящего солнца - ведь беспроводные сети организуются сегодня по всему миру согласно одному стандарту.
Теперь, когда речь зашла о беспроводном доступе и Linux, было бы уместно вспомнить про то, что при участии компании Intel наконец создан и выпущен стабильный вариант Linux-драйвера для чипсетов с технологией Centrino, благодаря чему свободная ОС в состоянии полноценно эксплуатировать возможности большинства современных ноутбуков [linux.slashdot.org]. Но и здесь та же ситуация: работать с Linux-драйверами для Centrino можно было давно, просто они не считались стабильными. Поэтому позвольте завершить сегодняшнюю Сводку рассказом об идее, воплотить которую в жизнь, возможно, посчастливится вам. И, конечно же, идея эта связана с вопросом стабильности. Подсмотрена она всё на том же сайте NewsForge [www.newsforge.com], где её изложил некто Робин Миллер, пять лет назад впервые задумавшийся о том, почему бы не создать персональный компьютер для бизнеса, администрирование которого не требовало бы ни минуты рабочего времени у его владельца. Расходы на обновление программ и вообще поддержание программного обеспечения на персоналках и серверах в компаниях средней руки сегодня весьма ощутимы. Но представьте себе персоналку, о которой не нужно заботиться: вы всего лишь работаете с ней, а уж о том, чтобы поставить свежие версии программ и последние security-патчи она подумает сама. Linux давно позволяет реализовать такую задумку в полной мере и дёшево. Ведь автоматическое обновление в современных дистрибутивах реализовано просто и надёжно (и Debian, и MandrakeLinux, и SuSE и многие другие дистрибутивы включают специальный инструментарий, позволяющий легко автоматизировать такую задачу), а сама Linux в большинстве случаев бесплатна. Нужно лишь правильно настроить систему и пользователь будет избавлен от головной боли, связанной с необходимостью следить за состоянием своих программ - на него останутся только его данные. Такой вот своеобразный "плаг-н-плэй": поставил - и работай. К сожалению, идея пока не реализована. Возможно, из-за необычности? Вы можете обсудить этот материал в посвящённом ему разделе нашего форума: knoppix.ru/forum3/viewforum.php?f=21 В одном старом советском (но по-хорошему серьёзном) фильме, который на днях крутил "Первый канал", тогда ещё совсем молодой Булдаков изрёк просто фантастическую фразу. За стопроцентную точность не ручаюсь, но примерно она звучит так: "может быть потому они и воры, что мы - разгильдяи". Сегодня ночью, первый раз за полтора года жизни проекта, наш сайт взломали. И совершенно искренне хочется сказать спасибо ребятам с Web-hack.ru (если это действительно были они) за преподанный урок. В конце концов, не укажи они на дыры сегодня, завтра всё могло бы быть хуже. Вместе с тем - простите, Сводки сегодня не будет.. С уважением, Евгений. |
|||||||||||||||||||||||||||||||||||
|
материалов cайта ссылка на Knoppix.ru обязательна (c) Knoppix.ru 2003 - 12 |
||||||||||||||||||||||||||||||||||||
